Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

BackDoor.PlugX.27

Добавлен в вирусную базу Dr.Web: 2019-05-27

Описание добавлено:

Упаковщик: отсутствует

Дата компиляции:

  • 05.09.2018 05:38:37 (scansts.dll)
  • 20.12.2018 16:08:02 (CLNTCON.ocx)
  • 06.03.2019 06:58:28 (http_dll.dll)

SHA1-хеши:

  • aa0e7101b1663c23f980598ca3d821d7b6ea342d (scansts.dll)
  • b03c98a9539d4cbb17f2efc118c4b57882b96d93 (CLNTCON.ocx)
  • d52152661c836e76bebd46046ba3f877c5d381d8 (http_dll.dll)

Описание

Загрузчик бэкдора BackDoor.PlugX.28, написанный на языке С. Представляет собой вредоносную библиотеку, функционирующую в процессе EXE-файла с валидной цифровой подписью, обеспечивающую распаковку и выполнение шелл-кода с полезной нагрузкой. Библиотека подгружается в процесс методом DLL hijacking.

Компоненты загрузчика и используемые приложения:

SHA1-хеш EXE-файла EXE DLL Shellcode
5c51a20513ba27325113d463be9b5c6ed40b5096 EMLPRO.EXE scansts.dll QuickHeal
b423bea76f996bf2f69dcc9e75097635d7b7a7aa CLNTCON.exe CLNTCON.ocx CLNTCON.ocp
5d076537f56ee7389410698d700cc4fd7d736453 EHSrv.exe http_dll.dll ESETSrv

Принцип действия

scansts.dll

При загрузке в соответствующий процесс библиотека по зашитому смещению передает управление на вызов экспортируемой функции scansts_2.

В экспортируемой функции обращается к файлу QuickHeal, расположенному на атакованной системе по адресу C:\Windows\System32. Затем проверяет наличие ключа реестра HKLM\Software\BINARY или HKCU\Software\BINARY для определения дальнейших действий. В случае отсутствия ключей инициирует расшифровку шелл-кода QuickHeal и вызывает его, передав аргументом 0. Алгоритм расшифровки:

s = ''
for i in range(len(d)):
    s += chr((((ord(d[i]) + 0x4f) ^ 0xf1) - 0x4f) & 0xff)

CLNTCON.ocx

Представляет собой улучшенную версию scansts.dll. Основной вредоносный код расположен в экспортируемой функции DllRegisterServer. Вызов функции расшифровывает код самой DLL с использованием операции XOR. Затем следует обращение к файлу CLNTCON.ocp и проверка наличия ключей HKLM\Software\BINARY или HKCU\Software\BINARY. Процесс расшифровки шелл-кода происходит в два этапа — в дополнение к вышеуказанному алгоритму применяется алгоритм RC4 с ключом дешифровки CLNTCON.ocp.

http_dll.dll

Аналог CLNCON.ocx, за исключением отличий:

  • основной код трояна находится в экспорте StartHttpServer;
  • в качестве ключа дешифровки RC4 используется ESETSrv.

Шелл-код QuickHeal

Представляет собой обфусцированный шелл-код с зашифрованным бинарным файлом и конфигурацией. Обфусцированная часть содержит инструкции для расшифровки кода, извлекающего полезную нагрузку.

#drweb

Полезная нагрузка извлекается функцией malmain и описывается следующей структурой:

#pragma pack(push,1)
struct st_data
{
  _DWORD size;
  _BYTE data[size];
};
 
struct shellarg
{
  _DWORD shellcode_ep;
  _DWORD field_4;
  st_data* mod;
  _DWORD comp_size;
  st_data* cfg;
  _DWORD field_14;
  _DWORD field_18;
};
#pragma pack(pop)

Для декомпрессии используется функция RtlDecompressBuffer. В процессе извлечения полезной нагрузки шелл-код проверяет сигнатуры исполняемого файла, которые заменены с MZ и PE на XV. Далее выполняется DllMain, куда параметром lpReserved передается указатель на структуру shellarg, в которой хранится конфигурация для полезной нагрузки.

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке