SHA1 6b5f94b5a1d28441253b19f36322c87f12420836
Un installateur d'applications publicitaires et de logiciels malveillants. Distribué sur les sites de partage de fichiers appartenant aux malfaiteurs : lorsque l'utilisateur essaie de télécharger un fichier, il sera redirigé automatiquement vers un site intermédiaire sur lequel le Trojan.LoadMoney.336 réside et est téléchargé sur l'ordinateur. Après son lancement, le Trojan s'adresse à un autre serveur, d'où il reçoit un fichier de configuration crypté. Ce fichier inclut des liens vers des applications de partenaires téléchargées sur Internet et se lance sur l'ordinateur infecté.
Lors de son lancement, le backdoor vérifie la présence de fichiers %EXENAME%:tmp et %EXENAME%.tmp, en cas de problèmes il utilise les lignes de débogage "installer not found" et "error opening file installer file #", mais le Trojan peut toutefois fonctionner sans ces fichiers. Il arrête le thread alternatif Zone.Identifier afin de simplifier son lancement. Il empêche l’arrêt de Windows via ShutdownBlockReasonCreate en affichant une erreur " Téléchargement et installation des mises à jour ". Après son installation, le Trojan.LoadMoney.336 attend l'arrêt du curseur puis lance ses deux copies et supprime le fichier original.
Il recueille et envoie aux malfaiteurs les données suivantes :
- version du système d'exploitation ;
- logiciels antivirus installés ;
- pare-feu installé ;
- logiciels Anti-spyware installés ;
- modèle de la carte vidéo ;
- quantité de RAM ;
- disques durs et leurs partitions ;
- fabricant OEM du PC ;
- type de carte mère ;
- résolution de l'écran ;
- version du BIOS ;
- présence de droits administrateur de l’utilisateur Windows ;
- applications pour ouvrir des fichiers *.torrent ;
- applications pour ouvrir des liens magnet.
Ensuite, le Trojan.LoadMoney.336 s'adresse à son serveur de gestion avec une requête GET et reçoit une réponse cryptée qui contient les liens pour télécharger des fichiers.
Le téléchargement des applications partenaires s'exécute dans un thread séparé : le Trojan extrait de son fichier de configuration une URL et envoie la requête HEAD appropriée au serveur et s'il répond par une erreur (Method Not Allowed) ou 501 (Not Implemented), le Trojan envoie de nouveau une requête GET. Si le lien vers le fichier cible, indiqué dans les données de configuration, est correct, le Trojan extrait de la réponse du serveur les données sur la taille du fichier et son nom, puis commence le téléchargement des applications.
La réponse du serveur peut inclure des données de configuration, y compris des données sur la boîte de dialogue qui sera affichée à l'utilisateur avant l'installation de ces composants :
{
"checks":[
{"b":[{
"l":"http://sputnikmailru.cdnmail.ru/mailruhomesearchvbm.exe?rfr=profitraf1|http://****.ru/homesearch.exe?etag=1c6cdcee2ae02ba7fabce71834b7e90b|http://****.ru/homesearch.exe?etag=1c6cdcee2ae02ba7fabce71834b7e90b",
"a":"--silent --without-updater --rfr=profitraf1 --partner_homepage=http://****.ru/software_install?hetag=1c6cdcee2ae02ba7fabce71834b7e90b&guid=$__GUID&sig=$__SIG&hash=HASH&ovr=$__OVR&browser=$__BROWSER&file_id=69643849&ext_partner_id=&did=2199397647&start=1&label=profitraf1 --mpcln=9516 --partner_dse=http://****.ru/software_install?hetag=1c6cdcee2ae02ba7fabce71834b7e90b&guid=$__GUID&sig=$__SIG&hash=HASH&ovr=$__OVR&browser=$__BROWSER&file_id=69643849&did=2199397647&search=1&ext_partner_id=&label=profitraf1 /partner_vbm=http://***.ru/software_install?hetag=1c6cdcee2ae02ba7fabce71834b7e90b&guid=$__GUID&sig=$__SIG&hash=HASH&ovr=$__OVR&browser=$__BROWSER&file_id=69643849&did=2199397647&visualbookmarks=1&ext_partner_id=&label=profitraf1 --partner_toolbar=http://****.ru/software_install?hetag=1c6cdcee2ae02ba7fabce71834b7e90b&guid=$__GUID&sig=$__SIG&hash=HASH&ovr=$__OVR&browser=$__BROWSER&file_id=69643849&did=2199397647&toolbar=1&ext_partner_id=&label=profitraf1",
"r":"HKEY_CURRENT_USER\\Software\\Mail.Ru\\homesearch\\nb_lifetime|1438100243"
}],
"y":201,
"x":60
},
{"b":[{
"l":"http://****.ru/AmigoDistrib.exe?rfr=blackbear1|http://****.ru/amigo.exe?etag=1c6cdcee2ae02ba7fabce71834b7e90b|http://****.ru/amigo.exe?etag=1c6cdcee2ae02ba7fabce71834b7e90b",
"a":"--silent --rfr=blackbear1 --ua_rfr=CHANNEL_blackbear1 --make-default=1 --partner_new_url=http:// ******.ru/software_install?hetag=1c6cdcee2ae02ba7fabce71834b7e90b&guid=$__GUID&sig=$__SIG&hash=HASH&hsig=$__HWSIG&ovr=$__OVR&file_id=69643849&ext_partner_id=&did=2199397647&amigo=1&label=blackbear1",
"r":"HKEY_CURRENT_USER\\Software\\Microsoft\\Amigo\\nb_lifetime|1438100243"
}],
"y":216,
"x":60}
],
"download":{"t":"BUTTON"},
"expand":{
"normal":[{"s":268436482,"x":60,"y":231,"w":13},{"s":402654210,"x":60,"y":231,"w":13},{"t":"STATIC","s":402653184,"c":"Paramètres standards","x":75,"y":230},{"c":"Modifier la page d'accueil et le moteur de recherche pour @mail.ru ","t":"STATIC","s":402653184,"x":75,"y":200},{"x":60,"y":201,"s":402654211,"w":13},{"c":"Installer le navigateur Amigo et le définir par défaut ","t":"STATIC","s":402653184,"x":75,"y":215},{"x":60,"y":216,"s":402654211,"w":13}],
"expand":[{"t":"STATIC","s":268435472,"w":419,"h":2,"x":0,"y":169},{"t":"SysLink","c":"Modifier la page d'accueil et le moteur de recherche pour @mail.ru ","y":200,"x":75},{"t":"SysLink","c":"Installer le navigateur Amigo et le définir par défaut","y":215,"x":75}],
"h":256
},
"h":256,
"open":{
"t":""
}
}En plus de recueillir des données sur le système infecté, le Trojan vérifie la présence d'autres logiciels malveillants, par exemple le Trojan.BPlug.116 et le Trojan.Triosir.
