SHA1
- 785f12821bd3a0adb94b277271fa81d1cadd0d8b – RTF (exploit)
- 89b28711270a891b0a04483ca8e2bb967def35bb – загрузчик
- 842688f077493d84c0d7127170558eb362bf9016 – инсталлятор
- 7b5be45e9ca77fb091a5bed34860e66ba706e085 – набор приложений (lmpack1.exe)
- 115d4b6b80096b71d50a4f2c64fbe13bef8d04f9 – набор приложений (pn_pack1.exe)
Набор приложений, предназначенных для организации несанкционированного удаленного управления инфицированным компьютером. Распространяется при помощи эксплойта Exploit.CVE2012-0158.121 в виде документа в формате RTF, при попытке открыть который на компьютере жертвы расшифровывался и сохранялся вредоносный файл. Данный файл (как, впрочем, почти все файлы из комплекта BackDoor.RatPack) имеет действительную цифровую подпись.
Данный файл-загрузчик представляет собой инсталлятор в формате NSIS (Nullsoft Scriptable Install System).
При запуске инсталлятор пытается выявить присутствие на атакуемом компьютере виртуальных машин, программ-мониторов и отладчиков, после чего проверяет наличие в системе программ «банк-клиент» нескольких российских кредитных организаций:
*ICPortalSSL *sib.taatta.net *isfront.priovtb.com *ISAPIgate.dll *bsi.dll *PortalSSL *IIS-Gate.dll *beta.mcb.ru *ibank *ibrs *iclient *e-plat.mdmbank.com *sberweb.zubsb.ru *ibc *elbrus *i-elba *clbank.minbank.ru *chelindbank.ru/online/ *uwagb *wwwbank *dbo *ib.Если все проверки прошли успешно, установщик скачивает с сервера злоумышленников и запускает на атакуемом компьютере другой установщик в формате NSIS (Nullsoft Scriptable Install System) с именем install.cab, который содержит следующие файлы:
- setup.bin - 7z архив
- setup1.bin - 7z архив
- 7za.exe
Этот установщик распаковывает защищенные паролем архивы и запускает исполняемые файлы.
setup.bin:
- lmpack1.exe
- pn_pack1.exe
setup1.bin:
- pskill.exe
Файл lmpack.exe представляет собой установщик в формате NSI, который содержит следующие файлы и сценарий установки:
7za.exe
FileTouch.exe
_??
a32.bin
a64.bin
files0.bin
files1.bin
files2.bin
files4.bin
files5.bin
h1.bin
n32.bin
n64.bin
p1.bin
setup1.binФайл pn_pack1.exe представляет собой установщик, который содержит следующие файлы и сценарий установки:
FileTouch.exe
7za.exe
files3.bin
hh.bin
files0.bin
files4.bin
setup.binПолезной нагрузкой установщика является несколько вариантов вполне легальной условно-бесплатной утилиты Remote Office Manager — специалисты компании «Доктор Веб» зафиксировали как минимум три таких варианта с разными конфигурационными настройками. С помощью перехвата ряда системных функций вредоносная программа скрывает значки этой утилиты в области уведомлений и панели задач Windows, чтобы пользователь не мог вовремя ее обнаружить.
