SHA1:
- 8f40e7f0e9dcf2355ee72248818210e86df5751b
Описание
Троянская программа-загрузчик для ОС Windows, написанная на Delphi и предназначенная для скачивания полезной нагрузки на скомпрометированные компьютеры. Является модификацией Trojan.DownLoad3.40563. Основным отличием является то, что троян не имеет аргументов для запуска, однако обладает более развитыми функциями по сбору данных.
Принцип действия
Открытие отвлекающего файла
Для сокрытия своей деятельности при запуске троян открывает файл %TEMP%\Resume.pdf. Если такой файл отсутствует, троян генерирует его самостоятельно.
Проверка окружения
- Определяет, запущены ли на компьютере отладочные приложения (список содержит 84 наименования, включая Olly Debugger, Wireshark, PE Explorer и другие).
- Проверяет имя компьютера на его соответствие 114 типовым названиям, использующимся в сфере информационной безопасности (например, VIRTUAL, MALTEST, TESTING и другие).
- Проверяет доступ к интернету путем отправки GET-запроса по адресу hxxp://www.adobe[.]com. Затем определяет внешний IP-адрес хоста, отправляя GET-запрос к hxxp://checkip.dyndns[.]org. Сравнивает полученный IP-адрес со встроенным черным списком адресов, содержащим 223 пункта (представлены как конкретные адреса, так и целые подсети).
- Подсчитывает количество процессов, запущенных в системе: если оно меньше 26, троян отправляет на свой С2-сервер сообщение с кодом ошибки 1.
-
Проверяет следующие параметры реестра:
- Значение параметра «DLL» ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\OpenGLDrivers\VBoxOGL не должно быть равно VBoxOGL.dll. При неудачной проверке на сервер отправляется сообщение об ошибке с кодом 2.1.
- Значение параметра «0» ключа HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Disk\Enum не должно быть равно Virtual. При неудачной проверке на сервер отправляется сообщение об ошибке с кодом 2.2.
- Значение параметра «SystemProductName» ключа HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SystemInformation не должно быть равно VirtualBox. При неудачной проверке на сервер отправляется сообщение об ошибке с кодом 2.4.
Также троян определяет наличие следующих ключей реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Oracle VM VirtualBox Guest Additions HKEY_LOCAL_MACHINE\SOFTWARE\Oracle\VirtualBox Guest Additions HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Sandboxie HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\VMBUS HKEY_LOCAL_MACHINE\HARDWARE\ACPI\DSDT\VBOX__ HKEY_LOCAL_MACHINE\HARDWARE\ACPI\DSDT\VirtualBox HKEY_LOCAL_MACHINE\HARDWARE\ACPI\DSDT\Parallels Workstation HKEY_LOCAL_MACHINE\HARDWARE\ACPI\DSDT\PRLS__ HKEY_LOCAL_MACHINE\HARDWARE\ACPI\DSDT\Virtual PC HKEY_LOCAL_MACHINE\HARDWARE\ACPI\SDT\AMIBI HKEY_LOCAL_MACHINE\HARDWARE\ACPI\DSDT\VMware Workstation HKEY_LOCAL_MACHINE\HARDWARE\ACPI\DSDT\PTLTD При неудачной проверке на сервер отправляется сообщение об ошибке с кодом 2.3.
Затем троян проверяет наличие следующих ключей:
HKEY_CURRENT_USER\SOFTWARE\SandboxieAutoExec HKEY_CURRENT_USER\SOFTWARE\Classes\Folder\shell\sandbox При неудачной проверке на сервер отправляется сообщение об ошибке с кодом 2.5.
Проверяется наличие следующих процессов:
VBoxTray.exe VBoxService.exe prl_cc.exe prl_tools.exe SharedIntApp.exe vmusrvc.exe vmsrvc.exe vmount2.exe vmtoolsd.exe vmwaretray.exe vmwareuser.exe vmware-tray.exe vmnat.exe TPAutoConnSvc.exe TPAutoConnect.exe VMRemoteGuest.exe VGAuthService.exe vmware-converter-a.exe vmware-converter.exe vmnetdhcp.exe vmware-usbarbitrator.exe vmware-usbarbitrator64.exe vmware-authd.exe vmware-hostd.exe vmacthlp.exe При неудачной проверке на сервер отправляется сообщение об ошибке с кодом 2.6.
Проверка ключей реестра ПО Adobe
Троян проверяет наличие ключа реестра HKEY_CURRENT_USER\Software\Adobe и вложенного двоичного параметра Installed. Если данный параметр существует, проверка считается пройденной. В противном случае троян создает параметр Installed и присваивает ему значение True.
Если хотя бы одна из описанных выше проверок завершилась с ошибкой, троян не переходит к запуску своего основного кода.
Установка сертификатов
На данном этапе троян проверяет, был ли он запущен с правами администратора. При наличии административных привилегий он выполняет следующие действия:
- Проверяет наличие файла sert.cer в %TEMP%. В случае его отсутствия троян создает его самостоятельно и делает скрытым (выставляет FILE_ATTRIBUTE_HIDDEN).
- Проверяет наличие файла CertMgr.exe в %TEMP%. В случае его отсутствия троян создает его самостоятельно и делает скрытым (выставляет FILE_ATTRIBUTE_HIDDEN).
- Выполняет команду: %TEMP%\CertMgr.exe -add -c "sert.cer" -s -r localMachine root.
Скачивание ВПО
- Проверяет наличие файла AdobeSystem.exe в директории %allusersprofile%\Application Data\.
- Если файл отсутствует, формирует ссылку и скачивает файл: hxxp://worsen[.]pw/dinatron/okala.rar.
- Распаковывает архив в директорию %allusersprofile%\Application Data\, пароль от архива Hnqq7Yagtqht3 вшит в тело трояна.
- Если файл успешно распаковался, троян отправляет сообщение Hello Install, в противном случае — сообщение об ошибке с кодом 3.2.
Закрепление в системе
В отличие от Trojan.DownLoad3.40563, данная модификация закрепляется в системе только после успешной распаковки скачанного архива. Затем троян создает параметр AdobeUpdate в ключе HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce и присваивает ему значение %allusersprofile%\Application Data\AdobeSystem.exe.
Кража данных в скомпрометированной системе
После закрепления троян рекурсивно сканирует все диски в поисках всех файлов с расширениями .txt, .docx, .doc, .xlsx, .xls, .zip, .rar, .7z. Затем в найденных файлах проводится поиск по следующим маскам: *парол*, *parol*, *password*, *аккаунт*, *login*, *логин*, *хостинг*, *hosting*, *доступ*, *удаленка*, *nic.ru*, *timeweb*. Отдельно следует упомянуть тот факт, что троян ищет файл wallet.dat, являющийся криптокошельком. Файлы, соответствующие критериям, троян отправляет на свой С2 сервер. Для этого они копируются в директорию %TEMP%, откуда путем POST-запросов отправляются по адресу hxxp://worsen[.]pw/loader.php.
Удаление следов присутствия
При любом исходе выполнения программы происходит удаление следов присутствия трояна в системе:
- Из директории %TEMP% удаляется файл Resume.pdf.
- Удаляется директория %allusersprofile%\Application Data\.
- Директория %TEMP% очищается от всех объектов, не являющихся подпапками.
Отправляемое сообщение о результате выполнения
Троян отправляет письмо по адресу sales@karltin[.]ws, в котором сообщает о результатах своей работы на скомпрометированной машине. Текст письма представляет собой строки, содержащие пары типа «параметр»: «значение». Адрес SMTP-сервера — mail[.]worsen[.]pw. Для отправки используется учетная запись lisa@worsen[.]pw. В теме письма указывается код ошибки.
| Параметр | Значение | Пояснение |
|---|---|---|
| PC | <comuter_name> | Имя компьютера |
| TEXT | <Event> | Событие (может принимать значения Error или Install) |
| IP | <white_ip> | Внешний IP-адрес устройства |
| CD | <cur_dir> | Директория запуска трояна |
| TS | <time_stamp> | Текущие дата и время |
| BD | 15.10 | Версия трояна |
| PL | <process_list> | Список запущенных процессов |
При этом, если параметр Event имеет значение Install, троян рекурсивно читает содержимое директории %appdata% в поисках файлов history.mab и impab.mab, представляющих собой адресные книги почтового клиента Thunderbird на инфицированном компьютере. При обнаружении этих файлов они отправляются в письме.
