Підтримка
Цілодобова підтримка | Правила звернення

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

Trojan.Siggen6.31836

Добавлен в вирусную базу Dr.Web: 2015-03-14

Описание добавлено:

Троянец-лоадер, созданный для распространения бэкдора BackDoor.Yebot. Написан на языке Ассемблер и предназначен для операционных систем семейства Microsoft Windows. При запуске встраивает собственный код в процессы svchost.exe, csrss.exe, lsass.exe и explorer.exe. Затем отсылает на управляющий сервер запрос вида:

http://46.***.***.24/f/i.html?n=1&i=6C78E45B&s=22E2F&g=3&c=6C78E45B&pl=%5B
System%20Process%5D;0;0;System;4;0;smss.exe;368;4;csrss.exe;584;368;winlogon.exe;
608;368;services.exe;652;608;lsass.exe;664;608;VBoxService.exe;820;652;
svchost.exe;864;652;svchost.exe;952;652;svchost.exe;1044;652;svchost.exe;
1100;652;svchost.exe;1132;652;spoolsv.exe;1388;652;mscorsvw.exe;1516;652;
wuauclt.exe;1700;1044;alg.exe;2016;652;wmiprvse.exe;256;864;explorer.exe;
996;884;wscntfy.exe;1076;1044;VBoxTray.exe;1172;996;python.exe;1556;820;
18dacf3896cee9d20b15dfa6d912394e363252b9904798215edc4e4798c3e459;492;1556&r=
0.51103000.2600.1

Загружает с удаленного сервера BackDoor.Yebot, расшифровывает его при помощи алгоритма RC4 с ключом c=6C78E45B, после чего настраивает его в памяти и передает управление на точку входа динамической библиотеки.

Часть используемых троянцем функций зашифрована, причем расшифровываются они только в момент выполнения, для чего вредоносная программа резервирует память, которая автоматически освобождается после исполнения кода функции. В процессе шифрования используются перестановки байт, в результате чего энтропия зашифрованного кода не меняется.

В первую очередь троянец устанавливает параметр AddVectoredExceptionHandler с целью перехвата всех исключений, а именно привилегированных инструкций "IN". При этом в целях антиоткладки в ассемблерном коде троянца некоторые инструкции call были заменены на инструкции "IN", следом за которыми идет один или два байта. Пример кода троянца:

.text:00485A01                 push    18h
.text:00485A03                 push    0
.text:00485A05                 push    10h
.text:00485A07                 push    offset ExceptionHandler
.text:00485A0C                 push    offset TimerHandler
.text:00485A11                 push    offset unk_481934
.text:00485A16                 push    dword_481930
.text:00485A1C                 call    eax             ; ntdll_RtlCreateTimer
.text:00485A1E                 push    54Eh
.text:00485A23                 call    ds:Sleep
.text:00485A23 ; ---------------------------------------------------------------------------
.text:00485A29 Function_In_485a29 db 0ECh ; ь          ; 0x48417c GetAllAPIs
.text:00485A2A                 db  7Ch ; |
.text:00485A2B                 db  21h ; !
.text:00485A2C ; ---------------------------------------------------------------------------
.text:00485A2C                 push    1
.text:00485A2E                 push    offset unk_401730
.text:00485A2E ; ---------------------------------------------------------------------------
.text:00485A33                 db 0E4h ; ф     ; 0x4016d4 advapi32_InitializeSecurityDescriptor
.text:00485A34                 db  61h ; a
.text:00485A35 ; ---------------------------------------------------------------------------
.text:00485A35                 push    0
.text:00485A37                 push    0
.text:00485A39                 push    1
.text:00485A3B                 push    offset unk_401730
.text:00485A3B ; ---------------------------------------------------------------------------
.text:00485A40                 db 0E4h ; ф     ; 0x4016d8 advapi32_SetSecurityDescriptorDacl
.text:00485A41                 db  62h ; b
.text:00485A42 ; ---------------------------------------------------------------------------
.text:00485A42                 lea     edx, unk_401730

Также эта вредоносная программа обладает механизмами проверки наличия в атакуемой системе виртуальной машины с использованием следующего алгоритма:

  1. Сканирование ветви системного реестра SYSTEM\ControlSet001\Control\DeviceClasses на наличие строки Ven_VMware_
  2. Проверка наличия в списке установленных программ приложения SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall SysAnalyzer

Адрес управляющего сервера также зашифрован с использованием алгоритма RC4, код шифрования расположен в одной из зашифрованных функций.

Троянец обладает механизмом обхода системы контроля учетных записей пользователя (User Accounts Control, UAC) с использованием уязвимости Elevation:Administrator!new:{3ad05575-8857-4850-9277-11b85bdb8e09}.

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке