Gelsevirine
Gelsevirinie को समझौता मशीनों में Gelsemicine नामक एक मध्य-चरण लोडर द्वारा वितरित किया जाता है। Gelsevirinie अंतिम चरण का मैलवेयर मॉड्यूल है जिसे Gelsemium APT (Advanced Persistent Threat) समूह द्वारा हमलों में तैनात किया गया है। लोडर दो अलग-अलग संस्करणों में मौजूद है और जिसे निष्पादित किया जाता है वह इस बात पर निर्भर करता है कि संक्रमित उपयोगकर्ता के पास प्रशासनिक विशेषाधिकार हैं या नहीं। यदि पीड़ित के पास आवश्यक विशेषाधिकार हैं, तो Gelsevirine को C:\Windows\System32\spool\prtprocs\x64\winprint.dll के अंतर्गत छोड़ दिया जाएगा, अन्यथा इसे CommonAppData/Google/Chrome/ में chrome_elf.dll नामक DLL के रूप में वितरित किया जाएगा। आवेदन / पुस्तकालय / स्थान।
एक बार लक्षित प्रणाली पर तैनात होने के बाद, जेल्सविरिन अपने कमांड-एंड-कंट्रोल सर्वर के साथ संचार तक पहुंचने और बनाए रखने के लिए एक जटिल सेटअप शुरू करता है। सबसे पहले, यह मानव-में-मध्य की भूमिका निभाने के लिए एक एम्बेडेड डीएलएल पर निर्भर करता है। इसके अलावा, एक अलग कॉन्फ़िगरेशन विभिन्न प्रोटोकॉल प्रकारों जैसे tcp, udp, http, और https को संभालने के लिए जिम्मेदार है।
इन्फोसेक के शोधकर्ता ऐसे कई प्लग-इन का पता लगाने में सक्षम थे जो गेल्सेविरिन द्वारा लाए गए और शुरू किए गए, प्रत्येक में एक अलग कार्यक्षमता है। FxCoder प्लग-इन एक संपीड़न-विघटन उपकरण है जो C&C संचार की सुविधा प्रदान करता है। इसके बाद, उपयोगिता प्लग-इन है जो समझौता किए गए डिवाइस पर फ़ाइल सिस्टम में हेरफेर करने में सक्षम है। देखे गए प्लग-इन में से अंतिम इंटर है - एक उपकरण जो डीएलएल के इंजेक्शन को चुनी हुई प्रक्रियाओं में सक्षम बनाता है।
