Форум VolSat - Показать сообщение отдельно - Кибербезопасность-обсуждение

Tuflya07 · 16.06.2010, 20:29

Backdoor.Win32. Trup.a

14 июня, 2010

Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Программа является приложением Windows (PE EXE-файл). Имеет размер 24576 байт. Написана на С++.
Инсталляция

После активации бэкдор инфицирует Mbr (Master Boot Record). Таким образом при загрузке mbr из первых 37 секторов считывает и расшифровывает основной код вредоноса, после чего из 38 сектора считывает и расшифровывает копию оригинального Mbr (шифр меняет местами тетрады в байте) и продолжается загрузка ОС.

Далее создается поток, который создает файл на винчестере:
%WinDir%\ali.exe
Данный файл имеет размер 17408 байт. Детектируется Антивирусом Касперского, как оригинальное тело бэкдора Backdoor.Win32.Trup.a. и создается ключ автозагрузки:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"qQ" = "%WinDir%\ali.exe"
После запуска файла "%WinDir%\ali.exe", удаляется ключ автозагрузки и при помощи функции "rename" файл "ali.exe" перемещается во временный каталог текущего пользователя Windows под именем "110.txt":
%Temp%\110.txt
Также во временном каталоге текущего пользователя Windows создается копия тела бэкдора под именем "124.txt":
%Temp%\124.txt
Всем созданным файлам присваивается атрибут "скрытый".
Деструктивная активность

Для контроля уникальности своего процесса в системе бэкдор создает уникальный идентификатор с именем:
LockIE..
Бэкдор создает поток, который периодически загружает зашифрованный файл конфигурации в кеш IE со следующего URL:
http://list.577q.com/sms/xxx.ini
Далее файл расшифровывается и сохраняется в корневой каталог Windows под именем "Win.ini":
%WinDir%\Win.ini
Бэкдор из файла конфигурации получает ссылку для загрузки файла. Загруженный файл сохраняется в кеш IE, после чего запускается на выполнение. На момент создания описания ссылки для загрузки файла не было.

Также считывает из указанного выше файла URL. Если пользователь работает с браузером Internet Explorer, TheWorld Browser, SOGOUEXPLORER или QQ, то будет он будет перенаправлен по ссылке, считанной из файла. На момент составления описания браузер переправлялся по ссылке
http://66.79.168.187:55325/tuling.html
Отправляет следующий HTTP запрос на сервер злоумышленнику:
http://list.577q.com/sms/do.phpuserid=<rnd1>&time=<rnd2>&msg
=<rnd3>&pauid=1
Где <rnd1> - физический адрес сетевой карты, <rnd2> - текущая дата и время, Купи в Softkey 10 корпоративных лицензий Microsoft Office 2010 и получи подарок!
До 30 июня всем покупателям корпоративных лицензий Microsoft Office 2010 в Softkey бонусные карты "М.Видео", "Л'Этуаль" и "Спортмастер" от 1000 рублей в ПОДАРОК!
<rnd3> - последовательность цифр, например "01704800628118".

16.06.2010, 20:29	#11
Tuflya07 Гуру Регистрация: 07.10.2007 Ресивер: Openbox X-800 Сообщений: 10,465 Сказал(а) спасибо: 2,818 Поблагодарили 5,637 раз(а) в 4,437 сообщениях Вес репутации: 48	Backdoor.Win32. Trup.a 14 июня, 2010 Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Программа является приложением Windows (PE EXE-файл). Имеет размер 24576 байт. Написана на С++. Инсталляция После активации бэкдор инфицирует Mbr (Master Boot Record). Таким образом при загрузке mbr из первых 37 секторов считывает и расшифровывает основной код вредоноса, после чего из 38 сектора считывает и расшифровывает копию оригинального Mbr (шифр меняет местами тетрады в байте) и продолжается загрузка ОС. Далее создается поток, который создает файл на винчестере: %WinDir%\ali.exe Данный файл имеет размер 17408 байт. Детектируется Антивирусом Касперского, как оригинальное тело бэкдора Backdoor.Win32.Trup.a. и создается ключ автозагрузки: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "qQ" = "%WinDir%\ali.exe" После запуска файла "%WinDir%\ali.exe", удаляется ключ автозагрузки и при помощи функции "rename" файл "ali.exe" перемещается во временный каталог текущего пользователя Windows под именем "110.txt": %Temp%\110.txt Также во временном каталоге текущего пользователя Windows создается копия тела бэкдора под именем "124.txt": %Temp%\124.txt Всем созданным файлам присваивается атрибут "скрытый". Деструктивная активность Для контроля уникальности своего процесса в системе бэкдор создает уникальный идентификатор с именем: LockIE.. Бэкдор создает поток, который периодически загружает зашифрованный файл конфигурации в кеш IE со следующего URL: http://list.577q.com/sms/xxx.ini Далее файл расшифровывается и сохраняется в корневой каталог Windows под именем "Win.ini": %WinDir%\Win.ini Бэкдор из файла конфигурации получает ссылку для загрузки файла. Загруженный файл сохраняется в кеш IE, после чего запускается на выполнение. На момент создания описания ссылки для загрузки файла не было. Также считывает из указанного выше файла URL. Если пользователь работает с браузером Internet Explorer, TheWorld Browser, SOGOUEXPLORER или QQ, то будет он будет перенаправлен по ссылке, считанной из файла. На момент составления описания браузер переправлялся по ссылке http://66.79.168.187:55325/tuling.html Отправляет следующий HTTP запрос на сервер злоумышленнику: http://list.577q.com/sms/do.phpuserid=<rnd1>&time=<rnd2>&msg =<rnd3>&pauid=1 Где <rnd1> - физический адрес сетевой карты, <rnd2> - текущая дата и время, Купи в Softkey 10 корпоративных лицензий Microsoft Office 2010 и получи подарок! До 30 июня всем покупателям корпоративных лицензий Microsoft Office 2010 в Softkey бонусные карты "М.Видео", "Л'Этуаль" и "Спортмастер" от 1000 рублей в ПОДАРОК! <rnd3> - последовательность цифр, например "01704800628118". __________________