Защити созданное

Другие наши ресурсы

  • free.drweb.kz — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.kz — сетевая лечащая утилита Dr.Web CureNet!
Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поддержка
Круглосуточная поддержка | Правила обращения

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Trojan.Siggen27.11306

Добавлен в вирусную базу Dr.Web: 2024-03-04

Описание добавлено:

  • sha1: 60eaa4fd53b78227760864e6cf27b08bc4bdde72

Description

A Windows trojan written in C. It is a DLL with an encrypted payload.

Operating routine

During initialization, the trojan sequentially creates two threads: one to decrypt the data and the other to execute the payload.

Initially, the payload is encrypted with a key that is the path to the executable. During the first run, the trojan rebuilds the executable and covers it with another layer of encryption. This encryption binds the payload to the infected PC.

The preparation phase consists of the following steps

  • A random salt is generated and stored in a new trojan body at a specific offset
  • BIOS information is obtained
  • This information is hashed using the salt generated in step 1, and the resulting hash is the key to encrypt the payload
  • The payload is encrypted using a “custom” key

After this transformation, the trojan has two decryption stages:

Stage 1: Decryption using constants from the compromised PC

  • The salt stored in the trojan body is taken at a specific offset
  • The salt is used to create a hash of the BIOS information
  • The payload is decrypted

Stage 2: Decryption of the payload encrypted with the default key

  • The ImagePathName value is extracted from the RTL_USER_PROCESS_PARAMETERS struct - this field is a Unicode string whose length must be greater than 0x76 bytes (in our case the filename was %LOCALAPPDATA%\Yandex\YandexBrowser\Application\Wldp.dll)
  • The last 0x76 bytes are read from the above value
  • The hash of this value, which is the key for the symmetric algorithm, is generated
  • The payload is decrypted

Encryption algorithm

A modified ChaCha20 algorithm is used as the symmetric encryption algorithm. The modification consists of an additional layer for key initialization: the input key undergoes 1 round of the algorithm, after which it becomes the key for the regular algorithm.

Hashing algorithm

A modified BLAKE2 algorithm is used as the hash function. The modification is that multiple repetitive hashes of the input data are used.

Payload

The payload is a shellcode generated using https://github.com/TheWover/donut/tree/master. This shellcode decrypts and downloads an MZPE file written in .NET, the main purpose of which is to launch a trojan downloaded from the Internet. The main body of the shellcode can be found at https://github.com/TheWover/donut/blob/master/loader_exe_x64.h.

The shellcode performs the following actions:

  • Checks the flag responsible for executing the load in a separate or main thread
  • Decrypts the MZPE file into a new allocated memory area
  • Loads the ole32.dll, oleaut32.dll, wininet.dll, mscoree.dll, and shell32.dll libraries, using the LoadLibraryA function
  • Loads the WldpQueryDynamicCodeTrust, WldpIsClassInApprovedList, EtwEventWrite and EtwEventUnregister functions, using the GetProcAddress function
  • Initializes the AMSI interface
    • Loads amsi.dll
    • Loads the AmsiInitialize, AmsiScanBuffer and AmsiScanString functions
  • Reads the value of the AMSI bypass flag; this flag is not set in this sample
  • Downloads the .NET application

The .NET stager downloads other malware, saves it under the name “YandexUpdater.exe” and then launches it. At the time of our investigation, the file was no longer available on the server from which the malware was supposed to be downloaded, so we were unable to positively identify the downloaded software; however, we can assume that the file in question could be the same Trojan.Packed2.46324.

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке