Огляд трояну update_2018_02.browser-components .js

Огляд трояну update_2018_02.browser-components .js

Користувач, під виглядом оновлень для браузера, викачує архів з шкідливим файлом, витягує з архіву JavaScript файл update_2018_02.browser-components .js і запускає його подвійним натисканням.
Процесси, що запускаються в ході атаки:

explorer.exe (провідник Windows) запускає процес wscript.exe (вбудована утиліта ОС Windows) для виконання скрипта update_2018_02.browser-components .js.

Згідно з інструкцією, скрипт виконує наступні дії:
– створює файл C:\…\Users\…\AppData\Local\Microsoft\Windows\INetCache\counters.dat

– встановлює з’єднання з сервером 103.7.41.169 по 80 порту і намагається завантажити картинку розташовану за адресою 103.7.41.169/administrator/backups/browser.jpg
якщо цей сервер або картинка не доступна вона для завантаження
скріпт з’єднується з іншим сервером – 185.192.112.56 по 80 порту і намагається завантажити картинку розташовану за адресою 185.192.112.56/wp-content/themes/nuovowp/assets/css/browser.jpg

– викачує файл browser.jpeg в директорію C:\…\Users\…\АppData\Local\Microsoft\Windows\INetCache\IE\…\browser_[1].jpg
В першому ж пакеті переданої картинки ми бачимо, що завантажуємо явно не картинку

– перетворює скачаний файл в виконуваний тип – РЕ 32

– викликає повторний запуск самого себе для виконання подальших команд

– створює виконуваний файл C:\…\Users\…\AppData\Local\Temp\radУУУУУУ.tmp з файлу browser [1] .jpeg

– видаляє файл C:\…\Users\…\update_2018_02.browser-components\update_2018_02.browser-components .js

– створює процес radУУУУУ.tmp через командний рядок (cmd.exe) з аргументами «/c C:\…\Users\…\AppData\Local\Temp\ radУУУУУ.tmp»

 

Процес radУУУУУ.tmp виконує наступні дії:

– запускає процес conhost.exe з аргументами «0xffffffff -ForceV1»

– запускає ще 1 процес radУУУУУ.tmp

 

Новий процес radDУУУУУ.tmp виконує наступні дії:

– запускає процес WerFault.exe (Windows Problem Reporting) з аргументами «-u -p 4808 -s 512» (4808 – PID батьківського процесу radDУУУУУ.tmp)

 

Процес WerFault.exe виконує наступні дії:

– створює файл с:\Windows\appcompat\Programs\Amcache.hve.tmp

– модифікує файл С:\Windows\appcompat\Programs\Amcache.hve.tmp

– створює файл С:\Windows\appcompat\Programs\Amcache.hve.tmp.LOG1

– створює файл С:\Windows\appcompat\Programs\Amcache.hve.tmp.LOG2

– створює файл С:\ProgramData\Microsoft\Windows\WER\Temp\WERХХХХ.tmp

– створює файл С:\ProgramData\Microsoft\Windows\WER\Temp\WERХХХХtmp.WERInternalMetadata.xml

– модифікує файл С:\ProgramData\Microsoft\Windows\WER\Temp\WERХХХХtmp.WERInternalMetadata.xml

– з’єднуєтся з сервером 40.69.153.67 по 443 порту

– видаляє файл с:\ProgramData\Microsoft\Windows\WER\Temp\WERХХХХ.tmp

– створює файл с:\ProgramData\Microsoft\Windows\WER\ReportArchive\AppCrash_radХХХХХ.tmp_…\Report.wer

– модифікує файл С:\ProgramData\Microsoft\Windows\WER\ReportArchive\AppCrash_radХХХХХ.tmp _…\Report.wer

– модифікує файл С:\ProgramData\Microsoft\Windows\WER\ReportArchive\AppCrash_radХХХХХ.tmp _…\Report.wer

– видаляє файл С:\ProgramData\Microsoft\Windows\WER\Temp\WERХХХХ.tmp.WERInternalMetadata.xml

IOCs

  • 1) update_2018_02.browser-components.zip

    • MD5 be3e07b131871c7dc1d74113af336690
    • SHA1 fdcd70338454b0606984570af9cdc746674295a9
    • SHA256 7EB66A8B11681DDCC2AF6DDF82977536507A553B1DF4AFBF2CC204C78B0C0CF7

  • 2) update_2018_02.browser-components .js

    • MD5 1ebcfb9b86c719a924fefa716f3ef801
    • SHA1 da1a9d297afd166258b79d822cf17833b36b7fa5
    • SHA256 7ed7d32eb629e61471928f2b93b38794f6f7ab81c160729d83c32866c14ab056

  • 3) update_2018_02.browser.js

    • MD5 afec1ca0768a459adb679dcf6ad3ae2f
    • SHA1 8d8cc2f2d535776cff4cfb077ee6d1ccc9b6d92f
    • SHA256 fe19d2fda77a8a7ae0250d3487118dd7749116db522348358fa012010ddf9704

  • 4) browser.jpg

    • MD5 e3a5fa1e92faea5d2636f9d3d9bb2c2d
    • SHA1 f7bad41d57d60e7d81101384f8cb0cccafe49d13
    • SHA256 bc4a310522daa79f2791201e53946fc64f048a113ab148bbe73aa6ba239470cc

  • 5) Запуск процесса «conhost.exe» с аргументами «0xffffffff -ForceV1»
  • 6) C2 103.7.41.169 GET /administrator/backups/browser.jpg
  • 7) C2 185.192.112.56 GET /wp-content/themes/nuovowp/assets/css/browser.jpg
  • 8) С2 40.69.153.67:443
  • 9) DNS requests:

    • whatismyipaddress.com (104.16.155.36)
    • whatsmyip.net (104.18.34.131)
    • 2.0.0.127.zen.spamhaus.org (127.0.0.4)
    • 1.0.0.127.zen.spamhaus.org
    • 92.71.121.91.zen.spamhaus.org (127.0.0.4)
    • smtp.mail.ru (217.69.139.160)

MD5 1ebcfb9b86c719a924fefa716f3ef801

SHA1 da1a9d297afd166258b79d822cf17833b36b7fa5

SHA256 7ed7d32eb629e61471928f2b93b38794f6f7ab81c160729d83c32866c14ab056

Розмір файлу 6.7 Кб ( 6859 bytes )

Також відомий як myvtfile.exe та update_2018_02.browser.js

Детектування антивірусами

Антивірус Висновок Обновлення сигнатур
AegisLab Trojan.Script.Generic.4!c 20190225
CAT-QuickHeal JS.Downloader.34276 20190225
ClamAV Txt.Downloader.Nemucod-6865605-0 20190225
Comodo TrojWare.JS.TrojanDownloader.Nemucod.EDT@820ynx 20190225
Cyren JS/Nemucod.IM!Eldorado 20190225
DrWeb JS.DownLoader.4862 20190225
Emsisoft Trojan-Downloader.Nemucod.Gen (A) 20190225
ESET-NOD32 JS/TrojanDownloader.Nemucod.EDU 20190225
F-Prot JS/Nemucod.IM!Eldorado 20190225
Fortinet JS/Nemucod.EDU!tr.dldr 20190225
Kaspersky HEUR:Trojan-Downloader.Script.Generic 20190225
Microsoft Trojan:Win32/Tiggre!plock 20190225
NANO-Antivirus Trojan.Script.ExpKit.fmvcdr 20190225
Qihoo-360 virus.js.qexvmc.1 20190225
Rising Downloader.Nemucod!8.34 (TOPIS:E0:6semzdLs7OU) 20190225
Symantec JS.Downloader 20190225
Tencent Js.Trojan.Raas.Auto 20190225
TrendMicro-HouseCall Trojan.JS.NEMUCOD.THBBBAI 20190225
ZoneAlarm by Check Point HEUR:Trojan-Downloader.Script.Generic 20190225

Також відомий як myvtfile.exe

MD5 afec1ca0768a459adb679dcf6ad3ae2f

SHA1 8d8cc2f2d535776cff4cfb077ee6d1ccc9b6d92f

SHA256 fe19d2fda77a8a7ae0250d3487118dd7749116db522348358fa012010ddf9704

Розмір файлу 6.8 Кб (7014 bytes)

Детектування антивірусами

Антивірус Висновок Обновлення сигнатур
Ad-Aware JS:Trojan.Agent.DQBF 20190223
Arcabit JS:Trojan.Agent.DQBF 20190223
BitDefender JS:Trojan.Agent.DQBF 20190223
CAT-QuickHeal JS.Downloader.34276 20190222
Cyren JS/Nemucod.IM!Eldorado 20190223
Emsisoft Trojan-Downloader.Nemucod.Gen (A) 20190223
ESET-NOD32 JS/TrojanDownloader.Nemucod.EDU 20190223
F-Prot JS/Nemucod.IM!Eldorado 20190223
Fortinet JS/Nemucod.EDU!tr.dldr 20190223
GData JS:Trojan.Agent.DQBF 20190223
Kaspersky HEUR:Trojan-Downloader.Script.Generic 20190223
eScan JS:Trojan.Agent.DQBF 20190223
NANO-Antivirus Trojan.Script.ExpKit.fmvcdr 20190223
Qihoo-360 virus.js.qexvmc.1 20190223
Symantec JS.Downloader 20190222
Tencent Js.Trojan.Raas.Auto 20190223
TrendMicro Trojan.JS.NEMUCOD.THBBBAI 20190223
TrendMicro-HouseCall Trojan.JS.NEMUCOD.THBBBAI 20190223
VBA32 Trojan.Win32.Vigorf.A 20190222
ZoneAlarm by Check Point HEUR:Trojan-Downloader.Script.Generic 20190223

MD5 e3a5fa1e92faea5d2636f9d3d9bb2c2d

SHA1 f7bad41d57d60e7d81101384f8cb0cccafe49d13

SHA256 bc4a310522daa79f2791201e53946fc64f048a113ab148bbe73aa6ba239470cc

authentihash  84755826a49d8dc85e33e82c89b62a730544dcc1626e21ea6e2bb2e7122db430

imphash  cefd2c937f47c96229b88c6aa162be90

Розмір файлу 2.5 Мб ( 2616008 bytes )

Тип файлу Win32 EXE

Магічні символи

PE32 executable for MS Windows (GUI) Intel 80386 32-bit

TrID
Win64 Executable (generic) (61.7%)

Win32 Dynamic Link Library (generic) (14.6%)
Win32 Executable (generic) (10.0%)
OS/2 Executable (generic) (4.5%)
Generic Win/DOS Executable (4.4%)

 

Назва файлів csrss.exe
1550896293_bc4a310522daa79f2791201e53946fc64f048a113ab148bbe73aa6ba239470cc
browser.jpg
bc4a310522daa79f2791201e53946fc64f048a113ab148bbe73aa6ba239470cc.exe

 

Execution parents

This file was created during the sandboxed execution of the following files.

SHA256: fe19d2fda77a8a7ae0250d3487118dd7749116db522348358fa012010ddf9704  (myvtfile.exe)

SHA256: 7ed7d32eb629e61471928f2b93b38794f6f7ab81c160729d83c32866c14ab056  (update_2018_02.browser-components .js)

Антивірус Висновок Обновлення сигнатур
Acronis suspicious 20190222
Ad-Aware Trojan.Agent.DQCG 20190226
AegisLab Trojan.Win32.Fsysna.4!c 20190226
ALYac Trojan.Agent.DQCG 20190226
Antiy-AVL Trojan/Win32.Fsysna 20190226
Arcabit Trojan.Agent.DQCG 20190226
Avast Win32:Trojan-gen 20190226
AVG Win32:Trojan-gen 20190226
Avira (no cloud) TR/Kryptik.mlwuf 20190226
BitDefender Trojan.Agent.DQCG 20190226
CrowdStrike Falcon (ML) win/malicious_confidence_90% (W) 20190212
Cylance Unsafe 20190226
eGambit PE.Heur.InvalidSig 20190226
Emsisoft Trojan.Agent.DQCG (B) 20190226
Endgame malicious (high confidence) 20190215
ESET-NOD32 a variant of Win32/Kryptik.GQCX 20190226
F-Secure Trojan.TR/Kryptik.mlwuf 20190226
Fortinet W32/Kryptik.GOJP!tr.ransom 20190226
GData Trojan.Agent.DQCG 20190226
Sophos ML heuristic 20181128
K7AntiVirus Trojan ( 005486611 ) 20190226
K7GW Trojan ( 005486611 ) 20190226
Kaspersky Trojan.Win32.Fsysna.fapo 20190226
MAX malware (ai score=85) 20190226
McAfee GenericRXHA-OX!E3A5FA1E92FA 20190226
McAfee-GW-Edition Artemis!Trojan 20190226
Microsoft Trojan:Win32/Occamy.C 20190226
eScan Trojan.Agent.DQCG 20190226
NANO-Antivirus Trojan.Win32.GenKryptik.fnjoje 20190226
Palo Alto Networks (Known Signatures) generic.ml 20190226
Panda Trj/GdSda.A 20190225
Qihoo-360 HEUR/QVM20.1.7B39.Malware.Gen 20190226
Rising Ransom.Shade!8.12CC (CLOUD) 20190226
SentinelOne (Static ML) static engine – malicious 20190203
Sophos AV Mal/Generic-S 20190226
Symantec Trojan.Gen.2 20190226
Tencent Win32.Trojan.Fsysna.Akev 20190226
Trapmine malicious.moderate.ml.score 20190123
VBA32 BScope.Malware-Cryptor.Winlock.2014 20190225
VIPRE Trojan.Win32.Generic!BT 20190225
ViRobot Trojan.Win32.Z.Kryptik.2616008.F 20190226
Webroot W32.Malware.Gen 20190226
Yandex Trojan.Fsysna! 20190225
ZoneAlarm by Check Point Trojan.Win32.Fsysna.fapo 20190226

 

The file is a Portable Executable file! More specifically, it is a Win32 EXE file for the Windows GUI subsystem.

 

File Version Info properties

Signature verification  The digital signature of the object did not verify.

 

PE header basic information

Target machine Intel 386 or later processors and compatible processors

Compilation timestamp 2019-02-23 03:58:17

Entry Point 0x000017B0

Number of sections 3

 

PE sections

Name    Virtual address  Virtual size         Raw size              Entropy   MD5

.text      4096                      2492939              2493440              6.28           89bbf26e55c15c65b13a285e8d8b24a4

.rdata    2498560              1800                     2048                     4.41           03b9463a8ee595427745b2d40a14814e

.data     2502656              1669620              117248                5.17           de6e2865dcee0f862826307cfe752202

 

Overlays

MD5 c305108f31d788735993f2bce6a09d07

File type data

Offset 2613248

Size 2760

Entropy 7.41

 

PE imports

ADVAPI32.dll

RegCreateKeyExW

RegCloseKey

RegQueryValueExA

OpenServiceW

AdjustTokenPrivileges

ControlService

LookupPrivilegeValueW

RegDeleteKeyW

CheckTokenMembership

RegQueryValueExW

LsaOpenPolicy

CloseServiceHandle

ConvertStringSecurityDescriptorToSecurityDescriptorW

OpenProcessToken

LsaClose

QueryServiceStatus

RegOpenKeyExW

RegOpenKeyExA

LsaFreeMemory

RegEnumKeyExW

LsaQueryInformationPolicy

RegDeleteValueW

StartServiceW

RegSetValueExW

FreeSid

OpenSCManagerW

RegEnumValueW

AllocateAndInitializeSid

InitiateSystemShutdownExW

ChangeServiceConfigW

 

COMCTL32.dll

InitCommonControlsEx

 

GDI32.dll

GetDeviceCaps

EngUnicodeToMultiByteN

CLIPOBJ_cEnumStart

CreateFontIndirectW

XFORMOBJ_bApplyXform

GdiEntry5

AddFontResourceExW

HT_Get8BPPFormatPalette

GetObjectW

SetArcDirection

GetViewportOrgEx

EnumFontFamiliesA

 

KERNEL32.dll

ReleaseMutex

FileTimeToSystemTime

WaitForSingleObject

DebugBreak

GetFileAttributesW

DeleteCriticalSection

GetCurrentProcess

LocalAlloc

GetLocaleInfoW

GetTempPathA

WideCharToMultiByte

InterlockedExchange

WriteFile

GetSystemTimeAsFileTime

GlobalMemoryStatusEx

FreeLibrary

LocalFree

FormatMessageW

InitializeCriticalSection

LoadResource

FindClose

InterlockedDecrement

SetLastError

GetUserDefaultUILanguage

DeviceIoControl

GetUserDefaultLangID

GetModuleFileNameW

IsDebuggerPresent

HeapAlloc

LoadLibraryA

LoadLibraryExA

UnhandledExceptionFilter

LoadLibraryExW

MultiByteToWideChar

GetModuleHandleA

CreateThread

GetSystemDirectoryW

GetSystemDefaultUILanguage

GetExitCodeThread

SetUnhandledExceptionFilter

GetStartupInfoA

CreateMutexW

MulDiv

TerminateProcess

SearchPathW

GlobalAlloc

GetCurrentThreadId

GetProcAddress

InitializeCriticalSectionAndSpinCount

HeapFree

EnterCriticalSection

TerminateThread

LoadLibraryW

GetVersionExW

SetEvent

QueryPerformanceCounter

GetTickCount

VirtualProtect

lstrcmpiW

LeaveCriticalSection

GetStartupInfoW

DeleteFileW

WaitForMultipleObjects

GetProcessHeap

CreateFileMappingW

ExpandEnvironmentStringsW

FindNextFileW

ResetEvent

GetTempFileNameA

FindFirstFileW

lstrcmpW

GlobalLock

CreateEventW

CreateFileW

ExitProcess

InterlockedIncrement

GetLastError

VirtualAllocEx

GetSystemInfo

GlobalFree

GetThreadLocale

FileTimeToLocalFileTime

SizeofResource

GetCurrentProcessId

LockResource

GetCommandLineW

GetCommandLineA

InterlockedCompareExchange

SetFilePointer

ReadFile

CloseHandle

OpenMutexW

GetACP

GetModuleHandleW

CreateProcessA

FindResourceW

CreateProcessW

Sleep

 

SHELL32.dll

SHEmptyRecycleBinA

SHGetSpecialFolderPathW

SHCreateDirectoryExW

ShellExecuteW

ShellExecuteExW

Shell_NotifyIcon

ExtractAssociatedIconExW

SHGetDiskFreeSpaceExW

CommandLineToArgvW

SHFileOperation

 

SHLWAPI.dll

StrCmpNA

 

USER32.dll

RegisterWindowMessageW

DdeDisconnectList

GetForegroundWindow

GetParent

DdeUnaccessData

DdeAccessData

LoadBitmapW

FindWindowW

KillTimer

GetMessageW

PostQuitMessage

ShowWindow

FlashWindowEx

VkKeyScanExA

GetDesktopWindow

GetSystemMetrics

PeekMessageW

EnableWindow

DrawIcon

DdeCreateStringHandleW

TranslateMessage

PostMessageW

GetMenuDefaultItem

RegisterClipboardFormatW

DispatchMessageW

ToUnicodeEx

BeginPaint

SendMessageW

DdeQueryConvInfo

DdeQueryNextServer

DdeDisconnect

LoadStringW

GetClientRect

DdeConnect

DdeInitializeW

AllowSetForegroundWindow

BringWindowToTop

DdeClientTransaction

IsIconic

FrameRect

InvalidateRect

DdeFreeDataHandle

SendMessageTimeoutA

SetTimer

CopyAcceleratorTableA

ImpersonateDdeClientWindow

PostThreadMessageW

DdeFreeStringHandle

ModifyMenuW

TrackPopupMenuEx

DdeConnectList

DlgDirListW

LoadIconW

GetDC

SetForegroundWindow

DdeUninitialize

 

ole32.dll

CoFileTimeNow

CoInitializeEx

CoUninitialize

CoInitialize

CoCreateInstance

StgOpenStorage

CoInitializeSecurity

CoTaskMemFree

CoSetProxyBlanket

 

 

ExifTool file metadata

MIMEType

application/octet-stream

Subsystem

Windows GUI

MachineType

Intel 386 or later, and compatibles
FileTypeExtension

exe

TimeStamp

2019:02:23 04:58:17+01:00

FileType

Win32 EXE

PEType

PE32

CodeSize

2493440

LinkerVersion

2.5

ImageFileCharacteristics

No relocs, Executable, No line numbers, No symbols, 32-bit

EntryPoint

0x17b0

InitializedDataSize

119296

SubsystemVersion

4.0

ImageVersion

0.0

OSVersion

4.0

UninitializedDataSize

0

 

Мережева активність:

HTTP requests:

URL: http://whatismyipaddress.com/
TYPE: GET
USER AGENT: Mozilla/5.0 (Windows NT 6.0; rv:34.0) Gecko/20100101 Firefox/34.0

URL: http://whatsmyip.net/
TYPE: GET
USER AGENT: Mozilla/5.0 (Windows NT 6.0; rv:34.0) Gecko/20100101 Firefox/34.0

DNS requests:

whatismyipaddress.com (104.16.155.36)

whatsmyip.net (104.18.34.131)

2.0.0.127.zen.spamhaus.org (127.0.0.4)

1.0.0.127.zen.spamhaus.org

92.71.121.91.zen.spamhaus.org (127.0.0.4)

smtp.mail.ru (217.69.139.160)

TCP connections:

128.31.0.39:9101

131.188.40.189:443

195.154.164.243:443

51.15.131.29:443

178.63.97.34:9001

104.16.155.36:80

104.18.35.131:80

94.100.180.160:465

Share this post