Security Lab

Trojan.Win32.Dialer.bi

Trojan.Win32.Dialer.bi

Троянская программа, состоящая из набора BHO-компонентов (BHO — это модули, расширяющие функционал MS Internet Explorer). Вероятно, является частью другой троянской программы.

Trojan.Win32.Dialer.bi («Лаборатория Касперского») также известен как: Dialer.Bias (Doctor Web), Trojan:Win32/Dialer.BI (RAV), TR/Dialer.BI (H+BEDV), Dialer.10.Z (Grisoft), Trojan.Dialer.BI (SOFTWIN), Dialer-90 (ClamAV), Dialer.OR (Panda), Win32/Dialer.NAH (Eset)

Троянская программа, состоящая из набора BHO-компонентов (BHO — это модули, расширяющие функционал MS Internet Explorer). Вероятно, является частью другой троянской программы.

BHO-объекты следят за доменными зонами, где располагаются сайты, посещаемые пользователем. Также они, используя службу RAS, производят поиск средств дозвона в системе (модемов) и генерируют нечто похожее на телефонный номер.

Регистрирует в системе BHO, добавляя ключи в реестр: 

  [SOFTWARE\Microsoft\Windows\CurrentVersion\
  Explorer\Browser Helper Objects\
  
  {0F9561D0-03B2-44a3-89A6-E95E417CBA25}]
  [SOFTWARE\Microsoft\Windows\CurrentVersion\
  Explorer\Browser Helper Objects\
  {7B55BB05-0B4D-44fd-81A6-B136188F5DEB}]
  [SOFTWARE\Microsoft\Windows\CurrentVersion\
  Explorer\Browser Helper Objects\
  {38D4D5D0-423E-4220-B6F9-30918C2AE4A4}]

Состав программных файлов

SAupdater.exe

Размер упакованного — 30720, распакованного — 44032 байт.

При запуске записывает хранящийся в своих ресурсах файл в %WINDIR%\cerbmod.dll, после чего данная библиотека загружается в память.

Библиотека регистрируется как BHO:

  [SOFTWARE\Microsoft\Windows\CurrentVersion\
  Explorer\Browser Helper Objects\
  {0F9561D0-03B2-44a3-89A6-E95E417CBA25}]
  [SOFTWARE\Microsoft\Windows\CurrentVersion\
  Explorer\Browser Helper Objects\
  {7B55BB05-0B4D-44fd-81A6-B136188F5DEB}]

cerbmod.dll

Размер упакованного — 27136, распакованного — 93184 байт.

Производит слежение за действиями пользователя в сети Internet, следит за посещаемыми доменными зонами, производит поиск модемов в системе и выполняет еще некоторые действия, назначение которых не ясно.

Содержит строку:

  
  *@dialeradmin*

sasetup.dll

Размер упакованного — 29696, распакованного — 97280 байт.

При запуске записывает хранящийся в своих ресурсах файл в %WINDIR%\sasent.dll и загружает его в память.

Содержит строки:

  
      * templikerashitiotmakefriendlive{3434343}
      * Sa7823

Также имеет функционал схожий с cerbmod.dll.

sasent.dll

Размер упакованного — 3072, распакованного — 14336 байт.

Библиотека функций, основной из которых является функция «Hook». Данная функция отслеживает появление определенных окон в Internet Explorer, после чего сразу регистрирует в системе BHO-объект:

  [SOFTWARE\Microsoft\Windows\CurrentVersion\
  Explorer\Browser Helper Objects\
  {38D4D5D0-423E-4220-B6F9-30918C2AE4A4}]
Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!