Описание

Раздел содержит подробную информацию о подозрительной активности файла, включая список задействованных объектов, подключений и т. д. Информация сгруппирована по категориям и подкатегориям, исходя из поведения конкретного файла. Ниже приведен список категорий и подкатегорий.

hmtoggle_arrow1        Обеспечение автозапуска и распространения

Модифицирует перечисленные ключи реестра.

Создает или изменяет перечисленные файлы.

Устанавливает автозапуск для службы.

Создает перечисленные сервисы.

Изменяет перечисленные исполняемые системные файлы.

Подменяет перечисленные исполняемые системные файлы.

Заменяет системные бинарные файлы.

Заменяет системные бинарные файлы с помощью символической ссылки.

Заражает перечисленные исполняемые файлы.

Создает перечисленные файлы на съемном носителе.

Модифицирует главную загрузочную запись (MBR).

Создает или изменяет файлы для автозапуска:

в /init.d;

в /router;

в /cron;

на рабочем столе;

в других каталогах.

Создает или изменяет файлы для автозапуска с помощью символических ссылок:

в /cron.

Создает или изменяет символические ссылки для автозапуска:

в /init.d;

на рабочем столе;

в других каталогах.

hmtoggle_arrow1        Вредоносные функции

Для обхода брандмауэра удаляет или модифицирует перечисленные ключи реестра.

Для затруднения выявления своего присутствия в системе:

блокирует отображение:

скрытых файлов;

расширений файлов.

блокирует запуск перечисленных системных утилит:

интерпретатора командной строки (CMD);

диспетчера задач (Taskmgr);

редактора реестра (RegEdit);

межсетевого экрана (Брандмауэр Windows);

обновлений системы (Windows Update);

центра обеспечения безопасности (Security Center);

системного антивируса (Защитник Windows).

блокирует:

компонент восстановления системы (SR);

систему защиты файлов операционной системы Windows (WFP);

средство контроля пользовательских учетных записей (UAC);

средство проверки системных файлов (SFC);

центр обеспечения безопасности (Security Center);

центр поддержки Windows (Action Center).

изменяет перечисленные системные настройки:

изменяет DNS-сервер;

отключает уведомления панели задач.

удаляет теневые копии разделов;

добавляет исключения антивируса с помощью перечисленных ключей реестра.

Создает и запускает на исполнение перечисленные процессы:

создает и запускает на исполнение (эксплойт);

создает и загружает библиотеки (эксплойт);

загружает файлы и запускает на исполнение.

Запускает на исполнение перечисленные процессы.

Внедряет код в перечисленные процессы:

перечисленные системные процессы;

перечисленные пользовательские процессы;

большое количество пользовательских процессов.

Устанавливает процедуры перехвата следующих сообщений:

о нажатии клавиш клавиатуры:

библиотека-обработчик для всех процессов;

библиотека-обработчик для процесса.

Завершает или пытается завершить:

процессы;

перечисленные системные процессы;

перечисленные пользовательские процессы;

большое количество пользовательских процессов;

процессы приложений анализа трафика или выполнения программ;

процессы с определенным именем.

Ищет ветки реестра, отвечающие за хранение паролей сторонними программами.

Выполняет операции WMI.

Регистрирует фильтр файловой системы.

Ищет перечисленные окна с целью:

обхода различных антивирусов;

обхода системы защиты файлов Windows (WFP);

обнаружения утилит для анализа;

обнаружения различных программ и игр;

обнаружения виртуальных машин.

Создает onion-сервис.

Загружает перечисленные драйверы.

Перехватывает перечисленные функции в SSDT (System Service Descriptor Table):

драйвер-обработчик.

Устраняет перехваты функций в SSDT (System Service Descriptor Table).

Перебирает пароли аккаунтов ОС.

Проводит атаку перебором по сети.

Отключает AMSI.

Изменяет настройки брандмауэра.

Изменяет настройки маршрутизатора.

Останавливает системные службы.

Управляет службами.

Блокирует через брандмауэр:

SSH;

telnet;

стандартные веб-порты.

Изменяет перечисленные настройки проводника Windows (Windows Explorer).

Изменяет перечисленные настройки браузера Windows Internet Explorer.

Влияет на процессы:

скрывает перечисленные процессы;

выполняет трассировку процессов;

встраивается в процессы.

Принудительно разрешает автозапуск со съемных носителей.

Без разрешения пользователя устанавливает новую стартовую страницу для Internet Explorer.

Пытается завершить работу операционной системы Windows.

Отправляет SMS.

Выполняет код детектируемых угроз.

Загружает из интернета детектируемые угрозы.

Отправляет данные о контактах устройства на удаленный сервер.

Отправляет данные входящих SMS на удаленный сервер.

Перекрывает экран собственным окном, блокируя доступ к интерфейсу.

Устанавливает пароль на экран блокировки.

Предлагает установить стороннее приложение.

Скрывает свой значок с экрана.

Завершает входящие телефонные звонки.

Приглушает входящие телефонные звонки.

Перехватывает входящие SMS и не позволяет передавать их обработчикам других приложений.

Деактивирует администратора устройства.

Удаляет данные пользователя.

Угроза, выявленная на основе машинного обучения.

Содержит типичный для банковских троянов и вирусов код.

Содержит типичный для локеров код.

Загружает для исполнения перечисленные выявляемые угрозы.

Загружает из интернета перечисленные выявляемые угрозы.

Запускает большое число процессов.

hmtoggle_arrow1        Изменения в файловой системе

Создает перечисленные файлы.

Присваивает атрибут «скрытый» перечисленным файлам.

Удаляет перечисленные файлы.

Помечает записанный файл как исполняемый.

Помечает файл как исполняемый.

Удаляет файл.

Удаляет системный бинарный файл.

Создает или изменяет символические ссылки.

Записывает в системную область:

файлы;

символические ссылки.

Записывает в поддиректорию системной области:

файлы;

символические ссылки.

Записывает во временную поддиректорию:

файлы;

символические ссылки.

Создает директории:

в поддиректории системной директории;

в системной директории;

в поддиректории временной директории;

во временной директории;

в других директориях.

Удаляет директории:

из системной директории;

из поддиректории системной директории;

из поддиректории временной директории;

из других директорий.

Перемещает перечисленные системные файлы.

Перемещает перечисленные файлы.

Подменяет перечисленные исполняемые файлы.

Изменяет файл HOSTS.

Подменяет файл HOSTS.

Самоперемещается.

Самоудаляется.

Создает файлы.

Изменяет права доступа:

файла;

записанного файла.

Изменяет владельца:

файла;

записанного файла.

Устанавливает блокировку на файлы.

Изменяет время создания, доступа или изменения файлов.

Монтирует файловые системы.

Демонтирует файловые системы.

Создает файлы с требованием оплатить расшифровку файлов (Trojan.Encoder).

Изменяет множество файлов пользовательских данных (Trojan.Encoder).

Изменяет расширения файлов пользовательских данных (Trojan.Encoder).

Задает разрешения на выполнение файлов.

Добавляет исключения в Microsoft Defender.

hmtoggle_arrow1        Сетевая активность

Подключается к сетевому ресурсу.

Открывает порт.

Отправляет данные на сервер.

Получает данные от сервера.

Получает доступ к SSH.

Связывается с сервером по протоколу:

HTTP;

IRC.

TCP:

запросы HTTP GET;

запросы HTTP POST;

запросы HTTP HEAD;

запросы HTTP PATCH;

запросы HTTP PUT;

запросы HTTP DELETE;

запросы HTTP OPTIONS;

запросы HTTP TRACE;

запросы HTTP неизвестного формата.

UDP:

запросы DNS.

hmtoggle_arrow1        Другое

Добавляет корневой сертификат.

Отключает сертификат.

Собирает информацию:

об ОС;

о ЦП;

об оперативной памяти;

о сетевой активности.

Изменяет значение AutoConfigURL на указанное.

Подменяет имя приложения.

Ищет перечисленные окна.

Создает и исполняет файлы.

Файл защищен упаковщиком Themida компании Oreans Technologies.

Использует альтернативные потоки данных NTFS.

Загружает драйверы.

Выгружает модуль ядра.

Устанавливает модуль ядра на автозагрузку.

Запускает shell-скрипты.

Запускается как фоновая программа (демон).

Компилирует исходный код.

Читает информацию из /proc/kallsyms.

Загружает динамические библиотеки.

Совершает телефонные звонки.

Использует алгоритмы для шифрования данных.

Использует алгоритмы для расшифровки данных.

Использует повышенные привилегии.

Использует права администратора.

Получает права суперпользователя.

Осуществляет доступ к приватному интерфейсу ITelephony.

Использует специальную библиотеку для скрытия исполняемого байт-кода.

Содержит функциональность для автоматической отправки SMS.

Осуществляет доступ к интерфейсам записи аудио/видео.

Записывает аудио/видео.

Осуществляет доступ к интерфейсу камеры.

Изменяет настройки громкости и вибрации.

Получает информацию о местоположении устройства.

Получает информацию о сети.

Получает информацию о телефоне (номере, IMEI и т. д.).

Получает информацию о настройках APN.

Получает информацию об активных администраторах устройства.

Получает информацию об установленных приложениях.

Получает информацию о запущенных приложениях.

Получает информацию о привязанных к устройству аккаунтах.

Добавляет задания в системный планировщик.

Отрисовывает собственные окна поверх других приложений.

Обрабатывает информацию из SMS-сообщений.

Получает информацию о входящих/исходящих звонках.

Получает информацию об отправленных/принятых SMS.

Получает информацию о телефонных контактах.

Включает/отключает все камеры.

Управляет Wi-Fi-подключением.

Проверяет наличие антивирусных приложений.

Перехватывает уведомления.

Запрашивает разрешение на отображение системных уведомлений.

Образец из Google Play Store.

Перезапускает анализируемый образец.