Trojan.MonsterInstall.3

SHA1:

• cf20c882dcc427bff822fa2c54fab39397a8d6e7 (codeX)
• 873ba485d40199ab7f7ebe1258aa56e09625f3af (codeX, decrypted)
• 0f5d2fe52f15adb6813bd398dcc1e10de52e2953 (main.js)

Описание

Модуль троянца MonsterInstall. Загружается на устройство в виде архива 0-0-3-0-worker.7z другим модулем – Trojan.MonsterInstall.2.

Содержимое архива:

• node_modules,
• 7za.exe,
• codeX,
• main.js,
• sysnode.exe (исполняемый файл Node.js).

Принцип действия

main.js читает файл codeX, расшифровывает его, используя XOR со строкой "xor", и выполняет.

Файл codeX создает мьютекс "MoonTitleWorker", затем формирует json с информацией о системе и троянце:

{"userId": id, "starter": [], "worker": [], "source": [], "osInfo": {"isX64": True, "osString": "Windows 7 Enterprise"}}

После чего отправляет эту информацию POST-запросом на http://xyi-sosi-guboi-trisi[.]xyz:1001/getApps. Ответ сервера может содержать информацию о приложениях, которые нужно установить. Пример ответа:

{
    "body": {
        "apps": [{
            "hash": "452f8e156c5c3206b46ea0fe61a47b247251f24d60bdba31c41298cd5e8eba9a",
            "size": 8137466,
            "version": [2, 0, 0, 2],
            "link": "xmr-1-64.7z",
            "path": "%pf%\Microsoft JDX\64",
            "runComand": "%path%\moonlight.exe start.js",
            "name": "xmr64"
        }]
    },
    "head": "O~¨^Óå+ßzIçsG¬©®üS„ʶ$êL–LùθZ\f\u0019ÐÐ\u000e\u0004\u001cÀU¯\u0011š)áUÚ\u001flß²A\u001fôÝÔ숱y%\"DP»^¯«FUâ\u001cÔû\u001dµ´Jï#¬ÌȹÎÚª?\r—]Yj·÷õ³—\u001e°ÖÒ\\鉤d’BT\u0019·¦FõVQ°Aç’)\u001cõªµ¦ýûHlb͸þ}éŒ\u0000jvÔ%S;Ã×þA\u0011ß‘I[´\u0004ýÚ\u0007Z:ZÂ\n–ñz#ÈBö›²2\u0007ήJw±è®TVoŸå\bÖR3½ù;ƒó\u0011É̀ÅÖàð06ÓeÕþ­ˆ”7Ùš\u0011•»”˜¢5µgôÛc˜®&L\u000fê.?!Çæ}¨\u001eÕ—J#A¼_Ì\u0015càñb"
}

Троянец скачивает версии приложения, которых нет на устройстве. Для этого отправляется POST-запрос с теми же данными, что и в предыдущем запросе, но на другой URL: http://xyi-sosi-guboi-trisi[.]xyz:1001/<link>, где <link> – это параметр "link" для соответствующего приложения из ответа сервера.

Троянец проверяет, совпадают ли размер и хэш скачанного файла с тем, что указано сервером в параметрах "hash" и "size". Если данные совпадают, троянец перемещает файл по пути из параметра "path" и запускает команду, указанную в поле "runCommand". Информация о скачанном приложении сохраняется в реестре: [HKLM\SOFTWARE\Microsoft\MoonTitle\apps\].

Если на устройстве работает приложение более старой версии, троянец удаляет его и устанавливает по описанной выше схеме.

В зависимости от разрядности системы сервер отправляет в ответ архив xmr-1.7z или xmr-1-64.7z (Trojan.MonsterInstall.4).

Новость о троянце