ПОЛЬЗОВАТЕЛЯМ

Закрыть

Поиск

Поиск

Поддержка
Круглосуточная поддержка

Напишите

Запрос через форму

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Напишите

Задать вопрос в поддержку

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

RU
RU CN DE EN ES FR IT JP KZ UZ PL BY ID
Закрыть

Переключение языка сайта

Сервисы
Сканеры
FixIt!
Dr.Web vxCube
Экспертиза ВКИ
Вирусная библиотека
База знаний

Технологии

Термины

Обучение и просвещение

Мифы

Новости

Trojan.Belonard.9

Добавлен в вирусную базу Dr.Web: 2019-02-01

Описание добавлено:

Пакер: Winlicense

Дата компиляции и SHA1-хэши:

  • 2420d5ad17b21bedd55309b6d7ff9e30be1a2de1 (ssdp32.dll, x86) - 20.02.2018 13:03:18

Описание

Является одним из компонентов троянца Belonard. Оригинальное имя ssdp32.dll, имеет экспорт "x". Скачивается троянцем Trojan.Belonard.6 и устанавливается в систему с именем ssdp32.dll. Представляет собой полезную нагрузку троянца Belonard.

Принцип действия

Расшифровывает адрес управляющего сервера - ixtzhunk.valve-ms[.]ru:37811. В отличие от других модулей, Trojan.Belonard.9 связывается с сервером по UDP.

Формирует структуру:


struct client_info
{
  _BYTE aeskey[32];
  _WORD port;
}

Данные шифруются находящимся в троянце RSA-ключом, после чего в начало зашифрованных данных дописывается нулевой байт, и полученный буфер отправляется на управляющий сервер. В ответ сервер отправляет файл размером не менее 97 байт. Полученные данные расшифровываются с помощью AES в режиме CFB с длинной блока 128 бит, ключ создается с помощью client_info->aeskey, вызовом EVP_BytesToKey(cipher, md_sha256, 0, &st_packet->aeskey2, 32, 5, key, iv). При этом первые 32 байта должны совпадать с SHA256-хэшем от остальных расшифрованных данных.

Полученные данные содержат различные параметры, которые в дальнейшем используются для создания игровых прокси-серверов:


struct fake_srv_params
{
  _DWORD steamappid;
  _DWORD stamapi_param;
  unsigned __int16 num_of_fake_servers;
  unsigned __int16 game_srv_low_port;
  _DWORD sleep_delay;
  unsigned __int16 fakesrvbatch;
  _DWORD SrvQueryAnsDelay;
  _DWORD rnd_data_update_interval;
  _DWORD min_param_value;
  _DWORD max_param_value;
  unsigned __int8 min_players_on_server;
  unsigned __int8 max_players_on_server;
  unsigned __int8 min_players_on_server_for_naming;
  unsigned __int8 max_players_on_server_for_naming;
  _DWORD min_player_kills;
  _DWORD max_player_kills;
  _DWORD min_player_uptime;
  _DWORD max_player_uptime;
  _DWORD uptimemul;
  _DWORD check_period;
  char szGameName[];
  char szProtocolVersion[];
  char szServerName[];
};

Троянец создает некоторое количество игровых прокси-серверов, равное значению параметра num_of_fake_servers, после чего регистрирует их через Steam API. Порты игровых серверов берутся последовательно от нижнего значения game_srv_low_port, указанного сервером. Также сервер задает fakesrvbatch, от значения которого зависит количество потоков эмулятора протокола.

Эмулятор поддерживает следующие базовые запросы к серверу игр на движке Goldsource: A2S_INFO, A2S_PLAYER, A2A_PING, получение challenge steam/non-steam клиента, а также команду клиента Counter-Strike "connect". После формирования валидного ответа на команду "connect" троянец отслеживает только первый и второй пакеты от клиента.

После получения валидного ответа от сервера на команду «connect» клиент посылает команду «new» (пакет \x03new\x00\x01\x01\x01), на которую троянец отвечает пакетом:

Trojan.Belonard.9 #drweb

В ответ на это клиент посылает пакет svc_nop - \x01\x01\x01\x01\x01\x01\x01\x01. На что троянец отвечает:

Trojan.Belonard.9 #drweb

Последний переданный троянцем пакет - это svc_director с типом сообщения DRC_CMD_STUFFTEXT, который позволяет выполнить произвольные команды клиента Counter-Strike.

Данная уязвимость известна компании Valve с 2014 года. Описание доступно на GitHub.

Таким образом, при попытке подключиться к игровому прокси-серверу игрок перенаправляется на сервер разработчика троянца - bmeadaut[.]valve-ms[.]ru:28372, где производится попытка эксплуатации нескольких уязвимостей в клиенте для установки компонентов Trojan.Belonard.

В эмуляторе существует баг в реализации ответов на запрос challenge от клиента. В ответе отсутствует случайная составляющая, что делает возможным обнаружение прокси-серверов.

  • На запрос A2S_PLAYER без challenge (\xff\xff\xff\xffU\xff\xff\xff\xff") сервер отвечает \xff\xff\xff\xffAxH0a.
  • На запрос challenge valve (\xff\xff\xff\xffgetchallenge valve\0a) сервер отвечает \xff\xff\xff\xffA00000000 629446400 2\0a.
  • На запрос challenge steam (\xff\xff\xff\xffgetchallenge steam\0a) сервер отвечает \xff\xff\xff\xffA00000000 629446400 3 1 0\0a.

Кроме того, часть вредоносных серверов можно распознать по названию в клиенте Counter-Strike. У некоторых игровых прокси-серверов в графе "Game" будет строка вида "Counter-Strike       n", где n равно числу от 1 до 3.

Часть строк троянца зашифрована. Такой же алгоритм используется в других модулях троянца. Скрипт для расшифровки:


def decrypt(d):
    s = ''
    c = ord(d[0])
    for i in range(len(d)-1):
        c = (ord(d[i+1]) + 0xdc*c - 0x31*ord(d[i]) - 0x26) & 0xff
        s += chr(c)
    return s

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

Скачать Dr.Web с Apple Store

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Скачать с сайта
Скачать с Google Play