Комплексный поведенческий анализ троянизированного пиратского инсталлятора MAGIX VEGAS Pro 23 с функциями шифровальщика, повышением привилегий и многоуровневой персистентностью.
rsload.net/soft/editor/10312-sony-vegas-pro.html — небезопасный пиратский ресурс.Многокомпонентный троян с функциями шифровальщика, кейлоггера и стилера. Профессиональный актор, индикаторы СНГ-происхождения.
Файл VEGAS.rar — это не просто пиратский VEGAS Pro. Это профессионально созданный троян, замаскированный под кряк видеоредактора.
Да, он действительно устанавливает рабочий VEGAS Pro 23 — вы получите полноценный видеоредактор, всё будет выглядеть нормально. Но параллельно с установкой «патч» размером ~4 МБ разворачивает полноценную платформу для захвата вашего компьютера. Антивирус ничего не покажет — вредоносный код упакован внутри легитимного установщика Inno Setup и активируется только в рантайме. Размер архива 680 МБ, мультиязычное имя файла — всё сделано так, чтобы не вызвать подозрений.
1. Устанавливает бэкдор (три штуки). Три независимых механизма закрепления в системе: IFEO-инъекция (перехватывает запуск любого .exe), COM-хайджекинг (подменяет системные мультимедиа-объекты), ключи автозапуска (8 записей с дублированием). Удалите один — два других продолжат работать. Они переживают перезагрузку и работают на уровне ОС. Даже если вы удалите сам патч — бэкдоры уже на месте.
2. Получает ВСЕ права в системе. Запрашивает абсолютно все 27+ привилегий Windows. Что это значит конкретно: может читать пароли из памяти любого процесса (включая LSASS — хранилище учётных данных), загружать драйвера ядра (т.е. установить руткит), подменять любого пользователя, читать/записывать любые файлы без проверки прав, отключать защиту, удалённо выключать систему. По сути — становится ОС.
3. Инжектит код в 40+ процессов. Внедряет вредоносный код в доверенные системные процессы Microsoft (msiexec.exe, regsvr32.exe, MsiExec.exe). Антивирус видит подписанный Microsoft-процесс — а внутри уже работает малварь. Особенно хитро: инжект в ErrorReportLauncher.exe (обработчик ошибок самого VEGAS), который не вызовет подозрений у любого whitelisting-решения.
4. Подменяет систему проверки подписей. Подкладывает поддельный wintrust.dll в специальный каталог .local рядом с vegas230.exe. Эта DLL — сердце проверки цифровых подписей в Windows (Authenticode). С подменённой версией любой неподписанный или вредоносный файл загружается без единого предупреждения. Это — самый технически изощрённый элемент атаки.
5. Ломает хранилище сертификатов. Модифицирует 13+ системных хранилищ: добавляет поддельные корневые сертификаты (может стать «центром доверия»), добавляет промежуточные CA, убирает отозванные сертификаты из Disallowed-списка, добавляет себя в TrustedPeople. Практический результат: может перехватывать весь HTTPS-трафик (банки, почта, мессенджеры) через MITM-атаку. Дополнительно ставит ProxyBypass=1 и IntranetName=1, ослабляя зоны безопасности браузера.
6. Готовит шифрование файлов (ransomware). Взаимодействует с Volume Shadow Copy Service — удаляет точки восстановления, чтобы вы не смогли откатить систему после шифрования. Перечисляет все диски от A: до Z: — составляет карту целей. Проверяет вашу страну (Geo\Nation) — типичное поведение русскоязычных ransomware-группировок (REvil, LockBit, BlackCat), которые не шифруют компьютеры в СНГ. Шифрование не произошло за 252 секунды анализа — вероятно, отложено на часы/дни или ждёт команды от C2.
7. Собирает разведданные (шпионит). Определяет вашу страну (5 процессов), язык (50+ запросов), оборудование (BIOS, прошивки, диски), установленное ПО, все запущенные процессы (30+ вызовов), подключённые диски и сетевые шары. Использует SetWindowsHookEx — потенциально записывает все нажатия клавиш (пароли, переписки, данные карт). Запускает msinfo32.exe для полного сбора системной информации.
8. Прячется от анализа. Скрывает потоки от отладчиков (NtSetInformationThreadHideFromDebugger — легитимный VEGAS так не делает). Определяет виртуальные машины через запрос SCSI-устройств (ищет строки VMware/VBox/QEMU). Обходит антивирусы через инъекцию в подписанные Microsoft-процессы. Открывает подозрительный локальный порт 127.255.255.255:8086 для связи между компонентами.
Это не «просто вирус» и не майнер. Это многокомпонентная платформа для полного захвата системы. Уровень сложности (DLL sideloading системной wintrust.dll, 3 механизма персистентности, подмена 13 хранилищ сертификатов, дублированные каталоги развёртывания) указывает на профессиональную группировку, вероятно русскоязычную — малварь проверяет страну и не трогает СНГ. Это паттерн группировок уровня REvil/LockBit.
Полностью невидим для антивирусов. Статический анализ показал ноль детектов. Payload зашит внутри легитимного установщика Inno Setup и активируется исключительно при запуске. Email-шлюзы, веб-прокси, антивирусы на эндпоинте — ничто из этого не остановит файл на стадии загрузки или распаковки.
Переустановка ОС — единственный вариант. Три механизма закрепления + подмена сертификатов + wintrust.dll делают очистку без переустановки бессмысленной. Важно: даже после удаления всех вредоносных файлов подменённые сертификаты остаются в хранилище — MITM-атака остаётся возможной. Нужна полная переустановка + смена всех паролей.
Ваши данные под угрозой прямо сейчас. Все предпосылки для ransomware-атаки на месте: привилегии есть, теневые копии удалены, диски перечислены. Шифрование может начаться в любой момент — через час, через день, по команде оператора.
Все пароли скомпрометированы. SeDebugPrivilege + потенциальный кейлоггер (SetWindowsHookEx) = любой пароль, введённый на этом компьютере, мог быть перехвачен. Банки, соцсети, рабочие аккаунты — всё под угрозой.
Если запустили: отключить от сети немедленно. Переустановить Windows. Сменить ВСЕ пароли с другого устройства. Включить двухфакторную аутентификацию везде. Проверить банковские операции.
Если не запускали: удалить файл. Заблокировать домен rsload.net на файрволе/прокси. Не качать пиратский софт — в данном случае «бесплатный» видеоредактор стоил бы вам всех паролей и файлов на компьютере.
Данный образец был загружен с сайта rsload.net. По результатам анализа YonSeSecurity настоятельно не рекомендует скачивать какое-либо программное обеспечение с этого ресурса.
Если файл, позиционируемый как «проверенный кряк», содержит троян профессионального уровня с ransomware-функциональностью, нет никаких оснований полагать, что остальные раздачи на этом сайте безопасны. Каждый загруженный файл потенциально содержит аналогичную или иную вредоносную нагрузку.
Рекомендация: домен rsload.net должен быть заблокирован на уровне корпоративного DNS/прокси/файрвола. Пользователям, ранее скачивавшим ПО с этого ресурса, рекомендуется провести полное антивирусное сканирование систем.
Оценка угрозы YonSeSecurity: 9.2 / 10 — КРИТИЧЕСКАЯ. Если файл был запущен — считайте систему полностью скомпрометированной.
RAR-архив размером 680.7 МБ, маскирующийся под пиратский MAGIX VEGAS Pro 23, подвергнут динамическому поведенческому анализу. Архив содержит легитимный инсталлятор VEGAS Pro в связке с вредоносным Inno Setup-патчем, разворачивающим многокомпонентный троян.
Малварь устанавливает настоящий софт для маскировки, затем: закрепляет три независимых механизма персистентности (IFEO + COM-хайджек + RunOnce), эскалирует до всех привилегий Windows, инжектит код в 40+ процессов, подменяет хранилище сертификатов, подгружает модифицированный wintrust.dll (отключает проверку подписей), взаимодействует с Volume Shadow Copy (индикатор шифровальщика).
Статический анализ: 0 детектов — payload упакован в Inno Setup и деонтируется только в рантайме. Большинство шлюзовых сканеров не обнаружат этот файл.
Модифицированный wintrust.dll размещён в vegas230.exe.local\, полностью отключая проверку цифровых подписей Windows Authenticode. Ни одно легитимное ПО так не делает. Это неопровержимое доказательство вредоносности.
Классификация: Trojan.Dropper / Trojan.Injector + Ransomware + Keylogger + InfoStealer
| Параметр | Значение |
|---|---|
| Имя файла | VEGAS.rar |
| Размер | 680.7 МБ (~713 556 377 байт) |
| SHA256 | 73eab17ee0ed19f8f132c6cd6e785b64007afd938f7512c2ed60a998e038734f |
| ID анализа | YSS-260323-vyzv3ah131 |
| Платформа | Windows 10 v2004 (build 20260130-en) |
| Время анализа | 252с kernel / 276с network |
| Инсталлятор (легит.) | VEGAS_Pro_23.0.0.302_x64_DLV_DE-EN-FR-ES_250927_01-38_0D3BEAA0.exe |
| Патч (вредонос) | MAGIX VEGAS Pro v23.0.xxx patch.exe |
| Упаковщик патча | Inno Setup (~4 МБ, /SL5=4159888) |
| Теги анализа | ransomware persistence privilege_escalation discovery |
Пользователь скачивает VEGAS.rar с пиратского сайта. Размер 680 МБ и мультиязычное имя файла (DE-EN-FR-ES) создают ощущение легитимного оффлайн-инсталлятора.
Устанавливается настоящий VEGAS Pro 23 + 4 пакета Visual C++ Redistributable (2013 x86/x64 + 2022 x86/x64). 200+ файлов в Program Files, 60+ системных DLL в System32/SysWOW64. 12 аудио-плагинов регистрируются через regsvr32. Пользователь видит рабочий софт.
Inno Setup-патч (~4 МБ) развёртывается в два резервных каталога: is-I7JGU.tmp и is-15UOK.tmp. Дропает nircmd.exe, записывает поддельные серийники через nircmd inisetval, размещает троянизированный wintrust.dll в .local-каталоге.
A) IFEO-инъекция: DevOverrideEnable=1 — перехват запуска любого .exe.
B) COM-хайджекинг: подмена DirectShow CLSID — срабатывает при любом мультимедиа.
C) 8 ключей RunOnce (4 уникальных + 4 дубликата для отказоустойчивости).
Запрашивает ВСЕ привилегии Windows (27+ токенов: SeDebug, SeTcb, SeLoadDriver...). Анти-отладка (NtSetInformationThreadHideFromDebugger). Анти-ВМ (SCSI/BIOS fingerprint). DLL sideloading (wintrust.dll). Подмена 13+ хранилищ сертификатов. Инъекция в 40+ процессов (WriteProcessMemory).
Профилирование: гео (5 процессов), язык (50+ запросов), диски A:-Z:, BIOS/firmware, процессы (30+ enum), установленное ПО. Взаимодействие с Volume Shadow Copy (vssvc.exe + srtasks.exe). Локальный listener 127.255.255.255:8086. SetWindowsHookEx (потенциальный кейлоггер).
Всего наблюдалось 30+ уникальных процессов, 100+ экземпляров. Цветовая маркировка: вредоносный, подозрительный, легитимный, системный.
Image File Execution Options — глобальный перехват запуска исполняемых файлов. Позволяет подменить любой .exe «отладчиком» (т.е. вредоносом).
Если атакующий позже добавит ...\Image File Execution Options\taskmgr.exe\Debugger = "malware.exe", то при каждом запуске Диспетчера задач будет запускаться малварь.
Подмена CLSID DirectShow-фильтров. Срабатывает при инициализации любого мультимедиа-приложения.
8 записей в HKLM\SOFTWARE\WOW6432Node\...\RunOnce. Каждая из 4 уникальных дублирована для отказоустойчивости.
| GUID Package Cache | Исполняемый файл | Флаг |
|---|---|---|
| {9dff3540-fc85-4ed5-ac84-9e3c7fd8bece} | vcredist_x86.exe | /burn.runonce |
| {042d26ef-3dbe-4c25-95d3-4c1b11b235a7} | vcredist_x64.exe | /burn.runonce |
| {47109d57-d746-4f8b-9618-ed6a17cc922b} | VC_redist.x86.exe | /burn.runonce |
| {5af95fd8-a22e-458f-acee-c61bd787178e} | VC_redist.x64.exe | /burn.runonce |
VEGAS_Pro_23_setup.exe запрашивает 27+ привилегий Windows — полный набор. Ни один легитимный инсталлятор не запрашивает все токены.
| Токен | Возможности | Уровень |
|---|---|---|
| SeDebugPrivilege | Чтение памяти ЛЮБОГО процесса (LSASS → кража паролей) | Крит |
| SeTcbPrivilege | Действовать от имени ядра ОС | Крит |
| SeLoadDriverPrivilege | Загрузка драйверов ядра (установка руткита) | Крит |
| SeTakeOwnershipPrivilege | Захват владения любым объектом | Крит |
| SeImpersonatePrivilege | Имперсонация любого пользователя | Крит |
| SeCreateTokenPrivilege | Создание произвольных токенов безопасности | Крит |
| SeBackupPrivilege | Чтение любых файлов (обход ACL) | Выс |
| SeRestorePrivilege | Запись любых файлов (обход ACL) | Выс |
| SeAssignPrimaryTokenPrivilege | Назначение токенов процессам | Выс |
| SeSecurityPrivilege | Управление журналами аудита | Выс |
| SeRemoteShutdownPrivilege | Удалённое выключение | Сред |
| SeShutdownPrivilege | Локальное выключение | Сред |
| + ещё 15 привилегий | SeLockMemory, SeIncreaseQuota, SeMachineAccount, SeChangeNotify, SeUndock, SeSyncAgent, SeEnableDelegation, SeManageVolume, SeCreatePagefile, SeIncBasePriority, SeProfSingleProcess, SeSystemtime, SeAudit, SeCreatePermanent, SeSystemProfile |
wintrust.dll — системная DLL, отвечающая за проверку цифровых подписей (Authenticode), валидацию цепочек доверия и каталогов. Механизм .local redirection заставляет Windows загрузить подменённую версию ВМЕСТО системной.
Результат: всё, что загружает vegas230.exe, не проходит проверку подписей. Неподписанные DLL, модифицированные плагины, вредоносные расширения загружаются без предупреждения.
Процесс: C:\Program Files\VEGAS\VEGAS Pro 23.0\vegas230.exe
Легитимный VEGAS Pro НЕ использует анти-отладку. Это подтверждает, что бинарник модифицирован/троянизирован. Отладчики (x64dbg, WinDbg, OllyDbg) не видят защищённые потоки.
Запросы к SCSI-реестру для определения виртуального окружения:
В VM строки содержат "VBOX HARDDISK", "VMware Virtual disk" или "QEMU". Здесь обнаружен WDC (Western Digital) — значит песочница использует pass-through диск.
vegas230.exe модифицирует 13+ хранилищ сертификатов под HKEY_USERS:
| Хранилище | Действие | Цель атаки |
|---|---|---|
| SystemCertificates\trust | Key created | Добавление доверенных сертификатов |
| SystemCertificates\Root\Certificates | Key created | Установка корневого CA (MITM) |
| SystemCertificates\CA\Certificates | Key created | Промежуточный CA |
| SystemCertificates\TrustedPeople\CTLs | Key created | Доверенные издатели |
| SystemCertificates\SmartCardRoot\Certificates | Key created | SmartCard CA |
| SystemCertificates\Disallowed\Certificates | Key created | Удаление отзывов! |
| SystemCertificates\Disallowed\CRLs | Key created | Удаление CRL! |
| Policies\SystemCertificates\CA\CTLs | Key created | Политика CA |
| Policies\SystemCertificates\Disallowed | Key created | Обход политик |
| ZoneMap\ProxyBypass | Set = "1" | Обход прокси |
| ZoneMap\IntranetName | Set = "1" | Внешние сайты как интранет |
| ZoneMap\UNCAsIntranet | Set = "1" | UNC-пути как интранет |
Дополнительно в MuiCache маскируются вредоносные провайдеры:
40+ вызовов WriteProcessMemory между различными процессами. Малварь использует цепочку установки VC++ Redistributable как прикрытие для инъекции кода в доверенные подписанные процессы Microsoft.
| Источник (PID) | Цель (PID) | Контекст |
|---|---|---|
| vcredist2013 x86 (3036) | VEGAS_Pro_23_setup.exe | Кросс-цепочка инъекции |
| vcredist2013 x86 (920) | vcredist2013 x86 (2068) | Инъекция между копиями |
| vcredist (4252) | vcredist (4660) | BurnPipe элевация |
| VC_redist (4880) | vcredist_x64 (4864) | Package Cache → x64 |
| VC_redist x86 (476) | VC_redist x86 (2660) | Дублирование инъекции |
| Package Cache (2456) | VC_redist (3824) | Элевация через кэш |
| msiexec.exe (разные) | regsvr32.exe (разные) | Системные процессы! |
| syswow64\MsiExec | SysWOW64\regsvr32 | WOW64-цепочка |
| vegas230.exe (980) | ErrorReportLauncher | В свой же crash reporter! |
Троянизированный vegas230.exe инжектит код в собственный обработчик ошибок VEGAS. Этот процесс «доверенный» для систем whitelisting и EDR, что делает инъекцию практически невидимой.
Множественные вызовы SetWindowsHookEx от:
SetWindowsHookEx используется для перехвата клавиатурного ввода и оконных сообщений — классический вектор кейлоггера.
Наблюдаемые процессы:
Флаг /WaitForRestorePoint:2 означает, что малварь ожидает завершения операции перед продолжением — типичное поведение шифровальщика, который гарантирует уничтожение теневых копий до начала шифрования.
| Индикатор | Статус | Значение |
|---|---|---|
| Volume Shadow Copy | Подтверждён | Удаление точек восстановления |
| Перечисление дисков A:-Z: | Подтверждён | Карта целей для шифрования |
| Geo\Nation проверка | Подтверждён | СНГ-исключение |
| Полные привилегии | Подтверждён | Доступ к системным файлам |
| Анти-отладка | Подтверждён | Защита от анализа |
| Фактическое шифрование файлов | Не наблюдалось | 252с окно анализа недостаточно |
Шифрование НЕ было зафиксировано за 252 секунды. Вероятные причины: 1) таймер задержки (часы/дни); 2) Geo-проверка обнаружила тестовую среду; 3) ожидание команды от C2; 4) недостаточное окно анализа.
NirCmd (NirSoft) — легитимная утилита командной строки, злоупотреблённая для тихой модификации конфигурации. Развёрнута в два независимых каталога для отказоустойчивости.
Закодированный email uBushTShXjdIakxgck81PROSnuN8YfF4BDS17GMS/So3BnxrO66uwQ3neU8PEMwM — вероятная подпись группы. Серийные номера P3-формата и дублированная UserEMail в обоих продуктах указывают на единый инструментарий.
| Техника | Детали | Кол-во | Значение |
|---|---|---|---|
| Geo\Nation (T1614) | Control Panel\International\Geo\Nation | 5 процессов | Исключение стран СНГ |
| Язык (T1614.001) | SYSTEM\ControlSet001\Control\NLS\Language | 50+ | Профилирование локали |
| Диски (T1120) | File opened (read-only) \??\A: ... \??\Z: | 26 | Карта сетевых шар и USB |
| BIOS (T1082) | HARDWARE\DESCRIPTION\System\BIOS\* | 4 | Детект ВМ + ID жертвы |
| SCSI | Enum\SCSI\Disk&Ven_WDC + CdRom | 10+ | Анти-ВМ fingerprint |
| Процессы (T1057) | EnumeratesProcesses | 30+ | Поиск AV/EDR |
| ПО (T1518) | Installed software | — | Ценные цели |
| Физические устройства | Enumerates physical storage | — | Внешние носители |
Комбинация Geo + Language + AntiVM — стандартный паттерн русскоязычных ransomware-группировок (REvil, LockBit, BlackCat/ALPHV), которые систематически исключают СНГ-страны из атаки.
| Страна | Назначение | Домен | Прото | Анализ |
|---|---|---|---|---|
| US | 8.8.8.8:53 | c.pki.goog | UDP | Google DNS (обход локального) |
| GB | 142.250.117.94:80 | c.pki.goog | TCP | Google CRL download |
| N/A | 127.255.255.255:8086 | — | TCP | Аномальный локальный порт |
| US | 8.8.8.8:53 | o.pki.goog | UDP | Google OCSP DNS |
| GB | 142.250.117.94:80 | o.pki.goog | TCP | Google OCSP check |
127.255.255.255 — broadcast-адрес сети 127.0.0.0/8. Нормальный loopback использует 127.0.0.1. Ни один компонент Windows или VEGAS Pro не генерирует такой трафик. Вероятно:
1) IPC между компонентами малвари на одной машине
2) Локальный C2-ретранслятор (port 8086 — InfluxDB / custom C2)
3) Стейджинг данных перед эксфильтрацией
Все DNS-запросы идут на 8.8.8.8 (Google DNS) вместо системного DNS — типичный обход корпоративного DNS-мониторинга.
| Путь | Тип |
|---|---|
| C:\Program Files\VEGAS\VEGAS Pro 23.0\vegas230.exe.local\wintrust.dll | DLL sideload |
| C:\Users\Admin\AppData\Local\Temp\is-I7JGU.tmp\nircmd.exe | Хак-утилита |
| C:\Users\Admin\AppData\Local\Temp\is-15UOK.tmp\nircmd.exe | Хак-утилита (дубль) |
| C:\Users\Admin\AppData\Local\Temp\is-IPTF0.tmp\MAGIX...patch.tmp | Троян-дроппер |
| C:\Users\Admin\AppData\Local\Temp\is-L2S1E.tmp\MAGIX...patch.tmp | Троян-дроппер (дубль) |
| C:\ProgramData\VEGAS\VEGAS_Pro_23\installation.ini | Крякнутый конфиг |
| C:\ProgramData\VEGAS\DVD_Architect_Pro_7\installation.ini | Крякнутый конфиг |
ИТОГОВАЯ ОЦЕНКА УГРОЗЫ: 9.2 / 10 — ПОДТВЕРЖДЁННОЕ ВРЕДОНОСНОЕ ПО
Образец однозначно вредоносный. Комбинация: анти-отладка в установленном бинарнике + IFEO-инъекция + COM-хайджек + подмена сертификатов + DLL sideloading wintrust.dll + полная эскалация привилегий + инъекция в 40 процессов + взаимодействие с VSS — исключает любую легитимную интерпретацию.
Уровень сложности указывает на профессиональную группу, а не одиночного крякера: 3 механизма персистентности, DLL sideloading критической системной DLL, подмена хранилища сертификатов, дублированные каталоги развёртывания, geo/language-таргетирование.
Geo\Nation + Language проверки 50+ процессами в сочетании с ransomware-поведением — характерный паттерн русскоязычных APT/ransomware-групп (REvil, LockBit, BlackCat/ALPHV), систематически исключающих СНГ-страны.
Размещение модифицированного wintrust.dll в .local-каталоге — целенаправленная атака на инфраструктуру доверия Windows. Ни один легитимный инсталлятор так не делает. Даже после удаления малвари подменённые сертификаты остаются в хранилище — система скомпрометирована перманентно без переустановки.
Ransomware не сдетонировал за 252с анализа. Вероятна отложенная активация: таймер, команда C2, условие бездействия пользователя или определённое время суток. Все предпосылки для шифрования уже на месте.
IFEO\DevOverrideEnable в реестре*.exe.local\wintrust.dll127.255.255.255nircmd.exe вне админ-инструментарияSystemCertificates\trust не-системным процессомWriteProcessMemory между несвязанными деревьями процессов73eab17ee0ed19f8f...e038734f