ПОЛЬЗОВАТЕЛЯМ

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Trojan.MulDrop6.44482

Добавлен в вирусную базу Dr.Web: 2016-06-23

Описание добавлено:

SHA1:
e7fc7a0e2d59dc8e18414830b02304fa5a8ce1b9 (NSIS)
3209448505069ff3a6eb1e446854aa85dad9481b (05DB2C2B.dll)
ae2869629aec2c18aedfc134aed8762ffbb66f2c (237AE0F2.dll)
aeef60dfcfa3745e0a3a57585d8ac4c6046bbb03 (dev25E9.exe)
fd4aa4184fcf6240b0cbb14e9c731a87ed744f0d (devCDFB.exe)
1d5897759ee66047e1d4c6378a52079fac2303f5 (payload)

Троянец-дроппер для операционных систем Microsoft Windows. Представляет собой инсталлятор Nullsoft Scriptable Install System (NSIS). Сам инсталлятор и все содержащиеся в нем файлы имеют следующую цифровую подпись:

CN = Bit-Trejd
OU = IT
O = Bit-Trejd
STREET = 1st Kolobovskij pereulok d. 27/3 str.3 office 30
L = Moscow
S = Moscow
PostalCode = 127051
C = RU

Троянец завершает свою работу с двух случаях: если локализация на атакуемом компьютере отличается от 1049 (Russian (ru)) и если сценарий установщика обнаруживает одно из следующих приложений:

avastui.exe
egui.exe
avpui.exe
spideragent.exe

Помимо этого, установщик обращается к ветви системного реестра, чтобы проверить наличие антивирусной программы от «Лаборатории Касперского»:

HKCU\\Software\\KasperskyLab\\AVP6

С использованием утилиты attrib троянец удаляет атрибуты «Скрытый», «Системный», и «Только чтение» для папок "%APPDATA%\Roaming\Microsoft\Shockwave" и "%APPDATA%\Roaming\Microsoft\Guide", в случае отсутствия таковых создает их.

Затем троянец сохраняет во временную папку архиватор 7z с именем 7za.exe и защищенный паролем 7z-архив с именем install.dat. Файлы из архива извлекаются по одному. В первую очередь распаковывается динамическая библиотека:

cmd.exe /C "7za.exe x -p9J6D69ccVe install.dat 237AE0F2.dll -aoa"

Троянец загружает эту библиотеку и вызывает ее экспорт с параметрами:

"Software\Microsoft\Windows\CurrentVersion\Run", "Shockwave Flash Player", "%APPDATA%\Roaming\Microsoft\Shockwave\Guide.exe".

Затем из архива извлекаются следующие файлы:

cmd.exe /C "7za.exe x -p9J6D69ccVe install.dat devCDFB.tmp -aoa"
cmd.exe /C "7za.exe x -p9J6D69ccVe install.dat 47ED9F45.dat -aoa"

и запускается распакованный файл:

cmd.exe /C "%TEMP%\msi1223.tmp\devCDFB.exe 47ED9F45.dat 1.dat

Вслед за этим установщик извлекает из архива динамическую библиотеку, отвечающую за расшифровку полезной нагрузки:

cmd.exe /C "7za.exe x -p9J6D69ccVe install.dat 05DB2C2B.dll -aoa

После этого из архива распаковываются оставшиеся файлы:

cmd.exe /C "7za.exe x -p9J6D69ccVe install.dat dev25E9.tmp -aoa"
cmd.exe /C "7za.exe x -p9J6D69ccVe install.dat devE49C.tmp -aoa"
cmd.exe /C "7za.exe x -p9J6D69ccVe devE49C.tmp -aoa -o7676545.tmp"

Затем инсталлятор сохраняет в папку "%APPDATA%\Roaming\Microsoft\Shockwave\" программу The Guide, которая используется для загрузки в память вредоносной библиотеки. Это приложение регистрируется в автозагрузке, при этом троянец помещает в папку, из которой запускается это приложение, вредоносную библиотеку с именем, соответствующим имени библиотеки Windows, которая необходима программе для работы. Поскольку Windows ищет требуемые запускаемому процессу библиотеки сначала в папке, из которой был запущен процесс, и только потом – в системных папках Windows, происходит загрузка в память вредоносной библиотеки.

Наконец, из архива извлекается утилита FileTouch:

cmd.exe /C "7za.exe x -p9J6D69ccVe install.dat FileTouch.exe -aoa"

С ее помощью для всех используемых троянцем файлов устанавливается дата создания, модификации и доступа 2016-05-06:

FileTouch.exe  /s /c /w /a /r /d 06-05-2016 "%APPDATA%\Roaming\Microsoft\Shockwave\*.*"

Последним этапом запускается модуль-загрузчик:

%APPDATA%\Roaming\Microsoft\Shockwave\dev25E9.exe Guide.exe 05DB2C2B.dll

Извлекаемые из архива файлы имеют следующие имена и назначение:

Имя файлаНазначение
237AE0F2.dllИмеет два экспорта F1 и F2: F1 принимает на вход ключ реестра, имя параметра и значение параметра. С помощью SID проверяет наличие у пользователя прав администратора (если они имеются, будет использоваться ветвь реестра HKLM, иначе – HKCU). Далее с помощью функции API SetWindowsHookEx устанавливает перехват вызова на событие GetMessage, в котором присваивает указанному параметру в указанном ключе реестра переданное значение. F2 работает аналогичным образом, однако не присваивает, а удаляет значения в реестре.
dev25E9.exeTrojan.Inject2.24412
devCDFB.exeПринимает на вход два аргумента: исходный файл и конечный файл. Читает содержимое исходного файла, расшифровывает его (XOR), после чего шифрует алгоритмом RC2, ключ генерируется на основе данных жесткого диска. Зашифрованные данные сохраняются в конечный файл.
05DB2C2B.dllРасшифровывает библиотеку из файла 1.dat (который был создан devCDFB.exe) и передает ей управление.

Основной полезной нагрузкой данного троянца является вредоносная программа Trojan.PWS.Spy.19338.

Новость о троянце

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Российский разработчик антивирусов Dr.Web с 1992 года
Dr.Web в Реестре Отечественного ПО
Dr.Web совместим с российскими ОС и оборудованием
Dr.Web пользуются в 200+ странах мира
Техническая поддержка 24х7х365 Рус | En

Dr.Web © «Доктор Веб»
2003 — 2021

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125124, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А