Security Lab

Backdoor.Win32. Trup.a

Backdoor.Win32. Trup.a

Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине.

Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Программа является приложением Windows (PE EXE-файл). Имеет размер 24576 байт. Написана на С++.

Инсталляция

После активации бэкдор инфицирует Mbr (Master Boot Record). Таким образом при загрузке mbr из первых 37 секторов считывает и расшифровывает основной код вредоноса, после чего из 38 сектора считывает и расшифровывает копию оригинального Mbr (шифр меняет местами тетрады в байте) и продолжается загрузка ОС.

Далее создается поток, который создает файл на винчестере: 

%WinDir%\ali.exe
Данный файл имеет размер 17408 байт. Детектируется Антивирусом Касперского, как оригинальное тело бэкдора Backdoor.Win32.Trup.a. и создается ключ автозагрузки: 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"qQ" = "%WinDir%\ali.exe"
После запуска файла "%WinDir%\ali.exe", удаляется ключ автозагрузки и при помощи функции "rename" файл "ali.exe" перемещается во временный каталог текущего пользователя Windows под именем "110.txt": 
%Temp%\110.txt
Также во временном каталоге текущего пользователя Windows создается копия тела бэкдора под именем "124.txt": 
%Temp%\124.txt
Всем созданным файлам присваивается атрибут "скрытый".
name="doc3">

Деструктивная активность

Для контроля уникальности своего процесса в системе бэкдор создает уникальный идентификатор с именем: 

LockIE..
Бэкдор создает поток, который периодически загружает зашифрованный файл конфигурации в кеш IE со следующего URL: 
http://list.577q.com/sms/xxx.ini
Далее файл расшифровывается и сохраняется в корневой каталог Windows под именем "Win.ini": 
%WinDir%\Win.ini
Бэкдор из файла конфигурации получает ссылку для загрузки файла. Загруженный файл сохраняется в кеш IE, после чего запускается на выполнение. На момент создания описания ссылки для загрузки файла не было.

Также считывает из указанного выше файла URL. Если пользователь работает с браузером Internet Explorer, TheWorld Browser, SOGOUEXPLORER или QQ, то будет он будет перенаправлен по ссылке, считанной из файла. На момент составления описания браузер переправлялся по ссылке 

http://66.79.168.187:55325/tuling.html
Отправляет следующий HTTP запрос на сервер злоумышленнику: 
http://list.577q.com/sms/do.phpuserid=<rnd1>&time=<rnd2>&msg
=<rnd3>&pauid=1
Где <rnd1> - физический адрес сетевой карты, <rnd2> - текущая дата и время, <rnd3> - последовательность цифр, например "01704800628118".

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.

Новости по теме

АППСИМ намерена отвоевать 30 млн пользователей у TikTok для российских видеосервисов

Интегрируем threat intelligence в систему защиты информации с новой версией PT Threat Analyzer

Штраф на $7 млн: FTC жёстко наказала Cerebral за слив медицинских данных

Киберпреступники целятся в ветеранов: мошенническая спецоперация к 9 мая

Гигантский PowerBank размером с морской контейнер способен долго питать энергией ресурсозатратные сети

Фотонный чип-хамелеон: универсальный процессор меняет методы коммуникации

Cisco Duo и утекшие СМС: поставщик связи подставил MFA-сервис, не подумав о киберзащите

Повторение XZ Utils? Коварные хакеры атаковали OpenJS Foundation

Япония вводит новую систему штрафов, чтобы Apple и Google вели себя скромнее