Trojan-Downloader.Win32.Agent.apoa

Имя файла: nvsyst32.exe
Размер: 3,22 Кб
http://www.virustotal.com/ru/analisis/e00e1131bbac6845be88b917ce04e6ab
Файл упакован WinUpack. При старте проверяет командную строку, если нет команды START, то перезапускает себя с этой командой. Далее находит адреса функций IcmpSendEcho и IcmpCreateFile. После этого ставит себя в автозагрузку. Затем определяет доступен ли Интернет, по адресам www.google.com, www.microsoft.com, www.yahoo.com. Если хоть один из них доступен, расшифровывает с помощью побайтового xor адреса своих командных центров:
http://goffhouseinn.com/tmp/.images/data.php,
http://sexygaby.com/cache/.images/data.php,
http://nimbarka.com/tmp/.images/data.php
Командный центр отвечает по одному из 4 заложенных в программу сценариев. Три первых это DDOS какого-либо сайта, в первом случаи просто запрос по TCP c валидными параметрами, во втором это UDP запрос, в третьем это ping (ICMP запрос). Четвертый вариант задания это скачивание и запуск программы.
2008, GMax
e_gmax@mail.ru

Trojan.MulDrop

Имя файла: update.exe
Размер: 91 Кб
Time/Date Stamp (GMT): 25 декабря 2008 г. 20:52:13
http://www.virustotal.com/ru/analisis/0e01b13d625121736f629f2191b07446
Первый слой представляет собой просто расшифровку основного тела программы с помощью пайпа (Pipe). Для получения нужных API функций используется оригинальный метод расшифровки строк (побуквенное копирование в локальный буфер с последующей расшифровкой, при таком подходе строки не хранятся в секции данных).Хоть расшифрованная часть программы и является самостоятельным exe файлом (размером 82,5 Кб), файл не сохранятся на диск с последующим запуском, а настраивается и запускается самой программой установщиком.
http://www.virustotal.com/ru/analisis/1d10486223a29f2b635907ea8a8a7f3a
При дальнейшем рассмотрении оказалось, что расшифрованная программа представляет собой обертку для установки еще двух программ (0.EXE, 1.EXE), которые хранятся в ресурсах программы. Обе копируются в директорию TEMP и запускаются на выполнение. Хотя нечего более программа не делает, в коде полно стандартных библиотечных функций Delphi, которые не используются.
Имя файла: 0.EXE
Размер: 43,5 Кб
Time/Date Stamp (GMT): 25 декабря 2008 г. 19:07:49
http://www.virustotal.com/ru/analisis/3e3c8aa4f52f4ee6cd06e16301ff9b28
Здесь применятся тот же “криптор”, что и в основной программе (расшифровка строк, инициализация импорта, расшифровка с помощью пайпов, запуск из памяти).
Размер: 36,9 Кб
Time/Date Stamp (GMT): 25 декабря 2008 г. 19:06:11
http://www.virustotal.com/ru/analisis/5ec71ddbf47b3e00166f824a7618a788Вначале расшифровываются имена функций и необходимые строки, затем находятся адреса API функций. С помощью bat файлов отключается встроенный брандмауэр Windows. Программа записывается в автозагрузку (“Software\Microsoft\Windows\CurrentVersion\run”), разрешает себе доступ в Интернет и каждые 5 секунд повторяет эти действия. В целом это Trojan.Spambot версии v508. Далее из секции данных расшифровывается очередная часть трояна, на этот раз это DLL. Библиотека загружается в память и вызывается экспортируемая функция load.
Размер расшифрованной библиотеки: 25,5 Кб.
Time/Date Stamp (GMT): 9 октября 2006 г. 21:32:06
http://www.virustotal.com/ru/analisis/5179d521778c3f776476634a038879d4
Библиотека полностью идентична той что была в Trojan.Spambot, включая адрес откуда берется спам 66.232.109.178.
Имя файла: 1.EXE
Размер: 24,5 Кб
Time/Date Stamp (GMT): 8 сентября 2008 г. 17:03:35
http://www.virustotal.com/ru/analisis/4681e13e0223e093e5be3f2d7050bc85
Файл сжат UPX. Размер после распаковки ~80 Кб. Код очень богат разнообразными экзотическими инструкциями. Первым делом инициализируется импорт. Затем запускается процесс svchost.exe в остановленном состоянии, копирует туда себя, меняет контекст процесса, и запускает. C&C на сайте tailormadeservers.com
2008, GMax
e_gmax@mail.ru

