FÜR NUTZER

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Suche
Suche

Support
Support 24/7 | Regeln zur Anfragenübermittlung

Schreiben Sie uns

Online-Formular

Telefon

+49 (0) 170 488 40 28

Forum

Ihre Anfragen

Neue Anfrage

Rufen Sie uns an

+7 (495) 789-45-86

Profil

DE

RU CN DE EN ES FR IT JP KZ UZ PL BY ID
Schließen
Services
Scanner
Dr.Web vxCube
Testversion
Virenbibliothek
Wissensdatenbank

Technologies

Begriffe

Schulung und Training

Mythen

News

Trojan.DownLoader17.17049

Added to the Dr.Web virus database: 2016-06-15

Virus description added:

SHA1:

  • 8f40e7f0e9dcf2355ee72248818210e86df5751b

Описание

Троянская программа-загрузчик для ОС Windows, написанная на Delphi и предназначенная для скачивания полезной нагрузки на скомпрометированные компьютеры. Является модификацией Trojan.DownLoad3.40563. Основным отличием является то, что троян не имеет аргументов для запуска, однако обладает более развитыми функциями по сбору данных.

Принцип действия

Открытие отвлекающего файла

Для сокрытия своей деятельности при запуске троян открывает файл %TEMP%\Resume.pdf. Если такой файл отсутствует, троян генерирует его самостоятельно.

Проверка окружения

  1. Определяет, запущены ли на компьютере отладочные приложения (список содержит 84 наименования, включая Olly Debugger, Wireshark, PE Explorer и другие).
  2. Проверяет имя компьютера на его соответствие 114 типовым названиям, использующимся в сфере информационной безопасности (например, VIRTUAL, MALTEST, TESTING и другие).
  3. Проверяет доступ к интернету путем отправки GET-запроса по адресу hxxp://www.adobe[.]com. Затем определяет внешний IP-адрес хоста, отправляя GET-запрос к hxxp://checkip.dyndns[.]org. Сравнивает полученный IP-адрес со встроенным черным списком адресов, содержащим 223 пункта (представлены как конкретные адреса, так и целые подсети).
  4. Подсчитывает количество процессов, запущенных в системе: если оно меньше 26, троян отправляет на свой С2-сервер сообщение с кодом ошибки 1.

  5. Проверяет следующие параметры реестра:

    • Значение параметра «DLL» ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\OpenGLDrivers\VBoxOGL не должно быть равно VBoxOGL.dll. При неудачной проверке на сервер отправляется сообщение об ошибке с кодом 2.1.
    • Значение параметра «0» ключа HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Disk\Enum не должно быть равно Virtual. При неудачной проверке на сервер отправляется сообщение об ошибке с кодом 2.2.
    • Значение параметра «SystemProductName» ключа HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SystemInformation не должно быть равно VirtualBox. При неудачной проверке на сервер отправляется сообщение об ошибке с кодом 2.4.

    Также троян определяет наличие следующих ключей реестра:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Oracle VM VirtualBox Guest Additions
    HKEY_LOCAL_MACHINE\SOFTWARE\Oracle\VirtualBox Guest Additions
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Sandboxie
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\VMBUS
    HKEY_LOCAL_MACHINE\HARDWARE\ACPI\DSDT\VBOX__
    HKEY_LOCAL_MACHINE\HARDWARE\ACPI\DSDT\VirtualBox
    HKEY_LOCAL_MACHINE\HARDWARE\ACPI\DSDT\Parallels Workstation
    HKEY_LOCAL_MACHINE\HARDWARE\ACPI\DSDT\PRLS__
    HKEY_LOCAL_MACHINE\HARDWARE\ACPI\DSDT\Virtual PC
    HKEY_LOCAL_MACHINE\HARDWARE\ACPI\SDT\AMIBI
    HKEY_LOCAL_MACHINE\HARDWARE\ACPI\DSDT\VMware Workstation
    HKEY_LOCAL_MACHINE\HARDWARE\ACPI\DSDT\PTLTD

    При неудачной проверке на сервер отправляется сообщение об ошибке с кодом 2.3.

    Затем троян проверяет наличие следующих ключей:

    HKEY_CURRENT_USER\SOFTWARE\SandboxieAutoExec
    HKEY_CURRENT_USER\SOFTWARE\Classes\Folder\shell\sandbox

    При неудачной проверке на сервер отправляется сообщение об ошибке с кодом 2.5.

    Проверяется наличие следующих процессов:

    VBoxTray.exe
    VBoxService.exe
    prl_cc.exe
    prl_tools.exe
    SharedIntApp.exe
    vmusrvc.exe
    vmsrvc.exe
    vmount2.exe
    vmtoolsd.exe
    vmwaretray.exe
    vmwareuser.exe
    vmware-tray.exe
    vmnat.exe
    TPAutoConnSvc.exe
    TPAutoConnect.exe
    VMRemoteGuest.exe
    VGAuthService.exe
    vmware-converter-a.exe
    vmware-converter.exe
    vmnetdhcp.exe
    vmware-usbarbitrator.exe
    vmware-usbarbitrator64.exe
    vmware-authd.exe
    vmware-hostd.exe
    vmacthlp.exe

    При неудачной проверке на сервер отправляется сообщение об ошибке с кодом 2.6.

Проверка ключей реестра ПО Adobe

Троян проверяет наличие ключа реестра HKEY_CURRENT_USER\Software\Adobe и вложенного двоичного параметра Installed. Если данный параметр существует, проверка считается пройденной. В противном случае троян создает параметр Installed и присваивает ему значение True.

Если хотя бы одна из описанных выше проверок завершилась с ошибкой, троян не переходит к запуску своего основного кода.

Установка сертификатов

На данном этапе троян проверяет, был ли он запущен с правами администратора. При наличии административных привилегий он выполняет следующие действия:

  1. Проверяет наличие файла sert.cer в %TEMP%. В случае его отсутствия троян создает его самостоятельно и делает скрытым (выставляет FILE_ATTRIBUTE_HIDDEN).
  2. Проверяет наличие файла CertMgr.exe в %TEMP%. В случае его отсутствия троян создает его самостоятельно и делает скрытым (выставляет FILE_ATTRIBUTE_HIDDEN).
  3. Выполняет команду: %TEMP%\CertMgr.exe -add -c "sert.cer" -s -r localMachine root.

Скачивание ВПО

  1. Проверяет наличие файла AdobeSystem.exe в директории %allusersprofile%\Application Data\.
  2. Если файл отсутствует, формирует ссылку и скачивает файл: hxxp://worsen[.]pw/dinatron/okala.rar.
  3. Распаковывает архив в директорию %allusersprofile%\Application Data\, пароль от архива Hnqq7Yagtqht3 вшит в тело трояна.
  4. Если файл успешно распаковался, троян отправляет сообщение Hello Install, в противном случае — сообщение об ошибке с кодом 3.2.

Закрепление в системе

В отличие от Trojan.DownLoad3.40563, данная модификация закрепляется в системе только после успешной распаковки скачанного архива. Затем троян создает параметр AdobeUpdate в ключе HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce и присваивает ему значение %allusersprofile%\Application Data\AdobeSystem.exe.

Кража данных в скомпрометированной системе

После закрепления троян рекурсивно сканирует все диски в поисках всех файлов с расширениями .txt, .docx, .doc, .xlsx, .xls, .zip, .rar, .7z. Затем в найденных файлах проводится поиск по следующим маскам: *парол*, *parol*, *password*, *аккаунт*, *login*, *логин*, *хостинг*, *hosting*, *доступ*, *удаленка*, *nic.ru*, *timeweb*. Отдельно следует упомянуть тот факт, что троян ищет файл wallet.dat, являющийся криптокошельком. Файлы, соответствующие критериям, троян отправляет на свой С2 сервер. Для этого они копируются в директорию %TEMP%, откуда путем POST-запросов отправляются по адресу hxxp://worsen[.]pw/loader.php.

Удаление следов присутствия

При любом исходе выполнения программы происходит удаление следов присутствия трояна в системе:

  1. Из директории %TEMP% удаляется файл Resume.pdf.
  2. Удаляется директория %allusersprofile%\Application Data\.
  3. Директория %TEMP% очищается от всех объектов, не являющихся подпапками.

Отправляемое сообщение о результате выполнения

Троян отправляет письмо по адресу sales@karltin[.]ws, в котором сообщает о результатах своей работы на скомпрометированной машине. Текст письма представляет собой строки, содержащие пары типа «параметр»: «значение». Адрес SMTP-сервера — mail[.]worsen[.]pw. Для отправки используется учетная запись lisa@worsen[.]pw. В теме письма указывается код ошибки.

Параметр Значение Пояснение
PC <comuter_name> Имя компьютера
TEXT <Event> Событие (может принимать значения Error или Install)
IP <white_ip> Внешний IP-адрес устройства
CD <cur_dir> Директория запуска трояна
TS <time_stamp> Текущие дата и время
BD 15.10 Версия трояна
PL <process_list> Список запущенных процессов

При этом, если параметр Event имеет значение Install, троян рекурсивно читает содержимое директории %appdata% в поисках файлов history.mab и impab.mab, представляющих собой адресные книги почтового клиента Thunderbird на инфицированном компьютере. При обнаружении этих файлов они отправляются в письме.

Curing recommendations

  1. If the operating system (OS) can be loaded (either normally or in safe mode), download Dr.Web Security Space and run a full scan of your computer and removable media you use. More about Dr.Web Security Space.
  2. If you cannot boot the OS, change the BIOS settings to boot your system from a CD or USB drive. Download the image of the emergency system repair disk Dr.Web® LiveDisk , mount it on a USB drive or burn it to a CD/DVD. After booting up with this media, run a full scan and cure all the detected threats.
Free trial

 

Download Dr.Web

Download by serial number

Use Dr.Web Anti-virus for macOS to run a full scan of your Mac.

Free trial

 

Download Dr.Web

Download by serial number

Download on App Store

After booting up, run a full scan of all disk partitions with Dr.Web Anti-virus for Linux.

Free trial

 

Download Dr.Web

Download by serial number

  1. If the mobile device is operating normally, download and install Dr.Web for Android. Run a full system scan and follow recommendations to neutralize the detected threats.
  2. If the mobile device has been locked by Android.Locker ransomware (the message on the screen tells you that you have broken some law or demands a set ransom amount; or you will see some other announcement that prevents you from using the handheld normally), do the following:
    • Load your smartphone or tablet in the safe mode (depending on the operating system version and specifications of the particular mobile device involved, this procedure can be performed in various ways; seek clarification from the user guide that was shipped with the device, or contact its manufacturer);
    • Once you have activated safe mode, install the Dr.Web for Android onto the infected handheld and run a full scan of the system; follow the steps recommended for neutralizing the threats that have been detected;
    • Switch off your device and turn it on as normal.

Find out more about Dr.Web for Android

Free trial

14 days

Download now
Get it on Google Play