Το τελευταίο διάστημα βλέπω έντονη κίνηση από irc bots τα οποία καταλήγουν να γίνονται αυτοματοποιημένα spam bots. Δεν γνωρίζω αν βλέπουμε πάλι κάποιο μεγάλο δίκτυο τύπου Rustock (http://www.microsoft.com/security/sir/story/default.aspx#!rustock) αλλά σίγουρα έχει κάνει αισθητή την παρουσία του.

Έχουμε και λέμε λοιπόν, το δείγμα μας όπως θα δείτε έχει χαμηλό δείκτη “προστασίας” Smile. Βέβαια αυτό συμβαίνει γιατί συνεχώς τις τελευταίες ημέρες αλλάζουν τον κώδικα ώστε να προσπερνούν ανενόχλητα από τα AVs έστω και προσωρινά.

ScreenHunter_12 Nov. 29 11.49

Ας περάσουμε στην εκτέλεση του να δούμε πως συμπεριφέρεται το διαβολάκι μας!

1. Dns query για το xxxxx.ka3k.com όπου βρίσκεται ο IRC Server μας

2. Σύνδεση με user/pass και κατευθείαν εντολές

image

Όπως βλέπετε μας κατευθύνει να κατεβάσουμε το “ngui.exe” και να το αποθηκεύσουμε ως “ngdhd.exe” Η όλη διαδικασία γίνεται αυτοματοποιημένα και χωρίς την όποια διένεξη μας βέβαια.

Μόλις κατέβει το αρχείο μας εκτελείται άμεσα και βέβαια όπως κάθε malware που σέβεται τον εαυτό του φροντίζει την εκτέλεσή του σε κάθε system startup. Αυτό επιτυγχάνεται με τον παρακάτω τρόπο

ScreenHunter_02 Nov. 28 15.08

Δημιουργεί κάτω από το C:\Recycler (Recycle Bin Windows XP), ένα subfolder με κάτι που μοιάζει με SID αλλά δεν είναι, προσέξτε το R-1-5-21! λάθος γιατί τα Security Identifiers (http://support.microsoft.com/kb/243330) ξεκινούν με “S” κι όχι με “R”, παραπλανητική τεχνική. Επίσης τοποθετεί στον ίδιο φάκελο το ecleaner.exe και τέλος κάνει την απαραίτητη εγγραφή στο registry στο παρακάτω κλειδί (http://technet.microsoft.com/en-us/library/cc957402.aspx)

ScreenHunter_04 Nov. 28 15.22

Στη συνέχεια λοιπόν το αρχείο που κατέβηκε το “ngdhd.exe” κάνει unpack τον κώδικα του στο Twswsp.exe

ScreenHunter_05 Nov. 28 15.30

και βέβαια με τη σειρά του κάνει τις ανάλογες registry ρυθμίσεις για να εξασφαλίσει την αυτόματη εκτέλεση σε κάθε επανεκκίνηση.

ScreenHunter_06 Nov. 28 15.31

Όσον αφορά το αρχείο ngui.exe στο virustotal.com έχουμε τα παρακάτω αποτελέσματα

ScreenHunter_13 Nov. 29 12.18

Μέχρι εδώ λοιπόν έχουμε 2 νέα αρχεία το ecleaner.exe (μόνο clean δεν κάνει!) & το twswsp.exe τα οποία εκτελούνται σε κάθε εκκίνηση. Το 2ο αρχείο φαίνεται πως είναι το πρόγραμμα επικοινωνίας με το C&C Server για περαιτέρω εντολές.

Στη συνέχεια αρχίζει το κέφι αφού κατεβαίνουν ακόμα μερικά εκτελέσιμα τα οποία τελικά πιάνουν αμέσως δουλειά και επικοινωνούν με άλλο web server όπου κατεβάζουν τα παρακάτω:

ScreenHunter_07 Nov. 29 10.19

Το όνομα του Web Directory /spm/ μάλλον προδίδει το σκοπό ύπαρξης του (spam). Εδώ στην ουσία αντλεί σε κρυπτογραφημένη μορφή email accounts για την αποστολή των mails.

Οπότε αφού λοιπόν έχουν κατέβει όλα τα απαραίτητα εργαλεία και ρυθμίσεις ξεκινάει η μαζική αποστολή μας.

ScreenHunter_08 Nov. 29 10.36

Να συμπληρώσω πως ένα από τα executables που κατεβαίνει έχει anti-debugging μηχανισμό, δηλαδή μόλις βρει ανοιχτά processes από γνωστά tools όπως procmon, ollydbg, wireshartk etc τα κλείνει αμέσως.

Τέλος για να πάρουμε μια καλή ιδέα για την διάσταση και τη διασπορά αυτών των ενεργειών παραθέτω την παρακάτω εικόνα:

ScreenHunter_11 Nov. 29 11.28

Εδώ απεικονίζονται οι 4 βασικοί servers και ο ρόλος τους. 2 Web Servers από τους οποίους κατεβαίνουν τα malware και 2 IRC C&C Servers.

Καλή συνέχεια σε όλους, πάω να διαγράψω ακόμα μερικά mails από το Junk Folder μου! Smile