Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

BackDoor.RatPack

Добавлен в вирусную базу Dr.Web: 2015-10-23

Описание добавлено:

SHA1

  • 785f12821bd3a0adb94b277271fa81d1cadd0d8b – RTF (exploit)
  • 89b28711270a891b0a04483ca8e2bb967def35bb – загрузчик
  • 842688f077493d84c0d7127170558eb362bf9016 – инсталлятор
  • 7b5be45e9ca77fb091a5bed34860e66ba706e085 – набор приложений (lmpack1.exe)
  • 115d4b6b80096b71d50a4f2c64fbe13bef8d04f9 – набор приложений (pn_pack1.exe)

Набор приложений, предназначенных для организации несанкционированного удаленного управления инфицированным компьютером. Распространяется при помощи эксплойта Exploit.CVE2012-0158.121 в виде документа в формате RTF, при попытке открыть который на компьютере жертвы расшифровывался и сохранялся вредоносный файл. Данный файл (как, впрочем, почти все файлы из комплекта BackDoor.RatPack) имеет действительную цифровую подпись.

Данный файл-загрузчик представляет собой инсталлятор в формате NSIS (Nullsoft Scriptable Install System).

При запуске инсталлятор пытается выявить присутствие на атакуемом компьютере виртуальных машин, программ-мониторов и отладчиков, после чего проверяет наличие в системе программ «банк-клиент» нескольких российских кредитных организаций:

*ICPortalSSL *sib.taatta.net *isfront.priovtb.com *ISAPIgate.dll *bsi.dll *PortalSSL *IIS-Gate.dll *beta.mcb.ru *ibank *ibrs *iclient *e-plat.mdmbank.com *sberweb.zubsb.ru *ibc *elbrus *i-elba *clbank.minbank.ru *chelindbank.ru/online/ *uwagb *wwwbank *dbo *ib.

Если все проверки прошли успешно, установщик скачивает с сервера злоумышленников и запускает на атакуемом компьютере другой установщик в формате NSIS (Nullsoft Scriptable Install System) с именем install.cab, который содержит следующие файлы:

  • setup.bin - 7z архив
  • setup1.bin - 7z архив
  • 7za.exe

Этот установщик распаковывает защищенные паролем архивы и запускает исполняемые файлы.

setup.bin:

  • lmpack1.exe
  • pn_pack1.exe

setup1.bin:

  • pskill.exe

Файл lmpack.exe представляет собой установщик в формате NSI, который содержит следующие файлы и сценарий установки:

7za.exe
FileTouch.exe
_??
a32.bin
a64.bin
files0.bin
files1.bin
files2.bin
files4.bin
files5.bin
h1.bin
n32.bin
n64.bin
p1.bin
setup1.bin

Файл pn_pack1.exe представляет собой установщик, который содержит следующие файлы и сценарий установки:

FileTouch.exe
7za.exe
files3.bin
hh.bin
files0.bin
files4.bin
setup.bin

Полезной нагрузкой установщика является несколько вариантов вполне легальной условно-бесплатной утилиты Remote Office Manager — специалисты компании «Доктор Веб» зафиксировали как минимум три таких варианта с разными конфигурационными настройками. С помощью перехвата ряда системных функций вредоносная программа скрывает значки этой утилиты в области уведомлений и панели задач Windows, чтобы пользователь не мог вовремя ее обнаружить.

Новость об угрозе

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке