Бэкдор-троян семейства «Pteranodon»

В национальном сегменте сети Интернет наблюдается активность ВПО типа бэкдор-троян семейства «Pteranodon». Он позволяет злоумышленникам получать доступ к конфиденциальной информации жертвы, а также устанавливать дополнительные вредоносные модули. Зловред нацелен в основном на государственные структуры, но встречается и на домашних компьютерах. Распространяется с зараженными документами, содержащими макросы, посредством фишинговых рассылок. Управляется ВПО с командного центра. На данный момент более 400 машин в национальном сегменте проявляют признаки заражения.

Признаки заражения системы:

Хэш скачиваемых файлов:

  • c2ccde794aaf3bdbbdb12a7ed35f275e
  • df5ecffd866f24452031b27351c016ae
  • bc38dab83142de44cd8e88007ff559cd
  • df81ca0a353381c29b06569d9ddc3c67
  • aa535f3f8d4a9de0d5769e90086e89f6
  • 689fab7a016dae57300048539a4c807e
  • b26b88cfdd4b358b02929dcf47da7a2f
  • 75d6b79e788f2b5dee0b21ae21e035e2
  • 8b85cccb69f7e6b5d8f410686e77c786
  • 1d9d576aafa8c9c49bf5a5755ab538f3
  • 8863055b3b1291fbe593dadb29b5c97b
  • a5eccedeae86d020a2f755fed07471e4

Обращение на следующие адреса:

  • susget.hopto[.]org
  • susget.hopto[.]org/tools.dot
  • susget.hopto[.]org/host.dot
  • dominikanos[.]hopto.org
  • dominikanos.hopto[.]org/musik.dot
  • feodosh.hopto[.]org
  • dochlist.hopto[.]org
  • document-out.hopto[.]org
  • pasive.ddns[.]net
  • perdector.hopto[.]org
  • honvoi.hopto[.]org
  • spread-system[.]info
  • spread-system[.]info/get.php
  • spread-system[.]info/update.php
  • 87.106.18[.]122

Промежуточный файл может находится в системе по следующему пути:

str_AppDataPath + «\Microsoft\Windows\Start Menu\Programs\Startup\security.vbs»

Ключ реестра:

«HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run» /v «OfficePlugin»

В случае обнаружения заражения просим сообщить на почту support@cert.by, указав в теме письма код [rt.cert.by #44589].