DBatLoader | Уровень угрозы: medium | Тип: Loader

Криптографические идентификаторы

SHA25609436711e8c1bc71dce9321ce3fe7ad467be246918533ed1bf37e6ad3d853ef2
MD543ce6ada80f38ddbe392091658fe0308
Тип файлаexe
Размер929.5 KB
Первое обнаружение2025-05-12
Имя файлаPurchase Order Inquiry.exe
МеткиDBatLoader, exe

Семейство вредоносного ПО: DBatLoader

DBatLoader, bulut servisler üzerinden yük indirir.

ТипLoader
Язык программированияDelphi
Целевая платформаWindows
Протокол C2HTTP
НазначениеBulut servisi loader
Год первого обнаружения2020
Другие названияModiLoader

Индикаторы компрометации (IOC)

  • SHA256: 09436711e8c1bc71dce9321ce3fe7ad467be246918533ed1bf37e6ad3d853ef2
  • MD5: 43ce6ada80f38ddbe392091658fe0308

Руководство по очистке системы

  1. Отключите систему от сети — загрузчик может скачивать другое вредоносное ПО
  2. Проанализируйте все загруженные полезные нагрузки
  3. Проанализируйте весь сетевой трафик и разорвите подозрительные соединения
  4. Выполните полное антивирусное сканирование
  5. Рассмотрите переустановку системы

Подсказки для YARA-правил

rule DBatLoader_SHA256 {
    meta:
        description = "DBatLoader sample: 09436711e8c1bc71"
        threat_level = "medium"
        first_seen = "2025-05-12"
    condition:
        hash.sha256(0, filesize) == "09436711e8c1bc71dce9321ce3fe7ad467be246918533ed1bf37e6ad3d853ef2"
}

DBatLoader — Профиль вредоносного ПО

DBatLoader/ModiLoader. PaymentXAdvice ZIP lure. Brazilian Portuguese targeting. pt-BR locale.

Тип вредоносного ПО
Loader
Язык программирования
Delphi
C2 Протокол
HTTP
Целевые системы
Windows
Другие названия (AKA)
ModiLoader

Технические детали

Varyanta gore C/C#/VBS/PS1, anti-analysis (VM/debugger check), persistence (Registry/Task Scheduler/Startup folder), payload decryption ve injection (shellcode/PE), fileless execution teknikleri

Возможности и поведение

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

Список IOC (2 индикаторов)

IOC — DBatLoader
# SHA256 09436711e8c1bc71dce9321ce3fe7ad467be246918533ed1bf37e6ad3d853ef2 # MD5 43ce6ada80f38ddbe392091658fe0308
ТипЗначениеПримечание
sha256 09436711e8c1bc71dce9321ce3fe7ad467be246918533ed1bf37e6ad3d853ef2
md5 43ce6ada80f38ddbe392091658fe0308

C2 Серверы (3 зарегистрированных серверов для этого семейства)

Адрес Тип Порт Протокол Статус Страна
176.32.34.88 ip 80 HTTP active UA
194.33.45.78 ip 443 HTTPS inactive CZ
85.195.206.19 ip 80 HTTP inactive AT

Адреса C2 предоставляются только на основе образцов вредоносного ПО, вручную проверенных командой KEYDAL. Коммерческое использование запрещено.

Теги
dbatloaderloadermalwaremediumsha256analizzenginleştirilmiş