Trojan-Ransom.Win32.Blocker

Имя файла: xvidDecoder60.exe
Размер: 101.50 Kb
Date/Time Stamp(GMT): 14.04.2009 15:34
http://www.virustotal.com/ru/analisis/26e9e579b640bed619561b23c10ce799
http://www.threatexpert.com/report.aspx?md5=ad2067912176a415afe89e43686507af
Дропер трояна WinLock, извлекает в папку темп файл с рандомным именем и префиксом don. Устанавливает его в автозагрузку, дописав на старте к userinit.exe.
Имя файла: don2.tmp.exe
Размер: 110.50 Kb
Date/Time Stamp(GMT): 14.04.2009 15:34
http://www.virustotal.com/ru/analisis/15168836395103bf6b573acf8bb8fe85
http://www.threatexpert.com/report.aspx?md5=c4d964a404ac82a5f1fa44237fe52f6b
Файл сильно замусорен, очень много лишнего кода. Создает дополнительный десктоп на нем рисует следующею картинку:

Код генерится на основе версии Windows и текущей даты. Если просто нечего не делать, то это спустя пару часов блокировка будет снята, а файл самоудалится. Код для снятия блокировки генерится по формуле:
(((((((X/(2^16))&15)*149)%167)*16+(((X/(2^12))&15)*108)%151)*16+(((X/(2^8))&15)*31)%163)*16+(((X/(2^4))&15)*29)%179)*16+((X&15)*53)%197=
, где X число из текста СМС равено числу текста СМС начиная с 4 символа
Командный центр: f3g3fff3fggff3.com
Имя файла: _don18.exe
Размер: 133.00 Kb
Date/Time Stamp(GMT): 24.04.2009 14:32
http://www.virustotal.com/ru/analisis/dbe138abe259534aa6c3b199156b0faf
http://www.threatexpert.com/report.aspx?md5=ea90969e13d2061054e8dd276720d0d0
Код очень похож на предыдущей экземпляр, похожее окошко:

Код для анлока вычисляется по той же формуле, только X – начиная с третьего символа, по два символа через один (для кода с картинки X=676200). Командный центр: 91.212.132.180

Virus.Win32.Virut.av

Имя файла: NOTEPAD.EXE
Размер: 74.50 Kb
Date/Time Stamp(GMT): 04.08.2004 6:05
http://www.virustotal.com/ru/analisis/40352a18cbc7be8d8c17ef4c670cb7c7
http://www.threatexpert.com/report.aspx?md5=127c54b4211f076ef745788acbd3bdaa
Обычный блокнот заражен вирусом Virut. Размер файла увеличился на 7 Кб. Увеличение за счет расширения последней секции файла, в данном случаи секции ресурсов. Переход на добавленный код сразу на точке входа. Сначала вирус расшифровывает свое тело, затем создает мэпируемую секцию “SectVirtu”, добавляет себе отладочные права, перебирает процессы в системе, затем к пятому по счету процессу (winlogon.exe), мэпируется созданная секция и делает инжект (CreateRemoteThread). В новом потоке производится запись в файл “C:\WINDOWS\system32\DRIVERS\ETC\HOSTS” строки “127.0.0.1 NtKrnlpa.info”. Из ветки “SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer” читает ключ TargetHost. Затем в ветку "SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List" добавляется исключение для встроенного фаервола.
Затем идет запрос на командный сервер "proxim.ntkrnlpa.info"

Net-Worm.Win32.Kolabc.gda

Имя файла: unwise_.exe
Размер: 137 Кб
Time/Date Stamp (GMT): 26 марта 2009 г. 06:03:13
http://www.virustotal.com/ru/analisis/a4ec604685deb703f90bcc59cd775a47
http://www.threatexpert.com/report.aspx?md5=bf3e95a24e203f680465e165ba4a02b1
Файл в несколько слоев обернут протекторами: первый не представляет из себя нечего сложного, во втором и третьем применена антиотладка и антидамп. После распаковки оказалось, что программа написана на С++. Качество кода достаточно низкое.
Вначале как всегда инициализация импорта. Затем идут антиотладочные проверки: IsDebuggerPresent, поиск строк VMware в реестре, проверка GetTickCount и т.д., в случаи нахождения чего-либо подозрительного программа самоудаляется с помощью BAT файла. Далее идет странная проверка на хук функции MessageBox, проверяются первые 5 байт этой функции и если это “E8 00 04 00 60” (CALL куда?), то программа зацикливается.

После этого расшифровываются строки, часть строк зашифрована по замысловатому алгоритму, основанному на XOR, а часть с использованием алгоритм BlowFish. Файл копируется в папку FONTS и запускается как служба с именем “Windows Host Controller”. Затем запускается новый поток, который проверяет наличие мютекса "gx000032", если он есть, то система уже инфицирована и процесс завершается. Программа читает ключи из ветки реестра “SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions” и если там есть ключи с именами файлов, то они удаляются. Затем в эту ветку записывается дата и время заражения, и время работы системы. Далее просматриваются и отправляются в командный центр список служб, доступность записи в реестр и общие сетевые ресурсы. Очищается кеш DNS и все журналы событий. Червь правит множество параметров в реестре для своей комфортной работы по сети, включая отключение встроенного бранмауера и проброс портов с помощью программы “netsh.exe”.
Далее начинается непосредственно работа с командным центром. В программу зашит большой список IRC серверов, которые можно использовать для управления ботом:
cx10man.weedns.com
fx010413.whyI.org
gynoman.weedns.com
c010x1.co.cc
commgr.co.cc
g.0x20.biz
telephone.dd.blueline.be
phonewire.dd.blueline.be
phonelogin.dd.blueline.be
ufospace.etowns.net
theforums.bbsindex.com
phonewire.dnip.net
phonelogin.dnip.net
koopa.dnip.net
cx10man.weedns.com
fx010413.whyI.org
gynoman.weedns.com
c010x1.co.cc
commgr.co.cc
g.0x20.biz
telephone.dd.blueline.be
phonewire.dd.blueline.be
phonelogin.dd.blueline.be
ufospace.etowns.net
theforums.bbsindex.com
phonewire.dnip.net
phonelogin.dnip.net
koopa.dnip.net
Интересно, что среди большого количества функций по управлению ботом (апдейт, сбор информации, DoS, заражение USB дисков и т.д.), есть функция самоуничтожения. При запросе информации о версии, бот отправляет: “Built: Mar 26 2009 01:02:59 g.3.2 (g.3.2.3.fp)”.

Worm.Win32.AutoRun.bix

Имя файла: fnexsjs.exe
Размер: 24,6 Кб
http://www.virustotal.com/ru/analisis/366c1b1ad51d3fd7ea8c3109e0e7b8e6
http://www.threatexpert.com/report.aspx?md5=16802528a2e57daa1179c67ad15bd485
Файл упакован Upack. После распаковки размер ~ 150 Кб. Написан на Delphi. Качество кода отвратительное. Файл оказался китайским вирусом, написанным на делфи, логика работы соответствующая… Делает следующие: копирует себя в папки “Common Files\System\” и “Common Files\Microsoft Shared\”, копируется на все диски в качестве autorun(для этого перебирает все буквы), inf файл такого вида:
[AutoRun]
open=fnexsjs.exe
shell\open=ґтїЄ(&O)
shell\open\Command=fnexsjs.exe
shell\open\Default=1
shell\explore=ЧКФґ№ЬАнЖч(&X)
shell\explore\Command=fnexsjs.exe
,отключает показ скрытых файлов, прописывается в автозапуск, отключает некоторые сервисы (wscsvc, helpsvc, wuauserv, SharedAccess), не дает перезагрузится в безопасный режим, по заголовку окна убивает некоторые процессы (диспетчер процессов, IceSword и т.д.), ставит себя отладчиком при старте некоторых файлов (Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\) и еще уйма китайского кода. Возможные китайские названия: "the AV End", "Animal Virus", "the Kind of AV End". Командный центр: www.webweb.com.

Trojan-Downloader.Win32.Injecter.cax

Имя файла: wpv771230262576.cpx.exe
Размер: 80,5 Кб
Time/Date Stamp (GMT): 29 января 2009 г. 13:36:03
http://www.virustotal.com/ru/analisis/1e77cd297ac8179a642d5c3bf6244e6c
Файл запакован UPX. После распаковки 196 Кб. В файл местами добавлен однотипный мусорный код с вызовом API функций. Строки в файле не зашифрованы, а просто разряжены. Каждый символ занимает не 1 или 2 байта, а 4 байта. Далее инициализируется импорт. Из файла завлекается DLL, хранящаяся так же в разряженном виде, и сохраняется в файл "…\system32\crypts.dll". Библиотека ставится в автозагрузку "…\CurrentVersion\Winlogon\Notify\crypt". Затем производится инжект в процесс explorer.exe. В инжектирумом коде происходит общение с командным центром http://af9f330a59.com.

На сервер передается строка, идентифицирующая заращенный компьютер (сетевое имя и серийный номер HDD), причем происходит это с помощью функции UrlDownloadToFile, т.е. ответ сначала сохранятся в файл (папка TEMP), а затем оттуда читается. Мне на запрос пришла строка “0SLP:3600;MOD:dAcbf6;URL:http://hansali4.com/731l2.exe;SRV:stoped;”.
Затем скачивается указанный файл и запускается на исполнение.
Имя файла: crypts.dll
Размер: 31,5 Кб
Time/Date Stamp (GMT): 29 января 2009 г. 13:35:57
http://www.virustotal.com/ru/analisis/01ab49e7f23228d1cc1d359a51a2e4b1
Файл запакован UPX. После распаковки 72 Кб. Полностью повторяется функционал инжектируемого в процесс explorer.exe кода дропера (предыдущий файл).
Имя файла: 731l2.exe
Размер: 71,0 Кб
Time/Date Stamp (GMT): 10 марта 2009 г. 15:42:01
http://www.virustotal.com/ru/analisis/e7f26d770daac1f686fca0a74d371800
Файл запакован UPX. После распаковки 164 Кб. Программа занимается рассылкой спама.
Командные центы расположены по адресам:
https://83.133.127.5/mrl2/,
https://212.117.185.20/ost/i2.php,
https://85.17.168.141/base.php.

Trojan.Win32.Agent.brcu

Имя файла: system.exe
Размер: 56,0 Кб
http://www.virustotal.com/ru/analisis/d3eba3d6f8bbba80c9adf8e799376d76
Файл не чем не запакован, написан на Delphi. Вначале расшифровывает строки, затем инициализирует импорт. В секции ресурсов хранится еще один исполняемый файл. Файл system.exe запускается еще раз с флагом SUSPENDED, затем туда из секции ресурсов копируются данные, изменяется контекст процесса и процесс размораживается.
Размер: 15,5 Кб
Time/Date Stamp (GMT): 15 февраля 2009 г. 15:59:45
http://www.virustotal.com/ru/analisis/481433938bf01a62790bc1328565466a
Файл запакован UPX. После распаковки ~57 Кб. В качестве мютекса (и еще в нескольких местах) используется слово Macrovisions. Далее файл копируется в системную директорию. Переводит системную дату на 01.01.2070г. Добавляет себя в исключения файрвола. Ставит себя на автозагрузку в ветку “…\CurrentVersion\Winlogon” вместе с userinit.exe или, если не получается, в стандартную ветку “…\CurrentVersion\Run”. Затем делается инжект в процесс explorer.exe, в этом потоке проверяем мютекс и при необходимости вновь запускаем процесс (system.exe). Далее (для XP) снимаются хуки с SSDT из Ring3 с помощью NtSystemDebugControl.
Из тела программы извлекается драйвер, записывается в папку TEMP, устанавливается и загружается в систему. Далее запускаются 3 потока: в первом ведется работа с ключами реестра, ставятся нотификаторы на изменение, во втором создается окно, в оконной процедуре которого обрабатывается сообщение о подключении USB диска, с последующим его заражением, в третьем потоке происходит сетевое общение (IRC) с командным центом money.pornoturkiye.com.

Бот умеет скачивать и запускать файлы, оправлять запрашиваемый файл, слать ICMP запросы на какой-либо сайт. Кроме того, бот умеет искать определенные процессы (хеш от имени) и выполнять для них предварительно заложенные действия, а именно добавлять информацию в определенные окна. Причем делать это не традиционным способом, а через буфер обмена.
Размер: 4,0 Кб
Time/Date Stamp (GMT): 13 февраля 2009 г. 4:44:16
http://www.virustotal.com/ru/analisis/9b7b99601348d217574dc85e9f673462
Не чем не обработан, строки зашифрованы. Руткит занимается тем, что ставит хуки на обращение к реестру и фильтрует функции ObReferenceObjectByHandle и IofCallDriver, тем самым, маскируя основную программу.

Worm.Win32.AutoRun.eze

Имя файла: cfixer.exe
Размер: 15,9 Кб
Time/Date Stamp (GMT): 5 декабря 2008 г. 17:30:47
http://www.virustotal.com/ru/analisis/07f1a961237157256252ec471c36790e
Файл почти полностью идентичен Backdoor.Win32.IRCBot.eqq, за сключением нескольких строк (имя файла, адрес C&C, мютекс и т.д.). Адрес командного центра mh.patex.org.

2009, GMax
e_gmax@mail.ru