Семейство червей Worm.Win32.Feebs обладает рядом интересных особенностей, что делает данныого червя достаточно опасным.
Первой особенностью является наличие "на борту" червя достоточно мощного UserMode руткита.
Рассмотрим пример протокола зараженного ПК:
1. Поиск RootKit и программ, перехватывающих функции API >> Опасно ! Обнаружена маскировка процессов >>>> Обнаружена маскировка процесса 912 svchost.exe 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Функция kernel32.dll:FindFirstFileA (209) перехвачена, метод APICodeHijack.JmpTo Функция kernel32.dll:FindFirstFileW (212) перехвачена, метод APICodeHijack.JmpTo Функция kernel32.dll:FindNextFileA (218) перехвачена, метод APICodeHijack.JmpTo Функция kernel32.dll:FindNextFileW (219) перехвачена, метод APICodeHijack.JmpTo Функция kernel32.dll:OpenProcess (629) перехвачена, метод APICodeHijack.JmpTo Анализ ntdll.dll, таблица экспорта найдена в секции .text Функция ntdll.dll:NtQuerySystemInformation (263) перехвачена, метод APICodeHijack.JmpTo Функция ntdll.dll:RtlGetNativeSystemInformation (609) перехвачена, метод APICodeHijack.JmpTo Функция ntdll.dll:ZwQuerySystemInformation (1072) перехвачена, метод APICodeHijack.JmpTo Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Функция advapi32.dll:RegEnumKeyA (471) перехвачена, метод APICodeHijack.JmpTo Функция advapi32.dll:RegEnumKeyExA (472) перехвачена, метод APICodeHijack.JmpTo Функция advapi32.dll:RegEnumKeyExW (473) перехвачена, метод APICodeHijack.JmpTo Функция advapi32.dll:RegEnumKeyW (474) перехвачена, метод APICodeHijack.JmpTo Функция advapi32.dll:RegEnumValueA (475) перехвачена, метод APICodeHijack.JmpTo Функция advapi32.dll:RegEnumValueW (476) перехвачена, метод APICodeHijack.JmpTo Анализ ws2_32.dll, таблица экспорта найдена в секции .text Функция ws2_32.dll:gethostbyname (52) перехвачена, метод APICodeHijack.JmpTo Функция ws2_32.dll:send (19) перехвачена, метод APICodeHijack.JmpTo Анализ wininet.dll, таблица экспорта найдена в секции .text Функция wininet.dll:HttpOpenRequestA (203) перехвачена, метод APICodeHijack.JmpTo Функция wininet.dll:HttpOpenRequestW (204) перехвачена, метод APICodeHijack.JmpTo Функция wininet.dll:HttpSendRequestA (207) перехвачена, метод APICodeHijack.JmpTo Функция wininet.dll:HttpSendRequestW (210) перехвачена, метод APICodeHijack.JmpTo Функция wininet.dll:InternetConnectA (229) перехвачена, метод APICodeHijack.JmpTo Функция wininet.dll:InternetConnectW (230) перехвачена, метод APICodeHijack.JmpTo Функция wininet.dll:InternetQueryDataAvailable (268) перехвачена, метод APICodeHijack.JmpTo Функция wininet.dll:InternetReadFile (272) перехвачена, метод APICodeHijack.JmpTo Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text
|
Анализ перехваченных функций показывает, что червь может маскировать свой процесс, маскировать файлы на диске, фильтровать обращения к реестру. Кроме того, он перехватывает функции, отвечающие за работой в Интернет.
Интересен перехватчик OpenProcess - при обнаружении попытки открытия маскируемого руткитом процесса перехватчик червя убивает "любопытный" процесс - тем самым существенно затрудняется применение против червя всевозможных менеджеров процессов.
Программный код червя размещен в DLL, которая как правило называется ms*32.dll (известны варианты названия msss32.dll, msgf32.dll).
На эту DLL реагирует искатель кейлоггеров и троянских DLL AVZ:
C:\WINDOWS\system32\msss32.dll --> Подозрение на Keylogger или троянскую DLL C:\WINDOWS\system32\msss32.dll>>> Нейросеть: файл с вероятностью 0.56% похож на типовой перехватчик событий клавиатуры/мыши
|
Сам DLL файл имеет размер около 54 кб (последний изученный образец имел размер 54697) и запакован UPack.
Червь маскирует один процесс - это процесс svchost.exe, это системный компонент, DLL червя загружена в его адресное пространство.
Распространение червя ведется по электронной почте, письмо имеет вид:
You have received Protected Message from MSN.com user. This e-mail is addressed personally to you. To decrypt the e-mail take advantage of following data: Subject: happy new year ID: 18695 Password: wsxoomdxi Keep your password in a safe place and under no circumstances give it to ANYONE. Protected Message and instruction is attached. Thank you, Secure E-mail System, MSN.com
|
К письму приаттачен HTA файл, типичное имя - Encrypted Html File.hta или Secure Mail File.hta, его запуск и приводит к инсталляции червя (при этом имитируется вывод окна запроса пароля, что соответствует контексту письма). Второй вариант - это письмо с ZIP-архивом, который в свою очередь содержит HTA файл. Третий вариант - инсталлятор червя в виде небольшого исполняемого файла размером около 55 кб, один из вариантов имени - webinstall.exe.
Согласно отчетам пользователей в ряде случаев на зараденной машине наблюдается побочный эффект - перестает переключаться раскладка клавиатуры.
Изученная разновидность червя регистрирует CLSID 95BC0491-2934-6105-856B-193602DCEB1F и прописывает себя на автозапуск при помощи ShellServiceObjectDelayLoad (в котором собственно идет ссылка на CLSID червя).
На зараженном компьютере можно обнаружить инсталлятор червя. Он имеет имя ms*.exe (например, mshq.exe) и размер около 55 кб.
Червь создает в реестре ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSxx, в которо хранит различную информацию. В частности, раздел DAT этого ключа хранит найденные на компьютере email адреса.