14 августа 2014 года
Дроппер
Читает 0x90 б с конца файла, в последствии чего расшифровывает них с поддержкой метода RC4 с ключом {F918FE01-164A-4e62-9954-EDC8C3964C1B}. Расшифрованные заданные имеют надлежащую структуру:
struct DROP_INFO
{
char szFirstDrop[0x40]; // имя первого файла
DWORD dwFirstDropData; // смещение перед началом первого файла
DWORD dwFirstDropSize; // размеры первого файла
char szSecondDrop[0x40]; // имя второго файла
DWORD dwSecondDropData; // смещение перед началом второго файла
DWORD dwSecondDropSize; // размеры второго файла
}
Данные файлов располагаются по смещениям: "dwSecondDropData - dwFirstDropData" так что "Filesize + 0x90 – dwSecondDropData". ниже дроппер расшифровывает файлы с поддержкой метода RC4 с ключом {E5A42E7E-8130-4f46-BECC-7E43235496A6} для первого файла так что ключом {ADAB6D32-3994-40e2-8C18-2F226306408C} для второго. Файлы сберегаются в папку %TEMP%, в последствии чего запускаются.
Один из файлов появляется троянцем Trojan.DnsAmp.1
Установка
Устанавливает себя в систему под общим видом автоматично запускающейся службы с именованием Windows Test My Test Server 1.0, образовывает личную копию в папке %System32% под именованием vmware-vmx.exe. в последствии пуска испытывает текущую дату: в случае в случае в случае если она раньше 2013-02-21, троянец бездействует.
Вредоносный функционал
Установив слияние с 2-мя командными серверами, посылает туда собранную информацию о системе. в случае в случае в случае если на инфицированном персональном компьютере применяется ОС Windows 7 либо Windows NT, то отправляемые заданные будут владеть паспорт структуры PC_INFO_WIN7, для других версий ОС Windows заданные будут владеть паспорт структуры PC_INFO.
struct PC_INFO
{
DWORD signature; //"UU "
char szOSVersion[16]; //версия ОС
DWORD dwSpuSpeed; //скорость CPU в МГц
BYTE dummy[492]; //нули
}
struct PC_INFO_WIN7
{
DWORD signature; //"UU "
char szOSVersion[16]; //версия ОС
BYTE dummy[48]; //нули
DWORD dwSpuSpeed; //скорость CPU в МГц
BYTE dummy1[444]; //нули
}
Значение szOSVersion умножать представлять одной из последующих строк:
Windows NT
Windows 7
Windows Server 2008
Windows Vista
Windows Server 2003
Windows XP
Windows Server 2000
Отдельным потоком посылает на сервер информацию о численности переданных байтов спустя сетевые интерфейсы. Данные, отправляемые тем самым потоком, имеют вид:
struct PC_INFO_NETWORK_DATA
{
DWORD signature; // "ИИ"
DWORD dwPacketsCount; // Вычисленное численность переданных байт
BYTE dummy[508]; //нули
}
Может загружать так что лукать остальные вредные приложения. в последствии отправки заданных троянец ждет поступления команд от управляющего сервера. Принимаемые пакеты имеют вид:
struct CMD_PACKET
{
DWORD Cmd; //команда
BYTE Parameter[512]; //параметр для исполнения команды
}
Возможны посредственно команды:
Cmd | Команда | Комментарий |
---|---|---|
0x88 | Начать DDoS | |
0x99 | Остановить DDoS | Сбрасывается флаг DDoS |
0x77798 | завалить так что забыть на реализация файл |
При поступлении команды взяться DDoS-атаку троянец испытывает текущее положение соответственного флага: в случае в случае в случае если штурм уже идет, команда игнорируется.
Формат параметра для DDoS команды имеет надлежащий вид:
struct DDOS_PARAMS
{
char szHost; // С-строка содержащая IP адресок для атаки
DWORD dummy[95]; //нули
WORD wPort; // порт хоста, на какой-либо полно осуществлена атака
WORD dummy2; // нули
DWORD dwDuration; // долгота DDoS атаки в секундах
DWORD dwThreadsCount; //количество потоков для DDoS атаки
DWORD dwType; // субчик DDoS атаки
DWORD dwFlag; // добавочный флаг, имеет разнообразное смысл при всевозможных пейзажах атак
}
Поддерживаемый субчик атак
Cmd | Тип атаки |
---|---|
0x01 | Syn Flood |
0x02 | Syn Flood |
0x03 | UDP Flood |
0x04 | Ping Flood |
0x05 | HTTP Get Flood |
При портировании троянца с ОС Linux на ОС Windows создатели отказались от применения атаки своего рода DNS Amplification, заменив её на атаку своего рода HTTP Get Flood.
Загрузка файлов
Для скачивания файлов троянец загружает в память библиотеку urlmon.dll так что приобретает адресок опции URLDownloadToFileA. гиперссылка на скачивание файла распологается по нулевому смещению параметра Parameter структуры CMD_PACKET.
Файл скачивается в папку %TEMP%, при данном имя файла создаётся надлежащим образом:
DWORD GetRnd(DWORD modulus)
{
DWORD dwTicks;
dwTicks = GetTickCount();
return ticks * (rand() + 3) % modulus;
}
...
dwRnd0 = GetRnd(26u) + 97;
dwRnd1 = GetRnd(26u) + 97;
dwRnd2 = GetRnd(26u) + 97;
dwRnd3 = GetRnd(26u) + 97;
dwRnd4 = GetRnd(26u) + 97;
wsprintfA(wszFileName, "%c%c%c%c%c.exe", dwRnd4, dwRnd3, dwRnd2, dwRnd1, dwRnd0);
strcat(szTmpDir, szFileName);
НОВОЕ НА САЙТЕ 23 апреля 2024 года
В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web
Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]
The post
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Обновление ориентировано н... Антивирус Dr.Web
4 апреля 2024 года