Упаковщик: отсутствует
Дата компиляции: 16:57:11 23.10.2018
SHA1-хеши:
- 84c34167a696533cc7eddb5409739edd9af232ed (msvsct.exe)
- 2e2919ce6f643d73ff588bccdc7da5d74c611b2c (msvsct.ini, зашифрованный)
- 0b1525be40edbd28165e13e49946a57e641d3dfb (msvsct.ini, расшифрованный)
Описание
Загрузчик бэкдора BackDoor.PlugX.38, написанный на языке С и предназначенный для работы в 32- и 64-разрядных операционных системах семейства Microsoft Windows. Представляет собой исполняемый exe-файл, загружающий и расшифровывающий модуль полезной нагрузки.
Принцип действия
Загрузчик представляет собой исполняемый файл с именем msvsct.exe. В зараженной системе устанавливается по пути C:\ProgramData\AppData\msvsct.exe. Прописывается в автозагрузку через реестр: [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'AUTORUN' = "c:\programdata\appdata\msvsct.exe.
Полезная нагрузка находится в файле msvsct.ini и расшифровывается следующим скриптом:
s = ''
for i in range(len(d)):
s += chr((((ord(d[i]) + 0x77) ^ 0x78) - 0x79) & 0xff)
После расшифровки нагрузка представляет собой шелл-код, который загружает основной вредоносный модуль в виде динамической библиотеки, детектируемый как BackDoor.PlugX.38.
