Недавно обнаружено, что Raspberry Robin использует инновационную технику защиты от эмуляции. При выполнении программы запускается несколько проверок на антиэмуляцию/песочницу. Одна из проверок заключается в попытке динамического импорта функции MpVmp32Entry из Kernel32.dll. Если импорт успешен, программа завершает работу. Эта функция обычно не существует в Kernel32, но в эмуляторе Windows Defender существует модифицированная версия ядра, которая экспортирует эту функцию.
Позже был обнаружен новый образец Raspberry Robin, в котором была использована другая функция VDLL - MpReportEventEx. Таким образом, Raspberry Robin является первой известной вредоносной программой, использующей импорт специфических функций VDLL для защиты от эмуляции.
Indicators of Compromise
Domains
- keygenguru.com
SHA256
- 10b4b7e9469366bfe459c3cd674aeab0692cfd9272fe369ef56d2811623e4866
- 242851abe09cc5075d2ffdb8e5eba2f7dcf22712625ec02744eecb52acd6b1bf
- 483adf61d7d932003659d5d6242eace29ea8416ec810749333793e0efa91610d
- 50158e22481acabc56d8e3d318d6d709fcb7a9e442e76157b518d19e13f8e520
- 93672d67e8100bb984f866888cb042727567d302b30b91356a2b2bc8cd3f7912
- b5637231e25aa7da8fe925f5b97a2ccbfd082a5463b2a05d2b3221adb35e43d9
- b81e857427411577552d1ecdd444efaeab23ec903192812d40ab3dd69df98ec5
- c8d37df88009122c890cb95dc79d895d39339fe1efdcfa5e033d0aea171ffc3d
