Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

BackDoor.Siggen2.3238

Добавлен в вирусную базу Dr.Web: 2020-09-02

Описание добавлено:

Дата компиляции:

  • 03.04.2019 15:23:54

SHA1-хеш:

  • 3884263dfe67a3da0079fe40d6186950b853145c

Описание

Троянская программа-бэкдор, работающая в среде 32-битных операционных систем семейства Microsoft Windows. Написана на C++. Ее основная функция – получение несанкционированного доступа к зараженным компьютерам и выполнение на них вредоносных действий по команде злоумышленников.

Принцип действия

При запуске BackDoor.Siggen2.3238 инициирует ряд предварительных проверок. Вначале он получает адреса следующих экспортируемых функций:

  • CreateDirectoryExW
  • NtQueryDirectoryFile
  • NtDeleteFile
  • NtWriteFile
  • NtReadFile
  • NtCreateFile
  • NtSetInformationFile

Затем проверяет указатель на каждую из этих функций, используя следующий алгоритм:

screenshot #drweb

Если данные по указателю совпали с проверяемыми, троян выделяет в памяти область размером в 1 байт, заполняет в ней нулями 10 байт и пытается освободить ее:

screenshot #drweb

Данная операция выполняется для каждой экспортируемой функции. Наиболее вероятно, что так бэкдор проверяет наличие перехватов (хуков) в них и пытается аварийно завершить работающий процесс.

После этого BackDoor.Siggen2.3238 проверяет, совпадают ли вшитые в его код строки false и true. Если да, троян выполняет проверку на присутствие в системе компонентов виртуальных машин VMWare и VirtualBox – VMWare Guest Additions, Virtual Machine Additions и Virtualbox Guest Additions. После проверки наличия виртуальных машин ее результат обнуляется, и троян впадает в бесконечный цикл, в котором бездействует.

screenshot #drweb

Основная функциональность

BackDoor.Siggen2.3238 способен поддерживать связь с управляющим сервером по двум протоколам: HTTP и HTTPS. В исследованном образце задействован протокол HTTPS. В запросах к серверу используется следующий User-Agent:

Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)

При этом все запросы снабжаются следующим набором параметров:

%s;type=%s;length=%s;realdata=%send

где каждая строка %s соответственно заменяется на:

  • идентификатор зараженного компьютера;
  • тип отправляемого запроса;
  • длину данных в поле realdata;
  • данные.

По завершении предварительных проверок на начальном этапе работы BackDoor.Siggen2.3238 генерирует собственный идентификатор, используя следующую функцию:

screenshot #drweb

Далее он собирает информацию об инфицированной системе и формирует строку вида:

lan=%s;cmpname=%s;username=%s;version=%s;

где lan – IP-адрес зараженного компьютера, cmpname – имя компьютера, username – имя пользователя, version – строка 0.0.4.03.

Эта информация с идентификатором sysinfo через POST-запрос отправляется на управляющий сервер, расположенный по адресу https://31.214.157.14/log.txt. Если в ответ BackDoor.Siggen2.3238 получает сигнал HEART, соединение считается успешным, и троян приступает к основному циклу общения с сервером.

Для получения новой команды бэкдор отправляет пакет с идентификатором команды HEART и данными heart. Последующий ответ сервера парсится регулярным выражением вида:

type=([^&]+);first=([^&]+);second=([^&]+);third=([^&]+);

Строка type в нем характеризует, какую именно команду требуется выполнить, тогда как остальные строки содержат параметры для команд.

BackDoor.Siggen2.3238 может получать следующие команды:

КомандаОписание
HEARTHeartbeat (сигнал-маяк, поддерживающий соединение сервера с бэкдором).
OKПодтверждение сервером успешного приема данных, переданных трояном.
CMDINFOЗапустить cmd.exe с перенаправлением ввода-вывода в именованные каналы (pipes), через которые данные отправляются на сервер и обратно.
PROCESSINFOСобрать информацию о запущенных процессах. Информация по каждому процессу имеет вид proName=%1%;PID=%2%;proPath=%3%;Tport=%4%;Uport=%5%;descrip=%6%;
PROCESSTERMINATEЗавершить процесс с указанным идентификатором PID.
LISTDRIVEСобрать информацию о дисках. Информация по каждому диску имеет вид diskName=%s;driveType=%s;.
LISTFILEСобрать листинг заданной директории. Информация по каждому файлу или каталогу имеет вид fileName=%1%;path=%2%;fileType=%3%;fileSize=%4%;access=%5%;create=%6%;.
DELETEFILEУдалить заданный файл.
DOWNLOADЗагрузить заданный файл на управляющий сервер.
UPLOADСкачать заданный файл с управляющего сервера.
RUNЗапустить заданный файл.

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке