شماره

نام

شرح مختصر

00

cs64.dll

ارتباط C2 و پردازش فرمان. سارق داکیومنت واچ‌پوینت‌ها[8]

1

cs32.dll

ارتباط C2 و پردازش فرمان. سارق داکیومنت واچ‌پوینت‌ها[9]

2

li64.dll

LocalInfo. جمع‌آوری حجم وسیعی از داده‌ها تحت عنوان تاج‌محل.

3

li32.dll

LocalInfo. جمع‌آوری حجم وسیعی از داده‌ها تحت عنوان تاج‌محل.

4

ad64.dll

ضبط‌کننده صدا، میکروفون، اپ‌های Voice IP

6

ad32.dll

ضبط‌کننده صدا، میکروفون، اپ‌های Voice IP

7

ad32.dll

رمگزگذار مبتنی بر منبع باز LAME mp3 (27 مارس 2014) که پلاگین‌های AudioRecorder از آن استفاده کردند (adXX.dll).

8

le64.dll

رمگزگذار مبتنی بر منبع باز LAME mp3 (27 مارس 2014) که پلاگین‌های AudioRecorder از آن استفاده کردند (adXX.dll).

9

le32.dll

زمانیکه Cache پاک شد، فایل MP3 توسط AudioRecorder ارسال می‌شود.

10

dd.m

AudioRecorder برای اپ‌های Windows Metro.

11

me64.dll

ma32.dll را به wwahost.exe یا audacity.exe تزریق می‌کند.

12

me32.dll

AudioRecorder برای Windows COM. IAudioClient، IAudioRenderClient، IMMDevice را به دام می‌اندازد.

13

ma32.dll

پوشش کمکی برای APIexXX.dll, pdXX.dll، sgXX.dll.

14

ams_api64.dll

پوشش کمکی برای APIexXX.dll, pdXX.dll، sgXX.dll.

15

ams_api32.dll

ارکستراتور. انتخاب آپدیت/اینستال/آنینستال پروسه‌ها را مورد هدف قرار می‌دهد و پلاگین‌ها را لود می‌کند.

16

ex64.dll

ارکستراتور. انتخاب آپدیت/اینستال/آنینستال پروسه‌ها را مورد هدف قرار می‌دهد و پلاگین‌ها را لود می‌کند.

17

ex32.dll

تمپلت یوکوهاما، ماژول فرانت اند[10] برای نصب مجدد مورد استفاده قرار می‌گیرد.

18

fe64.dll

تمپلت یوکوهاما، ماژول فرانت اند[11] برای نصب مجدد مورد استفاده قرار می‌گیرد.

19

fe32.dll

API ارائه می‌دهد تا به تنظیمات، فایل‌های در حال اجرا و صف خروج دسترسی پیدا کند.

20

pd64.dll

API ارائه می‌دهد تا به تنظیمات، فایل‌های در حال اجرا و صف خروج دسترسی پیدا کند.

21

pd32.dll

نسخه‌ی  کتابخانه‌ایِ منع باز “libpng” 1.5.8 (1 فوریه 2012). استفاده شده توسط پلاگین اسکرین‌شات (ssXX.dll)

22

libpng64.dll

نسخه‌ی  کتابخانه‌ایِ منع باز “libpng” 1.5.8 (1 فوریه 2012). استفاده شده توسط پلاگین اسکرین‌شات (ssXX.dll)

23

libpng32.dll

نصب‌کننده‌ی مجدد/تزریق‌کننده

24

rs64.dll

نصب‌کننده‌ی مجدد/تزریق‌کننده

25

rs32.dll

استفاده از تماس LoadLibrary توسط پلاگین نصب‌کننده‌ی مجدد/تزریق‌کننده (rsXX.dll) برای تزریق LoadLibrary call به فرآیندهای اجرا.

26

ix32.dll

استفاده از تماس LoadLibrary توسط پلاگین نصب‌کننده‌ی مجدد/تزریق‌کننده (rsXX.dll) برای تزریق LoadLibrary call به فرآیندهای اجرا.

05

ix64.dll

قالب (تمپلت) Shellcode نیز توسط نصب‌کننده‌ی مجدد/تزریق‌کننده (rsXX.dll) و AudioRecorder4MetroApp (meXX.dll) برای تزریق به فرآیندهای اجرا مورد استفاده قرار می‌گیرد. هر دو نسخه‌ی obj32.bin یکجورند. ظاهراً تصادفی دو بار ذخیره می‌شود.

27

obj32.bin

قالب (تمپلت) Shellcode نیز توسط نصب‌کننده‌ی مجدد/تزریق‌کننده (rsXX.dll) و AudioRecorder4MetroApp (meXX.dll) برای تزریق به فرآیندهای اجرا مورد استفاده قرار می‌گیرد. هر دو نسخه‌ی obj32.bin یکجورند. ظاهراً تصادفی دو بار ذخیره می‌شود.

28

obj32.bin

قالب (تمپلت) Shellcode نیز توسط نصب‌کننده‌ی مجدد/تزریق‌کننده (rsXX.dll) و AudioRecorder4MetroApp (meXX.dll) برای تزریق به فرآیندهای اجرا مورد استفاده قرار می‌گیرد. هر دو نسخه‌ی obj32.bin یکجورند. ظاهراً تصادفی دو بار ذخیره می‌شود.

29

obj64.bin

آرشیو سودمند[12] برای عملیات‌هایی نظیر مدیریت رجیستری، فایل و رمزگذاری و غیره API ارائه می‌دهد.

30

sc64.dll

آرشیو سودمند[13] برای عملیات‌هایی نظیر مدیریت رجیستری، فایل و رمزگذاری و غیره API ارائه می‌دهد.

31

sc32.dll

آرشیو برای مدیریت صف خروجی (فایل‌ها و پیام‌های اماده برای ارسال به CC)

32

sg64.dll

آرشیو برای مدیریت صف خروجی (فایل‌ها و پیام‌های اماده برای ارسال به CC)

33

sg32.dll

SuicideWatcher حواسش به زمان آنینستال است و مقایسه‌ی زمانی را بررسی می‌کند (زمان داخلی در مقابل زمان اینترنتی)

34

st64.dll

SuicideWatcher حواسش به زمان آنینستال است و مقایسه‌ی زمانی را بررسی می‌کند (زمان داخلی در مقابل زمان اینترنتی)

35

st32.dll

آرشیو منبع باز XZip/XUnzip توسط Info-Zip + Lucian Wischik + Hans Dietrich. استفاده‌شده توسسط ایندکسر (inXX.dll) و پلاگین‌های ارتباطی C2 (csXX.dll)

36

zip64.dll

آرشیو منبع باز XZip/XUnzip توسط Info-Zip + Lucian Wischik + Hans Dietrich. استفاده‌شده توسسط ایندکسر (inXX.dll) و پلاگین‌های ارتباطی C2 (csXX.dll)

37

zip32.dll

نسخه‌ی 1.2.3 مبنع باز “zlib” استفاده‌شده توسط libpngXX.dll برای فشرده‌سازی اسکرین‌شات‌ها (ssXX.dll)

38

zlib64.dll

نسخه‌ی 1.2.3 مبنع باز “zlib” استفاده‌شده توسط libpngXX.dll برای فشرده‌سازی اسکرین‌شات‌ها (ssXX.dll)

39

zlib32.dll

IM-Stealer محتوای مکالمه را از قاب چت اپ‌های پیام فوری می‌دزد.

40

il32.dll

ایندسکر. فایل‌های ایندکس روی درایوهای قربانی، پروفایل‌های کاربر و درایوهای خارجی. فایل‌های ایندکس ساخته‌شده زیپ گشته (توسط zipXX.dl) و در صف قرار داده می‌شوند.

55

in32.dll

ایندسکر. فایل‌های ایندکس روی درایوهای قربانی، پروفایل‌های کاربر و درایوهای خارجی. فایل‌های ایندکس ساخته‌شده زیپ گشته (توسط zipXX.dl) و در صف قرار داده می‌شوند.

41

in64.dll

42

isys9core_64.dll

43

isyspdf6_64.dll

44

isyspdfl_64.dll

45

isysdc_64.dll

46

isys9.key

47

isys.cwd

اجزای ISYS Search Software توسط پلاگین ایندکسر استفاده می‌شوند.

48

isys.elx

Licensee_ID1 “Q5GXU H5W67 23B4W SCQFD 4G7HV 9GSLW”

49

isys9_32.dll

Licensee_ID2 “objectviewer.exe”

50

isys9core_32.dll

51

isyspdf6_32.dll

52

isyspdfl_32.dll

53

isyspdfl_32.dll

56

isysdc_32.dll

45

isys9_64.dll

آرشیو منبع‌باز sqlite استفاده‌شده توسط ISYS Search

54

sqlite3_64.dll

آرشیو منبع‌باز sqlite استفاده‌شده توسط ISYS Search

57

sqlite3_32.dll

Thumbnailer عکس‌های بندانگشتی را می‌سازد و آماده برای ارسال به فایل‌ها می‌کند.

58

tn32.dll

Thumbnailer عکس‌های بندانگشتی را می‌سازد و آماده برای ارسال به فایل‌ها می‌کند.

59

tn64.dll

آرشیو منبع باز FreeImage از فرمت‌های گرافیکی محبوب پشتیبانی می‌کند (ver 3.15.4 2012-10-27) پلاگین (http://freeimage.sourceforge.net). Is used by Thumbnailer (tnXX.dll)

60

freeimage_32.dll

آرشیو منبع باز FreeImage از فرمت‌های گرافیکی محبوب پشتیبانی می‌کند (ver 3.15.4 2012-10-27) پلاگین (http://freeimage.sourceforge.net). Is used by Thumbnailer (tnXX.dll)

61

freeimageplus_32.dll

آرشیو منبع باز FreeImage از فرمت‌های گرافیکی محبوب پشتیبانی می‌کند (ver 3.15.4 2012-10-27) پلاگین (http://freeimage.sourceforge.net). Is used by Thumbnailer (tnXX.dll)

62

freeimage_64.dll

آرشیو منبع باز FreeImage از فرمت‌های گرافیکی محبوب پشتیبانی می‌کند (ver 3.15.4 2012-10-27) پلاگین (http://freeimage.sourceforge.net). Is used by Thumbnailer (tnXX.dll)

63

freeimageplus_64.dll

مانیتور کی‌لاگر و کلیپ‌بورد

64

ku64.dll

مانیتور کی‌لاگر و کلیپ‌بورد

65

ku32.dll

سرقت اسناد پرینت‌شده از صف خروجی. این کار با فعالسازی ویژگیKeepPrintedJobs برای هر پرینتر تنظیم‌شده و ذخیره گشته در ویندوز رجیستری صورت می‌گیرد: کلید: “SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Print\\Printers”

value: “Attributes”

66

pm64.dll

سرقت اسناد پرینت‌شده از صف خروجی. این کار با فعالسازی ویژگیKeepPrintedJobs برای هر پرینتر تنظیم‌شده و ذخیره گشته در ویندوز رجیستری صورت می‌گیرد: کلید: “SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Print\\Printers”

value: “Attributes”

67

pm32.dll

EgressSender فایل‌ها را از صف خروجی به C2 ارسال می‌کند.

68

rc64.dll

EgressSender فایل‌ها را از صف خروجی به C2 ارسال می‌کند.

69

rc32.dll

ClientRecon (نام کامپیوتر، اطلاعات سیستم‌عامل، آدرس مک، کلیدهای شبکه بی‌سیم، دستگاه‌های اپل کانکت‌شده، فهرست بک‌آپ دستگاه‌های موبایل اپل، نسخه‌ی IE، SecurityCenterInfo -AV، فایروال‌ها و محصولات ضد جاسوس‌افزار- اطلاعات سخت افزار و نرم‌افزار مانند مترو اپ‌ها، کاربران و اتوران‌ها[14]). در صورت بروز تغییر، موضوع را بررسی نموده و آن را برای C2 راسال کنید.

70

rn64.dll

ClientRecon (نام کامپیوتر، اطلاعات سیستم‌عامل، آدرس مک، کلیدهای شبکه بی‌سیم، دستگاه‌های اپل کانکت‌شده، فهرست بک‌آپ دستگاه‌های موبایل اپل، نسخه‌ی IE، SecurityCenterInfo -AV، فایروال‌ها و محصولات ضد جاسوس‌افزار- اطلاعات سخت افزار و نرم‌افزار مانند مترو اپ‌ها، کاربران و اتوران‌ها[15]). در صورت بروز تغییر، موضوع را بررسی نموده و آن را برای C2 راسال کنید.

71

rn32.dll

Screenshoter. اسکرین‌شات‌های دوره‌ای با رزولوشن پایین. اسکرین‌شات‌هایی با رزولوشن بالا از فرآیند برخی پنجره‌ها و حین ضبط VoiceIP application audio.

72

ss64.dll

Screenshoter. اسکرین‌شات‌های دوره‌ای با رزولوشن پایین. اسکرین‌شات‌هایی با رزولوشن بالا از فرآیند برخی پنجره‌ها و حین ضبط VoiceIP application audio.

73

ss32.dll

سرقت داکیومنت‌ها از درایوهای خارجی و ثابت. نظارت بر CDBurnArea و سرقت تصاویر سی‌دی رایت‌شده.

74

vm32.dll

سرقت داکیومنت‌ها از درایوهای خارجی و ثابت. نظارت بر CDBurnArea و سرقت تصاویر سی‌دی رایت‌شده.

75

vm64.dll

به صورت دوره‌ای اسنپ‌شات‌های دوربین وبی می‌سازد.

76

wc64.dll

به صورت دوره‌ای اسنپ‌شات‌های دوربین وبی می‌سازد.

77

wc32.dll

فایل تنظیمات پیش‌فرض

78

default.cfg

فهرست نام فرآیندها. پلاگین‌های مربوطه باید داخل این فرآیندها اجرا شوند.

79

runin.bin

فایل تنظیمات مسیر کاری فولدرها و کلیدهای رجیستری را تنظیم می‌کند.