BackDoor.RatPack

SHA1

• 785f12821bd3a0adb94b277271fa81d1cadd0d8b – RTF (exploit)
• 89b28711270a891b0a04483ca8e2bb967def35bb – загрузчик
• 842688f077493d84c0d7127170558eb362bf9016 – инсталлятор
• 7b5be45e9ca77fb091a5bed34860e66ba706e085 – набор приложений (lmpack1.exe)
• 115d4b6b80096b71d50a4f2c64fbe13bef8d04f9 – набор приложений (pn_pack1.exe)

Набор приложений, предназначенных для организации несанкционированного удаленного управления инфицированным компьютером. Распространяется при помощи эксплойта Exploit.CVE2012-0158.121 в виде документа в формате RTF, при попытке открыть который на компьютере жертвы расшифровывался и сохранялся вредоносный файл. Данный файл (как, впрочем, почти все файлы из комплекта BackDoor.RatPack) имеет действительную цифровую подпись.

Данный файл-загрузчик представляет собой инсталлятор в формате NSIS (Nullsoft Scriptable Install System).

При запуске инсталлятор пытается выявить присутствие на атакуемом компьютере виртуальных машин, программ-мониторов и отладчиков, после чего проверяет наличие в системе программ «банк-клиент» нескольких российских кредитных организаций:

*ICPortalSSL *sib.taatta.net *isfront.priovtb.com *ISAPIgate.dll *bsi.dll *PortalSSL *IIS-Gate.dll *beta.mcb.ru *ibank *ibrs *iclient *e-plat.mdmbank.com *sberweb.zubsb.ru *ibc *elbrus *i-elba *clbank.minbank.ru *chelindbank.ru/online/ *uwagb *wwwbank *dbo *ib.

Если все проверки прошли успешно, установщик скачивает с сервера злоумышленников и запускает на атакуемом компьютере другой установщик в формате NSIS (Nullsoft Scriptable Install System) с именем install.cab, который содержит следующие файлы:

• setup.bin - 7z архив
• setup1.bin - 7z архив
• 7za.exe

Этот установщик распаковывает защищенные паролем архивы и запускает исполняемые файлы.

setup.bin:

• lmpack1.exe
• pn_pack1.exe

setup1.bin:

• pskill.exe

Файл lmpack.exe представляет собой установщик в формате NSI, который содержит следующие файлы и сценарий установки:

7za.exe
FileTouch.exe
_??
a32.bin
a64.bin
files0.bin
files1.bin
files2.bin
files4.bin
files5.bin
h1.bin
n32.bin
n64.bin
p1.bin
setup1.bin

Файл pn_pack1.exe представляет собой установщик, который содержит следующие файлы и сценарий установки:

FileTouch.exe
7za.exe
files3.bin
hh.bin
files0.bin
files4.bin
setup.bin

Полезной нагрузкой установщика является несколько вариантов вполне легальной условно-бесплатной утилиты Remote Office Manager — специалисты компании «Доктор Веб» зафиксировали как минимум три таких варианта с разными конфигурационными настройками. С помощью перехвата ряда системных функций вредоносная программа скрывает значки этой утилиты в области уведомлений и панели задач Windows, чтобы пользователь не мог вовремя ее обнаружить.

Новость об угрозе