ПОЛЬЗОВАТЕЛЯМ

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

BackDoor.Mikroceen.11

Добавлен в вирусную базу Dr.Web: 2020-05-14

Описание добавлено:

Упаковщик: отсутствует

Дата компиляции: 06:45:11 14.01.2019

SHA1-хеш:

  • 2930efc03e958479568e7930f269efb1e2bcea5a

Описание

BackDoor.Mikroceen.11 представляет собой бэкдор, написанный на языке C++ и предназначенный для работы в 64-разрядных системах семейства Microsoft Windows. После установки совершает подключение к управляющему серверу напрямую или с использованием прокси-сервера, а затем приступает к выполнению команд злоумышленников. Способен собирать информацию о зараженном компьютере и выполнять команды путем перенаправления вывода командной оболочки на управляющий сервер. Использовался в целевых атаках на государственные учреждения Казахстана и Киргизии. В обоих случаях устанавливался на контроллер домена.

Принцип действия

Файл представляет собой динамическую библиотеку с единственной экспортируемой функцией NwsapServiceMain. Рассматриваемый образец был установлен в систему как служба и располагался в директории c:\windows\system32\nwsapagent.dll.

В процессе работы ведет журнал событий в файле %TEMP%\\WZ9Jan10.TMP. Сообщения обфусцированы, список возможных вариантов:

  • WvSa6a7i — запуск трояна;
  • Dfi1r5eJ — подключение к управляющему серверу напрямую;
  • PVrVoGx0 —подключение к управляющему серверу через ранее определенный прокси-сервер;
  • Q29uUHJv — сбой подключения;
  • 10RDu6mf — сбой подключения к прокси-серверу;
  • 8sQqvdeX:%d — ошибка приема данных от сервера;
  • Lw3s1gMZ — ошибка при подключении к прокси-серверу;
  • IsEArF1k — успешное подключение;
  • CcFMGQb8 %s:%d — подключение к прокси-серверу, записанному в netlogon.cfg;
  • RWehGde0 %s:%d — подключение к прокси-серверу, полученного парсингом файла WZ9Jan10.TMP;
  • PV2arRyn %s:%d — подключение к прокси-серверу, найденному через tcptable;
  • W560rQz5 — установка SSL-соединения.

Релевантные данные, такие как адрес управляющего сервера, зашифрованы простым сложением значения с каждым байтом строки. Фрагмент дешифровки:

for ( i = 0; i < lstrlenA(v4); ++i )
v4[i] += 32 - i;

BackDoor.Mikroceen.11 пытается подключиться к управляющему серверу напрямую. В случае неудачи пытается произвести подключение через прокси-сервер.

Подключение производится тогда, когда трояну известен адрес прокси-сервера. В противном случае читает файл %WINDIR%\\debug\\netlogon.cfg, который должен содержать строку вида IP:port.

Если файл netlogon.cfg отсутствует или через указанный в нем адрес подключение выполнить не удается, читает строку из своего собственного лога и парсит в ней IP:port.

В случае отсутствия подключения троян парсит информацию о текущих подключениях, затем ищет соединение со статусом MIB_TCP_STATE_ESTAB и следующими портами удаленного хоста: 80, 8080, 3128, 9080. Среди отобранных соединений ищет IP-адрес из подсетей: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16. Найденный подходящий адрес используется в качестве адреса прокси-сервера.

После успешного подключения собирает информацию о системе и заполняет следующую структуру:

#pragma pack(push, 1)
struct st_info
{
  _WORD osproducttype;
  _WORD processorarch;
  _DWORD osservicepackmajor;
  _DWORD osvermajor;
  _DWORD osverminor;
  _DWORD default_lcid;
  _DWORD dword30001; // 30001
  char id[16]; // "wsx"
  char ip[16];
  char hostname[32];
};
#pragma pack(pop)

BackDoor.Mikroceen.11 отправляет эту информацию на управляющий сервер и ожидает ответа. При обмене командами используется текстовый протокол, имена команд обфусцированы. Список команд представлен в следующей таблице:

Команда Аргумент Описание Ответ
QHbU0hQo (команда файлового менеджера) Прочитать файл Первый QWORD — размер файла; далее — прочитанный файл блоками по 1024 байта
Ki0Swb7I Получить информацию о логических дисках

Структура с информацией о дисках, но не более 1024 байт.

#pragma pack(push, 1)
        struct st_drive_info
        {
          char cmdid[9]; // "fqbnWkSA"
          _WORD disks_count;
          _DWORD disk_types[disks_count];
        }
        #pragma pack(pop)
        
J8AoctiB

строка — команда;
строка — путь файла для чтения;
строка — путь файла для записи

Запустить файловый менеджер
hwuvE43y (команда файлового менеджера)

QWORD — размер файла;
BYTE[]— данные для записи в файл

Записать файл QWORD — размер файла, если он уже существует
h71RBG8X строка — команда Выполнить команду в командной оболочке; exit — закрытие командной оболочки
gRQ7mIYr строка — путь до файла Запустить файл через CreateProcessA

4FJTUaUX в случае успеха
KbZ5piK8 в случае ошибки

eYTS5IwW Завершить процесс командной оболочки bo7aO8Nb (если оболочка не была запущена)
AmbZDkEx строка — пароль Начало обмена

kjoM4yJg (если аргумент совпадает с зашитой в файле строкой ("12345")) Mf7VLAnr (во всех других случаях)

5fdi2TfG Запустить командную оболочку с перенаправлением вывода на сервер

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Российский разработчик антивирусов Dr.Web с 1992 года
Dr.Web в Реестре Отечественного ПО
Dr.Web совместим с российскими ОС и оборудованием
Dr.Web пользуются в 200+ странах мира
Техническая поддержка 24х7х365 Рус | En

Dr.Web © «Доктор Веб»
2003 — 2021

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125124, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А