Trojan-Downloader.Win32.Injecter.cax

Имя файла: wpv771230262576.cpx.exe
Размер: 80,5 Кб
Time/Date Stamp (GMT): 29 января 2009 г. 13:36:03
http://www.virustotal.com/ru/analisis/1e77cd297ac8179a642d5c3bf6244e6c
Файл запакован UPX. После распаковки 196 Кб. В файл местами добавлен однотипный мусорный код с вызовом API функций. Строки в файле не зашифрованы, а просто разряжены. Каждый символ занимает не 1 или 2 байта, а 4 байта. Далее инициализируется импорт. Из файла завлекается DLL, хранящаяся так же в разряженном виде, и сохраняется в файл "…\system32\crypts.dll". Библиотека ставится в автозагрузку "…\CurrentVersion\Winlogon\Notify\crypt". Затем производится инжект в процесс explorer.exe. В инжектирумом коде происходит общение с командным центром http://af9f330a59.com.

На сервер передается строка, идентифицирующая заращенный компьютер (сетевое имя и серийный номер HDD), причем происходит это с помощью функции UrlDownloadToFile, т.е. ответ сначала сохранятся в файл (папка TEMP), а затем оттуда читается. Мне на запрос пришла строка “0SLP:3600;MOD:dAcbf6;URL:http://hansali4.com/731l2.exe;SRV:stoped;”.
Затем скачивается указанный файл и запускается на исполнение.
Имя файла: crypts.dll
Размер: 31,5 Кб
Time/Date Stamp (GMT): 29 января 2009 г. 13:35:57
http://www.virustotal.com/ru/analisis/01ab49e7f23228d1cc1d359a51a2e4b1
Файл запакован UPX. После распаковки 72 Кб. Полностью повторяется функционал инжектируемого в процесс explorer.exe кода дропера (предыдущий файл).
Имя файла: 731l2.exe
Размер: 71,0 Кб
Time/Date Stamp (GMT): 10 марта 2009 г. 15:42:01
http://www.virustotal.com/ru/analisis/e7f26d770daac1f686fca0a74d371800
Файл запакован UPX. После распаковки 164 Кб. Программа занимается рассылкой спама.
Командные центы расположены по адресам:
https://83.133.127.5/mrl2/,
https://212.117.185.20/ost/i2.php,
https://85.17.168.141/base.php.

Trojan.Win32.Agent.brcu

Имя файла: system.exe
Размер: 56,0 Кб
http://www.virustotal.com/ru/analisis/d3eba3d6f8bbba80c9adf8e799376d76
Файл не чем не запакован, написан на Delphi. Вначале расшифровывает строки, затем инициализирует импорт. В секции ресурсов хранится еще один исполняемый файл. Файл system.exe запускается еще раз с флагом SUSPENDED, затем туда из секции ресурсов копируются данные, изменяется контекст процесса и процесс размораживается.
Размер: 15,5 Кб
Time/Date Stamp (GMT): 15 февраля 2009 г. 15:59:45
http://www.virustotal.com/ru/analisis/481433938bf01a62790bc1328565466a
Файл запакован UPX. После распаковки ~57 Кб. В качестве мютекса (и еще в нескольких местах) используется слово Macrovisions. Далее файл копируется в системную директорию. Переводит системную дату на 01.01.2070г. Добавляет себя в исключения файрвола. Ставит себя на автозагрузку в ветку “…\CurrentVersion\Winlogon” вместе с userinit.exe или, если не получается, в стандартную ветку “…\CurrentVersion\Run”. Затем делается инжект в процесс explorer.exe, в этом потоке проверяем мютекс и при необходимости вновь запускаем процесс (system.exe). Далее (для XP) снимаются хуки с SSDT из Ring3 с помощью NtSystemDebugControl.
Из тела программы извлекается драйвер, записывается в папку TEMP, устанавливается и загружается в систему. Далее запускаются 3 потока: в первом ведется работа с ключами реестра, ставятся нотификаторы на изменение, во втором создается окно, в оконной процедуре которого обрабатывается сообщение о подключении USB диска, с последующим его заражением, в третьем потоке происходит сетевое общение (IRC) с командным центом money.pornoturkiye.com.

Бот умеет скачивать и запускать файлы, оправлять запрашиваемый файл, слать ICMP запросы на какой-либо сайт. Кроме того, бот умеет искать определенные процессы (хеш от имени) и выполнять для них предварительно заложенные действия, а именно добавлять информацию в определенные окна. Причем делать это не традиционным способом, а через буфер обмена.
Размер: 4,0 Кб
Time/Date Stamp (GMT): 13 февраля 2009 г. 4:44:16
http://www.virustotal.com/ru/analisis/9b7b99601348d217574dc85e9f673462
Не чем не обработан, строки зашифрованы. Руткит занимается тем, что ставит хуки на обращение к реестру и фильтрует функции ObReferenceObjectByHandle и IofCallDriver, тем самым, маскируя основную программу.

Worm.Win32.AutoRun.eze

Имя файла: cfixer.exe
Размер: 15,9 Кб
Time/Date Stamp (GMT): 5 декабря 2008 г. 17:30:47
http://www.virustotal.com/ru/analisis/07f1a961237157256252ec471c36790e
Файл почти полностью идентичен Backdoor.Win32.IRCBot.eqq, за сключением нескольких строк (имя файла, адрес C&C, мютекс и т.д.). Адрес командного центра mh.patex.org.

2009, GMax
e_gmax@mail.ru

Backdoor.Win32.IRCBot.eqq

Имя файла: reg32.exe
Размер: 14,7 Кб
Time/Date Stamp (GMT): 26 июля 2008 г. 21:42:44
http://www.virustotal.com/ru/analisis/5f0ca337ff3055ff342a31dacef8bbce
Файл обработан упаковщиком eXPressor v1.4. Программа расшифровывает строки, находит адреса нужных функций и производит запись всего этого в процесс explorer.exe, а затем запускает удаленный поток в этом процессе. Копирует себя в папку C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ и тут же создает файл Desktop.ini:
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
Устанавливает себя в автозапуск через ключ реестра HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components.
Ищет USB диски и если находит, то копирует себя также в RECYCLER и устанавливает в автозапуск. В случаи заражения информирует сервер сообщением: "PRIVMSG ##e :Infected usb drive: D:"
Далее соединяется с серверами: shop.hostswiss.com, shop.m-n-g.info, shop.worldadult.biz откуда и производится управление ботом. Умеет скачивать и запускать на исполнение файлы.

2009, GMax
e_gmax@mail.ru

Trojan.Win32.Agent.bsdh

Имя файла: Keygen.Tag.&.Rename.3.4.6.exe
Размер: 28,5 Кб
Time/Date Stamp (GMT): 24 февраля 2009 г. 16:27:33
http://www.virustotal.com/ru/analisis/c37dc61e6001a6c1dd5c8cce5e902489
Файл упакован UPX. Затем идет слой еще одного упаковщика, который выделяет память, расшифровывает туда каждую секцию файла, копирует, настраивает импорт и запускает на исполнение основную программу. Программа собирает различные сведения о системе: версия Windows, версия Internet Explorer, какой антивирус установлен, количество сетевых соединений и т.д. Затем собранные данные шифруются (xor) и кодируются в BASE64 для отправки на адрес:
http://traff.loadmore.eu.

Запускается дополнительно еще один поток, который ждет соединения на 10100 порту. При установлении соединения, если пришло слово ‘PING’, шлет в ответ слово ‘PONG’. Кроме того, программа умеет скачивать в папку TEMP файлы и запускать их на исполнение.
2009, GMax
e_gmax@mail.ru