BackDoor.Hser.1

Тема в разделе "Новости информационной безопасности", создана пользователем Phoenix, 7 апр 2015.

  1. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.857
    Симпатии:
    1.842
    BackDoor.Hser.1


    Добавлен в вирусную базу Dr.Web: 2015-04-06
    Описание добавлено: 2015-04-06
    Троянец-бэкдор, способный выполнять поступающие от злоумышленников команды. Зафиксирован факт распространения путем адресной рассылки писем сотрудникам ряда российских оборонных предприятий якобы от имени головной корпорации. Письма имели заголовок «Дополнение к срочному поручению от 30.03.15 № УТ-103» и вложение в виде файла табличного редактора Microsoft Excel с именем Копия оборудование 2015.xls.

    Файл содержит эксплойт, использующий уязвимость CVE2012-0158 в некоторых версиях табличного редактора Microsoft Excel. При попытке открытия данного файла на атакуемом компьютере запускается процесс excel.exe, в который встраивается дроппер троянца.

    Дроппер распаковывает из своего тела бэкдор BackDoor.Hser.1 и сохраняет его на диск под именем "C:\Windows\Tasks\npkim.dll", затем регистрирует эту библиотеку в параметрах автозагрузки, модифицируя ветвь системного реестра [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] 'mcsam' = "rundll32.exe C:\Windows\Tasks\npkim.dll,RooUoo". Затем троянец запускает приложение cmd.exe для удаления файла процесса excel.exe.

    После своего запуска на инфицированном компьютере BackDoor.Hser.1 расшифровывает хранящийся в его теле адрес управляющего сервера, для чего использует 4-байтовый ключ и расширяет его копированием до 256-байтового. Далее применяет обычный алгоритм RC4. Запросы к управляющему серверу представляют собой строки фиксированной длины, зашифрованные алгоритмом base64. Чтобы строка была нужной длины, перед шифрованием base64 она дополняется нулями.

    Бэкдор способен выполнять следующие команды:

    • отправить на сервер информацию о системе (ОС, наличие прокси-сервера, имя компьютера, ip-адрес);
    • установить ID (уникальный идентификатор зараженного компьютера);
    • отправить на сервер список запущенных процессов;
    • «убить» процесс с заданным PID;
    • записать данные в файл (за одну команду 1 байт);
    • запустить файл;
    • запустить консоль и сделать перенаправление ввода-вывода на управляющий сервер.
    Новость о троянце
     
    Dragokas, orderman, Сергей и ещё 1-му нравится это.

Поделиться этой страницей