Scrollablepanel dll что это

Scrollablepanel dll что это

Scrollablepanel dll что это. default large. Scrollablepanel dll что это фото. Scrollablepanel dll что это-default large. картинка Scrollablepanel dll что это. картинка default large

Scrollablepanel dll что это. photo thumb 1. Scrollablepanel dll что это фото. Scrollablepanel dll что это-photo thumb 1. картинка Scrollablepanel dll что это. картинка photo thumb 1

Вообще то лаунчер для Dayz и Arma3 одинаковые полностью, так что просто в исключение добавьте его в антивирус, если удалил файл, то возьмите его с DayZ и закиньте в папку Arma3

Scrollablepanel dll что это. default large. Scrollablepanel dll что это фото. Scrollablepanel dll что это-default large. картинка Scrollablepanel dll что это. картинка default large

Вообще то лаунчер для Dayz и Arma3 одинаковые полностью, так что просто в исключение добавьте его в антивирус, если удалил файл, то возьмите его с DayZ и закиньте в папку Arma3

Походу возник другой вопрос. При попытке удалить папки с вашими лаунчерами меня отсылает к группе администраторов. Я один и единственный админ на своем домашнем ПК. Как это понять-то? Такое поведение характерно для очень серьезных вирусов, которые подменяют собой учетные записи на компе. в реестре и не дают себя удалять. Я вычищал в реестре записи о ваших лаунчерах, химичил с правами и полномочиями и все равно не смог удалить папки с лаунчерами, хотя сами файлы. к счастью, удалить получилось. Это тоже объяснение от вас в стиле: все хорошо, у нас все нормально, мы добрые и пушистые?? Вы себя тут показываету, как серьезный ресурс, почему нельзя деинсталлировать ваши программы обычным путем. а нужно через одно место все это делать? Так пустые ваши папки и остались на компе, я ничего не смог с ними сделать. Это нормально?? Ждите от меня негативных отзывов на всех игровых форумах за это.

Scrollablepanel dll что это. photo thumb 1. Scrollablepanel dll что это фото. Scrollablepanel dll что это-photo thumb 1. картинка Scrollablepanel dll что это. картинка photo thumb 1

Походу возник другой вопрос. При попытке удалить папки с вашими лаунчерами меня отсылает к группе администраторов. Я один и единственный админ на своем домашнем ПК. Как это понять-то? Такое поведение характерно для очень серьезных вирусов, которые подменяют собой учетные записи на компе. в реестре и не дают себя удалять. Я вычищал в реестре записи о ваших лаунчерах, химичил с правами и полномочиями и все равно не смог удалить папки с лаунчерами, хотя сами файлы. к счастью, удалить получилось. Это тоже объяснение от вас в стиле: все хорошо, у нас все нормально, мы добрые и пушистые?? Вы себя тут показываету, как серьезный ресурс, почему нельзя деинсталлировать ваши программы обычным путем. а нужно через одно место все это делать? Так пустые ваши папки и остались на компе, я ничего не смог с ними сделать. Это нормально?? Ждите от меня негативных отзывов на всех игровых форумах за это.

Источник

Scrollablepanel dll что это

Платформа Microsoft.Net Framework

-(далее текст)- необрабатываемое исключение в приложении

При нажатии»продолжить»приложение проигнорирует ошибку и попытается продолжить работу.

При нажатии»выход»приложение завершит работу.

-(чуть ниже)-Невозможно соединиться с удаленным сервером.

При нажатии на «сведения» раскрывается текст:

Подробная информация об использовании оперативной
(JIT) отладки вместо данного диалогового
окна содержится в конце этого сообщения.

************** Загруженные сборки **************
mscorlib
Версия сборки: 4.0.0.0
Версия Win32: 4.6.96.0 built by: NETFXREL2STAGE
CodeBase: file:///C:/Windows/Microsoft.NET/Framework/v4.0.30319/mscorlib.dll
—————————————-
_
Версия сборки: 0.0.0.0
Версия Win32: 4.6.96.0 built by: NETFXREL2STAGE
CodeBase: file:///C:/WINDOWS/Microsoft.Net/assembly/GAC_32/mscorlib/v4.0_4.0.0.0__b77a5c561934e089/mscorlib.dll
—————————————-
Launcher_SA
Версия сборки: 0.0.0.1
Версия Win32: 4.6.96.0 built by: NETFXREL2STAGE
CodeBase: file:///C:/WINDOWS/Microsoft.Net/assembly/GAC_32/mscorlib/v4.0_4.0.0.0__b77a5c561934e089/mscorlib.dll
—————————————-
System
Версия сборки: 4.0.0.0
Версия Win32: 4.5.27.0 built by: FX453PREVIEWREL
CodeBase: file:///C:/WINDOWS/Microsoft.Net/assembly/GAC_MSIL/System/v4.0_4.0.0.0__b77a5c561934e089/System.dll
—————————————-
System.Windows.Forms
Версия сборки: 4.0.0.0
Версия Win32: 4.0.30319.34250 built by: FX452RTMGDR
CodeBase: file:///C:/WINDOWS/Microsoft.Net/assembly/GAC_MSIL/System.Windows.Forms/v4.0_4.0.0.0__b77a5c561934e089/System.Windows.Forms.dll
—————————————-
System.Drawing
Версия сборки: 4.0.0.0
Версия Win32: 4.0.30319.34262 built by: FX452RTMGDR
CodeBase: file:///C:/WINDOWS/Microsoft.Net/assembly/GAC_MSIL/System.Drawing/v4.0_4.0.0.0__b03f5f7f11d50a3a/System.Drawing.dll
—————————————-
Accessibility
Версия сборки: 4.0.0.0
Версия Win32: 4.0.30319.33440 built by: FX45W81RTMREL
CodeBase: file:///C:/WINDOWS/Microsoft.Net/assembly/GAC_MSIL/Accessibility/v4.0_4.0.0.0__b03f5f7f11d50a3a/Accessibility.dll
—————————————-
System.Configuration
Версия сборки: 4.0.0.0
Версия Win32: 4.5.27.0 built by: FX453PREVIEWREL
CodeBase: file:///C:/WINDOWS/Microsoft.Net/assembly/GAC_MSIL/System.Configuration/v4.0_4.0.0.0__b03f5f7f11d50a3a/System.Configuration.dll
—————————————-
System.Xml
Версия сборки: 4.0.0.0
Версия Win32: 4.5.27.0 built by: FX453PREVIEWREL
CodeBase: file:///C:/WINDOWS/Microsoft.Net/assembly/GAC_MSIL/System.Xml/v4.0_4.0.0.0__b77a5c561934e089/System.Xml.dll
—————————————-
af9ad2a5-e830-4fac-9a02-1f2efd4d8a2b
Версия сборки: 1.0.0.0
Версия Win32: 4.6.96.0 built by: NETFXREL2STAGE
CodeBase: file:///C:/WINDOWS/Microsoft.Net/assembly/GAC_32/mscorlib/v4.0_4.0.0.0__b77a5c561934e089/mscorlib.dll
—————————————-
ScrollAblePanel
Версия сборки: 1.0.0.0
Версия Win32: 1.0.0.0
CodeBase: file:///C:/Games/DayZ%20Standalone/ScrollAblePanel.DLL
—————————————-
mscorlib.resources
Версия сборки: 4.0.0.0
Версия Win32: 4.0.30319.34209 built by: FX452RTMGDR
CodeBase: file:///C:/WINDOWS/Microsoft.Net/assembly/GAC_MSIL/mscorlib.resources/v4.0_4.0.0.0_ru_b77a5c561934e089/mscorlib.resources.dll
—————————————-
SKC
Версия сборки: 3.0.0.0
Версия Win32: 3.0.0.0
CodeBase: file:///C:/Games/DayZ%20Standalone/SKC.DLL
—————————————-
System.Management
Версия сборки: 4.0.0.0
Версия Win32: 4.5.27.0 built by: FX453PREVIEWREL
CodeBase: file:///C:/WINDOWS/Microsoft.Net/assembly/GAC_MSIL/System.Management/v4.0_4.0.0.0__b03f5f7f11d50a3a/System.Management.dll
—————————————-
System.Core
Версия сборки: 4.0.0.0
Версия Win32: 4.5.27.0 built by: FX453PREVIEWREL
CodeBase: file:///C:/WINDOWS/Microsoft.Net/assembly/GAC_MSIL/System.Core/v4.0_4.0.0.0__b77a5c561934e089/System.Core.dll
—————————————-
System.resources
Версия сборки: 4.0.0.0
Версия Win32: 4.0.30319.34209 built by: FX452RTMGDR
CodeBase: file:///C:/WINDOWS/Microsoft.Net/assembly/GAC_MSIL/System.resources/v4.0_4.0.0.0_ru_b77a5c561934e089/System.resources.dll
—————————————-
System.Windows.Forms.resources
Версия сборки: 4.0.0.0
Версия Win32: 4.0.30319.36213 built by: FX452RTMLDR
CodeBase: file:///C:/WINDOWS/Microsoft.Net/assembly/GAC_MSIL/System.Windows.Forms.resources/v4.0_4.0.0.0_ru_b77a5c561934e089/System.Windows.Forms.resources.dll
—————————————-

При включенной отладке JIT любое необрабатываемое исключение
пересылается отладчику JIT, зарегистрированному на данном компьютере,
вместо того чтобы обрабатываться данным диалоговым окном.

Источник

Пока расследование не разлучит нас: малварь, которая может сидеть в сети компании годами

Недавно мы расследовали АРТ-атаку на одну российскую компанию и нашли много занятного софта. Сначала мы обнаружили продвинутый бэкдор PlugX, популярный у китайских группировок, АРТ-атаки которых обычно нацелены на похищение конфиденциальной информации, а не денег. Затем из скомпрометированной сети удалось вытащить несколько других схожих между собой бэкдоров (nccTrojan, dnsTrojan, dloTrojan) и даже общедоступных утилит.

Программы, используемые в этой преступной кампании, не отличаются сложностью, за исключением, может быть, PlugX. К тому же три из четырех вредоносов использовали при запуске давно известную технику DLL hijacking. Тем не менее, как показало наше исследование, даже при таких условиях злоумышленники могут годами оставаться в скомпрометированных сетях.

Мы решили изучить обнаруженный софт и поделиться своими наблюдениями.

PlugX

PlugX — сложная вредоносная программа. Мы постараемся рассказать о ее основных функциях, а более подробное описание малвари можно найти в отчете Dr. Web.

Запуск PlugX

PlugX, как правило, распространяется в виде самораспаковывающихся архивов, содержащих:

Такой набор характерен для техники DLL hijacking, при которой злоумышленник заменяет легитимную DLL на вредоносную. При этом малварь получает возможность работать от имени легитимного процесса и обходить таким образом средства защиты (рис. 1).

Scrollablepanel dll что это. vyjjm lerf8uwfo2uhv8zojvc2a. Scrollablepanel dll что это фото. Scrollablepanel dll что это-vyjjm lerf8uwfo2uhv8zojvc2a. картинка Scrollablepanel dll что это. картинка vyjjm lerf8uwfo2uhv8zojvc2a

Рис. 1. Наглядное представление техники DLL hijacking

Рассмотрим в качестве примера один из экземпляров PlugX, характеристики которого приведены в табл. 1.

СвойствоEXEDLLЗашифрованная нагрузка
Имя файлаmcut.exemcutil.dllmcutil.dll.bbc
Тип файлаPE32 executable (EXE)PE32 executable (DLL)None
Размер (в байтах)140 5764 096180 358
Время компиляции13 июня 2008 года 02:39:289 декабря 2014 года 10:06:14
MD5884d46c01c762ad6ddd2759fd921bf71e9a1482a159d32ae57b3a9548fe8edec2d66d86a28cd28bd98496327313b4343
SHA-1d201b130232e0ea411daa23c1ba2892fe6468712a2a6f813e2276c8a789200c0e9a8c71c57a5f2d67bcf4f196578f2a43a2cd47f0b3c8d295120b646
SHA-2563124fcb79da0bdf9d0d1995e37b06f7929d83c1c4b60e38c104743be71170efe2f81cf43ef02a4170683307f99159c8e2e4014eded6aa5fc4ee82078228f6c3c0c831e5c3aecab14fe98ff4f3270d9ec1db237f075cd1fae85b7ffaf0eb2751

Вот что происходит при запуске невредоносного исполняемого файла (EXE) из пакета.

Сначала одна из импортируемых им библиотек (отдельная DLL) заменяется вредоносной. После загрузки в память процесса DLL открывает третий файл из пакета PlugX, который обходит средства защиты за счет отсутствия видимого исполняемого кода. Тем не менее он содержит шелл-код, после исполнения которого в памяти расшифровывается еще один дополнительный шелл-код. Он с помощью функции RtlDecompressBuffer() распаковывает PlugX (DLL). При открытии мы видим, что сигнатуры MZ и PE в исполняемом файле PlugX заменены на XV (рис. 2) — скорее всего, это тоже нужно, чтобы скрыть модуль от средств защиты.

Scrollablepanel dll что это. image loader. Scrollablepanel dll что это фото. Scrollablepanel dll что это-image loader. картинка Scrollablepanel dll что это. картинка image loader

Рис. 2. Исполняемый файл PlugX в распакованном виде с измененными сигнатурами MZ и PE

Наконец, запускается распакованная вредоносная библиотека, и управление передается ей.

В другом экземпляре PlugX мы обнаружили интересную особенность: малварь пыталась скрыть некоторые библиотечные вызовы от песочниц. При восстановлении импортов вместо адреса импортируемой функции сохранялся адрес тремя байтами ранее. Результат для функции SetFileAttributesW() виден на рис. 3.

Scrollablepanel dll что это. image loader. Scrollablepanel dll что это фото. Scrollablepanel dll что это-image loader. картинка Scrollablepanel dll что это. картинка image loader

Рис. 3. При получении адреса функции SetFileAttributesW() сохраняется адрес 0x7577D4F4

В табл. 2 приведены характеристики этого экземпляра.

СвойствоEXEDLLЗашифрованная нагрузка
Имя файлаmcut.exemcutil.dllmcutil.dll.bbc
Тип файлаPE32 executable (EXE)PE32 executable (DLL)None
Размер140 5764 096179 906
MD5884d46c01c762ad6ddd2759fd921bf7112ee1f96fb17e25e2305bd6a1ddc2de9e0ae93f9cebcba2cb44cec23993b8917
SHA-1d201b130232e0ea411daa23c1ba2892fe6468712bf25f1585d521bfba0c42992a6df5ac48285d763f0efdb723a65e90afaebd56abe69d9f649ca094c
SHA-2563124fcb79da0bdf9d0d1995e37b06f7929d83c1c4b60e38c104743be71170efe97ad6e95e219c22d71129285299c4717358844b90860bb7ab16c5178da3f168681e53c7d7c8aa8f98c951106a656dbe9c931de465022f6bafa780a6ba96751eb

Scrollablepanel dll что это. image loader. Scrollablepanel dll что это фото. Scrollablepanel dll что это-image loader. картинка Scrollablepanel dll что это. картинка image loader

Scrollablepanel dll что это. image loader. Scrollablepanel dll что это фото. Scrollablepanel dll что это-image loader. картинка Scrollablepanel dll что это. картинка image loader

б)
Рис. 4. Фрагмент декомпилированного кода (а) и соответствующий ему фрагмент листинга перехваченных инструкций (б), где встречается вызов функции SetFileAttributesW()

Основная нагрузка PlugX не сохраняется в расшифрованном виде на диске.

Работа PlugX

После запуска вредоносная программа расшифровывает конфигурацию, которая содержит адреса серверов управления, а также информацию, необходимую для дальнейшего функционирования (например, способ закрепления в системе или путь, по которому копируются файлы малвари).

При этом данные для конфигурации могут браться из основного загрузчика или из отдельного файла в текущей рабочей директории. Из того же файла может быть подтянута новая конфигурация при ее обновлении в ходе взаимодействия с сервером управления.

То, как вредонос будет вести себя дальше, во многом определяет его конфигурация.

В зависимости от значения check_flag в конфигурации PlugX вредоносная программа может начать поиск в зараженной системе сетевого адаптера, MAC-адрес которого совпадает с адресом, заданным в самой малвари. В случае совпадения вредоносная программа завершит свое исполнение. Вероятно, таким образом она пытается обнаружить виртуальную среду.

Если значение mode_flag равно 0, вредоносная программа закрепляется в системе (подробнее в разделе «Закрепление в системе»). Затем она переходит к инициализации плагинов и взаимодействию с сервером управления (подробнее в разделе «Функциональность плагинов и исполнение команд»).

Если значение mode_flag равно 2, вредоносная программа сразу переходит к инициализации плагинов и взаимодействию с сервером управления.

Если значение mode_flag равно 3, вредоносная программа внедряет шелл-код в Internet Explorer. Передача управления вредоносному коду осуществляется с помощью функции CreateRemoteThread(). Также производится инициализация плагинов, и создается именованный пайп, через который вредоносная программа получает команды, предназначенные для исполнения плагинами.

Закрепление в системе

Если конфигурация PlugX предусматривает закрепление вредоноса в зараженной системе, то в ней прописан каталог, в который будут скопированы компоненты малвари.

Анализируемый образец выбирает одну из следующих директорий в зависимости от разрядности малвари:

В зависимости от persistence_flag PlugX может закрепляться:

Помним, что малварь может и не закрепляться вовсе.

В зависимости от конфигурации вредоносная программа может также попытаться создать процесс с повышенными привилегиями с последующим внедрением в него кода. В конфигурации могут быть перечислены до четырех целевых процессов.

Функциональность плагинов PlugX и исполняемые команды

Основная функциональность бэкдора реализована с помощью так называемых плагинов. Фрагмент функции, в которой производится инициализация плагинов, приведен на рис. 5.

Scrollablepanel dll что это. image loader. Scrollablepanel dll что это фото. Scrollablepanel dll что это-image loader. картинка Scrollablepanel dll что это. картинка image loader

Рис. 5. Фрагмент инициализации плагинов PlugX

PlugX может управлять процессами и службами, работать с файловой системой, вносить изменения в реестр. Он также имеет компоненты кейлоггера и скринлоггера и может получать удаленный доступ к зараженной системе — все это дает обширные возможности злоумышленникам в скомпрометированной сети.

Полный перечень функций вредоносной программы, доступной через плагины, приведен в табл. 3.

Табл. 3. Функциональность PlugX, доступная через плагины

ПлагинКомандаФункциональные возможности
DISKСобрать информацию по всем дискам (тип и свободное пространство)
Перечислить файлы в директории
Перечислить файлы
Прочитать файл
Создать директорию и сохранить в нее файл
Создать директорию
Создать новый рабочий стол и запустить процесс
Копировать, переместить, переименовывать или удалить файл
Получить значение переменной окружения
KeyLoggerОтправить данные кейлоггера на сервер управления
NethoodПеречислить сетевые ресурсы
Установить соединение с сетевым ресурсом
NetstatПолучить таблицу TCP
Получить таблицу UDP
Установить состояние TCP
OptionЗаблокировать экран компьютера
Отключить компьютер (принудительно)
Перезагрузить компьютер
Отключить компьютер (безопасно)
Показать окно с сообщением
PortMapВозможно, запустить маппинг портов
ProcessПолучить информацию о процессах
Получить информацию о процессе и модулях
Завершить процесс
RegeditПеречислить подразделы ключа реестра
Создать ключ реестра
Удалить ключ реестра
Скопировать ключ реестра
Перечислить значения ключа реестра
Задать значение ключа реестра
Удалить значение из ключа реестра
Получить значение из ключа реестра
ScreenИспользовать удаленный рабочий стол
Сделать скриншот
Найти скриншоты в системе
ServiceПолучить информацию о сервисах в системе
Изменить конфигурацию сервиса
Запустить сервис
Управлять сервисом
Удалить сервис
ShellЗапустить cmd-шелл
SQLПолучить список баз данных
Получить список описаний драйверов
Выполнить SQL-команду
TelnetНастроить Telnet

Фрагмент функции обработки команд, полученных от сервера управления приведена на рис. 6.

Scrollablepanel dll что это. image loader. Scrollablepanel dll что это фото. Scrollablepanel dll что это-image loader. картинка Scrollablepanel dll что это. картинка image loader

Рис. 6. Команды сервера управления, которые получает PlugX

Описание команд приведено в табл. 4.

Табл. 4. Команды сервера управления, которые получает PlugX

КомандаОписание
0x1Отправить на сервер управления данные о зараженной системе:
— имя компьютера;
— имя пользователя;
— информация о CPU;
— текущее использование памяти системой;
— информация об операционной системе;
— системные дата и время;
— системная информация;
— язык системы
0x5Самоудалиться (удалить службу, очистить реестр)
0x3Передать команды плагинам со сменой протокола взаимодействия
0x6Отправить текущую конфигурацию PlugX на сервер управления
0x7Получить с сервера управления новую конфигурацию и обновить текущую
0x8Отправить список процессов с внедренным шелл-кодом
defaultПередать команды плагинам

nccTrojan

Один из обнаруженных нами бэкдоров найден в отчете VIRUS BULLETIN и назван авторами nccTrojan по константному значению в коде основного пейлоада. Характеристики попавшегося нам образца малвари приведены в табл. 5.

СвойствоEXEDLL
Имя файлаinstsrv.exewindowsreskits.dll
Тип файлаPE32 executable (EXE)PE32 executable (DLL)
Размер (в байтах)83 968514 048
Время компиляции18 декабря 2019 года 03:13:0321 марта 2020 года 15:19:04
MD5c999b26e4e3f15f94771326159c9b8f9056078b1c424667e6a67f9867627f621
SHA-1ec12c469463029861bd710aec3cb4a2c01907ad25bd080285a09c0abf742fb50957831310d9d9769
SHA-25607d728aa996d48415f64bac640f330a28e551cd565f1c5249195477ccf7ecfc53be516735bafbb02ba71d56d35aee8ce2ef403d08a4dc47b46d5be96ac342bc9

Запуск nccTrojan

Работа nccTrojan

nccTrojan расшифровывает конфигурацию, хранящуюся по определенному смещению в оверлее. Конфигурация зашифрована с помощью алгоритма AES-CFB-256, он же используется для шифрования взаимодействия с сервером управления. Пары «ключ шифрования + вектор инициализации» захардкоржены и различны для шифрования конфигурации и взаимодействия с сервером управления.

Расшифрованная конфигурация содержит информацию о сервере управления и выглядит следующим образом:

Если соединение установлено, то на сервер управления отправляется следующая информация:

При этом из собранных данных формируется строка, которая дальше зашифровывается и отправляется на сервер управления. Формат создаваемой строки:

Далее вредоносная программа переходит к взаимодействию с сервером управления и может исполнять команды, приведенные в табл. 6.

Табл. 6. Команды, исполняемые nccTrojan

КомандаНазначение
0x2Запустить сmd-шелл
0x3Выполнить команду через cmd-шелл
0x4Записать данные в файл
0x5Получить информацию о дисках C-Z (тип, свободный объем памяти)
0x6Получить информацию о файлах
0x8Запустить процесс
0xAУдалить файл или директорию
0xCПрочитать файл
0xFПроверить наличие файла
0x11Сохранить файл
0x13Получить список запущенных процессов
0x15Завершить процесс
0x17Скопировать файл
0x1AПереместить файл
0x1DЗапустить cmd-шелл с правами пользователя

dnsTrojan

Следующий бэкдор мы обнаружили впервые: на момент расследования мы не нашли упоминаний о нем в отчетах других экспертов. Его отличительная особенность — общение с сервером управления через DNS. В остальном по своей функциональности вредоносная программа схожа с бэкдором nccTrojan. Чтобы сохранить единообразие в названиях найденной малвари, назвали ее dnsTrojan.

СвойствоEXE
Имяa.exe.ok
Тип файлаPE32 executable (EXE)
Размер (в байтах)417 280
Время компиляции13 октября 2020 года 20:05:59
MD5a3e41b04ed57201a3349fd42d0ed3253
SHA-1172d9317ca89d6d21f0094474a822720920eac02
SHA-256826df8013af53312e961838d8d92ba24de19f094f61bc452cd6ccb9b270edae5

Запуск dnsTrojan

После запуска вредоносная программа извлекает из ресурсов, распаковывает и сохраняет в рабочей директории два файла:

Работа dnsTrojan

Все свои действия вредоносная программа логирует в файл %ProgramData%\logD.dat, при этом записанные данные похожи на отладочную информацию для злоумышленников (рис. 7).

Scrollablepanel dll что это. image loader. Scrollablepanel dll что это фото. Scrollablepanel dll что это-image loader. картинка Scrollablepanel dll что это. картинка image loader

Рис. 7. Фрагмент файла logD.dat

Взаимодействие с сервером управления осуществляется с использованием DNS-туннелирования. Данные передаются серверу управления в виде DNS-запроса TXT-записи в зашифрованном виде.

Сразу после запуска на сервер управления отправляются следующие данные:

Из них формируется сообщение вида 8SDXCAXRZDJ;O0V2m0SImxhY;6.1.1;1;00-13-d2-e3-d6-2e;2020113052831619.

Все передаваемые на сервер управления данные преобразуются следующим образом:

При формировании домена, для которого запрашивается TXT-запись, после каждого 64-го символа ставится точка. Запросы, отправляемые вредоносной программой, можно увидеть на рис. 8.

Scrollablepanel dll что это. image loader. Scrollablepanel dll что это фото. Scrollablepanel dll что это-image loader. картинка Scrollablepanel dll что это. картинка image loader

В ответ на запрос, отправленный на предыдущем шаге из TXT-записей, dnsTrojan получает команды сервера и может исполнить их (табл. 8).

КомандаНазначение
0x1Получить онлайн-данные
0x2Запустить сmd-шелл
0x3Выполнить команду через cmd-шелл
0x4Получить информацию о дисках C–Z (тип, свободный объем памяти) или файлах
0x6Прочитать файл
0x7Скопировать файл
0x8Удалить файл
0x9Проверить наличие файла
0xAСохранить файл
0xBУстановить время бездействия программы (в минутах)
0xDСамоудалиться (очистить реестр)

dloTrojan

dloTrojan — еще одна обнаруженная в процессе расследования вредоносная программа, которую мы классифицировали как бэкдор. Эта малварь не относится ни к одному из известных семейств вредоносов.

Характеристики файлов исследуемого нами образца приведены в табл. 9.

СвойствоEXEDLL
ИмяChromeFrameHelperSrv.exechrome_frame_helper.dll
Тип файлаPE32 executable (EXE)PE32 executable (DLL)
Размер (в байтах)82 896240 128
Время компиляции12 июля 2013 года 19:11:4114 сентября 2020 года 16:34:44
MD555a365b1b7c50887e1cb99010d7c140abd23a69c2afe591ae93d56166d5985e1
SHA-16319b1c831d791f49d351bccb9e2ca559749293c3439cf6f9c451ee89d72d6871f54c06cb0e0f1d2
SHA-256be174d2499f30c14fd488e87e9d7d27e0035700cb2ba4b9f46c409318a19fd97f0c07f742282dbd35519f7531259b1a36c86313e0a5a2cb5fe1dadcf1df9522d

Запуск dloTrojan

На сцену опять выходит DLL hijacking.

Итак, вредоносная программа dloTrojan состоит из двух компонентов:

После запуска исполняемого EXE-файла подгружается код вредоносной DLL. При этом библиотека проверяет имя процесса, в который она загружена, и оно должно соответствовать имени ChromeFrameHelperSrv.exe. В противном случае, вредоносный код завершит свое исполнение.

Далее библиотека расшифровывает вредоносный исполняемый файл, код которого внедряется в еще один запущенный процесс ChromeFrameHelperSrv.exe с использованием техники Process Hollowing.

Работа dloTrojan

Вредоносная программа пытается получить данные значения с именем TID из одного из двух ключей реестра (это зависит от имеющихся привилегий в системе):

Если же значение в реестре отсутствует, создается один из указанных ключей реестра. В параметре TID прописывается строка из 16 произвольных символов, которую в дальнейшем можно рассматривать как ID зараженной системы.

Строки во вредоносной программе зашифрованы методом простого сложения по модулю двух с одним байтом (отличается для различных строк).

Затем малварь расшифровывает адрес сервера управления. В зависимости от конфигурации вредоносная программа может иметь несколько адресов, в текущей конфигурации адрес сервера управления один.

Теперь dloTrojan устанавливает соединение с сервером управления. Если подключиться к серверу не удалось, малварь пытается найти настроенные прокси-серверы одним из способов:

Далее на сервер управления отправляется следующая информация о зараженной системе:

Данные передаются на сервер управления в зашифрованном виде.

В конце концов вредоносная программа получает возможность исполнять команды сервера управления: запускать cmd-шелл, создавать и удалять файлы, собирать информацию о дисках.

Перечень возможных команд приведен в табл. 10.

Табл. 10. Команды, исполняемые dloTrojan

КомандаНазначение
0x1Получить количество миллисекунд, прошедших с момента запуска системы
0x2Запустить сmd-шелл
0x3Выполнить команду через cmd-шелл
0x4Закрыть cmd-шелл
0x5Проверить существование файла. Если файла нет, создать его
0x6Создать файл
0x7Получить данные файла (размер, временные метки)
0x8Прочитать файл
0x9Получить информацию о дисках C–Z (тип, объем свободной памяти)
0xAПеречислить файлы
0xBУдалить файл
0xCПереместить файл
0xDЗапустить процесс
0xEСделать скриншот
0xFПеречислить сервисы
0x10Запустить сервис
0x11Перечислить процессы и модули
0x12Завершить процесс, затем перечислить процессы и модули
0x13Закрыть сокет

И еще несколько программ, которые мы раскопали в ходе расследования

Вернемся к общедоступным утилитам, найденным на зараженных системах. С их помощью можно залезть в систему, утащить конфиденциальные данные и выполнить другие вредоносные действия. Ловите краткое описание каждой.

GetPassword

GetPassword предназначена для получения паролей из зараженной системы. Раньше исходный код утилиты лежал в репозитории MimikatzLite, но сейчас его почему-то удалили. Можем только поделиться скриншотом на рис. 9.

Scrollablepanel dll что это. image loader. Scrollablepanel dll что это фото. Scrollablepanel dll что это-image loader. картинка Scrollablepanel dll что это. картинка image loader

Рис. 9. Скриншот работы утилиты GetPassword

Quarks PwDump

Еще одна утилита для извлечения паролей из ОС Windows.

Исходный код можно найти в репозитории 0daytool-quarkspwdump. Скриншот утилиты приведен на рис. 10.

Scrollablepanel dll что это. image loader. Scrollablepanel dll что это фото. Scrollablepanel dll что это-image loader. картинка Scrollablepanel dll что это. картинка image loader

Рис. 10. Скриншот работы утилиты Quarks PwDump

wpmd v 2.3 (beta)

wpmd (windows password and masterkey decrypt) также предназначена для получения паролей в ОС Windows. Увы, источник мы не нашли, поэтому можем только показать скриншот (рис. 11).

Scrollablepanel dll что это. image loader. Scrollablepanel dll что это фото. Scrollablepanel dll что это-image loader. картинка Scrollablepanel dll что это. картинка image loader

Рис. 11. Скриншот работы утилиты wpmd v 2.3 (beta)

os.exe

os.exe позволяет определить версию ОС Windows (рис. 12). Источник тоже не найден 🙁

Scrollablepanel dll что это. image loader. Scrollablepanel dll что это фото. Scrollablepanel dll что это-image loader. картинка Scrollablepanel dll что это. картинка image loader

Рис. 12. Скриншот работы утилиты os.exe

nbtscan 1.0.35

nbtscan — утилита командной строки, предназначенная для сканирования открытых серверов имен NETBIOS в локальной или удаленной TCP/IP-сети. Она обеспечивает поиск открытых общих ресурсов (рис. 13). Доступна на ресурсе Unixwiz.net.

Scrollablepanel dll что это. image loader. Scrollablepanel dll что это фото. Scrollablepanel dll что это-image loader. картинка Scrollablepanel dll что это. картинка image loader

Рис. 13. Скриншот работы утилиты nbtscan

Это расследование в очередной раз убедило нас, что даже заезженные и понятные техники способны доставить жертвам много неприятностей. Злоумышленники могут годами копаться в IT-инфраструктуре жертвы, которая и подозревать ничего не будет. Думаем, выводы вы сделаете сами 🙂

PlugX (SHA256: EXE, DLL, Shell-code)

PlugX-executor: (SHA256: EXE)

nccTrojan (SHA256: EXE, DLL)

dnsTrojan (SHA256: EXE)

dloTrojan (SHA256: EXE, DLL)

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *