Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Trojan.MonsterInstall.2

Добавлен в вирусную базу Dr.Web: 2019-03-29

Описание добавлено:

SHA1:

  • 21d6f7980e6b1383c0cc813bfc003f2adf51eb74 (start.js)
  • 52e021f47f487e58d9a8edfb887925e2e75be256 (update.js)
  • 980f067ce3976a3f40e1a39e1bc8b74c3849f91e (startDll.dll)
  • d337eeefdf45055a1e3fbf26abe7ca8eb5c2295a (updateDll.dll)
  • b6a9db83a915494fa0b22cd116ec26cbe4d166ce (ESP чит для КС ГО.exe)

Описание

Один из компонентов троянца MonsterInstall. Представляет собой бэкдор, написанный на JavaScript и C++. js-скрипты запускаются с помощью исполняемого файла Node.js.

Принцип действия

В системе устанавливается в папку C:\Windows\WinKit\0.0.0.115.

ESP чит для КС ГО.exe

Размещен по адресу: https://proplaying[.]ru/load/counter_strike_global_offensive/cs_go_chity/rage_chit_dlja_cs_go/27-1-0-1993

Троянец создает на устройстве пользователя мьютекс "cortelMoney-suncMutex" и читает из реестра ([HKLM\Software\Microsoft\Windows Node]) свои параметры. После чего распаковывает содержимое data.bin в %WINDIR%\WinKit\ и устанавливает службу для запуска start.js.

start.js

Загружает библиотеку startDll.dll и вызывает ее экспорт "mymain".

update.js

Загружает библиотеку updateDll.dll и вызывает ее экспорт "mymain ".

startDll.dll

Библиотека с единственным экспортом "mymain".

Читает из реестра ([HKLM\Software\Microsoft\Windows Node]) свои параметры.

Запускает %WINDIR%\WinKit\msnode %WINDIR%\WinKit\update.js, после чего останавливает службу "Windows Node".

updateDll.dll

Библиотека с единственным экспортом "mymain". Отправляет запросы на google.com, yahoo.com, facebook.com раз в 10 секунд до тех пор, пока в ответ не поступит код 200. Затем отправляет на свой сервер http://s44571fu[.]bget[.]ru/CortelMoney/enter.php POST-запрос с конфигурационными данными:

{"login":"NULL","mainId":"PPrn1DXeGvUtzXC7jna2oqdO2m?WUMzHAoM8hHQF","password":"NULL","source":[0,0,0,0],"updaterVersion":[0,0,0,0],"workerVersion":[0,0,0,0]} 

Для базовой авторизации используется пара "cortel:money", а User-Agent – "USER AGENT".

Ответ сервера:


{
    "login": "240797",
    "password": "tdzjIF?JgEG5NOofJO6YrEPQcw2TJ7y4xPxqcz?X",
    "updaterVersion": [0, 0, 0, 115],
    "updaterLink": "http:\/\/s44571fu.bget.ru\/CortelMoney\/version\/0-0-0-115-upd.7z",
    "workerVersion": [0, 0, 3, 0],
    "workerLink": "http:\/\/s44571fu.bget.ru\/CortelMoney\/version\/0-0-3-0-work.7z"
}

Для базовой авторизации последующих запросов будут использоваться login:password, сообщенные сервером. Если текущая версия троянца старше предлагаемой сервером, троянец скачивает более новую версию по указанной ссылке.

Распаковывает архив в %WINDIR%\WinKit\<updaterVersion>\, где <updaterVersion> - преобразованный в строковое представление параметр "updaterVersion" из первого ответа сервера.

Троянец останавливает и удаляет службу "Windows Node Guard", после чего создает ее заново и заменяет исполняемый файл на файл службы "Windows Node". Затем останавливает и удаляет службу "Windows Node", после чего создает ее заново и указывает в качестве исполняемого файла daemon\service.exe . Создает в той же директории service.xml:

<service><id>service.exe</id><executable>C:\Windows\WinKit\0.0.0.115\msnode.exe</executable><arguments>"C:\Windows\WinKit\0.0.0.115\start.js"</arguments></service>

Троянец распаковывает worker-файл в папку %WINDIR%\WinKit\SystemNode\ и запускает %WINDIR%\WinKit\SystemNode\sysnode %WINDIR%\WinKit\SystemNode\main.js.

service.exe

Сборка утилиты winsw. Использует xml-файл с параметрами.

Новость о троянце

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке