{
	"id": "8b5d1cee-5d47-4965-b768-9ae4bcab6cc2",
	"created_at": "2026-04-06T00:08:53.823755Z",
	"updated_at": "2026-04-10T13:11:36.803304Z",
	"deleted_at": null,
	"sha1_hash": "e034e8b7e11481f67b3855dba738a943c6184528",
	"title": "Модульный троян для скрытого доступа к компьютеру",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1473970,
	"plain_text": "Модульный троян для скрытого доступа к компьютеру\r\nArchived: 2026-04-05 21:04:02 UTC\r\nКак показывает практика, получить скрытый удаленный доступ к вашему компьютеру, заполучить пароли,\r\nзаписать видео или звук уже не является тяжело решаемой задачей. И в принципе, кроме персональной\r\nосведомленности в вопросах информационной безопасности, иного действенного средства не придумаешь.\r\nВ данной статье предлагаем ознакомиться с базовым анализом многомодульной троянской программы и\r\nнемного сблизиться с актуальными в нынешнее время техниками и средствами, используемыми\r\nзлоумышленниками.\r\nСовсем недавно мы наткнулись на два интересных образца вредоносных программ. Наряду с тем, что\r\nвредоносы распространялись в виде документов MS Word с эксплойтом «на борту», их структура\r\nпредполагала модульность, а степень выявления антивирусными продуктами была невысока в связи с\r\nдостаточно высоким уровнем обфускации [1] за счет многоразового шифрования. Мы решили взяться за\r\nизучение этого malware, а результат изложить в этой статье.\r\nТак выглядели два файла, попавшие в наше поле зрения:\r\nReported for TRMSCD3L Licence expired.doc\r\nPolice report remit expired Licence.doc\r\nОчень часто, исходя из названия, можно дедуктивно догадаться, «кем» и кому предназначен тот или иной\r\nвредоносный файл (к примеру: «Договор.doc», «Рахунок на оплату.doc» – для бухгалтеров, «Приказ НБУ\r\n№159.doc» – банкам, «Списки захопл. в зоні АТО.doc» – военным, и т.д.). В нашем случае мы можем\r\nтолько догадываться, так как:\r\nhttps://cys-centrum.com/ru/news/module_trojan_for_unauthorized_access\r\nPage 1 of 9\n\n- слово «Licence» – написано с ошибкой;\r\n- слова «Licence expired» и «expired Licence» говорят о том, что тематика может касаться срока действия\r\nкакой-то лицензии;\r\n- строка «TRMSCD3L», если поискать в Google, вообще ассоциируется со SWIFT CODE банка TRUST\r\nMERCHANT BANK SARL, находящегося в Демократической республике Конго (г. Лубумбаши).\r\nВ общем, в данном случае понять трудно. Видимо, атакующий очень хорошо знал жертву, так как при\r\nименовании вредоносных файлов указал целый набор едва связных посылов.\r\nКак правило, изучение вредоносных программ осуществляется с помощью динамического (если\r\nвозможно) и статического анализа. В статье опишем результаты изучения файла «Reported for TRMSCD3L\r\nLicence expired.doc».\r\nБазовый динамический анализ\r\nПри открытии файла с помощью MS Word происходит эксплуатация уязвимости (если Вы на своем ПК не\r\nобновляли MS Word с 2012 года) и на компьютере создается файл c произвольным именем:\r\nPath: C:\\Users\\%USERNAME%\\AppData\\Local\\Microsoft\\Windows\\\r\nFileName: yoymbgp.exe\r\nMd5: 11b6a2ea17d18c09cc274731f05e89b5\r\nПомимо этого, с целью обеспечения выживаемости, файл добавляется в автозагрузку (рис. 1), для чего в\r\nреестр вносятся соответствующие изменения (имя значения также является произвольным):\r\nRegKey Data: C:\\Users\\%USERNAME% \\AppData\\Local\\Microsoft\\Windows\\ yoymbgp.exe\r\nRegKey Data Type: REG_SZ\r\nRegKey Value Name: atk17n5rAA\r\nRegKey Name: HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\r\nРис. 1\r\nhttps://cys-centrum.com/ru/news/module_trojan_for_unauthorized_access\r\nPage 2 of 9\n\nХоть это и примитивно, но мы советуем посматривать в автозагрузку вашего ПК и не допускать\r\nприсутствия там неведомых вам программ. Чтобы проверить автозагрузку можно воспользоваться как\r\nштатным функционалом вашей операционной системы (в командной строке: regedit, msconfig), так и\r\nсторонним программным обеспечением.\r\nНа следующем этапе вредоносная программа запускает легитимные процессы svchost.exe и внедряет в них\r\nвредоносный код, с целью его последующей расшифровки. Эта процедура повторяется несколько раз\r\n(вначале статьи мы упоминали о многоразовом шифровании). Также, на этом этапе осуществляется\r\nвзаимодействие между зараженным компьютером и сервером управления, откуда вредонос скачивает\r\nмодули. Пример такого сетевого взаимодействия:\r\nHTTP GET-запросы:\r\nhxxp:// 95.211.204.14:80/m/228131.zip\r\nhxxp:// 95.211.204.14:80/m/721118.zip\r\nhxxp:// 95.211.204.14:80/m/958232.zip\r\nhxxp:// 95.211.204.14:80/m/855787.zip\r\nhxxp:// 95.211.204.14:80/m/5594516.zip\r\nHTTP POST-запросы:\r\nhxxp://95.211.204.14:443/$rdgate?ACTION=HELLO\r\nhxxp://95.211.204.14:443/$rdgate?ACTION=START\u0026ID=877A74B0199241848C931A962ADC55EB\r\nhxxp://95.211.204.14:80/test.php\r\nhxxp://95.211.204.14:80/f9S52tseWPcDGvbEY+EbYJ4RhUnZm=AUM9a6oYAcOAV1yFsXJvsCWAbvctbESCEjhquFuqiNqF7U+\r\nСтатический анализ\r\nДанный образец вредоносной программы был изрядно запакован – прежде чем приступить к его\r\nдетальному изучению нам пришлось снять три «слоя» обфускации:\r\n[binary_layer1.exe][6197736aec27686efb6f63e75cac0a6d]\r\n[binary_layer2.exe][6c7441ec1b630fd299d8196367aefeea]\r\n[binary_layer3.exe][9347cb20a1ec90c61e1ff8ded379fc81]\r\nПоследующее изучение проводилось в отношении распакованного образца «binary_layer3.exe». При\r\nзапуске вредоносной программы первым делом она осуществляет проверку на предмет наличия на\r\nзараженном ПК необходимых модулей («check_payload_plugin»), и, при отсутствии, инициирует их\r\nскачивание с сети Интернет. Специально для скачивания создается отдельный поток по адресу 0x00419A60\r\n(мы его назвали «create_thread_3»).\r\nhttps://cys-centrum.com/ru/news/module_trojan_for_unauthorized_access\r\nPage 3 of 9\n\nРис. 2\r\nУсловием выполнение потока 2 («create_thread_2») является наличие в реестре скачанных и записанных в\r\nреестр модулей вредоносной программы (рис. 3-4):\r\nRagKey Name: HKCU\\Software\\Google\\Update\\network\\secure\r\nРис. 3\r\nhttps://cys-centrum.com/ru/news/module_trojan_for_unauthorized_access\r\nPage 4 of 9\n\nРис. 4\r\nПример состояния реестра после скачивания необходимых модулей приведен на рис. 5. Все скачанные\r\nмодули хранятся в реестре в зашифрованном виде. Имена ключей в реестре также являются\r\nпроизвольными.\r\nРис. 5\r\nНекоторые артефакты сетевого взаимодействия зараженного ПК и сервера управления (IP-адрес сервера\r\nуправления, а также URL, используемый для отправки HTTP-запроса):\r\nРис. 6\r\nРассмотрим более детально последовательность действий, выполняемых потоком 2, так как именно он\r\nиграет ключевую роль в расшифровке вредоносных модулей. Потоком 2 последовательно осуществляется\r\nсоставление списка модулей (рис. 7), расшифровка и проверка их имен (рис. 8). Ключ для расшифровки\r\nкаждого модуля уникален и является изменяемым значением (рис. 9).\r\nhttps://cys-centrum.com/ru/news/module_trojan_for_unauthorized_access\r\nPage 5 of 9\n\nРис. 7\r\nРис. 8\r\nРис. 9\r\nПосле успешной расшифровки данных, записанных под непонятными именами в реестр, получаем\r\nчитаемый и говорящий сам за себя список модулей.\r\nBot_Engine.bin\r\nPONY_STEALER.bin\r\nREMOTE_DESKTOP_SERVICE.bin\r\nSECURITY.bin\r\nVNC_HIDE_DESKTOP.bin\r\nАлгоритм расшифровки модулей может быть описан таким псевдокодом:\r\nhttps://cys-centrum.com/ru/news/module_trojan_for_unauthorized_access\r\nPage 6 of 9\n\nПеременные:\r\nenc_byte зашифрованный байт\r\ndec_byte расшифрованный байт\r\nHIBYTE извлекает старший байт из данного 16-разрядного значения\r\nLOBYTE извлекает младший байт из данного 16-разрядного значения\r\nHIWORD извлекает старшое слово из данного 32-разрядного значения\r\nLOWORD извлекает младшее слово из данного 32-разрядного значения\r\n_DWORD двойное слово (4 байта)\r\n_WORD слово (2 байта)\r\nkey ключ, состоящий из 6 байт\r\nsize размер зашифрованного массива\r\nПсевдокод:\r\nv0 := *(_DWORD*) key;\r\nv1 := *(_WORD*) (key + 4);\r\nfor (i := 0; i \u003c size; i++)\r\n{\r\n dec_byte := enc_byte ^ HIBYTE(v1);\r\n v1 := HIWORD(v0) + LOWORD(v0) * (uint8)(LOBYTE(v1) + dec_byte);\r\n ++enc_byte;\r\n ++dec_byte;\r\n --size;\r\n}\r\nРассмотрим полученные модули по порядку.\r\nBot_Engine.bin\r\nЭтот модуль должен быть запущен под названием svchost.exe или explorer.exe, иначе он заблаговременно\r\nзакончит свое исполнение. Пример проверки имени процесса представлен на рис. 10.\r\nРис. 10-1\r\nhttps://cys-centrum.com/ru/news/module_trojan_for_unauthorized_access\r\nPage 7 of 9\n\nРис. 10-2\r\nОсновным предназначением модуля является запуск других модулей. Пример создания потоков для других\r\nмодулей отображен на рис. 11.\r\nРис. 11\r\nPONY_STEALER.bin\r\nЭтот модуль представляет собою не что иное, как одноименную вредоносную программу Pony,\r\nфункционал которой предусматривает хищение логинов, паролей, кошельков криптовалют. На момент\r\nисследования административная панель сервера управления Pony находилась по адресу:\r\nhttp://95.211.204.14/test.php\r\nREMOTE_DESKTOP_SERVICE.bin\r\nМодуль, обеспечивающий скрытый удаленный доступ к компьютеру жертвы посредством протокола RDP и\r\nсоздания обратного соединения (back-connect).\r\nАдрес для обратного соединения:\r\n95.211.204.14:443\r\nSECURITY.bin\r\nДанный модуль обеспечивал проверку фактов присутствия на компьютере антивирусного программного\r\nhttps://cys-centrum.com/ru/news/module_trojan_for_unauthorized_access\r\nPage 8 of 9\n\nобеспечения и других, обеспечивающих безопасность компьютера, программ (рис. 12).\r\nРис. 12\r\nVNC_HIDE_DESKTOP.bin\r\nМодуль, обеспечивающий скрытый удаленный доступ к компьютеру жертвы посредством протокола VNC\r\nи создания обратного соединения (back-connect).\r\nАдрес для обратного соединения:\r\n95.211.204.14:8098\r\nВместо заключения.\r\nДанная статья создавалась с целью демонстрации, на примере актуальных атак, возможностей, тактик и\r\nтехник заинтересованных лиц по получению скрытого доступа к компьютеру исследуемого объекта, а\r\nтакже для повышения уровня всеобщей осведомленности в вопросах информационной безопасности.\r\nРассмотренная в статье атака была зафиксирована в первой декаде октября, исходя из чего, мы допускаем,\r\nчто актуальность приведенных индикаторов компрометации (IP-адреса, в частности) может быть под\r\nвопросом.\r\nСледует отметить, что согласно данным Passive DNS (грубо говоря – истории соответствия доменных имен\r\nи IP-адресов) в первом квартале 2014 года IP-адрес 95.211.204.14 соответствовал доменному имени\r\nseverodvinsk-bux.ru, которое принадлежит веб-сайту, специализирующемуся на рекламе. Это может\r\nозначать ровным счетом ничего (так как прошло больше года, да и сайт сей меняет «айпишники» как\r\nперчатки), но, для полноты картины, мы добавили эту частичку информации.\r\nОтдел реагирования на инциденты CyS Centrum\r\nИспользованные материалы:\r\n[1] https://ru.wikipedia.org/wiki/Обфускация\r\nSource: https://cys-centrum.com/ru/news/module_trojan_for_unauthorized_access\r\nhttps://cys-centrum.com/ru/news/module_trojan_for_unauthorized_access\r\nPage 9 of 9",
	"extraction_quality": 1,
	"language": "RU",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://cys-centrum.com/ru/news/module_trojan_for_unauthorized_access"
	],
	"report_names": [
		"module_trojan_for_unauthorized_access"
	],
	"threat_actors": [],
	"ts_created_at": 1775434133,
	"ts_updated_at": 1775826696,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/e034e8b7e11481f67b3855dba738a943c6184528.pdf",
		"text": "https://archive.orkl.eu/e034e8b7e11481f67b3855dba738a943c6184528.txt",
		"img": "https://archive.orkl.eu/e034e8b7e11481f67b3855dba738a943c6184528.jpg"
	}
}