Backdoor.Win32.IRCBot.gen

Имя файла: msdrv32.exe
Размер: 56.00 Kb
Date/Time Stamp(GMT): 18.07.2009 8:06
www.virustotal.com
www.threatexpert.com
Файл ни чем не обработан. Вначале идет код для определения отладки и запуска под VMware. Затем по несложному алгоритму расшифровываются строки (имена функций). Затем расшифровывается из ресурсов основная программа. Далее запускается процесс explorer.exe производится инжект и запуск.
Размер: 46.50 Kb
Date/Time Stamp(GMT): 18.07.2009 8:06
www.virustotal.com
www.threatexpert.com
Вначале инициализируется импорт. Затем исполняемый файл копируется в “WINDOWS\msdrv32.exe”, устанавливается в автозагрузку через “ SOFTWARE\Microsoft\Windows\CurrentVersion\Run\” и “ SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\” имя ключа “ Microsoft Driver Setup”. Далее в реестр прописывается исключения встроенного фаервола, запускаются два дополнительных потока, просматривающих списки из 258 и 135 соответственно имен файлов, и в случае нахождения процесса завершающие его. Затем бот соединяет с командным центром по протоколу IRC и выполняет задания. Бот умеет сканировать порты, скачивать и запускать программы и свои обновления и т.д. Для получения внешнего IP адреса бот опрашивает один из четырех прокси серверов:
http://www.mcreate.net/cgi-bin/envchk/prxjdg.cgi
http://kuwago.hp.infoseek.co.jp/cgi-bin/nph/prxjdg.cgi
http://www.cooleasy.com/cgi-bin/prxjdg.cgi
http://www.cship.info/cgi-bin/prxjdg.cgi
Командный центр по адресу www.messenger.tinypic.name.

Trojan.Win32.Vaklik.fie

Имя файла: foto20.scr
Размер: 291.50 Kb
Date/Time Stamp(GMT): 31.03.2008 7:46
www.virustotal.com
www.threatexpert.com
Файл обернут криптором с множеством анти-отладочных приемов. Расшифровывает из своего тела 3 файла (svvghost.exe, exploree.exe, shl.exe) и записывает их в папку WINDOWS и запускает.
Имя файла: svvghost.exe
Размер: 98.50 Kb
Date/Time Stamp(GMT): 14.12.2007 10:31
www.virustotal.com
www.threatexpert.com
Программа обработана тем же криптором, что и дропер. Написана на Delphi. Очередная версия трояна вымогателя SMSer. Блокирует загрузку в безопасном режиме командой REG DELETE HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot /f.Слово для разблокировки – пользователя.
Имя файла: exploree.exe
Размер: 66.50 Kb
Date/Time Stamp(GMT): 15.06.2008 23:07
www.virustotal.com
www.threatexpert.com
После слоя криптора идет попытка отключить Kaspersky антивирус, эта часть программы называется AVPKill. Троян ищет окна относящиеся к антивирусу и с помощью эмуляции нажатия клавиш закрывает окна с предупреждением и вносит в исключения. Программа рассчитана как на русский, так и английский интерфейс антивируса.
Далее троян собирает пароли от следующих программ:
Bat!
ICQ Mirabilis
R&Q
Trillian
RasPhone
Total Commander
Becky!
Internet Account Manager
CuteFTP
Edialer
Far FTP
Ipswitch
Opera
Firefox
QIP
Thunderbird
Mail.Ru Agent
Eudora
Punto Switcher
Outlook
Gaim
FileZilla
Flash FXP
Windows Live
SmartFTP
CoffeeCup
USDownloader
FTP Commander
Затем собранную информацию отсылает по адресу: www.mriya.net/img/icon/dfFgj5.php Имя файла: shl.exe
Размер: 94.00 Kb
Date/Time Stamp(GMT): 07.06.2009 20:10
www.virustotal.com
www.threatexpert.com
Уже описываемый троян Zevs/Zbot с небольшими изменениями, C&C находится по адресу:
http://b18c.cn/pn/config.bin.

Trojan-Ransom.Win32.SMSer.ee

Имя файла: SiteAccess.dll
Размер: 37.50 Kb
Date/Time Stamp(GMT): 22.06.2009 14:04
www.virustotal.com
Файл обернут слоем краптора. Сначала троян проверяет в адресном пространстве какого процесса он находится, если это не iexplore.exe, opera.exe, firefox.exe, chrome.exe, то троян просто завершает свою работу. Если библиотека загружена в один из перечисленных браузеров, то производится перехват функций для работы по сети: send, recv, WSASend, WSARecv, socket, closesocket, connect, WSAConnect, select. Троян осуществляет подмену выдачи Интернет запросов браузера. Технически это достигается добавлением в код страницы следующего фрейма:
Рекламный банер для показа берется с адреса: http://sex-bot.biz/plugin/showbanners.php.

Trojan.Win32.Agent.cmkg

Имя файла: proquota.exe
Размер: 45.00 Kb
Date/Time Stamp(GMT): 21.01.2006 17:24
http://www.virustotal.com
http://www.threatexpert.com
Файл обработан криптором. Исполнение кода начинается с инициализации импорта, по хешу от имени. Затем идет инициализация констант в зависимости от версии Windows. Строки зашифрованы алгоритмом основанном на xor, каждая строка расшифровывается непосредственно перед использованием, а после вновь зашифровывается. Далее идет процедура поиска сплайсинга некоторых системных функций из kernal32.dll и ntdll.dll и снятия путем сопоставления первых 7 байтов функции в памяти и в файле. Если файл еще не установлен в систему, то производится его установка. Файл копируется в “System32\Wbem\proquota.exe” и ему выставляется время создания идентичное файлу “smss.exe”. Заменяет файл “System32\dllcache\proquota.exe”. Автозагрузка производится через ветку “Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableProfileQuota”.
Затем из тела файла расшифровывается файл (18.55 Кб) и создается дополнительный поток созданного “зомби” процесса “svchost.exe”.
Имя файла: file.exe
Размер: 18.55 Kb
Date/Time Stamp(GMT): 10.06.2009 14:01
http://www.virustotal.com
http://www.threatexpert.com
Файл обработан криптором. В первую очередь расшифровываются строки, затем инициализируется импорт.
Программа занимается тем, что ищет на диске и в реестре логины и пароли в местах, где их обычно хранят программы для работы с FTP. Найденные данные троян отправляет по адресу jarus1.ru.

Email-Worm.Win32.Joleee.asq

Имя файла: load.exe
Размер: 26.00 Kb
Date/Time Stamp(GMT): 26.08.2006 7:01
http://www.virustotal.com/ru/analisis/655e64c9c824c309efeb7a3380967423
http://www.threatexpert.com/report.aspx?md5=ee3e3d66e4c3c7f0b56fe9fac060642f
Одна из первых версий популярного спам бота. Файл обернут слоем криптора/протектора. После расшифровки инициализируются необходимые для работы функции. Далее запускается поток, который устанавливает файл в автозагрузку каждые 5 секунд. Далее запускается еще один поток, который и выполняет основную работу по рассылки писем. Вначале бот соединяется с C&C по адресу: 66.232.126.138/spm/get_id.php скачивает файл и сохраняет его под именем _id.dat. Затем по полученным данным производится рассылка писем.

Trojan.Win32.TDSS.rtf

Имя файла: ddf5d2d88a541c6f532f4eedf5f399ea.exe
Размер: 124.00 Kb
Date/Time Stamp(GMT): 26.02.2009 9:18
http://www.virustotal.com/ru/analisis/d946e3b4b97996a576a24e7fad2700c3925da98cf9da22bb92bb51a9ff859f62-1243355864
http://www.threatexpert.com/report.aspx?md5=100b5b3f6cfef4c9290a3a7cbd5a58a4
Файл обработан криптором с длинной “лапшой” из прыжков разбавленных мусорными инструкциями. Активно используется выделяемая память для размещения расшифровываемых участков криптора, присутствует антиотладка. Сразу после расшифровки основного тела программы в региональных настройках Windows проверяется страна. Если страна входит в список: Azerbaijan, Belarus, Kazakhstan, Kyrgyzstan, Russia, Uzbekistan, Ukraine то процесс завершается.

Затем из тела программы расшифровывается новый файл размером 96 Кб, и записывается в папку TEMP. Далее программа копирует библиотеку msvcrt.dll в папку TEMP с рандомным именем (с префиксом UAC), и в точку входа библиотеки записывает 23 байта кода, производящего загрузку вызов функции LoadLibrary, производятся манипуляции с объектом “секция”.
Затем запускается сервис "msiserver" (Windows Installer), в адресном пространстве которого, есть библиотека “dll.dll”, которую программа извлекла в папку TEMP.
Имя файла: UAC4864.tmp
Размер: 96.00 Kb
Date/Time Stamp(GMT): 26.02.2009 9:18
http://www.virustotal.com/ru/analisis/47580d2305e3863c10ef22c9cb3382618df349a5bef3ffb1463b46bde62e389c-1243528604
Программа занимается тем, что загружает и передает управление настоящей библиотеке “msvcrt.dll”. В случае если процесс, в который загружается DLL является “msiexec.exe”, запускается дополнительный поток, который извлекает из тела программ драйвер и устанавливает его в системе.
Имя файла: UACxyxvixki.sys
Размер: 55.50 Kb
Date/Time Stamp(GMT): 26.01.2009 15:08
http://www.virustotal.com/ru/analisis/591602f60c8571f6b2fcb07d24d49829f0fb63caed587c531b9e82b6ee30909b-1243528879
Руткит занимается тем, что скрывает установленные файлы, скрывает сетевые соединения, получает список процессов, убивает процессы, инжектится к процессам.
Извлекает и устанавливает в систему DLL размером 30 Кб.
Имя файла: UACemovmpjw.dll
Размер: 30.00 Kb
Date/Time Stamp(GMT): 26.02.2009 9:18
http://www.virustotal.com/ru/analisis/5567c1c057defe4b12be7d92a284a79502a9322bd4877e1428b4e03d142c7fcf-1243529158
В таблице экспорта библиотека имеет название “tdll.dll” и 31 экспортируемую функцию. Названия функций отражают смысл их действий:
CmdExec
CmdExecAffID
CmdExecBotID
CmdExecBuild
CmdExecSubID
CmdExecType
CmdExecVersion
ConnectionHiddenAdd
CryptKeySet
DisallowedAdd
FileDownload
FileDownloadRandom
FileDownloadRandomUnxor
FileDownloadUnxor
ImpersonateAsInput
InjectorAdd
InjectorSet
Knock
ModuleDownload
ModuleDownloadUnxor
ModuleLoad
ModuleUnload
ModulesVersionLog
ProcessKill
ProcessList
ProcessTrustedAdd
Reboot
RegistryHiddenAdd
SetCmdDelay
SetInputDesktop
SetTimeout
При инициализации библиотеки создаются два потока:
первый следит за обновлениями бота по адресу: https://78.47.100.189/lcc

второй соединятся с командными серверами и выполняет команды
http://trafficstatic.net/banner/crcmds/main
http://trafficstatic.com/banner/crcmds/main
://symupdate2.com/banner/crcmds/main
http://94.142.128.160/banner/crcmds/main

Trojan.Win32.Malware

Имя файла: msncache.dll
Размер: 51.50 Kb
http://www.virustotal.com/ru/analisis/6f2db4f23932e90a5e4c816f8c10f2e4
Бот работает в качестве сервиса. Написан на Delphi. Не чем не упакован, нет защиты. В первую очередь расшифровываются строки, и инициализируется импорт. Устанавливает себя как сервис. Поддерживает сбор информации, обновление, скачивание и запуск программ. C&C по адресам:
bfkq.com
74.54.201.210
174.133. 72.250
jsactivity.com
74.55.37.210
174.133.126.2