Вирус находится на этом сайте: https://vpngets.com/
Распространяется под видом кряков для популярных VPN приложений здесь: https://github.com/
Дата проведения исследований на виртуальной машине: 31 января 2024 года.

ExpressVPN для Windows 10/11: https://web.archive.org/web/20240201202 … expressvpn
Берёт и архивирует в "rar" данные из системы размером от 3 Мб до 8 Мб, устанавливает на них пароль и отправляет злоумышленнику через "wget.exe".
Если к файлу 3plugin0202 (1,2 Гб) добавить расширение "exe", можно увидеть что этот файл является приложением под названием "vrobooster".
Кроме того, устанавливает в систему "Dctooux.exe".
"Winrar.exe" запускается с параметрами:
"C:\Users\Administrator\AppData\Roaming\services\winrar.exe" x -y -pjryj2023 C:\Users\Administrator\AppData\Roaming\services\02plugins*.* "2plugin*" C:\Users\Administrator\AppData\Roaming\services

01plugins0204.rar (2.9 Мб)
02plugins2901.rar (8.3 Мб)
03plugins0204.rar (2.8 Мб)

plugin0204 (5 Мб) realtek
trojan.lazy/msil
https://www.virustotal.com/gui/file/04c … 3f41afaf2e
2plugin2901 (9.5 Мб) Client Server Runtime Process
trojan.bcrwm/ecqun
https://www.virustotal.com/gui/file/872 … 1a039a203e
3plugin0204 (1.1 Гб) vrobooster

Windows PowerShell запускается с длинным списком параметров через каждые 2-3 секунды с помощью "conhost.exe" используя вредоносный файл "csrss.exe", умеренно нагружает SSD/HDD.
Вредоносный файл располагается: C:\ProgramData\SystemFiles\csrss.exe (Можно отключить через программу "Autoruns")
trojan.amadey/bcrwm (Майнер/Копатель)
https://www.virustotal.com/gui/file/872 … 1a039a203e

C:\Users\IliyaSamuel\AppData\Local\Temp\d9645f975a\Dctooux.exe (Висит в процессах и находится в автозагрузке)
https://www.virustotal.com/gui/file/e7f … c672fb015a

Popular threat label
trojan.bulz/msil

Найти в планировщике задач и удалить: Dctooux

При первом запуске начинает сразу распаковывает себя в следующие директории:
C:\Users\ПОЛЬЗОВАТЕЛЬ\AppData\Roaming\services\Launhcer.exe (Висит в процессах)
C:\Users\ПОЛЬЗОВАТЕЛЬ\AppData\Roaming\services\Launhcer.dll
C:\Users\ПОЛЬЗОВАТЕЛЬ\AppData\Roaming\services\data\Launcher.exe
C:\Users\ПОЛЬЗОВАТЕЛЬ\AppData\Roaming\services\data\Launcher.dll
C:\Users\ПОЛЬЗОВАТЕЛЬ\AppData\Roaming\services\data\Launcher.exe.manifest