пятница, 26 декабря 2008 г.

Trojan.MulDrop

Имя файла: update.exe
Размер: 91 Кб
Time/Date Stamp (GMT): 25 декабря 2008 г. 20:52:13
http://www.virustotal.com/ru/analisis/0e01b13d625121736f629f2191b07446
Первый слой представляет собой просто расшифровку основного тела программы с помощью пайпа (Pipe). Для получения нужных API функций используется оригинальный метод расшифровки строк (побуквенное копирование в локальный буфер с последующей расшифровкой, при таком подходе строки не хранятся в секции данных).Хоть расшифрованная часть программы и является самостоятельным exe файлом (размером 82,5 Кб), файл не сохранятся на диск с последующим запуском, а настраивается и запускается самой программой установщиком.
http://www.virustotal.com/ru/analisis/1d10486223a29f2b635907ea8a8a7f3a
При дальнейшем рассмотрении оказалось, что расшифрованная программа представляет собой обертку для установки еще двух программ (0.EXE, 1.EXE), которые хранятся в ресурсах программы. Обе копируются в директорию TEMP и запускаются на выполнение. Хотя нечего более программа не делает, в коде полно стандартных библиотечных функций Delphi, которые не используются.
Имя файла: 0.EXE
Размер: 43,5 Кб
Time/Date Stamp (GMT): 25 декабря 2008 г. 19:07:49
http://www.virustotal.com/ru/analisis/3e3c8aa4f52f4ee6cd06e16301ff9b28
Здесь применятся тот же “криптор”, что и в основной программе (расшифровка строк, инициализация импорта, расшифровка с помощью пайпов, запуск из памяти).
Размер: 36,9 Кб
Time/Date Stamp (GMT): 25 декабря 2008 г. 19:06:11
http://www.virustotal.com/ru/analisis/5ec71ddbf47b3e00166f824a7618a788Вначале расшифровываются имена функций и необходимые строки, затем находятся адреса API функций. С помощью bat файлов отключается встроенный брандмауэр Windows. Программа записывается в автозагрузку (“Software\Microsoft\Windows\CurrentVersion\run”), разрешает себе доступ в Интернет и каждые 5 секунд повторяет эти действия. В целом это Trojan.Spambot версии v508. Далее из секции данных расшифровывается очередная часть трояна, на этот раз это DLL. Библиотека загружается в память и вызывается экспортируемая функция load.
Размер расшифрованной библиотеки: 25,5 Кб.
Time/Date Stamp (GMT): 9 октября 2006 г. 21:32:06
http://www.virustotal.com/ru/analisis/5179d521778c3f776476634a038879d4
Библиотека полностью идентична той что была в Trojan.Spambot, включая адрес откуда берется спам 66.232.109.178.
Имя файла: 1.EXE
Размер: 24,5 Кб
Time/Date Stamp (GMT): 8 сентября 2008 г. 17:03:35
http://www.virustotal.com/ru/analisis/4681e13e0223e093e5be3f2d7050bc85
Файл сжат UPX. Размер после распаковки ~80 Кб. Код очень богат разнообразными экзотическими инструкциями. Первым делом инициализируется импорт. Затем запускается процесс svchost.exe в остановленном состоянии, копирует туда себя, меняет контекст процесса, и запускает. C&C на сайте tailormadeservers.com
2008, GMax
e_gmax@mail.ru

Комментариев нет: