Trojan-PSW.Win32.Agent.kyl

Имя файла: winjyxag.exe.
Размер: 12,5 Кб.
Time/Date Stamp (GMT): 8 октября 2008 г. 11:48:27
http://www.virustotal.com/ru/analisis/53db5f6455350dabcfff3e8c43945cb0
Сверху на файл накручен UPX. Распакованный файл порядка 120 Кб. В первую очередь проверяется не запущен ли уже такой процесс, после этого расшифровывается блок строковый данных. Далее ищутся адреса функций для чистки кеша Url (DeleteUrlCacheEntry), во встроенный брандмауэр windows добавляется правило для работы с сетью. Производится поиск пароль/логин для входа в FTP, в стандартных для этого местах (wcx_ftp.ini, “Software\Ghisler\Total Commander” и т.д.), потом программа заходит на эти FTP и ищет там файлы следующих названий:
index.htm
main.htm
default.htm
index.php
main.php
default.php
Как уже можно было догадаться троян распространяется оригинальным способом, ищет у пользователя пароля к FTP, если это так, то проверяется наличие сайта на FTP. Если троян находит один из этих файлов, то в конце главной страницы добавляется новый фрейм ведущий на сайт http://live-counter.net:

2008, GMax
e_gmax@mail.ru

Trojan-Downloader.Agent.agpd

Имя файла: userinit.exe. Размер: 8 Кб.
http://www.virustotal.com/ru/analisis/2ef739e391b485e8d1e95128be23c516
Первым делом троян проверяет не запущен ли он под отладкой с помощью функций IsDebuggerPresent и GetTickCount. Затем идет расшифровка основного тела, здесь автор подошел нестандартно. Сначала по заложенному в программе хешу находятся функции CreateToolhelp32Snapshot и GetVolumeInformationA, но совершенно не для того, что бы их исполнять, автору нужны именно строки, они являются ключом для расшифровки основного тела трояна.
Далее по хешам берутся нужные API функции. Для закрепления в системе переписывается файл userinit.exe, предварительно отключив его защиту. Оригинальный файл предусмотрительно сохраняется под именем stus.exe. Файл userinit.exe является “приложением для входа в систему” без него юзеру невозможно залогиница в систему. Нельзя просто удалить файл, не заменив его оригиналом.
Троян стучит на сайт www.bot-tob.ru\hottop\gate.php?id=%S, скачивает и запускает файлы. По функциональным возможностям бот ничем особым не выделяется, интересен необычный творческий подход к расшифровке и проблемы при неосмотрительном удалении без замены на оригинальный файл. Удалив файл, антивирус выведет систему из строя.

Вот здесь, кстати, уже проводилось вскрытие этого бота:
http://realsecurity.wordpress.com/2008/09/01/
2008, GMax
e_gmax@mail.ru

Trojan.Proxy.1739

Имя файла: karna.exe. Размер: 6 Кб.
http://www.virustotal.com/ru/analisis/7bc35edd3ac095cb41d69c9e35fae72f
Файл как обычно обернут легким слоем шифрования. При начале работы первым делом ищутся необходимые API функции, затем собирается информация о пользователе имя компьютера, имя пользователя и модель процессора. Далее выделяется память и туда копируется весь файл и передается управление. Создается новый поток, в нем делается перехват функции LdrLoadDll, бот добавляется в список библиотек подгружаемых ко всем процессам.
При старте нового процесса перехватывается функция LdrLoadDll, а когда срабатывает перехват, делается перехват еще трех функций (WSAConnect, connect, send) библиотеки ws2_32.dll.

Когда пользователь делает запрос, бот стучит на сайт
voovle.info\new3.php
и отправляет информацию о новом компьютере в сети, готовом выполнять задачи. Бот умеет скачивать файлы и запускать их на выполнение, устанавливать драйвера уровня ядра.
2008, GMax
e_gmax@mail.ru

Trojan.Infect.begun

Имя файла: kmbjeoi.dll. Размер: 13,0 Кб.
http://www.virustotal.com/ru/analisis/3c3d601715ea6be505ed45839d45adba
Файл упакован UPX. После запуска троян с помощью sfc_os.dll отключает защиту файла ws2_32.dll (библиотека для работы с сетью), патчит (заражает) файл, переопределяя необходимые функции на свои обертки, таким образом, осуществляя фильтрацию всей информации передаваемой по сети. При таком трюке файл ws2_32.dll увеличился примерно на 30 Кб.
В этот достаточно не большой объем вместился код фильтрующий входящий и исходящий трафик. При обнаружении строк “se.begun.ru” или “autocontext.begun.ru” происходит замена ключевого идентификатора. Другими словами со всех сайтов, которые посетит пользователь и которые зарегистрированы на http://begun.ru средства от показа рекламы пойдут на счет владельца программы. Кроме данного сервиса автором заложена возможность фильтрация трафика для многих сайтов, вот список строк непонятно зачем оставленных автором:
'google-analytics. '
'se.begun.ru',
'sb.google.'
'counter.'
'ad'
'favicon.'
'tns-counter.'
'tx2.'
'bs.'
'an.'
'banner'
'google.'
'yandex.ru'
'search.msn.com'
'search.live.com'
'search.yahoo.com'
'sm.aport.ru'
'rambler.ru'
'go.mail.ru'

2008, GMax
e_gmax@mail.ru

Trojan-GameThief.LineageII

Имя файла la2hke.exe. Размер 3,44 Кб.
http://www.virustotal.com/ru/analisis/f93ac0456b57fd2f2fae3a1ff081e01b">
Файл накрыт пакером RLPack, снимается за несколько минут.
Непосредственно код трояна начинается с того, что он копирует себя в папку “\Application Data\LineageII.exe” затем в реестре создает ветку “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\l2.exe”, а там ключ Debugger значением которого будет путь до скопированного ранее трояна. Все это позволяет при запуске игры (файла l2.exe) запускать вместо нее троян. Затем игра запускается с флагом SUSPENDED, делается юзермодный перехват функции LdrLoadDll (native функции для LoadLibrary). В перехватчике при загрузке engine.dll делается перехват RequestAuthLogin, ну а затем, когда пользовать введет логин и пароль они вместе с адресом сервера, на котором играет счастливый обладатель трояна, отправляются на сайт
“http://german.zx6.ru/l2/dat1.php?login=%s&pass=%s&server=%s”.
Заметил что, в последнее время трои, ворующие аккаунды в онлайн играх, стали очень популярны (чего стоит один только случай с МКС). Это особенно раздражает, поскольку я эту Lineage в глазе не видел.

2008, GMax
e_gmax@mail.ru

Siberia2

Имя файла попавшего ко мне 0001.exe, размером 22,5 Кб.
Virustotal выдал следующие:
http://www.virustotal.com/ru/analisis/0c5e24a5385b0d9c32c860e75ab9cefc
AVG -- Agent.AEXC
DrWeb -- BackDoor.Bulknet.237
Kaspersky -- Trojan.Win32.Pakes.kya
Microsoft -- TrojanDropper:Win32/Cutwail.AL
Symantec -- Trojan.Pandex
При ближайшем рассмотрении выявился первый слой, а именно – простенький “криптор” основанный на xor, далее выполнение передается на код, который предваряет надпись Caliban (вероятно название навесного “криптора”):

После как обычно идет поиск базы Kernal.dll с последующем поиском нужных API функций по заложенным хешам, операция уже ставшая стандартом. В данном случае выбираются функции для работы с кучей, затем с их помощью выделяется память и из тела программы расшифровывается основная программа, настраивается импорт и далее переход на точку входа этой программы.
В этом месте появляются интересные данные, а именно оставленная метка автора (авторов):
d:\programs\siberia2\umloader\objfre_wxp_x86\i386\UMLoader.pdb

Программа копирует себя в системную папку (System32) под именем rs32net.exe и банально прописывает свой автозапуск в реестре 'Software\Microsoft\Windows\CurrentVersion\Run' затем новый файл запускается на выполнение, а этот экземпляр удаляется.
Во вновь запущенном процессе идет проверка не установлен ли уже драйвер, а именно проверяется можно ли открыть устройство “\\.\Prot3”. Если драйвера нет, запускается новый поток, который занимается тем что, запускает достоверный процесс svchost.exe с помощью функции NtCreateProcess с флагом SUSPENDED. С помощью функций NtWriteVirtualMemory и WriteProcessMemory в процесс копируется из тела программы очередная программа (28 Кб) и затем в новом потоке запускается на исполнение.
Здесь опять появляется метки автора:
d:\programs\siberia2\loader\objfre_wxp_x86\i386\Loader.pdb

Как не трудно догадаться запущенная с помощью процесса зомби программа является лоадером, она пытается скачать из Интернета (195.2.253.199 madet.net) очередную свою часть, а именно драйвер, с помощью которого и регистрируется устройство "\\.\Prot3".
Теперь собственно самое интересное - драйвер, все экземпляры, которые попадали ко мне, имели имя вида Mrw05.sys (первые три буквы далее 2 цифры). Размер 31,5 Кб. Результаты Virustotal:
http://www.virustotal.com/ru/analisis/77a4c4225eb4fd1defb21ebcc3358cd7
AVG -- Rootkit-Agent.AV
DrWeb -- BackDoor.Bulknet.232
Kaspersky -- Rootkit.Win32.Agent.cmo
NOD32 -- Win32/Wigon.ER
Symantec -- Trojan.Pandex
Первый слой, как и ранее, расшифровывает основную часть драйвера.
Там, как и полагается, есть очередная метка авторства:
d:\programs\siberia2\innerdrv\objfre_wxp_x86\i386\InnerDrv.pdb

Драйвер прописывает себя в автозапуск во всех возможных вариантах загрузки. Кроме того, драйвер хитрым способом защищает себя от удаления. Регистрирует прием уведомлений о загрузки новых процессов с помощью PsSetCreateProcessNotifyRoutine, с помощью этой ловушки руткит следит за загрузкой процессов и копирует модуль, расшифрованный из своего тела.
Как ни странно, но это очередной загрузчик, но размер этого всего 10,5 Кб:
d:\programs\siberia2\loader\objfre_wxp_x86\i386\Loader.pdb

В итоге на машине жертвы установлен бот стучащий на адрес
195.2.253.199
скачивающий и запускающий файлы под прикрытием процесса svchost.exe. Все это безобразие прикрывает драйвер следящий и восстанавливающий бота в случаи удаления. В свою очередь имя драйвера меняется при каждой загрузке, загрузка драйвера происходит при любом варианте загрузки ОС, файл драйвера не удалить обычными методами.

2008, GMax
e_gmax@mail.ru