Intressant malware, men jag lyckades knäcka den.
Bildspel.exe är en SFX-fil
innehållande 4 filer. EHsyoNwcqtde.GIC, QIDggBVHUJn.XCS, qyJRGJIAmHT och yWeil.exe.
Efter en exekvering så packas filer(nya skapas) till "C:\Documents and Settings\chloe\gdu5jj68" men hela denna mapp är gömd samt dessa filer och för att göra dem synliga så kan du applicera kommandot "attrib -s -h gdu5jj68" när du cd:at till din mapp.
Dessa filer som du finner i gdu5jj68-mappen är bland annat run.vbs som innehåller
Kod:
Set WshShell = WScript.CreateObject("WScript.shell")
WshShell.Run"yweil.exe qyJRGJIAmHT"
Så yweil.exe är intressant, vad är det för fil? Körde en snabb strings på den och fick reda på att det är AutoIT.exe. Aha! Men vad är qyJRGJIAmHT för fil och vad gör egentligen detta malware?
Bilder:
http://i.imgur.com/9einoyj.png
http://i.imgur.com/UQHWVqI.png
http://i.imgur.com/KIWm3po.png
http://i.imgur.com/LjlXvh7.png
http://i.imgur.com/6gCYkds.png
Innehåller loggen från FileMon samt MultiMon:
https://anonfiles.com/file/b25363cf9...299c1b5fbae198
Ladda gärna ner ovanstående loggar. Okej, men jag börjar greppa detta. Jag ser att viruset håller på och skapar några filer, samt att den så gärna vill nå en fil med namnet clean.txt som inte finns! Inte nog med det men om försöker nå path där viruset ligger så får man BSOD! Traps! Nu blir jag arg!
qyJRGJIAmHT är en väldigt intressant fil, den är hela 27Mb stor och innehåller läslig text. Alla rader börjar med ";". Eller? Jag orkar inte läsa 27k rader med text, så jag använder min vän grep och tar ut alla unika rader:
Kod:
grep -v ";" qyJRGJIAmHT > source
wc -l source
1030
Awww, yeah!!! qyJRGJIAmHT innehåller alltså AutoIT-kod men den har så mycket skräp i sig att man ska tro att den är krypterad. Men vad innehåller source nu då?
http://pastebin.com/ApBmCkuw
Koden kollar först om Avast körs, om så är fallet så ska skriptet sova i 20000 millisekunder(tror jag det anges i). Sedan stänger skriptet av UAC samt lägger sig i startup, skriptet kollar sedan om den körs i en virtuell miljö, genom att kolla om VMwaretray.exe bland annat är körandes och om så är fallet så ska allting stängas ner.
Det finns även en bsod-funktion som triggas igång när man försöker nå filerna. Men via CMD så kan du använda "dir" för att kolla, det gjorde jag.
Detta är huvudmetoderna:
Kod:
antitask() - Ta bort task manager
disable_syste_restore() - ta bort återställningspunkter
disable_uac() - avaktivera UAC
downloader() - ladda ner filer
botkiller() - ta bort andra startupprocesser
antis() - döda om man använder virtuella maskiner
systemhide() - ta bort alternativ att ändra rättigheter på mappar
startup() - lägg sig till startup med olika metoder
mutex() - sätt mutex
bsod() - döda alla processer som skapar bsod
EHsyoNwcqtde.GIC verkar vara någon slags config-fil eftersom:
Kod:
Local $startup = IniRead($uniscriptdir & "\EHsyoNwcqtde.GIC", "8664643", "3223690", "NotFound")
If $startup = "6882540" Then
startup()
Som ser ut så här:
Kod:
[8664643]
3223690=6882540
Och i den exe'n jag fick så var [4507080], [2607097], [8664643] och [6261491] ifyllda och dessa funktioner är anti hook, persistence, startup och en funktion som heter submain.
Just submain är det intressanta. Om ni läser TS så ser ni att nätverkstrafik finns, och det stämmer. Bara en DNS-uppslagning fick jag, men i AutoIT-koden finns inget sånt. Submain är en lång funktion med massa krypto-calls. Vad denna kod gör är att den försöker injektera annan kod i hela 9 andra systemfiler och denna kod är krypterad från början.
Okej, så vilken process av mina är injekterade? Ha, har ni inte läst mina trådar om minnesforensik?
Kod:
vol.exe -f win7.elf --profile=Win7SP1x86 malfind -D .
Citat:
Process: RegSvcs.exe Pid: 1300 Address: 0x80000
Vad Tag: VadS Protection: PAGE_EXECUTE_READWRITE
Flags: CommitCharge: 1, MemCommit: 1, PrivateMemory: 1, Protection: 6
Okej, så RegSvcs.exe är injekterad hos mig, då dumpar jag den!
Kod:
vol.exe -f win7.elf --profile=Win7SP1x86 -p 1300 memdump -D .
Så hur vet jag att detta är rätt fil, har jag något att gå på? Ja, jag har cammy6.no-ip.biz som servern ville ansluta till!(ja, allt i RAM är dekrypterat).
http://pastebin.com/NMgrh529 - Alla globala variabler används som variabler till config-filen verka det som. Detta hittade jag i samma region som DNS-uppslagningarna.
Kod:
0x1e51b910 TCPv4 10.0.2.15:49564 193.0.200.132:1378 SYN_SENT 1300 RegSvcs.exe
0x1f9bb7b0 TCPv4 10.0.2.15:49478 193.0.200.132:1378 CLOSED 2241486320
Man ser verkligen klara bevis på virussmitta om man håller på med minnesforensik, det gillar jag. Anyway, som ni ser i koden ovan så blev ett SYN_SENT till CLOSED vilket betyder på att anslutningen stoppades, det stämmer även om man kollar via NMAP(kolla mitt tidigare inlägg) så ser man att port 1378 är stängd så det är inte så konstigt.
~Chloë
