SHA1:
e7fc7a0e2d59dc8e18414830b02304fa5a8ce1b9 (NSIS)
3209448505069ff3a6eb1e446854aa85dad9481b (05DB2C2B.dll)
ae2869629aec2c18aedfc134aed8762ffbb66f2c (237AE0F2.dll)
aeef60dfcfa3745e0a3a57585d8ac4c6046bbb03 (dev25E9.exe)
fd4aa4184fcf6240b0cbb14e9c731a87ed744f0d (devCDFB.exe)
1d5897759ee66047e1d4c6378a52079fac2303f5 (payload)
Троянец-дроппер для операционных систем Microsoft Windows. Представляет собой инсталлятор Nullsoft Scriptable Install System (NSIS). Сам инсталлятор и все содержащиеся в нем файлы имеют следующую цифровую подпись:
CN = Bit-Trejd
OU = IT
O = Bit-Trejd
STREET = 1st Kolobovskij pereulok d. 27/3 str.3 office 30
L = Moscow
S = Moscow
PostalCode = 127051
C = RU
Троянец завершает свою работу с двух случаях: если локализация на атакуемом компьютере отличается от 1049 (Russian (ru)) и если сценарий установщика обнаруживает одно из следующих приложений:
avastui.exe
egui.exe
avpui.exe
spideragent.exe
Помимо этого, установщик обращается к ветви системного реестра, чтобы проверить наличие антивирусной программы от «Лаборатории Касперского»:
HKCU\\Software\\KasperskyLab\\AVP6
С использованием утилиты attrib троянец удаляет атрибуты «Скрытый», «Системный», и «Только чтение» для папок "%APPDATA%\Roaming\Microsoft\Shockwave" и "%APPDATA%\Roaming\Microsoft\Guide", в случае отсутствия таковых создает их.
Затем троянец сохраняет во временную папку архиватор 7z с именем 7za.exe и защищенный паролем 7z-архив с именем install.dat. Файлы из архива извлекаются по одному. В первую очередь распаковывается динамическая библиотека:
cmd.exe /C "7za.exe x -p9J6D69ccVe install.dat 237AE0F2.dll -aoa"
Троянец загружает эту библиотеку и вызывает ее экспорт с параметрами:
"Software\Microsoft\Windows\CurrentVersion\Run", "Shockwave Flash Player", "%APPDATA%\Roaming\Microsoft\Shockwave\Guide.exe".
Затем из архива извлекаются следующие файлы:
cmd.exe /C "7za.exe x -p9J6D69ccVe install.dat devCDFB.tmp -aoa"
cmd.exe /C "7za.exe x -p9J6D69ccVe install.dat 47ED9F45.dat -aoa"
и запускается распакованный файл:
cmd.exe /C "%TEMP%\msi1223.tmp\devCDFB.exe 47ED9F45.dat 1.dat
Вслед за этим установщик извлекает из архива динамическую библиотеку, отвечающую за расшифровку полезной нагрузки:
cmd.exe /C "7za.exe x -p9J6D69ccVe install.dat 05DB2C2B.dll -aoa
После этого из архива распаковываются оставшиеся файлы:
cmd.exe /C "7za.exe x -p9J6D69ccVe install.dat dev25E9.tmp -aoa"
cmd.exe /C "7za.exe x -p9J6D69ccVe install.dat devE49C.tmp -aoa"
cmd.exe /C "7za.exe x -p9J6D69ccVe devE49C.tmp -aoa -o7676545.tmp"
Затем инсталлятор сохраняет в папку "%APPDATA%\Roaming\Microsoft\Shockwave\" программу The Guide, которая используется для загрузки в память вредоносной библиотеки. Это приложение регистрируется в автозагрузке, при этом троянец помещает в папку, из которой запускается это приложение, вредоносную библиотеку с именем, соответствующим имени библиотеки Windows, которая необходима программе для работы. Поскольку Windows ищет требуемые запускаемому процессу библиотеки сначала в папке, из которой был запущен процесс, и только потом – в системных папках Windows, происходит загрузка в память вредоносной библиотеки.
Наконец, из архива извлекается утилита FileTouch:
cmd.exe /C "7za.exe x -p9J6D69ccVe install.dat FileTouch.exe -aoa"
С ее помощью для всех используемых троянцем файлов устанавливается дата создания, модификации и доступа 2016-05-06:
FileTouch.exe /s /c /w /a /r /d 06-05-2016 "%APPDATA%\Roaming\Microsoft\Shockwave\*.*"
Последним этапом запускается модуль-загрузчик:
%APPDATA%\Roaming\Microsoft\Shockwave\dev25E9.exe Guide.exe 05DB2C2B.dllИзвлекаемые из архива файлы имеют следующие имена и назначение:
| Имя файла | Назначение |
|---|---|
| 237AE0F2.dll | Имеет два экспорта F1 и F2: F1 принимает на вход ключ реестра, имя параметра и значение параметра. С помощью SID проверяет наличие у пользователя прав администратора (если они имеются, будет использоваться ветвь реестра HKLM, иначе – HKCU). Далее с помощью функции API SetWindowsHookEx устанавливает перехват вызова на событие GetMessage, в котором присваивает указанному параметру в указанном ключе реестра переданное значение. F2 работает аналогичным образом, однако не присваивает, а удаляет значения в реестре. |
| dev25E9.exe | Trojan.Inject2.24412 |
| devCDFB.exe | Принимает на вход два аргумента: исходный файл и конечный файл. Читает содержимое исходного файла, расшифровывает его (XOR), после чего шифрует алгоритмом RC2, ключ генерируется на основе данных жесткого диска. Зашифрованные данные сохраняются в конечный файл. |
| 05DB2C2B.dll | Расшифровывает библиотеку из файла 1.dat (который был создан devCDFB.exe) и передает ей управление. |
Основной полезной нагрузкой данного троянца является вредоносная программа Trojan.PWS.Spy.19338.
