Trojan.Clipper.231

Упаковщик: отсутствует

Дата компиляции: 09.03.2023 15:48:49

SHA1-хеш:

d31df5ea0f82784c010a16597675937fc4896cb0 (kd_08_5e78.dll)

Описание

Троянская программа-стилер, написанная на языке С++ и работающая в среде 64-битных операционных систем семейства Microsoft Windows. Предназначена для подмены криптокошельков в буфере обмена зараженных компьютеров на указанные злоумышленниками.

Принцип действия

Trojan.Clipper.231 функционирует из контекста системного процесса %WINDIR%\\System32\\Lsaiso.exe, в который его внедряет троян Trojan.Inject4.57873.

Стилер подменяет адреса криптокошельков в буфере обмена на адреса, заданные злоумышленниками. Эти адреса прописаны в секции DATA трояна:

1KBPqssutEjRmeFs3qJ5xAqRR44yDYeAeL
3Kw3hbuBieaTK16LbFj7bCjj5uhPgkR3yh
bc1q2z6ethfp7rdlsgkmnrujl2nlujpftsxeknljcv
0x92cE5AB754e8f4D07e93aB95303b7A9760F982a2
bc1pakyf5w5wzf5h3edjl9mjn38mznzu9epmf2nn5ffa33374yjlpv8q40uhtn
123C1Hxr5qE8RN2v292fGo9xAAnXaCHNvh
17dF9qxwSLvXxaqwsQW9df53z5MgLPbsqD
1KBUsZd4w7wtQTbedaFJPZDQ5hRZzu1QFy
1Mrm3subvzFWt4MPU3XKuw8XsFiVtRRF5P
1MGkYC5kVQMwRKq5cz3sQ4qi36H3m6fcD5
18z927kX85gAmKwsWXYYt2mrT3s2A1cfmD
1GD3eRQnYhYDDva5Jag2cpYbaBNA58HvBe
13w3rCkgXKeh7qbZRrpys6UGP2UgUVznTE
1G5DML1u6bubY8d6kt9nXmRL7kDiLVnjjU
1HSynBUuX1RGybTBrAJHczsWafX8tNB7CH
13NyF5CkLHEtHjeBgqn9Jsw5Y4HiphQeCd
1B6u98XphKa561mN5jwFNbApzd8TeqPDjs
19J97jTPNxqaNg8RmNLKEMuWe1dB6Cdd3Y
1KEN4uXw5FhzxoioHm6JWTMTDbXceRm54p
1FtrbvkurNzN6tj1EdHkH8GeuZPgnRWKoK
127cw6C2qpdM7fwKTKhHu7QXWNrruPSY9z
14uXzkNa6UjG6cHrfkHNDB5grBZkqajcMa
1CVPWXDStmsfewy5faMSPUia5DNHShzAwy
1PXyNqM7RwWv4Qat9ix4ZejLq4mD1qMEEi
1PCrf5wTX1HcRwic5zfTAUggnr9RBR5EYB
1EQCWuY4226rhdggoXXoDehFtXWJ2WTBgq
17SECQVwcpXth6WEeRjiszSxHvKzLHFBcZ
18BeMJhGeVJgyvn913g35aFfQqC1DFzWAr
1M7z6YwAdUdu364pL7N8vU6Hzpj7X3WCDD
1LN64hGUuAiMnZV7h23uwTCQeLb1aMvGvE
17wHmPPy7v9mvEASPPLXVxGNz3kbb69vgV
1DZmzZEzfViyz5etmsPzN72ThHEz6qx5Fi
15d1wi3wBizhBfwEAYhQddu5ABToV16HZH
18U6vGpzMSdVxDzK5SBFzdA5ggaU9ymEwj
1P4nX6A1vw2KBueFzYbNNF9vva2RNWGTEz

При этом Trojan.Clipper.231 начинает подмену только при наличии в системе файла %WINDIR%\\INF\\scunown.inf.

Кроме того, троян проверяет наличие в системе следующих процессов:

L"Taskmgr.exe"
L"procexp.exe"
L"procexp64.exe"
L"procexp64a.exe"
L"Procmon.exe"
L"Procmon64.exe"
L"Procmon64a.exe"
L"ProcessHacker.exe"
L"SystemExplorer.exe"
L"Daphne.exe"
L"myprocesses.exe"
L"TMX.exe"
L"TMX64.exe"
L"DeskExp.exe"
L"DeskExp64.exe"
L"SystemMonitor64.exe"
L"SystemMonitor.exe"
L"WhatsRunning.exe"
L"ExtensionsServer.exe"
L"Ultimate_Process_Killer1.1.exe"
L"DTaskManager.exe"
L"KillProcess.exe"
L"ToolProcessSecurity.exe"
L"spacetornadoKiller.exe"

Если он обнаруживает какой-либо из них, то не выполняет подмену адресов криптокошельков.

Артефакты

В исследованном образце найден путь к PDB-файлу: C:\\Users\\DDD\\source\\repos\\BUFF_dll\\x64\\Release\\BUFF_dll.pdb.

Индикаторы компрометации

Подробнее о Trojan.Inject4.57873

Новость о трояне

Рекомендации по лечению

В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.

Демо бесплатно

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

Скачать Dr.Web

По серийному номеру

Скачать Dr.Web с Apple Store

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

Скачать Dr.Web

По серийному номеру

Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
- загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
- после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
- выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android