Підтримка
Цілодобова підтримка | Правила звернення

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

BackDoor.Crane.1

Добавлен в вирусную базу Dr.Web: 2016-10-21

Описание добавлено:

SHA1:

  • afecbbc9d6dbc326fa448674b7b252c05e3c0c9b - BackDoor.Crane.1
  • 33817963d25d8bf45bbaf8c09e6e82a26532b4e3 - CmdModule.dll
  • 61e7f7a02d8b63af4b3738ca6086a442a4a72359 - DownloadModule.dll
  • 5596a021c1a7532c876c13bf0645b863b322cf84 - FilelistingModule.dll
  • 96ca14351bd7e34536b0cd945c3d952bfb0a5f6d - ScreenshotModule.dll
  • 3aa2c53361d79172c0f6e8a57fad7f9f14667bf2 - UploadModule.dll
  • 6a1d24439c15aa559b34e411f2f52d8fb564dba1 - UploadToAdminModule.dll

Модульный троянец-бэкдор, задействованный злоумышленниками при проведении целевой атаки на крупнейшие российские предприятия, занимающиеся производством портальных и грузоподъемных кранов, а также сопутствующего оборудования. Написан на языке С++, дата компиляции исследованного образца: Thu Apr 21 10:56:19 2016. Путь до отладочной информации:

C:\Users\User\Desktop\14\bin\Bot.pdb

После запуска создает отдельный поток, в котором выполняет все свои вредоносные функции. Проверяет наличие конфигурационного файла connfig.json в каталоге "%ALLUSERSPROFILE%\\yandex_service". В случае обнаружения получает оттуда необходимые для дальнейшей работы данные, при отсутствии создает такой файл с содержимым по умолчанию:

{
    "frequency" : 60,
    "id" : "*******",
    "proxy" :
    {
        "host" : "",
        "pass" : "",
        "port" : 0,
        "protocol" : 0,
        "user" : ""
    },
    "script_name" : "***.php",
    "servers" :
    [
        {
            "host" : "*****.**",
            "port" : 80,
            "useSSL" : false
        }
    ]
}

Определив имя папки, из которой он был запущен, троянец ищет собственные модули, перебирая файлы по маске:

 < dir>\\modules\\*Module.dll

Обнаруженные модули загружаются в память с использованием LoadLibrary, при этом троянец проверяет, чтобы загружаемая библиотека имела экспорты GetModuleName, GetModuleCommand, CreateModule, DeleteModule, RunCommand.

После загрузки модулей вредоносная программа с определенной периодичностью обращается к управляющему серверу за заданиями. В первую очередь троянец регистрируется на сервере, при этом он отправляет на управляющий сервер сведения об инфицированном компьютере, включающие его имя, имя пользователя, IP-адрес и список запущенных процессов, а также сгенерированный определенным образом идентификатор бота. Примечательно, что в процессе обмена информацией с командным центром троянец использует в качестве значения параметра User-Agent строку «RSDN HTTP Reader».

{
    "action":"auth",
    "controller":"api",
    "data":"
        {
            \"computer_name\":\"*****\",
            \"frequency\":60,
            \"id\":\"*****\",
            \"network_interfaces\":[\"A.В.C.D\"],
            \"processes\":[\"System\",\"smss.exe\",\"csrss.exe\",\"wininit.exe\",\"csrss.exe\",\"winlogon.exe\",\"services.exe\",\"lsass.exe\",\"lsm.exe\",\"svchost.exe\",\"svchost.exe\",\"svchost.exe\",\"svchost.exe\",\"svchost.exe\",\"svchost.exe\",\"svchost.exe\",\"explorer.exe\",\"spoolsv.exe\",\"taskhost.exe\",\"svchost.exe\",
            \"proxy\":0,
            \"script_name\":\"***.php\",
            \"servers\":[{\"host\":\"***\",\"port\":80,\"userSSL\":false}],\"user_name\":\"user\"
        }\n"
}

В ответ на этот запрос сервер отправляет подтверждение:

{"status":"SUCCESS"}

После этого троянец ожидает поступления команд, отправляя на сервер GET-запросы. Ответы сервера имеют формат JSON:

{"status":"SUCCESS","data":null}

В данном примере поле "data" не содержит данных, а значит, боту не нужно выполнять никаких команд. При отправке команды поле "data" имеет следующую структуру:

{
    "id": <bot_id>,
    "command": {
        "command": <command_name>,
        "cmd": {
            "wait": true
        }
    }
}

где <bot_id> соответствует идентификатору бота, <command_name> - имя команды или модуля, которому предназначена команда. Сам троянец способен выполнять только одну команду: "updateConf" — обновление конфигурационного файла. Все остальные команды выполняются модулями.

Модули

Все модули имеют имена *Module.dll, располагаются в каталоге "<dir>\\modules\\" и имеют экспорты GetModuleName, GetModuleCommand, CreateModule, DeleteModule, RunCommand.

CreateModule

Создает структуру st_module и возвращает указатель на нее:

struct st_module
{
  char * name;
  char * command;
};

GetModuleName

Возвращает поле «name» структуры st_module.

GetModuleCommand

Возвращает поле «cmd» структуры st_module.

DeleteModule

Освобождает память, в которой была создана структура st_module.

RunCommand

Выполняет заданную команду.

CmdModule

Путь до отладочных символов: C:\Users\User\Desktop\14\bin\modules\CmdModule.pdb

name: "CmdModule"
command: "cmd"

Выполняет переданную команду с помощью интерпретатора команд cmd.

DownloadModule

Путь до отладочных символов: C:\Users\User\Desktop\14\bin\modules\DownloadModule.pdb

name: "DownloadModule"
command: "download"

Скачивает файл по заданной ссылке и сохраняет его в указанную папку на инфицированном компьютере.

FilelistingModule

Путь до отладочных символов: C:\Users\User\Desktop\14\bin\modules\FilelistingModule.pdb

name: "FilelistingModule"
command: "filelisting"

Составляет и передает на управляющий сервер перечень содержимого заданной директории.

ScreenshotModule

Путь до отладочных символов: C:\Users\User\Desktop\14\bin\modules\ScreenshotModule.pdb

name: "ScreenshotModule"
command: "screenshot"

Создает и передает на управляющий сервер снимки экрана.

UploadModule

Путь до отладочных символов: C:\Users\User\Desktop\14\bin\modules\UploadModule.pdb

name: "UploadModule"
command: "upload"

Загружает файл на указанный злоумышленниками сервер с использованием протокола FTP.

UploadToAdminModule

Путь до отладочных символов: C:\Users\User\Desktop\14\bin\modules\UploadToAdminModule.pdb

name: "UploadToAdminModule"
command: "uploadtoadmin"

Загружает файл на указанный злоумышленниками сервер с использованием протокола HTTP.

Новость о троянце

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке