Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

BackDoor.Neutrino.50

Добавлен в вирусную базу Dr.Web: 2015-05-02

Описание добавлено:

SHA1 fcf7197bbae81292dc9e444dd9ee1fb6f510cd05 (упакованный)
a2b801df9bd8438adcf3c08d44bc42e34a83f7d8 (неупакованный)

Многофункциональный бэкдор, способный заражать PОS-терминалы. Известны случаи его распространения через эксплуатацию уязвимости CVE-2012-0158.

При запуске бэкдор проверяет наличие в окружении виртуальных машин, для чего:

  1. проверяет наличие отладчика через вызов API IsDebuggerPresent;
  2. проверяет наличие отладчика через вызов API CheckRemoteDebuggerPresent;
  3. проверяет имя пользователя на совпадение с:
    • MALTEST;
    • TEQUILABOOMBOOM;
    • SANDBOX;
    • VIRUS;
    • MALWARE;
  4. приводит имя файла в верхний регистр и проверяет на совпадение с:
    • SAMPLE;
    • VIRUS;
    • SANDBOX;
  5. проверяет наличие экспорта "wine_get_unix_file_name" в kernel32.dll;
  6. проверяет наличие ветки реестра "HKLM\\SOFTWARE\\VMware, Inc.\\VMware Tools";
  7. проверяет значение ключа "HKLM\\HARDWARE\\DEVICEMAP\\Scsi\\Scsi Port 0\\Scsi Bus 0\\Target Id 0\\Logical Unit Id 0\\Identifier" на совпадение со строками "VMWARE", "VBOX", "QEMU";
  8. проверяет значение ключа "HKLM\\HARDWARE\\Description\\System\\SystemBiosVersion" на совпадение со строками "VBOX", "QEMU", "BOCHS";
  9. проверяет наличие ветви реестра "HKLM\\SOFTWARE\\Oracle\\VirtualBox Guest Additions";
  10. проверяет значение ключа "HKLM\\HARDWARE\\Description\\System\\VideoBiosVersion" на совпадение со строкой "VIRTUALBOX".

В случае обнаружения виртуальной машины троянец выводит сообщение об ошибке "An unknown error occurred. Error - (0x[случайное число])", после чего BackDoor.Neutrino.50 удаляет себя из системы.

В процессе установки троянец создает каталог "%AppData%\\W2VTWFFiQQ" и копирует себя в него. Регистрирует собственную копию в автозагрузке путем модификации ключа системного реестра "Software\\Microsoft\\Windows\\CurrentVersion\\Run". Ветка (HKLM/HKCU) выбирается исходя из наличия административных прав.

В качестве имени параметра выбирает файл из директории %windir%, подходящий под маску:

install*.exe
setup*.exe
update*.exe
patch*.exe

При отсутствии такового выбирает имя "svchost.exe".

Копирует себе дату создания файла "explorer.exe" и устанавливает для файла атрибуты «скрытый» и «системный».

Запускает отдельный поток, который отслеживает наличие ключа для автозагрузки в системном реестре. Если ключ удален или модифицирован, то добавляет его заново.

После успешного запуска бэкдор собирает данные об инфицированной системе, в частности, значения GUID ("HKLM\\Software\\Microsoft\\Cryptography\\MachineGuid"), тип ОС и ее разрядность, тип и версию установленного антивируса.

Троянец обладает возможностью удалять на инфицированном компьютере другие вредоносные программы. Для этого он проверяет исполняемые файлы с расширением "*.exe" в папках %APPDATA%, %TEMP%, %ALLUSERSPROFILE% функцией WinVerifyTrust. Если верификация не завершилась успехом и найден соответствующий запущенный процесс, бэкдор удаляет его из автозагрузки, модифицируя ветвь реестра "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" (HKLM/HKCU выбирается в зависимости от наличия административных прав), после чего удаляет сам файл.

Попутно бэкдор считает количество удаленных вирусов и потом сообщает данное число управляющему серверу.

Помимо функций троянца для POS-терминалов, данный бэкдор обладает возможностью красть информацию из почтового клиента Microsoft, а также учетные данные для доступа к ресурсам по протоколу FTP с использованием ряда популярных FTP-клиентов:

filezilla.exe
ftprush.exe
winscp.exe
coreftp.exe
freeftp.exe
far.exe
ftpte.exe
smartftp.exe
flashfxp.exe
totalcmd.exe

Среди запущенных процессов ищет процессы браузеров:

firefox.exe
chrome.exe
iexplore.exe
opera.exe

и перехватывает в них функции отправки данных (PR_Write, send, WSASend, HttpSendRequestW, InternetWriteFile). На управляющий сервер отправляются данные POST-запросов, которые содержат подстроку "ocsp" или "application/ocsp-request", для браузера Microsoft Internet Explorer передаются данные всех POST-запросов.

В ветви системного реестра "HKCU\\Software\\N3NNetwork\\" в ключе "rate" указан интервал между обращениями к управляющему серверу. Бэкдор считывает это число и умножает на 60 секунд. Однако результирующий интервал не может превышать 1 часа.

Данные передаются на сервер в форме строки вида "cmd=1&uid=%s&os=%s&av=%s&version=%s&quality=%i", где uid - GUID зараженного компьютера, os - данные об ОС, av - установленный антивирус, version - версия бэкдора, quality - количество найденных вирусов.

Список управляющих серверов зашит в теле троянца. Он имеет вид UNICODE-строки, зашифрованной base64. Строка может содержать несколько управляющих серверов, разделителем является символ '*'. Во время инициализации бэкдор поочередно перебирает серверы, пока не найдет первый, который ответит на ping-запрос.

Пример ответа сервера на ping-запрос:

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"><HTML>
<HEAD><TITLE>404 Not Found</TITLE></HEAD><BODY><H1>Not Found</H1>
The requested URL /ionocube_/tasks.php was not found on this server.</BODY></HTML>
<!-- DEBUGcG9uZw==DEBUG -->

Из ответа сервера извлекаются полезные данные между строками "DEBUG" и "DEBUG", которые зашифрованы base64.

Для передачи информации на управляющий сервер его адрес извлекается из реестра, расшифровывается, после чего троянец формирует запрос вида:

"POST <!target> HTTP/1.0\r\n"
                    "Host: \r\n"
                    "User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:35.0) Gecko/20100101
Firefox/35.0\r\n" "Content-type: application/x-www-form-urlencoded\r\n" "Cookie: authkeys=21232f297a57a5a743894a0e4a801fc3\r\n" "Content-length: <!len>\r\n" "\r\n" "<!payload>\n",

где target, host извлекаются из адреса сервера, куда следует отправлять краденные данные, len - длина полезной нагрузки, payload - это строка, зашифрованная base64.

Похищенные треки банковских карт троянец передает с помощью запроса:

d=1&type=%s&data=%s

где type - строка "Track1" или "Track2", data - извлеченные из памяти процесса данные.

Бэкдор умеет выполнять следующие команды:

cmdКоманда
botkillerУдаление других вредоносных программ
cmdПередать поступившую команду интерпретатору cmd.exe
dwfloodФлуд удаленного узла запросами на скачивание файла (файл выкачивается, удаляется и снова закачивается)
findfileНайти и загрузить на удаленный сервер указанный файл
httpОтправить GET-/POST-запрос
httpsНачать атаку методом HTTPS-Flood
infectПопытаться заразить компьютеры в локальной сети и сменные носители
keyloggerЗапустить кейлоггер (фиксирует буфер обмена, нажатия клавиш, по нажатию левой кнопки мыши сохраняет снимок экрана)
loaderСкачать .dll файл и запустить его с использованием утилиты regsvr32
rateУстановить период опроса управляющего сервера
slowОтправить POST-запрос с полезной нагрузкой "X-a: b\r\n"
tcpНачать атаку методом TCP Flood
udpНачать атаку методом UDP Flood
updateОбновиться (обновление скачивается по указанной в команде ссылке)

Индикаторы присутствия:

Мьютекс: "W2VTWFFiQQ"
Каталог: "%AppData%\\W2VTWFFiQQ"
Наличие ветви реестра: "HKCU\\Software\\N3NNetwork\\"

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке