Το rimecud είναι ένα αρκετά γνωστό malware-bot το οποίο διεκδικεί και την πρωτιά για το 2010!  http://www.microsoft.com/security/sir/story/default.aspx#section_3_1

Πριν ξεκινήσω ας δούμε τι λέει το www.virustotal.com σχετικά με τα executables που κατέβηκαν.

Τι να πω; τα νούμερα μιλάνε από μόνα τους! Βλέπετε πόσο χαμηλά είναι το ποσοστά εντοπισμού από τα Antivirus.

Οπότε ας πάρουμε μια καλή ιδέα από τα πλούσια ταλέντα του συγκεκριμένου malware. Καταρχάς περιέχει ρουτίνα ώστε όταν εκτελείται να τερματίζει οποιοδήποτε monitor tool τύπου process monitor, wireshark, process explorer etc. Πρόκειται για πολύ δημοφιλή τεχνική που χρησιμοποιείται αρκετά ώστε να δυσκολέψει την ανάλυση.

Εκτελώντας λοιπόν το malware συμβαίνουν τα εξής:

1. DNS query για το όνομα ms.mobilerequests.com, ακούγεται πραγματικό/νόμιμο αλλά δεν είναι!
2. To συγκεκριμένο bot ανήκει στην κατηγορία mariposa ή butterfly ή rimecud και χρησιμοποιεί σε αντίθεση με άλλα udp πρωτόκολλο για την επικοινωνία με τον C&C Server
3. Εδώ βλέπουμε πως γίνεται reverse lookup για την IP του bot ώστε να μάθει το fully qualified domain name και κατ’ επέκταση τον ISP. Θα καταλάβετε παρακάτω το λόγο.
4. Ακολουθεί πάλι επικοινωνία με τα “κεντρικά” για επιπλέον εντολές!
5. Στα επόμενα βήματα πραγματοποιείται download διαφόρων αρχείων τα οποία μην σας ξεγελάει η κατάληξη πρόκειται για executables.
6. Ενδεικτικά δείτε το 2ο file dateonewo.ol μέσα από hex editor όπου προδίδεται και η ταυτότητά του
7. Εδώ πλέον κατεβαίνει το serv.exe όπου είναι και η κύρια εφαρμογή που εκτελείται στο εξής και γι’ αυτό μάλλον έχει και το ευφάνταστο όνομα serv –> server.

Συνεχίζοντας …

1. Συνδέεται στους smtp του hotmail  και για κάποιο λόγο δεν προσπαθεί να στείλει κάποιο “ωφέλιμο” mail.
2. Σε αυτό το σημείο συνδέεται σε web service και ζητάει το /spm/s_get_host.php?ver=522 και η επικοινωνία είναι

GET /spm/s_get_host.php?ver=522 HTTP/1.0
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; VS2)
Host: 91.200.242.230
Accept: */*
Connection: Close

HTTP/1.0 200 OK
Content-Type: text/html; charset=ISO-8859-1
Connection: close

athedsl-132631.home.otenet.gr

Αυτό στην ουσία που ζητήσαμε είναι να μάθουμε το hostname μας όπως έχει καταγραφεί στους C&C.

Στο 3ο βήμα βλέπουμε πως εκτελεί dns query αλλά για mx record, δηλαδή προσπαθεί να βρει τον mail exchanger του ISP μου. Αυτό συνδέεται με το βήμα 3 στην προηγούμενη παράγραφο όπου εκτέλεσε reverse lookup για να μάθει τον fqdn μου άρα και τον πάροχο που ανήκω. Οπότε βλέπουμε να προσπαθεί απεγνωσμένα να εντοπίσει τον smtp server του ISP ρωτώντας διάφορους DNS serves.

Γιατί θέλει τον mx server? Η απάντηση προφανής, spam και ακολουθεί:

Η smtp επικοινωνία (μπλε smtp server, κόκκινο bot)

SMTP spam

220 speedy.otenet.gr ESMTP Sun, 5 Dec 2010 12:20:26 +0200

HELO athedsl-132631.home.otenet.gr

250 speedy.otenet.gr Hello athedsl-132631.home.otenet.gr [85.75.93.182], pleased to meet you

MAIL FROM:<ann_hvoz@msn.com>

550 5.7.1 Rejected: 85.75.93.182 listed as spam source at http://www.spamhaus.org/

Βέβαια τα πολυτάλαντο bot δεν σταματά εδώ κι έτσι ταυτόχρονα προσπαθεί να στρατολογήσει και άλλα bots

Αυτό που φαίνεται παραπάνω είναι προσπάθειες σύνδεσης στην 445/tcp (smb) διαφόρων IPs οπότε όποια βρεθεί και δεν έχει τα απαραίτητα updates να έλθει αμέσως στις υπηρεσίες μας!

Συνοψίζοντας

Πρόκειται για botnet με ποικίλα χαρακτηριστικά, να σημειώσω εδώ πως τα περισσότερα από τα εκτελέσιμα που κατέβηκαν είναι επιπλέον trojan ή εφαρμογές τύπου fake AV, fake antispam etc.

Επίσης για να μη νομίζετε πως οι web servers που κρατούν τα συγκεκριμένα αρχεία είναι μέρος του κυκλώματος δείτε το παρακάτω:

Άλλος ένας από τους πολλούς web servers όπου εν αγνοία των υπευθύνων μοιράζει malware.

Τέλος σε όλη την επικοινωνία εμφανιζόταν παντού η πληροφορία PASS laorosr όπως φαίνεται και παρακάτω.

Μόνο τη συγκεκριμένη έκφραση αν ψάξετε στο internet θα δείτε πως τα περισσότερα αποτελέσματα συνδέονται με κακόβουλη χρήση.