FOR CUSTOMERS

Close

Library
My library

+ Add to library

Search
Search

Contact us
24/7 Tech support | Rules regarding submitting

Send a message

A query form

Call us

+7 (495) 789-45-86

Forum

Your tickets

New ticket

Call us

+7 (495) 789-45-86

Profile

EN

RU CN DE EN ES FR IT JP KZ UZ PL BY ID
Close
Support services
Scanners
Dr.Web vxCube
Trial
Virus library
Knowledge base

Technologies

Terminology

Training and education

Myths

News

Trojan.DownLoad3.40563

Added to the Dr.Web virus database: 2016-06-15

Virus description added:

SHA1:

  • 7d54f11793d63a6a85dff950fa3213a4138a06d9

Описание

Троянская программа-загрузчик для ОС Windows, написанная на Delphi и предназначенная для скачивания полезной нагрузки на скомпрометированные компьютеры. Файл трояна имеет название AcroRd32.exe для маскировки под один из компонентов продукта Adobe Acrobat Reader DC.

Принцип действия

Открытие отвлекающего файла

Для сокрытия своей деятельности при запуске троян открывает файл %TEMP%\Resume.pdf. Если такой файл отсутствует, троян генерирует его самостоятельно.

Проверка окружения

  1. Определяет, запущены ли на компьютере отладочные приложения (список содержит 100 наименований, включая Olly Debugger, Wireshark, PE Explorer и другие).
  2. Проверяет имя компьютера на его соответствие 124 типовым названиям, использующимся в сфере информационной безопасности (например, VIRTUAL, MALTEST, TESTING и другие).
  3. Проверяет доступ к интернету путем отправки GET-запроса по адресу hxxp://www.adobe[.]com. Затем определяет внешний IP-адрес хоста, отправляя GET-запрос к hxxp://checkip.dyndns[.]org. Сравнивает полученный IP-адрес со встроенным черным списком адресов, содержащим 233 пункта (представлены как конкретные адреса, так и целые подсети).
  4. Подсчитывает количество процессов, запущенных в системе: если оно меньше 26, троян отправляет на свой С2-сервер сообщение с кодом ошибки 1.
  5. Проверяет аргументы, с которыми запускалось приложение (AdobeReader, \TEMP\, \TMP\, \CONTENT.IE). В отсутствие какой-либо из этих строк на сервер отправляется сообщение с кодом ошибки 4.
  6. Проверяет следующие параметры реестра:
    • Значение параметра «DLL» ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\OpenGLDrivers\VBoxOGL не должно быть равно VBoxOGL.dll. При неудачной проверке на сервер отправляется сообщение об ошибке с кодом 2.1.
    • Значение параметра «0» ключа HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Disk\Enum не должно быть равно Virtual. При неудачной проверке на сервер отправляется сообщение об ошибке с кодом 2.2.
    • Значение параметра «SystemProductName» ключа HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SystemInformation не должно быть равно VirtualBox. При неудачной проверке на сервер отправляется сообщение об ошибке с кодом 2.4.

      Также троян определяет наличие следующих ключей реестра: 

      
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Oracle VM VirtualBox Guest Additions
HKEY_LOCAL_MACHINE\SOFTWARE\Oracle\VirtualBox Guest Additions
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Sandboxie
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\VMBUS
HKEY_LOCAL_MACHINE\HARDWARE\ACPI\DSDT\VBOX__
HKEY_LOCAL_MACHINE\HARDWARE\ACPI\DSDT\VirtualBox
HKEY_LOCAL_MACHINE\HARDWARE\ACPI\DSDT\Parallels Workstation
HKEY_LOCAL_MACHINE\HARDWARE\ACPI\DSDT\PRLS__
HKEY_LOCAL_MACHINE\HARDWARE\ACPI\DSDT\Virtual PC
HKEY_LOCAL_MACHINE\HARDWARE\ACPI\SDT\AMIBI
HKEY_LOCAL_MACHINE\HARDWARE\ACPI\DSDT\VMware Workstation
HKEY_LOCAL_MACHINE\HARDWARE\ACPI\DSDT\PTLTD__

      При неудачной проверке на сервер отправляется сообщение об ошибке с кодом 2.3.

      Затем троян проверяет наличие следующих ключей

      
HKEY_CURRENT_USER\SOFTWARE\SandboxieAutoExec
HKEY_CURRENT_USER\SOFTWARE\Classes\Folder\shell\sandbox

      При неудачной проверке на сервер отправляется сообщение об ошибке с кодом 2.3.

      Затем троян проверяет наличие следующих ключей: 

      
HKEY_CURRENT_USER\SOFTWARE\SandboxieAutoExec
HKEY_CURRENT_USER\SOFTWARE\Classes\Folder\shell\sandbox

      При неудачной проверке на сервер отправляется сообщение об ошибке с кодом 2.5.

      Проверяется наличие следующих процессов: 

      
VBoxTray.exe
VBoxService.exe
prl_cc.exe
prl_tools.exe
SharedIntApp.exe
vmusrvc.exe
vmsrvc.exe
vmount2.exe
vmtoolsd.exe
vmwaretray.exe
vmwareuser.exe
vmware-tray.exe
vmnat.exe
TPAutoConnSvc.exe
TPAutoConnect.exe
VMRemoteGuest.exe
VGAuthService.exe
vmware-converter-a.exe
vmware-converter.exe
vmnetdhcp.exe
vmware-usbarbitrator.exe
vmware-usbarbitrator64.exe
vmware-authd.exe
vmware-hostd.exe
vmacthlp.exe

      При неудачной проверке на сервер отправляется сообщение об ошибке с кодом 2.6.

Проверка ключей реестра ПО Adobe

Троян проверяет наличие ключа реестра HKEY_CURRENT_USER\Software\Adobe и вложенного двоичного параметра DXVersion . Если данный параметр существует, проверка считается пройденной. В противном случае троян создает параметр DXVersion и присваивает ему значение True .

Если хотя бы одна из описанных выше проверок завершилась с ошибкой, троян не переходит к запуску своего основного кода.

Установка сертификатов

На данном этапе троян проверяет, был ли он запущен с правами администратора. При наличии административных привилегий он выполняет следующие действия:

  1. Проверяет наличие файла sert.cer в %TEMP%. В случае его отсутствия троян создает его самостоятельно и делает скрытым (выставляет FILE_ATTRIBUTE_HIDDEN).
  2. Проверяет наличие файла CertMgr.exe в %TEMP%. В случае его отсутствия троян создает его самостоятельно и делает скрытым (выставляет FILE_ATTRIBUTE_HIDDEN).
  3. Выполняет команду: %TEMP%\CertMgr.exe -add -c "sert.cer" -s -r localMachine root.

Закрепление в системе

Создает параметр AdobeUpdate в ключе HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce и присваивает ему значение %allusersprofile%\Application Data\AdobeSystem.exe.

Скачивание ВПО

  1. Проверяет наличие файла AdobeSystem.exe в директории %allusersprofile%\Application Data\.
  2. Если файл отсутствует, формирует ссылку и скачивает файл: hxxp://karltin[.]ws/arksto/angalo.rar.
  3. Распаковывает архив в директорию %allusersprofile%\Application Data\, пароль от архива Uh09Ij9L00Jhfbg2trfvd26 вшит в тело трояна.
  4. Если файл успешно распаковался, троян отправляет сообщение Hello Install, в противном случае — сообщение об ошибке с кодом 3.2.

Удаление следов присутствия

При любом исходе выполнения программы происходит удаление следов присутствия трояна в системе:

  1. Из директории %TEMP% удаляются файлы с расширениями *.pdf, *.exe, *.docx, *.cer.
  2. Из директории %allusersprofile%\Application Data\Downloads\ удаляются файлы с расширением *.docx.

Отправляемое сообщение о результате выполнения

Троян отправляет письмо по адресу sales@karltin[.]ws, в котором сообщает о результатах своей работы на скомпрометированной машине. Текст письма представляет собой строки, содержащие пары типа «параметр»: «значение». Адрес SMTP-сервера — mail[.]karltin[.]ws. Для отправки используется учетная запись amanda@karltin[.]ws. В теме письма указывается код ошибки.

Параметр Значение Пояснение
PC <comuter_name> Имя компьютера
TEXT <Event> Событие (может принимать значения Error или Install)
IP <white_ip> Внешний IP-адрес устройства
CD <program_args> Аргументы запуска
PC <process count> Количество запущенных процессов
DS <date_stamp> Текущая дата
TS <time_stamp> Текущее время
BD 14.01 Версия трояна
PL <process_list> Список запущенных процессов

При этом, если параметр Event имеет значение Install, троян рекурсивно читает содержимое директории %appdata% в поисках файлов history.mab и impab.mab, представляющих собой адресные книги почтового клиента Thunderbird на инфицированном компьютере. При обнаружении этих файлов они отправляются в письме.

Curing recommendations

  1. If the operating system (OS) can be loaded (either normally or in safe mode), download Dr.Web Security Space and run a full scan of your computer and removable media you use. More about Dr.Web Security Space.
  2. If you cannot boot the OS, change the BIOS settings to boot your system from a CD or USB drive. Download the image of the emergency system repair disk Dr.Web® LiveDisk , mount it on a USB drive or burn it to a CD/DVD. After booting up with this media, run a full scan and cure all the detected threats.
Free trial

 

Download Dr.Web

Download by serial number

Use Dr.Web Anti-virus for macOS to run a full scan of your Mac.

Free trial

 

Download Dr.Web

Download by serial number

Download on App Store

After booting up, run a full scan of all disk partitions with Dr.Web Anti-virus for Linux.

Free trial

 

Download Dr.Web

Download by serial number

  1. If the mobile device is operating normally, download and install Dr.Web for Android. Run a full system scan and follow recommendations to neutralize the detected threats.
  2. If the mobile device has been locked by Android.Locker ransomware (the message on the screen tells you that you have broken some law or demands a set ransom amount; or you will see some other announcement that prevents you from using the handheld normally), do the following:
    • Load your smartphone or tablet in the safe mode (depending on the operating system version and specifications of the particular mobile device involved, this procedure can be performed in various ways; seek clarification from the user guide that was shipped with the device, or contact its manufacturer);
    • Once you have activated safe mode, install the Dr.Web for Android onto the infected handheld and run a full scan of the system; follow the steps recommended for neutralizing the threats that have been detected;
    • Switch off your device and turn it on as normal.

Find out more about Dr.Web for Android

Free trial

14 days

Download now
Get it on Google Play