SHA1:
- 9d80905df226b13e9fa252a0b58c575cb238689a
Вредоносная программа, загружаемая троянцем Trojan.LoadMoney.3209. Не упакована, имеет действительную цифровую подпись. Значительную часть тела троянца составляет зашифрованная утилита cURL. Также тело содержит библиотеку для работы с СУБД SQLite, сохраняемый на диск файл и код самого загрузчика.
Троянец выполняет синтаксический разбор командной строки при помощи регулярных выражений. При отсутствии параметров командной строки пытается прочитать их из файла %filename%:args или %filename%.args.
После разбора командной строки и инициализации троянец проверяет, запущена ли служба с именем SvcHost Service Host. Если такая служба не запущена, проверяет наличие привилегий Администратора, при их отсутствии запускает себя с использованием runas. Извлекает из собственных ресурсов cURL и сохраняет в виде файла %APPDATA%\wget\wget_1_19_4.exe. В Планировщике заданий Windows настраивает загрузку с помощью cURL исполняемого файла, который сохраняется в виде файла %APPDATA%\wget\wget.exe. Также в Планировщике заданий Windows настраивается запуск этого файла.
Троянец содержит 3 зашифрованных URL, с которых на момент исследования скачивается исполняемый файл. Этот файл сохраняется в папку %TEMP% и запускается с параметрами командной строки следующего вида:
-url=http://m****y.ru/s/?mid=$__MID&utmd=$__UTMD&itmd=$__ITMD&utm=p_14980_&action= --temporary=http://ybw***klpi.chi****ce.ru/software_install?sid=14980&sub_id=&hash=9d80905df226b13e9fa252a0b58c575cb238689a9d80905df226b13e9fa252a0&mid=$__MID&gimli_=1&fname=<SAMPLE.EXE> --sha256=d34eec80dd87819743e4f80a69796f1793bbcf74d34eec80dd87819743e4f80a
В этой строке все данные, кроме hash и sha256, являются константами и хранятся в самом троянце. После запуска скачанного файла троянец записывает в параметр Run ветви системного реестра [HKLM\SOFTWARE\Microsoft\Windows] время запуска в формате unix timestamp и удаляет с диска исходный файл.
После скачивания троянец извлекает из себя MZPE-файл без первых двух байтов, восстанавливает ему заголовок и сохраняет в папку %TEMP%. В исследованном образце сохранялся файл с SHA1: 92ed6dac6a2ac73bc49d65c868dc5bf15ad38ff7, который детектируется как Trojan.Siggen7.35395. Этот файл запускается с параметрами командной строки вида:
--chn="p_14980" --install-cert --dns="34.***.***.26;77.***.***.138"
Троянец собирает информацию о характеристиках процессора инфицированной машины и отправляет ее на сервер злоумышленников. В конце своей работы он самоудаляется с помощью MoveFileEx, либо с использованием .bat-файла.
