• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

BackDoor.Hser.1

Phoenix

Активный пользователь
Сообщения
2,093
Симпатии
2,045
#1
BackDoor.Hser.1


Добавлен в вирусную базу Dr.Web: 2015-04-06
Описание добавлено: 2015-04-06
Троянец-бэкдор, способный выполнять поступающие от злоумышленников команды. Зафиксирован факт распространения путем адресной рассылки писем сотрудникам ряда российских оборонных предприятий якобы от имени головной корпорации. Письма имели заголовок «Дополнение к срочному поручению от 30.03.15 № УТ-103» и вложение в виде файла табличного редактора Microsoft Excel с именем Копия оборудование 2015.xls.

Файл содержит эксплойт, использующий уязвимость CVE2012-0158 в некоторых версиях табличного редактора Microsoft Excel. При попытке открытия данного файла на атакуемом компьютере запускается процесс excel.exe, в который встраивается дроппер троянца.

Дроппер распаковывает из своего тела бэкдор BackDoor.Hser.1 и сохраняет его на диск под именем "C:\Windows\Tasks\npkim.dll", затем регистрирует эту библиотеку в параметрах автозагрузки, модифицируя ветвь системного реестра [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] 'mcsam' = "rundll32.exe C:\Windows\Tasks\npkim.dll,RooUoo". Затем троянец запускает приложение cmd.exe для удаления файла процесса excel.exe.

После своего запуска на инфицированном компьютере BackDoor.Hser.1 расшифровывает хранящийся в его теле адрес управляющего сервера, для чего использует 4-байтовый ключ и расширяет его копированием до 256-байтового. Далее применяет обычный алгоритм RC4. Запросы к управляющему серверу представляют собой строки фиксированной длины, зашифрованные алгоритмом base64. Чтобы строка была нужной длины, перед шифрованием base64 она дополняется нулями.

Бэкдор способен выполнять следующие команды:

  • отправить на сервер информацию о системе (ОС, наличие прокси-сервера, имя компьютера, ip-адрес);
  • установить ID (уникальный идентификатор зараженного компьютера);
  • отправить на сервер список запущенных процессов;
  • «убить» процесс с заданным PID;
  • записать данные в файл (за одну команду 1 байт);
  • запустить файл;
  • запустить консоль и сделать перенаправление ввода-вывода на управляющий сервер.
Новость о троянце
 
Сверху Снизу