Trojan.Win32.Inject.low

Имя файла: load.exe
Размер: 17 Кб
http://www.virustotal.com/ru/analisis/f0d657b9d5700bee01aa9744b46ddd16
В файле практически нет строк в открытом виде, что необходимо для работы троян держит в зашифрованном виде. При необходимости расшифровывает нужные строки, использует, и зашифровывает обратно. Шифрование ведется с помощью не хитрой формулы: a[i]=(a[i]^(2*(i+1)))^7. Имена функций также не хранятся в открытом виде, используется хеш от имени. Программа записывает себя в автозапуск через ключ реестра: “SYSTEM\CurrentControlSet\Control\SecurityProviders” под именем digeste.dll.
Программа использует в качестве мютекса строку BYPPROCNET, которая также хранится в зашифрованном виде. Далее троян запускает зомби процесс svchost.exe и копирует в него файл, который содержится в секции данных в зашифрованном виде.
Размер: 9 Кб
Time/Date Stamp (GMT): 17 декабря 2008 г. 21:18:10
http://www.virustotal.com/ru/analisis/afd200551216d0f3401d8225289654a1
Сразу на точке входа троян инициализирует свой импорт, находит адреса нужных функций с помощью LoadLibrary и GetProcAddress. Причем имена функций не скрыты, а просто находятся в секции данных в открытом виде. Далее троян расшифровывает строки, которые содержат IP адрес сайта управляющего ботнетом 91.211.64.191. Бот скачивает и сайта файлы и запускает их на выполнение. Файлы могут быть запущенны под прикрытием процесса svchost.exe.2008, GMax
e_gmax@mail.ru

Trojan.Spambot (spm v602)

Имя файла: update.exe
Размер: 39 Кб
Time/Date Stamp (GMT): 27 сентября 2008 г. 9:27:47
Trojan.Win32.Pakes.ldv
http://www.virustotal.com/ru/analisis/b15abee393409dfa14cd4eedff45072a
Первым делом программа проверяет, не запущенна ли она под виртуальной машиной. Первый слой трояна расшифровывает основное тело, применен оригинальный метод пересылки данный через пайп (Pipe).
Размер расшифрованного файла 33,5 Кб.
Time/Date Stamp (GMT): 22 июля 2008 г. 13:06:12
http://www.virustotal.com/ru/analisis/cb7239534bfd03b72407cedfd53bab94
Сначала троян по не хитрому алгоритму расшифровывает текстовые строки. Строки представляют собой имена функций (в основном для работы с реестром) и команды для отключения встроенного в windows фаервола. Затем программа останавливает сервисы wscsvc и sharedaccess, отключает встроенный брандмауэр и блокирует его старт при следующей загрузке системы. Кроме того, троян создает поток, который периодически повторяет отключение брандмауэра и ставит программу в автозагрузку. Следом за этим программа расшифровывает из своего тела непосредственно функциональную часть, которая является библиотекой, грузит ее в память и вызывает функцию под названием load.Размер расшифрованной библиотеки: 25,5 Кб.
Time/Date Stamp (GMT): 9 октября 2006 г. 21:32:06
http://www.virustotal.com/ru/analisis/5179d521778c3f776476634a038879d4
При инициализации библиотека расшифровывает IP адрес 66.232.109.178.Троян скачивает файл, парсит его, извлекая из тегов {info}…{/info}, {emails}…{/emails}, {text}…{/text} информацию, удаляет полученный файл. Затем из этой информации формируется письмо и оправляется по заданному адресу, а на сайт уходит подтверждение в виде рапорта.
2008, GMax
e_gmax@mail.ru

Trojan-Mailfinder.Win32.Agent.ux

Имя файла: adyyj.exe
Размер: 8 Кб
Time/Date Stamp (GMT): 8 октября 2008 г. 20:35:20
http://www.virustotal.com/ru/analisis/0793102ec8ab8b404a959ba6cb93b454
Файл запакован UPX. При рассмотрении распакованного трояна видно, что он является модифицированной версией трояна “Trojan.Win32.Agent.afjd”. Это видно, например по мютексу “S_SERV_v0.66_Beta_erf”.В отличие от предыдущей версии тут изменился сайт: http://72.232.11.26/i.php (хостинг layeredtech.com).
Кроме того, автор доделал работу программу с серверами электронной почты.
Интересен способ, спрятать Интернет адреса в числовом виде, а затем программно переводить в строку (89.149.227.194 и 195.24.77.224).
2008, GMax
e_gmax@mail.ru

Trojan.Win32.Agent.sbl

Имя файла: ise32.exe
Размер: 32,6 Кб
Time/Date Stamp (GMT): 18 июня 2008 г. 14:48:58
http://www.virustotal.com/ru/analisis/c4b009d3bfc762e4dc4ebc9af860fd85

Программа не имеет защитных слоев, анти-отладочных трюков, единственное, что сделал автор это шифрация строк, почти все из которых являются именами функций. Далее выясняется, что это своего рода установщик. Программа распаковывает с помощью функции RtlDecompressBuffer вторую программу.
Размер: 13,5 Кб
Time/Date Stamp (GMT): 27 марта 2008 г. 21:42:46
http://www.virustotal.com/ru/analisis/3a844fca69837b656a2e9762c3e23498
В новой программе похожие трюки с шифрованием строк. Ищет процесс explorer.exe и внедряется в него. Соединяется с сайтом b.ircstyle.net:7000 по протоколу IRC и ждет заданий. Троян может скачивать и запускать файлы. Скрывается в папке c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\

2008, GMax
e_gmax@mail.ru

Trojan.Win32.Agent.afjd

Имя файла: windgxse.exe
Размер: 7,5 Кб
Time/Date Stamp (GMT): 30 сентября 2008 г. 20:20:45
http://www.virustotal.com/ru/analisis/766cca7ccda53dd0c5bad036560a964b
Файл сжат UPX. Никаких трюков затрудняющих анализ нет. После распаковки весь арсенал трояна, как на ладони:

Троян представляет собой прокси сервер. При запуске троян проверяет, не запущен ли он уже, с помощью мютекса S_SERVkj. После старта программа запускает два потока, один посылает запросы, другой отправляет их на сервер. Программа добавляет себя в список достоверных приложений встроенного файрвола windows. Затем программа идет по адресу http://216.32.75.74/h2/?s=%d (хостер http://steephost.com) и получает в ответ строку, которую она ксорит побайтно числом 66h. После расшифровки эта строка оказывается адресом, у меня были адреса того же хостинга (216.32.75.74, 212.95.37.167), видимо это и есть управляемая автором часть бота. Кроме того, есть код, который производит соединение с популярными серверами электронной почты, но эта часть программы не работает.
2008, GMax
e_gmax@mail.ru

Trojan.Win32.Agent.aezz

Имя файла: file.exe
Размер: 15 Кб
Time/Date Stamp (GMT): 18 марта 2008 г. 14:15:27
http://www.virustotal.com/ru/analisis/90e870c1a4bc8474a05db5b6c06ea28f
Для распространения использовалась уязвимость в обработки PDF файла (Exploit:JS/Mult.AB).
После снятия навесной защиты выяснилось, что программа имеет размер примерно 41 Кб. Первым делом программа проверяет наличие в реестре ключа “Software\WebMoney\Path”, т.е. занимается воровством паролей к электронным кошелькам. Далее копирует себя с именем “setupapi.dll”.
Программа ждет, пока в системе появится окно "WebMoney Keeper Classic". Затем, ждет, пока она сможет выудить номер кошелька и пароль и отправляет его на сайт http://69.46.27.42 /afxv/msw/1.php.2008, GMax
e_gmax@mail.ru

Worm.Win32.AutoRun.qrs

Имя файла: kg2v.exe
Размер: 111 Кб
Time/Date Stamp (GMT): 12 октября 2008 г. 6:15:38
http://www.virustotal.com/ru/analisis/9c3b3d7b50241c48811eb60b510f3377
Данный экземпляр интересен, прежде всего, протектором: множество мусорного кода, антиотладочные команды, множество зашифрованных участков последовательно расшифровывающих очередной кусочек замусоренного кода. Кроме того, присутствует борьба с антивирусами.
После выполнения мусорного кода и последовательной расшифровки кусочков кода, программа выделяет память, копирует туда (предварительно расшифровав) из своего тела библиотеку (DLL). Далее самой программой производится инициализация библиотеки. А вот тут ожидает сюрприз, библиотека сжата с помощью упаковщика UPX, т.е. после этого библиотека распаковывает себя, настраивает свой импорт, релоки и передает управление на OEP. Если заглянуть в Export Table библиотеки, то можно узнать, что имя библиотеки ANTIVM.dll, и она экспортирует два указателя: на функцию KAV_Gout и на массив SysDataBuffer. Библиотека занимается тем, что борется с антивирусом Касперского. Пытается стереть драйвер, отключить обновление и т.д. Многое из написанного не работает или работает не правильно.
После того как отработает DLL, программа распаковывает свое основное тело, запускает explorer.exe, на случай если троян запускается с помощью автозагрузки с флешки. Затем находит у себя в ресурсах начало не распакованной части программы и копирует ее в kavo0.dll.Запускается поток, который ищет окно от AVP с текстом AlertDialog и закрывает его. В процесс explorer.exe копируется код, удаляющий себя при срабатывании определенного события, далее этот код выполняется с помощью создания удаленного потока (CreateRemoteThread).
2008, GMax
e_gmax@mail.ru