Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Trojan.Siggen27.11306

Добавлен в вирусную базу Dr.Web: 2024-03-04

Описание добавлено:

  • sha1: 60eaa4fd53b78227760864e6cf27b08bc4bdde72

Описание

Троян для ОС Windows, написанный на языке С. Представляет собой DLL с зашифрованной полезной нагрузкой.

Принцип действия

При инициализации троян последовательно создает два потока: один используется для расшифровки данных, а другой — для запуска полезной нагрузки.

Изначально полезная нагрузка зашифрована ключом, соответствующим пути до исполняемого файла. Во время первого запуска троян пересоздает исполняемый файл, накладывая на него еще один этап шифрования, за счет чего полезная нагрузка привязывается к зараженному ПК.

Подготовительный этап состоит из следующих шагов:

  • Генерируется случайная соль, которая сохраняется в новое тело трояна по определенному смещению.
  • Получается системная информация о BIOS.
  • Данная информация хешируется с использованием соли, созданной на 1 этапе, полученный хеш является ключом для шифрования полезной нагрузки.
  • Полезная нагрузка шифруется «пользовательским» ключом.

После данного преобразования троян имеет два этапа расшифровки:

Этап 1. Расшифровка с помощью констант с зараженного ПК

  • По определенному смещению берется соль, сохраненная в тело трояна.
  • С использованием соли получается хеш системной информации о BIOS.
  • Происходит расшифровка полезной нагрузки.

Этап 2. Расшифровка полезной нагрузки, зашифрованной ключом по умолчанию

  • Из структуры RTL_USER_PROCESS_PARAMETERS извлекается значение ImagePathName — данное поле является Unicode-строкой, ее длина должна быть больше 0x76 байт (в нашем случае именем файла было %LOCALAPPDATA%\Yandex\YandexBrowser\Application\Wldp.dll).
  • Из данного пути отбираются 0x76 последних байт.
  • Вычисляется хеш данного пути, который является ключом для симметричного алгоритма.
  • Происходит расшифровка полезной нагрузки.

Алгоритм шифрования

В качестве симметричного алгоритма шифрования используется модифицированный алгоритм ChaCha20. Модификация заключается в добавочном слое для инициализации ключа: входной ключ проходит 1 раунд алгоритма, после чего становится уже ключом для нормального алгоритма.

Алгоритм хеширования

В качестве функции хеширования используется модифицированный алгоритм BLAKE2. Модификация заключается в использовании многократного хеширования входных данных.

Полезная нагрузка

Представляет собой шелл-код, сгенерированный с помощью https://github.com/TheWover/donut/tree/master. Данный шелл-код раскодирует и загружает MZPE-файл, написанный на .NET, основной задачей которого является запуск вредоносного ПО, скачиваемого из интернета. Основное тело шелл-кода находится в https://github.com/TheWover/donut/blob/master/loader_exe_x64.h.

Выполняемые действия шелл-кода:

  • Проверка флага, отвечающего за выполнение загрузки в отдельном или основном потоке.
  • Расшифровка MZPE-файла в новую выделенную область памяти.
  • Загрузка библиотек ole32.dll, oleaut32.dll, wininet.dll, mscoree.dll, и shell32.dll с помощью функции LoadLibraryA.
  • Получение адресов функций WldpQueryDynamicCodeTrust, WldpIsClassInApprovedList, EtwEventWrite и EtwEventUnregister с помощью функции GetProcAddress.
  • Инициализация работы с интерфейсом AMSI:
    • загрузка библиотеки amsi.dll,
    • получение адресов функций AmsiInitialize, AmsiScanBuffer и AmsiScanString.
  • Проверка флага, включающего обход AMSI; в данном семпле этот флаг не установлен.
  • Загрузка .NET-приложения.

Функции .NET-стейджера заключаются в скачивании другого вредоносного ПО, сохранении его под именем YandexUpdater.exe и последующем запуске. К моменту нашего расследования на сервере, с которого должно было скачиваться данное вредоносное ПО, файл уже был недоступен, вследствие чего нам не удалось его однозначно идентифицировать. Однако можно предположить, что данный файл мог являться тем же Trojan.Packed2.46324.

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке