АНАЛИЗ ВРЕДОНОСНОГО ПО: TgWsProxy.exe

[Weden19]

Файл: TgWsProxy.exe
Размер: 23.50 MB (24,636,406 байт)
Тип: PE32+ executable (GUI) x86-64, для MS Windows
Упаковщик: PyInstaller (Python 3.12)
Дата сборки: 2026-03-13 10:36:23 UTC
Entry Point: 0x0000dfa0

Хэш-суммы:
MD5: 0756fbe1f3cc8c2ea3b89ba4414be72b
SHA1: ed9e23d91490f7d7a471e1aa3fb34de832f77238
SHA256: f134c9c57bc09de253e85100d1bb68b5f83f6bfcbf620b401aeaef9d60b45aab

[!!!] ??\PhysicalDrive0 - прямой доступ к физическому диску
[!!!] Injection: creates_suspended_process + ResumeThread
[!!!] cryptopool_domains - связь с пулами майнинга криптовалют
[!!!] ransomware_file_modifications - перезапись файлов
[!!!] mouse_movement_detect - обход песочницы
[!!!] SetUnhandledExceptionFilter - анти-отладка
[!!!] RWX memory allocation - исполняемая память с правами записи

Товарищ Flowseal, Что за хуйня? Прошу объясниться.
Ссыль на CAPE прилагаю
https://vtbehaviour.commondatastorage.googleapis.com/f134c9c57bc09de253e85100d1bb68b5f83f6bfcbf620b401aeaef9d60b45aab_CAPE%20Sandbox.html?GoogleAccessId=758681729565-rc7fgq07icj8c9dm2gi34a4cckv235v1@developer.gserviceaccount.com&Expires=1773573816&Signature=APRHQNLJD85dO3xXlPbe0nTqJN1jCOJ9PTVW1j36tXR58rx75hG7wI9re26wWgKn0i7BuLym%2B00mHTS2SNlrl0RxLuKtaaB0pwPot7CATFYx%2Bx6FJjCInhjU98fs2G24AwExfdNcp3g0BT05ts6oYE%2F7v6SP8mkw%2F%2FQl7xz%2Bvf0FG98OQOWwznFyq0gHLIyXPSjKXO9h2bdoCt9LauoSB3syZt6g6VVhsJv3EVZMtGFnXe1QvlEI8%2FFOLitYs5246oQnBbz6nkp%2F7sWkhvRT4edzxD6FJZfr1zxBQcRSE86T8P5lR2oO%2FYTaKl6VOb9QDxU8RoOb%2FVT%2F%2B8shuhelbQ%3D%3D&response-content-type=text%2Fhtml;

[Flowseal]

Когда копируете непонятные для вас вещи, не делайте умный вид

[MazaxistAzA]

так че пиз*ит или нет

[FleimCode]

Товарищ долбоеб, ака Weden19, вашему вниманию представляется:
Ты сейчас перечислил набор поведенческих сигнатур cape, а не доказал наличие майнера и тд и тп.

Файл собран через PyInstaller. Для пайтон приложений это обычная история) Распаковка во временную папку, выделение памяти, запуск дочерних процессов и прочие вещи часто триггерят бомжатские антивирусы..

“cryptopool_domains” без конкретных доменов вообще ни о чем не говорит.
RWX memory, SetUnhandledExceptionFilter и mouse_movement_detect регулярно встречаются у PyInstaller сборок и различных библиотек.

Если есть реальные претензии, не стесняйся, покажи сетевые соединения, дерево процессов, дамп памяти или код (который кстати публичный xD), который выполняет майнинг, шифрование файлов или инжект. Пока что из твоего сообщения видно воздух))