Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Trojan.PWS.Spy.19338

Добавлен в вирусную базу Dr.Web: 2015-05-07

Описание добавлено:

SHA1: 1d5897759ee66047e1d4c6378a52079fac2303f5

Троянец-шпион, способный передавать киберпреступникам набираемый пользователем текст в окнах различных приложений, в том числе бухгалтерских. Распространяется дроппером Trojan.MulDrop6.44482, запускается непосредственно в памяти атакуемого компьютера без сохранения на диск в расшифрованном виде, при этом на диске хранится его зашифрованная копия. Основные функции:

  • логирование нажатий клавиш в ряде приложений;
  • передача на управляющий сервер данных об ОС на зараженной машине;
  • загрузка с управляющего сервера и запуск MZPE-файлов (как с сохранением на диск, так и без).

Имеет модульную структуру. Каждый модуль использует собственные параметры id, name, title и формат передаваемых данных. Получаемая от модулей информация хранится в едином массиве данных, в начале которого имеется следующая структура:

struct st_mod
{
  _BYTE garbage[20];
  _DWORD all_mod_data_size;
  _DWORD dword18;
  _DWORD index;
  _BYTE hash[16];
};

Значащими полями этой структуры являются:

  • all_mod_data_size - суммарный размер всех элементов массива;
  • index - количество элементов массива с данными;
  • hash - MD5-хэш данных массива. Используется для контроля целостности при передаче данных от клиента серверу.

При передаче данных этого массива с сервера, первые 20 байт (поле garbage) замещаются случайными значениями.

Остальные элементы массива имеют структуру:

struct st_mod_data
{
  _DWORD element_id;
  _DWORD magic;  
  _DWORD size;
  _DWORD size_;
  _BYTE data[];
};

Структура st_mod_data является единой для всех данных, которые помещаются в общий массив, при этом информация может исходить не только от модулей, но и просто добавляться с соблюдением формата данных. Элемент element_id в этой структуре определяет тип и формат данных:

element_idЗначение
10001Идентификатор зараженного компьютера
10002Имя ботнета (предположительно)
10003Встроенное значение 0x1000002
10005Встроенное значение 0x00
10007Заголовок модуля
10008Неизвестный параметр, не используется в данном образце
10009Дата формирования данных модулем
10010Временная метка, соответствующая моменту формирования данных модулем
10011Текущее время в UTC
10012Данные об ОС в виде структуры:
struct st_osinfo
{
  _BYTE OsVersion;
  _BYTE ServicePackMajor;
  _WORD BuildNumber;
  _WORD ProcArch;
};
10013Язык, установленный по умолчанию в системе
10014Имя модуля
10016Список IPv4-адресов зараженного компьютера
10017Список IPv6-адресов зараженного компьютера
10018ID модуля
10019Данные, сформированные модулем

Модули в процессе своей работы формируют структуру st_modinfo, которая в дальнейшем сворачивается в набор структур st_mod_data.

struct st_modinfo
{
  char *name;
  _DWORD ts;
  SYSTEMTIME time;
  _DWORD title;
  _DWORD data;
  _DWORD data_size;
  _DWORD elem10008;
  _DWORD id;
};

Массив с данными, полученными от всех модулей, сохраняется в файле %APPDATA%\Roaming\ntuser.dat в зашифрованном виде (RC4+XOR).

Вся информация, которой Trojan.PWS.Spy.19338 обменивается с управляющим сервером, шифруется в два этапа, сначала с использованием алгоритма RC4, затем — XOR.

Для записи нажатий пользователем клавиш и содержимого буфера обмена троянец создает класс окна со случайным именем. Журнал с полученными данными сохраняется в файле "%APPDATA%\Roaming\adobe\system.log". Помимо этого, троянец создает таймер, который с интервалом в 1 минуту передает содержимое журнала на управляющий сервер. Для получения данных из буфера обмена регистрирует свое окно в цепочке просмотрщиков буфера обмена с помощью функции WINAPI SetClipboardViewer().Нажатия клавиш перехватываются благодаря регистрации собственного обработчика ввода. При этом троянец проверяет имя окна, в котором осуществляется ввод, на соответствие следующим маскам. В противном случае запись проводиться не будет.

*\\Skype.exe
*\\WINWORD.EXE
*\\1cv8.exe
*\\1cv7s.exe
*\\1cv7.exe
*\\EXCEL.EXE
*\\msimn.exe
*\\thunderbird.exe
*\\sbis.exe
*\\OUTLOOK.EXE

В файл журнала помимо кодов нажатых клавиш сохраняется имя заголовка окна и имя процесса в формате:

\r\n[WND: |%s|]\r\n
[PRC: |%s|]\r\n

При логировании содержимого буфера обмена данные помещаются между маркерами:

[clp bgn]\r\n
\r\n[clp end]\r\n

Вся информация в файле журнала шифруется с помощью алгоритма XOR.

Помимо этого, троянец каждые 3 минуты собирает информацию о подключенных к компьютеру устройствах для работы с картами Smart Card и формирует с полученными данными структуру st_mod_info.

Отдельный модуль собирает информацию об операционной системе, установленной на зараженном компьютере, и сохраняет ее в следующую структуру:

struct st_dummy_info
{
  _BYTE IsAdmin;
  _BYTE MajorVer;
  _BYTE MinorVer;
  _BYTE ProductType;
};

Троянец может загружать с управляющего сервера и запускать на зараженном ПК MZPE-файлы двумя способами:

  • если в принимаемом буфере по нулевому смещению располагается сигнатура 0x5A4D, файл сохраняется в %TEMP% и запускается на выполнение;
  • если в принимаемом буфере по нулевому смещению располагается сигнатура 0x444C, MZPE запускается без сохранения на диск.

Новость о троянце

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке