Многокомпонентный троян - BackDoor.Dande


BackDoor.Dande - узкоспециализированная троянская программа, предназначенная для кражи информации у представителей российских фармацевтических компаний.

BackDoor.Dande — довольно сложный многокомпонентный троян, шифрующий свои модули ключом, привязанным к конкретной инфицированной машине, и самостоятельно загружающий их в память. Благодаря этому детектировать данные вредоносные модули можно только в оперативной памяти зараженного компьютера, а расшифровать их отдельно от инфицированного ПК крайне сложно в силу уникальности ключа. Загрузчик модулей встраивается в первую секцию одной из системных библиотек Windows, в результате чего ее становится невозможно отличить от незараженной библиотеки по формальным признакам, характерным для вирусных инфекторов.

Для установки в систему BackDoor.Dande использует стандартную библиотеку

  • \system32\msi.dll


Дроппер трояна встраивает вредоносный код в системную службу MSIServer, осуществляющую дальнейшее заражение рабочей станции. Загружаясь в оперативную память, модуль инфектора проверяет версию операционной системы, в которой запущен троян. Если это Microsoft Windows XP, происходит заражение библиотеки

  • advapi32.dll

в ОС более старших версий заражается библиотека

  • kernelbase.dll


В эти библиотеки встраивается модуль бэкдора, выполняющего поступающие от удаленных серверов команды и осуществляющего загрузку дополнительных компонентов трояна.

Client exe

После успешной установки и запуска бэкдора он подключается к удаленным управляющим серверам и передает информацию об инфицированном компьютере. После этого по команде загружает и запускает программу-шпион Trojan.PWS.Dande. Основное предназначение программы Trojan.PWS.Dande — кража данных клиентских приложений семейства "Системы электронного заказа", позволяющих различным фармацевтическим предприятиям и аптекам заказывать у поставщиков медицинские препараты. К таким приложениям относятся:

  • специализированная конфигурация "Аналит: Фармация 7.7" для платформы 1С;
  • "Система электронного заказа" СЭЗ-2 производства компании "Аптека-Холдинг";
  • программа формирования заявок компании "Российская Фармация";
  • система электронного заказа фармацевтической группы "Роста";
  • программа "Катрен WinPrice";
  • некоторые другие системы.


Среди собираемых данных — сведения об установленном на компьютере программном обеспечении, пароли учетных записей и т. д. Вся похищенная информация передается на сервер злоумышленников в зашифрованном виде. Если интересующей вирусописателей информации на зараженной машине не обнаруживается, троян с помощью встроенных модулей аккуратно излечивает ранее зараженные им же системные библиотеки и самоудаляется.

Исходя из того, что троян продолжает работу только на компьютерах с установленной одной из систем электронного заказа медикаментов, можно предположить, что в бот-сети BackDoor.Dande состоят преимущественно рабочие станции, принадлежащие аптекам и фармацевтическим компаниям. На начало июля 2012 года таковых насчитывается 2857, причем 2788 (98,5%) из них расположено на территории России, остальные располагаются в других государствах.

Распределение ботнета по городам РФ

Raspredelenie botneta po gorodam RF

Динамика роста бот-сети за первое полугодие 2012 года

Dinamika izmeneniya chislennosti botneta BackDoor.Dande v 2012

В настоящее время рост ботнета продолжается, однако в силу специфики самого бэкдора число регистраций новых инфицированных компьютеров в сети сейчас не превышает 1–2 в сутки. Эти цифры свидетельствуют о том, что представители фармацевтической индустрии недостаточно серьезно относятся к вопросам информационной безопасности и пренебрегают использованием современных средств антивирусной защиты.