SHA1:
- 916f82f365bf5f8bc3e2f87422ddb10303b7a4d6
Троянская программа для добычи (майнинга) криптовалюты. Устанавливалась на серверы под управлением Microsoft Windows Server с использованием уязвимости в Cleverence Mobile SMARTS Server.
Запускается в качестве критически важного системного процесса с отображаемым именем «Plug-and-Play Service», при попытке завершить который Windows аварийно прекращает работу и демонстрирует «синий экран смерти» (BSOD). Пытается удалить следующие службы:
WinDefend
MsMpSvc
SepMasterService
DrWebEngine
DrWebAVService
AVP
AVP18.0.0
AVP17.0.0
AVP15.0.2
KAVFS
ekrn
a2AntiMalware
ZAMSvc
AntiVirService
QHActiveDefense
Пытается обнаружить и завершить следующие работающие процессы:
anvir
msmpeng
dwengine
dwservice
ekrn
avp
kavfs
ccsvchst
cmdagent
a2service
ZAM
avguard
QHActiveDefense
Если хотя бы один из указанных процессов удается обнаружить, троянец расшифровывает свой ресурс Service.x64.dat, в котором хранится драйвер Process Hacker, сохраняет его на диск с именем x64.sys и загружает. С помощью этого драйвера он прекращает работу обнаруженных процессов.
Из конфигурации получает следующий список портов:
8100
9100
10100
11100
12100
Затем вредоносная программа запускает службу SSDPSRV и пытается обнаружить в сетевом окружении роутер. Для каждого порта из полученного списка с помощью протокола UPnP троянец перенаправляет TCP-порт роутера на зараженный сервер. Затем начинает отслеживать порты из списка в ожидании входящего HTTP-соединения.
Для определения работающих управляющих серверов, список IP-адресов которых хранится в конфигурации троянца, он отправляет на них следующую строку:
"{\"id\":1,\"jsonrpc\":\"2.0\",\"method\":\"login\",\"params\":{\"login\":\"0\",\"pass\":\"x\",\"agent\":\"Test/1.0\"}}\r\n"Необходимые для своей работы настройки вредоносная программа хранит в системном реестре Windows:
[HKEY_CLASSES_ROOT]\\datfile
Затем троянец настраивает на зараженной машине прокси-серверы для добычи криптовалют, используя следующие порты:
8080
8081
8082
9080
9081
9082
8083
8084
8085
9083
9084
9085
Троянец отслеживает состояние порта 51515. При подключении к нему удаленного пользователя он ожидает команды "deadbeef", получив которую, запускает командную оболочку PowerShell и перенаправляет ввод-вывод на сокет подключившегося пользователя.
Выполнив эти действия, троянец встраивает во все запущенные процессы модуль, предназначенный для добычи криптовалют. Для каждого процесса троянец:
- извлекает свой ресурс "Service.rmxi.dat", расшифровывает его с использованием алгоритма XOR и сохраняет со случайным именем и расширением;
- с использованием функций WinAPI VirtualAllocEx, WriteProcessMemory, RtlCreateUserThread и LoadLibrary встраивает этот модуль в процесс.
Расшифрованный "Service.rmxi.dat" представляет собой майнер, который вместо того, чтобы получать задания/отправлять результаты на пул, делает это через созданные троянской службой именованные каналы (pipe).
Для работы майнера троянец:
- создает ивент "Global\\{F2B06D4B-01B0-4F5C-B0FF-DC9F73696E63}" – для криптовалюты XMR;
- создает ивент "Global\\{9D91E9F3-F27B-44F7-8A9D-4D67BEFB5D08}" – для криптовалюты Aeon;
- создает FileMapping "Global\\{CCE2F35E-0F38-413A-B118-EDF75722B8E4}" для хранения конфигурации.
Троянец создает два именованных канала (pipe):
- "{29F248DD-592B-48AF-B9F3-1596AA1BB280}" – для XMR
- "{111A00F9-3BF6-49D2-9A19-5FB4A50D68AF}" – для Aeon
IPC используется для обмена заданиями с майнером и получения результатов его работы.
Также вредоносная программа может сканировать сеть на наличие серверов с установленным ПО Cleverence.
Для обработки входящих HTTP-соединений троянец получает полный путь и параметры запроса, разбивает полученную строку на подстроки с разделителем ' / ' и проходит по полученным подстрокам. Если подстрока совпадает с "result", расшифровывает base64, распаковывает данные и выполняет синтаксический разбор XML. XML должен содержать два поля – Address и Port. Если подстрока совпадает с "proxy", отправляет список IP-адресов из конфигурации, собрав их в строку с разделителем ' | ', после чего добавляет себе в конфигурацию пришедшие адреса других зараженных узлов (также разделены ' | ').
| Новость о троянце |
