BackDoor.RatPack - открывает доступ к зараженному компьютеру


BackDoor.RatPack - пакет вредоносных программ, предназначенных для организации несанкционированного удаленного управления инфицированным компьютером.

Распространялся BackDoor.RatPack киберпреступниками при помощи эксплойта Exploit.CVE2012-0158.121 в виде документа в формате RTF. При попытке открыть этот документ, на компьютере жертвы расшифровывался и сохранялся вредоносный файл. Данный файл представляет собой программу-установщик и имеет действительную цифровую подпись (как и почти все файлы из комплекта BackDoor.RatPack).

BackDoor.RatPack cifrovaya podpis

При запуске инсталлятор пытается выявить присутствие на атакуемом компьютере виртуальных машин, программ-мониторов и отладчиков. После этого он проверяет наличие в системе программ "банк-клиент" некоторых российских кредитных организаций:

*ICPortalSSL *sib.taatta.net *isfront.priovtb.com *ISAPIgate.dll *bsi.dll *PortalSSL *IIS-Gate.dll *beta.mcb.ru *ibank *ibrs *iclient *e-plat.mdmbank.com *sberweb.zubsb.ru *ibc *elbrus *i-elba *clbank.minbank.ru *chelindbank.ru/online/ *uwagb *wwwbank *dbo *ib.


При положительных результатах проверки установщик скачивает с сервера злоумышленников, а затем запускает на атакуемом компьютере другой установщик в формате NSIS (Nullsoft Scriptable Install System) с именем install.cab, который содержит следующие файлы:

  • setup.bin - 7z архив
  • setup1.bin - 7z архив
  • 7za.exe


Этот установщик, в свою очередь, содержит еще один набор исполняемых файлов и несколько защищенных паролями архивов. Далее, уже второй установщик, распаковывает архивы и запускает исполняемые файлы.
setup.bin:

  • lmpack1.exe
  • pn_pack1.exe

setup1.bin:

  • pskill.exe


Файл lmpack.exe представляет собой установщик в формате NSI и содержит следующие файлы и сценарий установки:

7za.exe
FileTouch.exe
_??
a32.bin
a64.bin
files0.bin
files1.bin
files2.bin
files4.bin
files5.bin
h1.bin
n32.bin
n64.bin
p1.bin
setup1.bin


Файл pn_pack1.exe представляет собой установщик, который содержит следующие файлы и сценарий установки:

FileTouch.exe
7za.exe
files3.bin
hh.bin
files0.bin
files4.bin
setup.bin


В качестве полезной нагрузки установщика выступает несколько вариантов вполне легальной условно-бесплатной утилиты Remote Office Manager. Чтобы пользователь не смог ее обнаружить, вредоносная программа с помощью перехвата ряда системных функций скрывает значки этой утилиты в области уведомлений и панели задач Windows. Предполагается, что применяя BackDoor.RatPack злоумышленники пытаются получить доступ к банковским счетам, а также хранящейся на атакованной машине конфиденциальной информации, используя при этом метод удаленного управления зараженным компьютером.