SHA1:
- 21d6f7980e6b1383c0cc813bfc003f2adf51eb74 (start.js)
- 52e021f47f487e58d9a8edfb887925e2e75be256 (update.js)
- 980f067ce3976a3f40e1a39e1bc8b74c3849f91e (startDll.dll)
- d337eeefdf45055a1e3fbf26abe7ca8eb5c2295a (updateDll.dll)
- b6a9db83a915494fa0b22cd116ec26cbe4d166ce (ESP чит для КС ГО.exe)
Описание
Один из компонентов троянца MonsterInstall. Представляет собой бэкдор, написанный на JavaScript и C++. js-скрипты запускаются с помощью исполняемого файла Node.js.
Принцип действия
В системе устанавливается в папку C:\Windows\WinKit\0.0.0.115.
ESP чит для КС ГО.exe
Размещен по адресу: https://proplaying[.]ru/load/counter_strike_global_offensive/cs_go_chity/rage_chit_dlja_cs_go/27-1-0-1993
Троянец создает на устройстве пользователя мьютекс "cortelMoney-suncMutex" и читает из реестра ([HKLM\Software\Microsoft\Windows Node]) свои параметры. После чего распаковывает содержимое data.bin в %WINDIR%\WinKit\ и устанавливает службу для запуска start.js.
start.js
Загружает библиотеку startDll.dll и вызывает ее экспорт "mymain".
update.js
Загружает библиотеку updateDll.dll и вызывает ее экспорт "mymain ".
startDll.dll
Библиотека с единственным экспортом "mymain".
Читает из реестра ([HKLM\Software\Microsoft\Windows Node]) свои параметры.
Запускает %WINDIR%\WinKit\msnode %WINDIR%\WinKit\update.js, после чего останавливает службу "Windows Node".
updateDll.dll
Библиотека с единственным экспортом "mymain". Отправляет запросы на google.com, yahoo.com, facebook.com раз в 10 секунд до тех пор, пока в ответ не поступит код 200. Затем отправляет на свой сервер http://s44571fu[.]bget[.]ru/CortelMoney/enter.php POST-запрос с конфигурационными данными:
{"login":"NULL","mainId":"PPrn1DXeGvUtzXC7jna2oqdO2m?WUMzHAoM8hHQF","password":"NULL","source":[0,0,0,0],"updaterVersion":[0,0,0,0],"workerVersion":[0,0,0,0]} Для базовой авторизации используется пара "cortel:money", а User-Agent – "USER AGENT".
Ответ сервера:
{
"login": "240797",
"password": "tdzjIF?JgEG5NOofJO6YrEPQcw2TJ7y4xPxqcz?X",
"updaterVersion": [0, 0, 0, 115],
"updaterLink": "http:\/\/s44571fu.bget.ru\/CortelMoney\/version\/0-0-0-115-upd.7z",
"workerVersion": [0, 0, 3, 0],
"workerLink": "http:\/\/s44571fu.bget.ru\/CortelMoney\/version\/0-0-3-0-work.7z"
}
Для базовой авторизации последующих запросов будут использоваться login:password, сообщенные сервером. Если текущая версия троянца старше предлагаемой сервером, троянец скачивает более новую версию по указанной ссылке.
Распаковывает архив в %WINDIR%\WinKit\<updaterVersion>\, где <updaterVersion> - преобразованный в строковое представление параметр "updaterVersion" из первого ответа сервера.
Троянец останавливает и удаляет службу "Windows Node Guard", после чего создает ее заново и заменяет исполняемый файл на файл службы "Windows Node". Затем останавливает и удаляет службу "Windows Node", после чего создает ее заново и указывает в качестве исполняемого файла daemon\service.exe . Создает в той же директории service.xml:
<service><id>service.exe</id><executable>C:\Windows\WinKit\0.0.0.115\msnode.exe</executable><arguments>"C:\Windows\WinKit\0.0.0.115\start.js"</arguments></service>
Троянец распаковывает worker-файл в папку %WINDIR%\WinKit\SystemNode\ и запускает %WINDIR%\WinKit\SystemNode\sysnode %WINDIR%\WinKit\SystemNode\main.js.
service.exe
Сборка утилиты winsw. Использует xml-файл с параметрами.
