Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Trojan.MulDrop7.24844

Добавлен в вирусную базу Dr.Web: 2017-04-12

Описание добавлено:

SHA1

  • da06b4f308f54a654b0b30b9f04801597c208914 (dropper)
  • f3a6b7d78d0e1b86aaf355d3bda5d82892e58650 (xservice.exe)
  • a6964dcb26580cd70f2db82c48e485f573675ef9 (xps.exe)
  • d8d38cd908d5ba645db0fb3ca13add02774bdccb (mimikatz 32-bit)
  • 60d4529dc6296a854766661760a20a0b8a0edb4e (mimikatz 64-bit)

Многокомпонентный троянец для ОС Windows. Распространяется в виде файла с именем Платежка от ООО Глобальные Системы 6 апреля 2017 года.JPG.zip в сообщениях электронной почты с темой «Оплату произвели» и следующим содержанием:

Добрый день!
Мы произвели оплату 6 апреля, но по какой то причине ответа от вас не получили.
Просим в кратчайшие сроки обработать платеж и предоставить услуги, так как у нас сроки сильно поджимают.
Копию платежки и других документов высылаем в прикрепленном архиве. 
Просьба проверить правильность указанных реквизитов в платежке. Может где то была допущена ошибка и деньги не поступили к вам на счет. В связи с этим такая задержка.
С уважением,
ООО «Глобальные Системы»

Внутри архива содержится приложение с расширением:

Платежка от ООО Глобальные Системы 6 апреля 2017 года.JPG                                                                  .exе

Исполняемый файл представляет собой зашифрованный контейнер, созданный с использованием возможностей языка Autoit и упакованный PECOMPACT. При запуске сохраняются следующие модули:

  • 32.cab и 64.cab – CAB-архивы, содержащие библиотеку cryptbase.dll для 32- и 64-разрядных версий Windows соответственно. Используется для обхода UAC (User Account Control);
  • xps.bin — зашифрованный с использованием алгоритма RC4 бинарный файл утилиты удаленного администрирования Program.RemoteAdmin.753, упакован PECOMPACT;
  • xservice.bin - зашифрованный с использованием алгоритма RC4 компонент вредоносной программы;
  • settings.dat — конфигурационный файл, содержащий настройки для Program.RemoteAdmin.753.

В момент старта сценарий проверяет, что он запущен в единственном экземпляре, в противном случае завершает свою работу. В операционной системе Microsoft Windows 8.1 при отсутствии у текущей учетной записи пользователя привилегий администратора троянец с помощью утилиты wusa.exe распаковывает из архива 32.cab или 64.cab (в зависимости от разрядности ОС) библиотеку cryptbase.dll в папку %windir%\system32\migwiz\ и запускает migwiz.exe, передав в качестве входного параметра путь до исполняемого файла троянца.

В других версиях Windows выполняет обход UAC с использованием eventvwr.exe.

Исполняемые файлы устанавливаются в папку %PROGRAMFILES%\XPS Rasterization Service Component. Троянец обеспечивает собственный автоматический запуск — в ОС Windows XP путем добавления в ключе системного реестра

[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 

параметра “XPS Rasterization Service Component". В более поздних версиях Windows автозапуск реализуется с использованием Планировщика задач:

schtasks /Create /SC ONLOGON /TN "XPS Rasterization Service Component" /TR "" "%PROGRAMFILES%\XPS Rasterization Service Component\xservice.exe" /RL HIGHEST

Троянец запускает приложения xps.exe и xservice.exe, после чего пытается извлечь и сохранить в текстовом файле пароли из браузеров Google Chrome и Mozilla Firefox.

xps.exe

Утилита удаленного администрирования, детектируемая Dr.Web как Program.RemoteAdmin.753.

xservice.exe

Зашифрованный контейнер, созданный с использованием возможностей языка Autoit и упакованный PECOMPACT. При запуске извлекает и сохраняет файл 32_en.exe или 64_en.exe (в зависимости от разрядности системы). Эти программы являются 32- и 64-разрядными версиями утилиты Mimikatz, которая предназначена для перехвата паролей открытых сессий в Windows. Файл xservice.bin может быть запущен с различными ключами, в зависимости от которых он выполняет на инфицированном компьютере те или иные действия:

ключОписание
-helpпоказать возможные ключи (справочная информация выводится в неопознанной кодировке)
-screenделает снимок экрана, сохраняет в файл с именем Screen(<HOURS>_<MINUTES>).jpg (где <HOURS>_<MINUTES> - текущее значение времени), выставляет файлу атрибуты «скрытый» и «системный»
-wallpaper <path>меняет обои на указанные в параметре <path>
-opencdоткрывает CD-привод
-closecdзакрывает CD-привод
-offdesktopвыводит в консоль текст "Not working =("
-ondesktopвыводит в консоль текст "Not working =("
-rdpзапуск RDP (см. ниже)
-getipполучает IP-адрес инфицированной машины с использованием сайта http://ident.me/
-msg <type> <title> <msg>создает диалоговое окно заданного типа (err, notice, qst, inf) с указанным заголовком и текстом
-banurl <url>добавляет в файл %windir%\System32\drivers\etc\hosts строку вида "127.0.0.1 <url>", где <url> - аргумент команды

После собственного запуска пытается также запустить Program.RemoteAdmin.753 из файла %PROGRAMFILES%\XPS Rasterization Service Component\xps.exe. Активирует кейлоггер, записывающий в файл информацию о нажатых пользователем клавишах, и создает в момент запуска снимок экрана.

Троянец открывает злоумышленникам удаленный доступ к зараженной машине по протоколу RDP (Remote Desktop Protocol). Удостоверяется в наличии утилиты для организации соединения, проверяя значение ключа реестра [HKEY_CURRENT_USER\Software\AcronisDisk] "Status". Если оно равно 1, повторная установка утилиты не выполняется.

Не пытается установить утилиту для организации соединения по протоколу RDP, если ключ [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest] "UseLogonCredentials" установлен в 0.

Скачивает с сервера Github и устанавливает на инфицированном компьютере программу Rdpwrap (детектируется Антивирусом Dr.Web как Program.Rdpwrap). Устанавливает программу запуском файла "RDPWInst.exe -i -o", используя флаг SW_HIDE для скрытия окна приложения. По завершении установки запускает утилиту RDPWInst.exe с ключом –w и выполняет следующие команды:

REGWRITE("HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server", "AllowRemoteRPC", "REG_DWORD", 1 )
REGWRITE("HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server", "AllowTSConnections", "REG_DWORD", 1 )
REGWRITE("HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server", "TSUserEnabled", "REG_DWORD", 1 )
REGWRITE("HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server", "fDenyTSConnections", "REG_DWORD",  )
REGWRITE("HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server", "fSingleSessionPerUser", "REG_DWORD",  )
REGWRITE("HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services", "Shadow", "REG_DWORD", 2 )
REGWRITE("HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa", "LimitBlankPasswordUse", "REG_DWORD",  )

С использованием ранее сохраненной на диске утилиты Mimikatz соответствующей разрядности пытается получить пароль от учетной записи текущего пользователя. Полученный пароль кодируется с использованием алгоритма base64 и сохраняется в параметре "Pwd" ключа системного реестра [HKEY_CURRENT_USER\Software\AcronisDisk]. В качестве индикатора успешной установки сохраняет значение "1" в параметре "Status" ключа реестра [HKEY_CURRENT_USER\Software\AcronisDisk]. В операционных системах Microsoft Windows 8.1 и Windows 10 считает, что получить пароль учетной записи пользователя не удалось, после чего запускает новый экземпляр интерпретатора команд CMD и выполняет команду net users <current_user> *.

Новость о тронянце

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке