Троянец-бэкдор, способный выполнять поступающие от злоумышленников команды. Зафиксирован факт распространения путем адресной рассылки писем сотрудникам ряда российских оборонных предприятий якобы от имени головной корпорации. Письма имели заголовок «Дополнение к срочному поручению от 30.03.15 № УТ-103» и вложение в виде файла табличного редактора Microsoft Excel с именем Копия оборудование 2015.xls.
Файл содержит эксплойт, использующий уязвимость CVE2012-0158 в некоторых версиях табличного редактора Microsoft Excel. При попытке открытия данного файла на атакуемом компьютере запускается процесс excel.exe, в который встраивается дроппер троянца.
Дроппер распаковывает из своего тела бэкдор BackDoor.Hser.1 и сохраняет его на диск под именем "C:\Windows\Tasks\npkim.dll", затем регистрирует эту библиотеку в параметрах автозагрузки, модифицируя ветвь системного реестра [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'mcsam' = "rundll32.exe C:\Windows\Tasks\npkim.dll,RooUoo". Затем троянец запускает приложение cmd.exe для удаления файла процесса excel.exe.
После своего запуска на инфицированном компьютере BackDoor.Hser.1 расшифровывает хранящийся в его теле адрес управляющего сервера, для чего использует 4-байтовый ключ и расширяет его копированием до 256-байтового. Далее применяет обычный алгоритм RC4. Запросы к управляющему серверу представляют собой строки фиксированной длины, зашифрованные алгоритмом base64. Чтобы строка была нужной длины, перед шифрованием base64 она дополняется нулями.
Бэкдор способен выполнять следующие команды:
- отправить на сервер информацию о системе (ОС, наличие прокси-сервера, имя компьютера, ip-адрес);
- установить ID (уникальный идентификатор зараженного компьютера);
- отправить на сервер список запущенных процессов;
- «убить» процесс с заданным PID;
- записать данные в файл (за одну команду 1 байт);
- запустить файл;
- запустить консоль и сделать перенаправление ввода-вывода на управляющий сервер.