Worm.Win32.Feebs

Семейство червей Worm.Win32.Feebs обладает рядом интересных особенностей, что делает данныого червя достаточно опасным.
Первой особенностью является наличие "на борту" червя достоточно мощного UserMode руткита.
Рассмотрим пример протокола зараженного ПК:
Анализ перехваченных функций показывает, что червь может маскировать свой процесс, маскировать файлы на диске, фильтровать обращения к реестру. Кроме того, он перехватывает функции, отвечающие за работой в Интернет.
Интересен перехватчик OpenProcess - при обнаружении попытки открытия маскируемого руткитом процесса перехватчик червя убивает "любопытный" процесс - тем самым существенно затрудняется применение против червя всевозможных менеджеров процессов.
Программный код червя размещен в DLL, которая как правило называется ms*32.dll (известны варианты названия msss32.dll, msgf32.dll).
На эту DLL реагирует искатель кейлоггеров и троянских DLL AVZ:
Сам DLL файл имеет размер около 54 кб (последний изученный образец имел размер 54697) и запакован UPack.
Червь маскирует один процесс - это процесс svchost.exe, это системный компонент, DLL червя загружена в его адресное пространство.
Распространение червя ведется по электронной почте, письмо имеет вид: К письму приаттачен HTA файл, типичное имя - Encrypted Html File.hta или Secure Mail File.hta, его запуск и приводит к инсталляции червя (при этом имитируется вывод окна запроса пароля, что соответствует контексту письма). Второй вариант - это письмо с ZIP-архивом, который в свою очередь содержит HTA файл. Третий вариант - инсталлятор червя в виде небольшого исполняемого файла размером около 55 кб, один из вариантов имени - webinstall.exe.
Согласно отчетам пользователей в ряде случаев на зараденной машине наблюдается побочный эффект - перестает переключаться раскладка клавиатуры.
Изученная разновидность червя регистрирует CLSID 95BC0491-2934-6105-856B-193602DCEB1F и прописывает себя на автозапуск при помощи ShellServiceObjectDelayLoad (в котором собственно идет ссылка на CLSID червя).
На зараженном компьютере можно обнаружить инсталлятор червя. Он имеет имя ms*.exe (например, mshq.exe) и размер около 55 кб.
Червь создает в реестре ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSxx, в которо хранит различную информацию. В частности, раздел DAT этого ключа хранит найденные на компьютере email адреса.

Побочным эффектом работы червя является удаление всех сохраненных на компьютере cookies.

 

Анализ HTA файлов, которые применяются для закачки червя.
HTA файл содержит скрипт, часть которого зашифрована. Шифровка многоступенчатая:
1. В скрипте имеется несколько строковых переменных с несмысловыми именами, которые содержат текст фанкции-дешифратора. Данные в переменных представлены в формате %XX, где XX - код символа. Собственно "дешифрация" сводится к конкантенации строк и обработке содержащейся в ней информации при помощи unescape (в частности, в исследуемом образце это выглядело как "unescape(eb+lc+aqe+iao+hrb);". В результате получается текст функции, который выполняется с помощью eval (побочный эффект - функция становится доступной для последующего кода). Данная функция-дешифратор на входе получат строку, раскодирует ее и выводит в документ при помощи document.write
2. Производится вызов функции-дешифратора. Код
i("T'mmsZF,mv$F'$jKw''9Z'x$ sZ= .... в скрипте на первый взгляд является мусором, но это не так - это вызов функции с именем "i" (эта функция получается на шаге 1), а бредовые на первый взгляд данные - это зашифрованный скрипт).
3. Функция-дешифратор помещает расшифрованный скрипт в документ, и он исполняется.
Размещенный в документе на шаге 3 скрипт собсвенно и делает всю работу. Его можно классифицировать как Trojan-Downloader. В теле скрипта имеется массив из нескольких адресов, с которых производится загрузка файла. Загрузка оригинальна - загружаемый файл текстовый, поэтому просто производится навигация на один из URL загрузки, а затем полученный текст считывается из Document.Body.InnerText. В моем случае файл сохранялся в папке C:\Recycled\userinit.exe, причем в скрипте предусмотрена проверка наличия там этого файла. В случае отсутствия файла он создается и заполняется результатми расшифровки.
Примечательно, что в скрипте содержится адрес, на который был прислан скрипт - этот адрес сохраняется в реестре. Второй особенностью скрипт является попытка удаления в реестре сервисов pcipim, pcIPPsC, RapDrv, FirePM, KmxFile. Если хотя-бы одна из попыток удаления оказывается успешной, то скрипт определяет через реестр путь к папке автозапуска и копирует туда загруженный/расшифрованный EXE файл. Если удаление было неспешным (т.е. предполагается, что таких сервисов в реестре не зарегистрировано), то происходит запуска загруженного файла. Кроме того, в скрипте есть код для прописывания а Active Setup\Installed Components\{CLSID вируса} параметра Stubpath, указывающего на загруженный файл.
Загруженный EXE файл является дроппером DLL, которая собственно и является вирусом.