يُحمل كود shellcode بعد ذلك في vssapi.dll، وهو ملف DLL المحدد في تكوين البرنامج الضار. ويُجرى ذلك عن طريق استدعاء VirtualProtect() لتغيير حماية الذاكرة لقسم .text في ملف DLL إلى PAGE_EXECUTE_READWRITE. وأخيرًا، يُنسخ كود shellcode إلى هذا العنوان القابل للكتابة، ويُنقل مسار التنفيذ إليه.

يعمل كود shellcode كمحمل، ولكن أولاً، يعمل على تجزئة أسماء العمليات الجارية في النظام ومقارنتها بالقيم المحددة في تكوين البرنامج الضار. إذا عُثر على تطابق، يستخدم البرنامج الضار واجهة برمجة التطبيقات NtDelayExecution() لإيقاف تنفيذها.

بعد ذلك، يقرأ محتوى Plagkeg.zk. محتوى هذا الملف هو تكوين برنامج ضار آخر مشفر ووحدات HijackLoader. تُقسم البيانات إلى أجزاء متعددة، حيث يحتوي الجزء الأولي على المعلومات التالية:

حجم البيانات المشفرة

العلامة ("IDAT")

قيمة (0xC6A579EA) تُستخدم للتحقق من وحدات البايت الأولية لكود shellcode

مفتاح فك تشفير البيانات

تتبع الأجزاء التالية هذه البنية:

حجم جزء الكود shellcode

العلامة ("IDAT")

وحدات البايت المشفرة

ولتجميع هذه الأجزاء، يمر HijackLoader عبر البيانات المشفرة بحثًا عن نمط "????IDAT"، حيث تعمل علامات الاستفهام كأحرف بدل. وبمجرد العثور على تطابق، يتحقق ما إذا كانت وحدات البايت الأربع التي تلي النمط مباشرةً تساوي 0xC6A579EA. ويؤكد هذا أنه قد عُثر على الجزء الأولي، وهو أمر مهم لأنه يحتوي على الحجم الإجمالي لكود shellcode ومفتاح فك التشفير. إذا تطابقت القيمة، يخزن HijackLoader وحدات بايت كود shellcode في مخزن مؤقت. وتتكرر العملية مع جميع الأجزاء اللاحقة، مع إلحاق وحدات بايت كود shellcode الخاصة بها بالمخزن المؤقت نفسه، حتى عدم العثور على المزيد من الأنماط المطابقة.

وبمجرد الانتهاء، يُفك تشفير المخزن المؤقت الذي يحتوي على كود shellcode المشفر باستخدام شفرة XOR ثم يُفك ضغطه باستخدام خوارزمية LZNT1. والنتيجة هي بنية تحتوي على معلومات متنوعة، مثل الحمولة النهائية، وبنية الوحدة، وما إلى ذلك.

البرنامج الضار المرحلة الثالثة: ti64 - الوحدة الرئيسية

تنقسم وظائف HijackLoader إلى وحدات. يحتوي بعضها على أكواد تنفيذية، بينما البعض الآخر هي مجرد معلومات مستخدمة كمرجع. مثال على ذلك هو وحدة COPYLIST ، والتي تحتوي على قائمة بأسماء الملفات المتعلقة بهذا الإصدار من HijackLoader. وفقًا لتقرير Trellix، تدعم بعض إصدارات HijackLoader ما يصل إلى 40 وحدة، لكن العينة التي جرى تحليلها لهذا التقرير تدعم 35 فقط. لا تُنفذ جميع الوحدات، ويعتمد استخدامها على العلامات المحددة في تكوين البرنامج الضار.

يلخص الجدول أدناه اسم كل وحدة والغرض منها:

يمر HijackLoader عبر هذه البُنى ويحول كل اسم وحدة إلى تجزئة باستخدام خوارزمية مخصصة. بمجرد العثور على تطابق الوحدة "ti64"، فإنه يحسب مؤشرًا لكود الوحدة عن طريق إضافة قيمة تعويض البيانات إلى قاعدة مصفوفة بيانات الوحدة. ثم يُعاد هذا المؤشر ويُستخدم كمرجع لكود shellcode الخاص بالوحدة "ti64".

بعد ذلك، ينفذ البرنامج الضار عملية تفريغ DLL أخرى لحقن كود shellcode الخاص بوحدة "ti64". والهدف هو ملف DLL المحدد في التكوين الذي سبق فك تشفيره، وهو في هذه الحالة pla.dll.