Троянец-лоадер, созданный для распространения бэкдора BackDoor.Yebot. Написан на языке Ассемблер и предназначен для операционных систем семейства Microsoft Windows. При запуске встраивает собственный код в процессы svchost.exe, csrss.exe, lsass.exe и explorer.exe. Затем отсылает на управляющий сервер запрос вида:
http://46.***.***.24/f/i.html?n=1&i=6C78E45B&s=22E2F&g=3&c=6C78E45B&pl=%5B
System%20Process%5D;0;0;System;4;0;smss.exe;368;4;csrss.exe;584;368;winlogon.exe;
608;368;services.exe;652;608;lsass.exe;664;608;VBoxService.exe;820;652;
svchost.exe;864;652;svchost.exe;952;652;svchost.exe;1044;652;svchost.exe;
1100;652;svchost.exe;1132;652;spoolsv.exe;1388;652;mscorsvw.exe;1516;652;
wuauclt.exe;1700;1044;alg.exe;2016;652;wmiprvse.exe;256;864;explorer.exe;
996;884;wscntfy.exe;1076;1044;VBoxTray.exe;1172;996;python.exe;1556;820;
18dacf3896cee9d20b15dfa6d912394e363252b9904798215edc4e4798c3e459;492;1556&r=
0.51103000.2600.1
Загружает с удаленного сервера BackDoor.Yebot, расшифровывает его при помощи алгоритма RC4 с ключом c=6C78E45B, после чего настраивает его в памяти и передает управление на точку входа динамической библиотеки.
Часть используемых троянцем функций зашифрована, причем расшифровываются они только в момент выполнения, для чего вредоносная программа резервирует память, которая автоматически освобождается после исполнения кода функции. В процессе шифрования используются перестановки байт, в результате чего энтропия зашифрованного кода не меняется.
В первую очередь троянец устанавливает параметр AddVectoredExceptionHandler с целью перехвата всех исключений, а именно привилегированных инструкций "IN". При этом в целях антиоткладки в ассемблерном коде троянца некоторые инструкции call были заменены на инструкции "IN", следом за которыми идет один или два байта. Пример кода троянца:
.text:00485A01 push 18h
.text:00485A03 push 0
.text:00485A05 push 10h
.text:00485A07 push offset ExceptionHandler
.text:00485A0C push offset TimerHandler
.text:00485A11 push offset unk_481934
.text:00485A16 push dword_481930
.text:00485A1C call eax ; ntdll_RtlCreateTimer
.text:00485A1E push 54Eh
.text:00485A23 call ds:Sleep
.text:00485A23 ; ---------------------------------------------------------------------------
.text:00485A29 Function_In_485a29 db 0ECh ; ь ; 0x48417c GetAllAPIs
.text:00485A2A db 7Ch ; |
.text:00485A2B db 21h ; !
.text:00485A2C ; ---------------------------------------------------------------------------
.text:00485A2C push 1
.text:00485A2E push offset unk_401730
.text:00485A2E ; ---------------------------------------------------------------------------
.text:00485A33 db 0E4h ; ф ; 0x4016d4 advapi32_InitializeSecurityDescriptor
.text:00485A34 db 61h ; a
.text:00485A35 ; ---------------------------------------------------------------------------
.text:00485A35 push 0
.text:00485A37 push 0
.text:00485A39 push 1
.text:00485A3B push offset unk_401730
.text:00485A3B ; ---------------------------------------------------------------------------
.text:00485A40 db 0E4h ; ф ; 0x4016d8 advapi32_SetSecurityDescriptorDacl
.text:00485A41 db 62h ; b
.text:00485A42 ; ---------------------------------------------------------------------------
.text:00485A42 lea edx, unk_401730
Также эта вредоносная программа обладает механизмами проверки наличия в атакуемой системе виртуальной машины с использованием следующего алгоритма:
- Сканирование ветви системного реестра SYSTEM\ControlSet001\Control\DeviceClasses на наличие строки Ven_VMware_
- Проверка наличия в списке установленных программ приложения SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall SysAnalyzer
Адрес управляющего сервера также зашифрован с использованием алгоритма RC4, код шифрования расположен в одной из зашифрованных функций.
Троянец обладает механизмом обхода системы контроля учетных записей пользователя (User Accounts Control, UAC) с использованием уязвимости Elevation:Administrator!new:{3ad05575-8857-4850-9277-11b85bdb8e09}.
