ПОЛЬЗОВАТЕЛЯМ

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

BackDoor.DNSep.1

Добавлен в вирусную базу Dr.Web: 2020-09-24

Описание добавлено:

  • Упаковщик: отсутствует
  • Даты компиляции:
    • 30.08.2020 18:02:53 (загрузчик ccL100U.dll)
    • 30.08.2020 18:01:38 (полезная нагрузка)
  • SHA1-хеши:
    • 14a652b5b9d71171224541ce2b950cf55da38190 (загрузчик ccL100U.dll)
    • f76ae6ee508cf22f52b8533d704667a1893860d9 (полезная нагрузка)

Описание

Бэкдор, написанный с использованием языков C и C++ и работающий в среде 32- и 64-битных операционных систем семейства Microsoft Windows. Предназначен для коммуникации с управляющим сервером посредством DNS-запросов и несанкционированного управления зараженным компьютером. Состоит из загрузчика, представляющего собой DLL-библиотеку, и основного модуля, работающего в оперативной памяти. Имеет множественные пересечения в коде с бэкдором Cotx.

Принцип действия

Представляет собой DNS-бэкдор — общение с управляющим сервером происходит с помощью чтения TXT-записей определенным образом сформированных субдоменов.

Модуль-загрузчик

Оригинальное название из таблицы экспорта — Stager.dll. Библиотека имеет целый ряд экспортируемых функций.

#drweb

При этом большинство функций никаких действий не выполняет. Единственной рабочей функцией является InitLoad — в ней происходит запуск бэкдора, эта же функция вызывается из DllMain.

Бэкдор распаковывает полезную нагрузку из своих ресурсов, она находится в ресурсе DAT в сжатом при помощи RtlCompressBuffer виде. В распакованном основном модуле загрузчик ищет строку CQKUZXadCXS, которая является заглушкой для конфигурации. Найдя строку, загрузчик заменяет ее актуальной конфигурацией. В рассмотренном образце это строка AB1d3d3MS5kb3RvbWF0ZXIuY2x1Yjsw.

После этого запускается процесс %WINDIR%\\System32\\dllhost.exe, в который происходит внедрение основного модуля. Если третий символ в конфигурации равен нулю, то исполняемый файл процесса, в контексте которого работает загрузчик, а также файл самого загрузчика удаляются.

Работа основного модуля

Основной модуль написан на С++ с широким использованием библиотеки STL.

#drweb

В начале работы бэкдор проверяет зашитую конфигурацию, ранее подмененную загрузчиком. Если первые два символа не совпадают с AB, то считает, что конфигурации нет, и завершается. В противном случае декодирует конфигурацию из Base64, начиная с 4-го символа: www1.dotomater.club;0.

Формат конфигурации прост и представляет собой домен управляющего сервера и IP-адрес DNS-сервера, разделенные точкой с запятой. Если адрес DNS-сервера не указан или указан нулевым, тогда использует DNS-серверы, которыми пользуется зараженный компьютер.

Далее бэкдор создает несколько потоков, первый — для отправки heartbeat-пакетов.

#drweb

В ответ сервер отвечает строкой вида heartbeat%d, где %d является тем же числом, какое было в пакете от бота.

Второй поток предназначен для разбора очереди пакетов и их отправки на управляющий сервер.

#drweb

После этого отправляет информацию о зараженной системе:

sprintf(Str, "%s;%s;%s;%d;%s", szCompName, szUserName, szOSVer, isx64, szCurDateTime);

Далее бэкдор входит в цикл приема и обработки команд от управляющего сервера.

Код команды Описание команды
1Установить ID бота
2Запустить командную оболочку с перенаправлением ввода-вывода в пайпы
3Выполнить команду в запущенной ранее оболочке (командой № 2)
4Получить информацию о диске или листинг директории
6Выслать файл на управляющий сервер
7Скопировать файл
8Удалить файл
9Получить размер файла
10Сохранить файл по указанному пути
11Изменить интервал обращения к управляющему серверу
13Самоудалиться

Протокол связи с управляющим сервером

Из данных, которые отправляются на управляющий сервер, сначала формируется структура:

#pragma pack(push, 1)
  struct st_packet
  {
    _BYTE magic; // 0x65
    _WORD botid;
    _DWORD pktid;
    _BYTE data[];
  };
  #pragma pack(pop)
  
  • botid изначально имеет значение 0, но оно изменяется командой управляющего сервера, содержащей opcode == 1, которая приходит в ответ на информацию о зараженной системе;
  • pktid изначально имеет значение 0, но оно изменяется после каждого принятого пакета от управляющего сервера;
  • data содержит данные пакета, включая идентификатор команды.

Полученный пакет зашифровывается функцией:

#drweb

В качестве ключа в эту функцию передается строка dadadadadadadada.

Полученные зашифрованные данные кодируются в Base64. Из закодированных данных формируется имя субдомена для домена, указанного в конфигурации. При этом, если длина закодированных данных превышает 62 символа, то после каждого 62-го символа добавляется точка.

Далее формируется DNS-запрос на получение TXT-записи сформированного домена.

Ответ сервера расшифровывается аналогичным образом — сперва декодируется из Base64, потом дешифруется с ключом dadadadadadadada. Полученные данные имеют следующий вид:

#pragma pack(push, 1)
  struct st_recv_packet
  {
    _BYTE magic; // 0x65
    _DWORD pktid;
    _BYTE opcode;
    _BYTE data[];
  };
  #pragma pack(pop)
  

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Российский разработчик антивирусов Dr.Web с 1992 года
Dr.Web в Реестре Отечественного ПО
Dr.Web совместим с российскими ОС и оборудованием
Dr.Web пользуются в 200+ странах мира
Техническая поддержка 24х7х365 Рус | En

Dr.Web © «Доктор Веб»
2003 — 2021

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125124, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А