На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)"



Главная / Информационная безопасность / Описания вирусов / Описания вирусов / Worm

Worm.Win32.Feebs


Worm.Win32.Feebs

Семейство червей Worm.Win32.Feebs обладает рядом интересных особенностей, что делает данныого червя достаточно опасным.
Первой особенностью является наличие "на борту" червя достоточно мощного UserMode руткита.
Рассмотрим пример протокола зараженного ПК:
1. Поиск RootKit и программ, перехватывающих функции API
>> Опасно ! Обнаружена маскировка процессов
>>>> Обнаружена маскировка процесса 912 svchost.exe
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:FindFirstFileA (209) перехвачена, метод APICodeHijack.JmpTo
Функция kernel32.dll:FindFirstFileW (212) перехвачена, метод APICodeHijack.JmpTo
Функция kernel32.dll:FindNextFileA (218) перехвачена, метод APICodeHijack.JmpTo
Функция kernel32.dll:FindNextFileW (219) перехвачена, метод APICodeHijack.JmpTo
Функция kernel32.dll:OpenProcess (629) перехвачена, метод APICodeHijack.JmpTo
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtQuerySystemInformation (263) перехвачена, метод APICodeHijack.JmpTo
Функция ntdll.dll:RtlGetNativeSystemInformation (609) перехвачена, метод APICodeHijack.JmpTo
Функция ntdll.dll:ZwQuerySystemInformation (1072) перехвачена, метод APICodeHijack.JmpTo
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:RegEnumKeyA (471) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumKeyExA (472) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumKeyExW (473) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumKeyW (474) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumValueA (475) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumValueW (476) перехвачена, метод APICodeHijack.JmpTo
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:gethostbyname (52) перехвачена, метод APICodeHijack.JmpTo
Функция ws2_32.dll:send (19) перехвачена, метод APICodeHijack.JmpTo
Анализ wininet.dll, таблица экспорта найдена в секции .text
Функция wininet.dll:HttpOpenRequestA (203) перехвачена, метод APICodeHijack.JmpTo
Функция wininet.dll:HttpOpenRequestW (204) перехвачена, метод APICodeHijack.JmpTo
Функция wininet.dll:HttpSendRequestA (207) перехвачена, метод APICodeHijack.JmpTo
Функция wininet.dll:HttpSendRequestW (210) перехвачена, метод APICodeHijack.JmpTo
Функция wininet.dll:InternetConnectA (229) перехвачена, метод APICodeHijack.JmpTo
Функция wininet.dll:InternetConnectW (230) перехвачена, метод APICodeHijack.JmpTo
Функция wininet.dll:InternetQueryDataAvailable (268) перехвачена, метод APICodeHijack.JmpTo
Функция wininet.dll:InternetReadFile (272) перехвачена, метод APICodeHijack.JmpTo
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
Анализ перехваченных функций показывает, что червь может маскировать свой процесс, маскировать файлы на диске, фильтровать обращения к реестру. Кроме того, он перехватывает функции, отвечающие за работой в Интернет.
Интересен перехватчик OpenProcess - при обнаружении попытки открытия маскируемого руткитом процесса перехватчик червя убивает "любопытный" процесс - тем самым существенно затрудняется применение против червя всевозможных менеджеров процессов.
Программный код червя размещен в DLL, которая как правило называется ms*32.dll (известны варианты названия msss32.dll, msgf32.dll).
На эту DLL реагирует искатель кейлоггеров и троянских DLL AVZ:
C:\WINDOWS\system32\msss32.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\msss32.dll>>> Нейросеть: файл с вероятностью 0.56% похож на типовой перехватчик событий клавиатуры/мыши
Сам DLL файл имеет размер около 54 кб (последний изученный образец имел размер 54697) и запакован UPack.
Червь маскирует один процесс - это процесс svchost.exe, это системный компонент, DLL червя загружена в его адресное пространство.
Распространение червя ведется по электронной почте, письмо имеет вид:
You have received Protected Message from MSN.com user.
This e-mail is addressed personally to you.
To decrypt the e-mail take advantage of following data:
Subject: happy new year
ID: 18695
Password: wsxoomdxi
Keep your password in a safe place and under no circumstances give it
to ANYONE.
Protected Message and instruction is attached.
Thank you,
Secure E-mail System,
MSN.com
К письму приаттачен HTA файл, типичное имя - Encrypted Html File.hta или Secure Mail File.hta, его запуск и приводит к инсталляции червя (при этом имитируется вывод окна запроса пароля, что соответствует контексту письма). Второй вариант - это письмо с ZIP-архивом, который в свою очередь содержит HTA файл. Третий вариант - инсталлятор червя в виде небольшого исполняемого файла размером около 55 кб, один из вариантов имени - webinstall.exe.
Согласно отчетам пользователей в ряде случаев на зараденной машине наблюдается побочный эффект - перестает переключаться раскладка клавиатуры.
Изученная разновидность червя регистрирует CLSID 95BC0491-2934-6105-856B-193602DCEB1F и прописывает себя на автозапуск при помощи ShellServiceObjectDelayLoad (в котором собственно идет ссылка на CLSID червя).
На зараженном компьютере можно обнаружить инсталлятор червя. Он имеет имя ms*.exe (например, mshq.exe) и размер около 55 кб.
Червь создает в реестре ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSxx, в которо хранит различную информацию. В частности, раздел DAT этого ключа хранит найденные на компьютере email адреса.

Побочным эффектом работы червя является удаление всех сохраненных на компьютере cookies.
 
Анализ HTA файлов, которые применяются для закачки червя.
HTA файл содержит скрипт, часть которого зашифрована. Шифровка многоступенчатая:
1. В скрипте имеется несколько строковых переменных с несмысловыми именами, которые содержат текст фанкции-дешифратора. Данные в переменных представлены в формате %XX, где XX - код символа. Собственно "дешифрация" сводится к конкантенации строк и обработке содержащейся в ней информации при помощи unescape (в частности, в исследуемом образце это выглядело как "unescape(eb+lc+aqe+iao+hrb);". В результате получается текст функции, который выполняется с помощью eval (побочный эффект - функция становится доступной для последующего кода). Данная функция-дешифратор на входе получат строку, раскодирует ее и выводит в документ при помощи document.write
2. Производится вызов функции-дешифратора. Код
i("T'mmsZF,mv$F'$jKw''9Z'x$ sZ= .... в скрипте на первый взгляд является мусором, но это не так - это вызов функции с именем "i" (эта функция получается на шаге 1), а бредовые на первый взгляд данные - это зашифрованный скрипт).
3. Функция-дешифратор помещает расшифрованный скрипт в документ, и он исполняется.
Размещенный в документе на шаге 3 скрипт собсвенно и делает всю работу. Его можно классифицировать как Trojan-Downloader. В теле скрипта имеется массив из нескольких адресов, с которых производится загрузка файла. Загрузка оригинальна - загружаемый файл текстовый, поэтому просто производится навигация на один из URL загрузки, а затем полученный текст считывается из Document.Body.InnerText. В моем случае файл сохранялся в папке C:\Recycled\userinit.exe, причем в скрипте предусмотрена проверка наличия там этого файла. В случае отсутствия файла он создается и заполняется результатми расшифровки.
Примечательно, что в скрипте содержится адрес, на который был прислан скрипт - этот адрес сохраняется в реестре. Второй особенностью скрипт является попытка удаления в реестре сервисов pcipim, pcIPPsC, RapDrv, FirePM, KmxFile. Если хотя-бы одна из попыток удаления оказывается успешной, то скрипт определяет через реестр путь к папке автозапуска и копирует туда загруженный/расшифрованный EXE файл. Если удаление было неспешным (т.е. предполагается, что таких сервисов в реестре не зарегистрировано), то происходит запуска загруженного файла. Кроме того, в скрипте есть код для прописывания а Active Setup\Installed Components\{CLSID вируса} параметра Stubpath, указывающего на загруженный файл.
Загруженный EXE файл является дроппером DLL, которая собственно и является вирусом.
 




Top.Mail.Ru

(С) Зайцев О.В.
2003-2024

При использовании любых материалов данного сайта необходимо указывать источник информации.