SHA1:
- 562a75d033a21ef179495f5b6cb8b26a2a372fd7 (update.bin)
- d3a7dbb4c0a53e95b427a742e187e080cdf0cce7 (svcnost.exe)
Троянец-майнер, устанавливавшийся в систему механизмом обновления программы для автоматизации компьютерных клубов и интернет-кафе «Компьютерный зал» (ComputerZal.exe (c993afee1c577460d21d544d10d5f74ef18eb0b4)). Эта программа периодически отсылает на PHP-сценарий по адресу http://astrumsoft.com/compzal/new_version_check.php POST-запрос, в котором передает версию приложения и данные о компьютере.
Ответ от сервера имеет следующий вид:
4.45
710
[-] Described how to configure the automatic log on to system (so computer will not ask for password after reboot/sleep)
[*] "Time out" status shows up to client computers with remaining debt only, otherwise it automatically becomes "Free"
<ENDCOMMENT>
Этот ответ с вырезанной строкой <ENDCOMMENT> передается на обработку. В приведенном примере число 710 – это идентификатор команды, на основе которого троянец выполняет различные действия. Для идентификаторов 800..809 выполняется загрузка с сервера astrumsoft.com файла update.bin и сохранение его в папку %temp% с префиксом "cztemp" или "czt". При этом в коде имя файла «update.bin» обфусцировано и к URL добавляется посимвольно.
Для идентификатора 805 файл update.bin будет загружен и запущен на выполнение.
При запуске программа update.bin завершает работу процессов "svchostm.exe" и "svcnost.exe", сохраняет на диск файл "svcnost.exe" и для его автоматического запуска модифицирует ветвь системного реестра [HKLM\Software\Microsoft\Windows\CurrentVersion\Run], регистрируя там ключ 'svchostm'. Приложение "svcnost.exe" представляет собой майнер. Данные о кошельке, на который перечисляется добытая криптовалюта, зашиты в теле троянца. Имена воркеров для исследованного образца троянца имеют префикс "soyuz6_" — этот префикс также хранится в теле вредоносной программы.
