Анализ Trojan-Downloader.Win32.Banload.bpil

zirreX

Ассоциация VN
Сообщения
733
Симпатии
336
Баллы
443
#1
Trojan-Downloader.Win32.Banload.bpil

Данная троянская программа предназначена для загрузки из сети Интернет вредоносных программ и последующего их запуска. Размер файла 434688 байт (не упакован), Написан на Borland Delphi 6.0 - 7.0

Техническая информация:
MD5 : 6686ffbe5735175706ad27cf44019f1e
SHA1 : fbd7be2c9d77edbc87f7138d2e8c4605a18cfa99
SHA256: d512075aaafd56d3c54b4f8280d0a1e5434d491bcaf263886810f45a25939288


Описание функционала:

Для загрузки вредоносных файлов устанавливает соединение с удаленным хостом 203.112.218.83

C:\Documents and Settings\User\Desktop\boleto.exe Connects to "203.112.218.83" on port 80 (TCP - HTTP).

IP 203.112.218.83
IP Location: Bangladesh
Resolve Host: host83.btcl.net.bd


Загруженные файлы:

Created file in defined folder: C:\Documents and Settings\All Users\Application Data\bck.bck
Created file in defined folder: C:\Documents and Settings\All Users\Application Data\bola7.txt
Created file in defined folder: C:\Documents and Settings\All Users\Application Data\h4714log.txt
Created file in defined folder: C:\Documents and Settings\All Users\Application Data\tecladoclass.png
Created file in defined folder: C:\Documents and Settings\All Users\Application Data\tecladofisica.png
Created file in defined folder: C:\Documents and Settings\All Users\Application Data\tecladopersonal.png
Created file in defined folder: C:\Documents and Settings\All Users\Application Data\teclaitajuridica.png
Created file in defined folder: C:\Documents and Settings\User\Desktop\h4714log.txt
Created file in defined folder: C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\OXIJCLMV\bck[1].bck

C:\Documents and Settings\All Users\Application Data\clear.exe
C:\Documents and Settings\All Users\Application Data\crsrc.exe
C:\Documents and Settings\All Users\Application Data\iexplore.exe
C:\Documents and Settings\All Users\Application Data\mbservice.exe
C:\Documents and Settings\All Users\Application Data\smvices.exe
C:\Documents and Settings\All Users\Application Data\Time.exe

Запускает на исполнение процессы:
C:\Documents and Settings\All Users\Application Data\mbservice.exe
C:\Documents and Settings\All Users\Application Data\Time.exe

Для автоматического запуска при каждом следующем старте системы создаётся ключ реестра:
[HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run]
"mbservice.exe=C:\Documents and Settings\All Users\Application Data\mbservice.exe"

Содержимое файла C:\Documents and Settings\All Users\Application Data\h4714log.txt
tipo=inf
nomepc=HOME-PC
mac=08-00-27-80-56-9E

Имя компьютера-жертвы и mac-адрес.

Список всех созданных мьютексов:
* Creates a mutex "CTF.LBES.MutexDefaultS-1-5-21-117609710-854245398-1708537768-1003".
* Creates a mutex "CTF.Compart.MutexDefaultS-1-5-21-117609710-854245398-1708537768-1003".
* Creates a mutex "CTF.Asm.MutexDefaultS-1-5-21-117609710-854245398-1708537768-1003".
* Creates a mutex "CTF.Layouts.MutexDefaultS-1-5-21-117609710-854245398-1708537768-1003".
* Creates a mutex "CTF.TMD.MutexDefaultS-1-5-21-117609710-854245398-1708537768-1003".
* Creates a mutex "CTF.TimListCache.FMPDefaultS-1-5-21-117609710-854245398-1708537768-1003MUTEX.DefaultS-1-5-21-117609710-854245398-1708537768-1003".
* Creates a mutex "Local\_!MSFTHISTORY!_".
* Creates a mutex "Local\c:!documents and settings!user!local settings!temporary internet files!content.ie5!".
* Creates a mutex "Local\c:!documents and settings!user!cookies!".
* Creates a mutex "Local\c:!documents and settings!user!local settings!history!history.ie5!".
* Creates a mutex "RasPbFile".
* Creates a mutex "Local\ZonesCounterMutex".
* Creates a mutex "Local\!IETld!Mutex".
* Creates a mutex "Local\ZoneAttributeCacheCounterMutex".
* Creates a mutex "Local\ZonesCacheCounterMutex".
* Creates a mutex "Local\ZonesLockedCacheCounterMutex".
* Creates a mutex "Fenix".

Имеет функционал кейлоггера.
 

Вложения

Сверху Снизу