Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Trojan.BtcMine.1324

Добавлен в вирусную базу Dr.Web: 2017-06-29

Описание добавлено:

SHA 1:

  • 24f4f3c8586877d26a7f04b54a8f05398d8ff3c5

Троянская программа, предназначенная для добычи (майнинга) криптовалюты. Устанавливалась на серверы под управлением Microsoft Windows Server с использованием уязвимости в Cleverence Mobile SMARTS Server по протоколу RDP.

Представляет собой динамическую библиотеку (DLL), имеющую 5 экспортов:

1  .00000001`800029D0 Install
2  .00000001`80001690 ServiceMain
3  .00000001`800025C0 Stealth
4  .00000001`80001F40 Test
5  .00000001`80002DD0 Uninstall

После получения несанкционированного доступа к серверу злоумышленники сохраняют библиотеку в папку %TEMP% и запускают ее с использованием rundll32:

2017-Jul-19 10:33:07.011857 [5320] [INF] [1600] [arkdll] 
id: 49444, timestamp: 10:33:07.011, type: PsCreate (16), flags: 1 (wait: 1), cid: 8380/10700:\Device\HarddiskVolume2\Windows\System32\cmd.exe
  source context: start addr: 0x7ff64f886e20, image: 0x7ff64f880000:\Device\HarddiskVolume2\Windows\System32\cmd.exe
  created process: \Device\HarddiskVolume2\Windows\System32\cmd.exe:8380 --> \Device\HarddiskVolume2\Windows\System32\rundll32.exe:12920
  bitness: 64, ilevel: high, sesion id: 15, type: 0, reason: 1, new: 1, dbg: 0, wsl: 0
  curdir: C:\Windows\system32\, cmd: rundll32  Inject.dll,Stealth SPB06
  status: signed_microsoft, system_file_host, spc / signed_microsoft / clean
id: 49444 ==> allowed [2], time: 0.739863 ms

Экспорт Install

В системном реестре Windows Server создает ключ [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost], сохраняет в поле "netsvcs" строку "WdiServerHost", которая является именем будущей троянской службы. Создает службу "WdiServerHost" с отображаемым именем "Узел сервера диагностики" и следующим описанием:

Узел сервера диагностики используется службой политики диагностики для размещения средств диагностики, запускаемых в контексте локальной системы. Если остановить эту службу, некоторые средства диагностики, зависящие от нее, не смогут работать.

Служба имеет автоматический запуск, в качестве исполняемого файла прописывается "%%SystemRoot%%\system32\svchost.exe -k netsvcs". Затем с использованием ветви системного реестра [HKLM\SYSTEM\CurrentControlSet\services\WdiServerHost\Parameters] при помощи параметра "ServiceDll" троянец указывает себя в качестве загружаемой сервисом библиотеки. Для параметра "ServiceDllUnloadOnStop" устанавливается значение «1», после чего служба запускается.

Экспорт Stealth

Получает привилегии "SeBackupPrivilege" и "SeRestorePrivilege". Читает значение параметра "netsvcs" ключа системного реестра [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost]. Если значение оказывается пустым, завершает свою работу.

Перебирает системные службы, перечисленные в "netsvcs", в поисках службы с типом запуска, установленным в SERVICE_DEMAND_START или SERVICE_DISABLED. Если искомая служба найдена, копирует время создания, изменения и доступа файла, указанного в ServiceDll службы, удаляет оригинальный файл службы и записывает на его место свою копию, установив время создания, изменения и доступа как у оригинального файла. В параметре "ServiceWorker" сохраняет входной параметр. Устанавливает для службы автоматический способ запуска и запускает ее.

Экспорт ServiceMain

Получает привилегию "SeDebugPrivilege". Получает адрес функции "NtSetInformationProcess" из ntdll.dll и устанавливает для своего процесса флаг критического процесса. Ищет первый диск с параметром DRIVE_FIXED, на нем выбирает первую папку. Если приведенное к нижнему регистру имя папки не совпадает с "$recycle.bin", извлекает из собственных ресурсов и сохраняет в нее свои файлы:

screenshot Trojan.BtcMine #drweb

Все файлы троянца зашифрованы с использованием операции XOR, при сохранении в конец каждого из них дописывается от 5 до 50 случайных байт (чтобы при каждом сохранении файлов были разные хэши). Проверяет доступность пулов и список доменов со списком возможных портов:

screenshot Trojan.BtcMine #drweb

Если хотя бы один из серверов работает, троянец запускает сохраненный в файле svchost.exe майнер со следующими параметрами:

-t %d -a cryptonight -o stratum+tcp://%s -O 4JUdGzvrMFDWrUUwY3toJATSeNwjn54LkCnKBPRzDuhzi5vSepHfUckJNxRL2gjkNrSqtCoRUrEDAgRwsQvVCjZbS15Y5w6TATZ1WR7Tke.%s:x

Параметры включают:

  • количество ядер процессора;
  • адрес работающего сервера;
  • строка, сохраненная в параметре ServiceWorkers троянской службы.

Для созданного процесса устанавливается флаг критического процесса.

Экспорт Test

Выполняет те же действия, что и экспорт Stealth, но перезаписывает своей копией не одну службу, а столько служб, сколько подходит под заданные параметры.

Экспорт Uninstall

Удаляет службу "WdiServerHost".

Лечение

Поскольку троянец заменяет собой одну из системных служб Windows Server, лечение зараженного сервера выполняется в несколько этапов.

  1. Просканируйте инфицированный сервер с использованием антивируса Dr.Web или утилиты Dr.Web CureIt!, подтвердите предложение антивирусной программы вылечить зараженные файлы.
  2. Перезагрузите сервер. Для восстановления удаленной троянцем системной библиотеки выполните в консоли команду:
    sfc /scannow
    
  3. Снова перезагрузите сервер.
  4. Установите обновления безопасности, выпущенные разработчиком Cleverence Mobile SMARTS Server, которые закрывают уязвимость приложения.
  5. Следует ограничить сетевой доступ извне к ПО Cleverence Mobile SMARTS Server.
  6. Смените пароли для всех учетных записей пользователей на вашем сервере.

Новость о троянце

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке