Поведенческий анализ дроппера, который разворачивает медиаплеер mpv для воспроизведения отвлекающего видео, одновременно внедряясь в системные процессы и используя задержки выполнения для обхода защиты.
Дроппер, который сбрасывает и запускает несколько исполняемых файлов, внедряется в системные процессы и использует задержки timeout для обхода песочниц.
ERMAKOB.exe и Twoofthem.exe — идентичные дропперы (различается только встроенное видео). Это неподписанные PE-файлы размером 46.2 МБ, маскирующиеся под безвредные программы.
При запуске файл извлекает набор файлов в %TEMP%\Barebones\ — включая портативный медиаплеер mpv, конфигурационный файл, видеофайл (virus.mp4) и вторичный исполняемый файл (noadmincrash.exe). Затем запускает видео как отвлекающий манёвр, выполняя подозрительные действия в фоновом режиме.
1. Сбрасывает и запускает файлы. Извлекает batch-скрипт (bat.bat), mpv-плеер, видеофайл, конфигурацию, fonts.conf и вторичный EXE (noadmincrash.exe) во временную директорию. Использует cmd.exe /c для запуска batch-скрипта, организующего полезную нагрузку.
2. Воспроизводит отвлекающее видео. Запускает mpv.exe virus.mp4 — на экране играет видео, привлекая внимание пользователя, пока фоновые процессы выполняют подозрительные действия.
3. Задерживает выполнение (обход защиты). Запускает timeout /t 40 /nobreak — 40-секундная задержка, заставляющая песочницы ждать, потенциально выходя за рамки окна анализа. Помечено как defense_evasion.
4. Внедряется в системные процессы. Использует WriteProcessMemory для инъекции кода: ERMAKOB.exe записывает в cmd.exe, cmd.exe затем записывает в mpv.exe и timeout.exe. Такая цепочка инъекций не характерна для легитимного ПО.
5. Использует подозрительные API. Вызывает FindShellTrayWindow (перечисление системного трея) и SetWindowsHookEx (потенциальный перехват ввода) из сброшенного mpv.exe.
6. Проверяет геолокацию. Запрашивает ключ реестра Control Panel\International\Geo\Nation для определения страны жертвы — техника, используемая вредоносным ПО для исключения определённых регионов.
Неподписанный PE большого размера. 46 МБ исполняемый файл без цифровой подписи, сбрасывающий исполняемые файлы во временные директории — сильный индикатор упакованного дроппера.
Цепочка инъекций в процессы. Легитимные приложения не используют WriteProcessMemory для инъекции кода в cmd.exe и дочерние процессы.
Обход защиты через timeout. 40-секундная задержка специально рассчитана на то, чтобы превысить окно анализа песочниц.
Проверка геолокации. Запрос страны жертвы из реестра — визитная карточка целевых кампаний вредоносного ПО.
Если запускали: Проведите полное антивирусное сканирование. Проверьте %TEMP%\Barebones\ на наличие сброшенных файлов и удалите их. Отслеживайте подозрительную активность процессов. Рассмотрите смену паролей.
Если не запускали: Удалите файл. Не запускайте неподписанные EXE из ненадёжных источников.
YonSeSecurity: Уровень угрозы: 7.0 / 10 — ВЫСОКИЙ. Дроппер с инъекцией в процессы и обходом защиты.
Неподписанный PE-исполняемый файл размером 46.2 МБ под названием ERMAKOB.exe (также распространяется как Twoofthem.exe — функционально идентичен, отличается только встроенным видеофайлом) был представлен на динамический поведенческий анализ по запросу пользователя YonSeSecurity.
Образец был запущен в двух средах песочницы (Windows 10 v2004 и Windows 11) с согласованными результатами. Исполняемый файл работает как дроппер: извлекает набор файлов в %AppData%\Local\Temp\Barebones\, запускает отвлекающее видео через встроенный медиаплеер mpv и выполняет инъекцию в процессы через WriteProcessMemory.
Вредоносное ПО использует 40-секундную задержку timeout как технику обхода защиты и выполняет проверки геолокации через запросы реестра. Вторичный сброшенный файл noadmincrash.exe предполагает наличие дополнительных возможностей, которые не были полностью наблюдаемы в рамках анализа.
Классификация: Trojan.Dropper с обходом защиты и инъекцией в процессы
| Поле | Значение |
|---|---|
| Имя файла | ERMAKOB.exe / Twoofthem.exe |
| Размер | 46.2 МБ |
| SHA256 | 44b40e1fd7b5a8e4f4612ce8f5cb7612b3ac015872d236a76c49de68a78bf4e4 |
| ID анализа | 260324-xl893se18j |
| Платформа (запуск 1) | Windows 10 v2004 (build 20260130-en) |
| Платформа (запуск 2) | Windows 11 (build 20260130-en) |
| Время (ядро) | 13с (Win10) / 15с (Win11) |
| Время (сеть) | 57с (Win10) / Н/Д (Win11) |
| Отправлен | 2026-03-24 18:57 |
| Подпись | Unsigned PE |
| Теги | defense_evasion |
Пользователь получает ERMAKOB.exe (или Twoofthem.exe) — неподписанный исполняемый файл размером 46.2 МБ. Большой размер помогает избежать подозрений.
При запуске файл извлекает в C:\Users\Admin\AppData\Local\Temp\Barebones\: bat.bat, mpv.exe, mpv.conf, fonts.conf, virus.mp4 и noadmincrash.exe.
Запускает cmd.exe /c bat.bat, который организует: (1) mpv.exe virus.mp4 — отвлекающее видео, (2) timeout /t 40 /nobreak — задержка для обхода, (3) noadmincrash.exe — вторичная полезная нагрузка.
ERMAKOB.exe внедряет код в cmd.exe через WriteProcessMemory. Инъектированный cmd.exe записывает в память mpv.exe и timeout.exe.
Проверяет геолокацию через реестр (Geo\Nation), перечисляет физические устройства хранения и использует FindShellTrayWindow для перечисления системного трея.
Легенда: вредоносный, подозрительный, легитимный, системный.
Batch-скрипт запускает timeout /t 40 /nobreak перед вторичной полезной нагрузкой noadmincrash.exe. Эта 40-секундная задержка — известная техника для превышения окна анализа песочниц (обычно 30-60 секунд).
Флаг /nobreak предотвращает прерывание пользователем — намеренное обеспечение полного периода ожидания.
Исполняемый файл не имеет цифровой подписи. В сочетании с поведением дроппера, инъекцией в процессы и обходом защиты это является сильным индикатором вредоносности.
Запуск видео через mpv-плеер служит отвлекающим манёвром социальной инженерии — пользователь видит воспроизводящееся видео и считает, что программа безвредна.
Вызовы WriteProcessMemory между процессами. Согласованы в обоих запусках.
| Источник (PID) | Цель (PID) | Процесс-источник | Процесс-цель |
|---|---|---|---|
| 1668 | 4312 | ERMAKOB.exe | cmd.exe |
| 4312 | 4480 | cmd.exe | Barebones\mpv.exe |
| 4312 | 2872 | cmd.exe | timeout.exe |
| Источник (PID) | Цель (PID) | Процесс-источник | Процесс-цель |
|---|---|---|---|
| 4440 | 3248 | ERMAKOB.exe | cmd.exe |
| 3248 | 2948 | cmd.exe | Barebones\mpv.exe |
| 3248 | 856 | cmd.exe | timeout.exe |
SetWindowsHookEx вызывается из mpv.exe в директории Barebones. В контексте сброшенного исполняемого файла с инъекцией в процессы это вызывает опасения о потенциальном кейлоггинге.
ERMAKOB.exe и mpv.exe вызывают FindShellTrayWindow для обнаружения панели задач Windows. Вредоносное ПО использует это для перечисления запущенных приложений и обнаружения средств безопасности.
| Техника | Детали | Значимость |
|---|---|---|
| Geo\Nation (T1614) | REGISTRY\USER\...\Control Panel\International\Geo\Nation | Таргетинг по стране |
| Перечисление хранилищ (T1120) | Перечисление физических устройств хранения | Маппинг дисков и томов |
| Запросы реестра (T1012) | Запросы реестра для получения системной информации | Профилирование жертвы |
| Информация о системе (T1082) | System Information Discovery | Профилирование окружения |
| Системный трей (T1010) | FindShellTrayWindow API | Перечисление запущенных приложений |
Все файлы сброшены в C:\Users\Admin\AppData\Local\Temp\Barebones\
| Файл | Тип | Назначение |
|---|---|---|
| bat.bat | Batch-скрипт | Оркестрация — запуск mpv, timeout, noadmincrash |
| mpv.exe | PE-исполняемый | Медиаплеер (для отвлекающего видео) |
| mpv\mpv.conf | Конфигурация | Конфигурация mpv-плеера |
| mpv\fonts.conf | Конфигурация | Конфигурация рендеринга шрифтов |
| virus.mp4 | Видео | Отвлекающее видео |
| noadmincrash.exe | PE-исполняемый | Вторичная полезная нагрузка (запускается после timeout) |
ИТОГОВЫЙ БАЛЛ УГРОЗЫ: 7.0 / 10 — ВЫСОКАЯ СЕРЬЁЗНОСТЬ
%TEMP%\Barebones\noadmincrash.exeBarebones\ в %TEMP% неподписанным PEtimeout /t 40 /nobreak из временных директорийWriteProcessMemory от неподписанных исполняемых файлов к cmd.exe44b40e1fd7b5a8e4...a78bf4e4ERMAKOB.exe / Twoofthem.exe — троянский дроппер, извлекающий и запускающий множество полезных нагрузок из временной директории. Использование batch-скрипта для оркестрации, видео-отвлечения и многоступенчатого выполнения согласуется с поведением вредоносного ПО.
Вызовы WriteProcessMemory ERMAKOB.exe → cmd.exe → mpv.exe/timeout.exe были наблюдены последовательно в обоих запусках (Windows 10 и 11). Легитимные приложения не используют такой паттерн инъекции.
40-секундная задержка timeout и видео-отвлечение — намеренные техники обхода. Задержка может привести к тому, что песочницы с коротким временем анализа пропустят выполнение noadmincrash.exe.
Полные возможности noadmincrash.exe не были полностью наблюдаемы в рамках анализа. Файл запускается после 40-секундной задержки и может содержать дополнительный функционал (персистентность, эксфильтрация данных или C2-коммуникация).
Исходящие сетевые соединения или C2-трафик не обнаружены. Возможно, образец является дроппером первой стадии, подготавливающим среду для сетевой второй стадии, или C2-компонент не был активирован в рамках анализа.