Jak se chytá malware

Včera jsme od jednoho uživatele z ČR obdrželi odkaz (http://www.goo.gl/XXXXXXX=IMG0540240-JPG), který dostal jeho známý přes Skype. Byli jsme požádáni o informaci, co se mohlo na tomto počítači stát, jaké to mohlo mít dopady a jak se případného viru zbavit. Zkusili jsme tedy analyzovat zaslaný odkaz v předem připraveném virtuálním prostředí. Samotná návštěva odkazu (zamaskovaný odkaz ve skutečnosti míří na IP adresu 94.242.198.64) vede k tomu, že je uživateli nabídnut ke stažení soubor s názvem IMG0540240-JPG.src.

1

Nepozorný uživatel snadno přehlédne skutečnou koncovku souboru, kterou je .scr

Po spuštění programu se v domovském adresáři aktuálního uživatele vytvoří složka S-500-9430-5849-2045, která je nastavena jako skrytá a systémová, takže při běžném nastavení Windows ji uživatel nevidí. V této složce je pak umístěn soubor winmgr.exe. Zároveň je do registrů přidán klíč Microsoft Windows Manager, kvůli zajištění automatického spuštění malwaru po startu Windows.

2

Program se po spuštění pokouší o připojení na IP adresu 94.242.198.64 na port 5050. Při našem prvním testu se mu to také podařilo, stáhl si instrukce a začal se pokoušet o rozesílání e-mailové pošty. Předpokládáme, že pokud by na testovacím systému byl funkční Skype, malware by se pokoušel šířit i jeho prostřednictvím. Bohužel se však v tu chvíli testovací systém odporoučel a nemáme tak k dispozici zachycené pakety pro detailnější analýzu. Při pozdějších pokusech se již malwaru se serverem kontaktovat nepodařilo. Server je nyní odpojen. Otázkou je, zda je to pouze dočasné nebo již byl odpojen definitivně.

7

Paket zachycený programem wireshark

5

Který program se pokouší o připojení lze dobře sledovat také pomocí programu TCPView

Soubor winmgr.exe jsme otestovali pomocí on-line nástroje virustotal.com a v současné chvíli jej rozpozná pouze 12 ze 46 antivirových programů. Bohužel mezi těmi „slepými“ jsou v současné chvíli i antiviry, které jsou hojně používané v ČR. Naštěstí podle analyzátoru společnosti Google na tento odkaz klikají především uživatelé v okolních zemích. Nelze však vyloučit, že u nás koluje jiný odkaz směřující na stejný malware a že tento odkaz může mít v ČR daleko více kliknutí.

9

Antiviry jsou zatím slepé

8

Na tento odkaz již kliklo 137 069 uživatelů

Jako obranu doporučujeme v první řadě neklikat na příchozí odkazy upozorňující uživatele na údajné fotky, na kterých by měli být zobrazeni, i když záminky, které mají uživatele donutit ke kliknutí, se mohou měnit. Pokud však již uživatel na odkaz kliknul a soubor spustil, je potřeba zachovat klidnou hlavu a v první řadě ukončit přes správce úloh proces winmgr.exe. Dále je potřeba smazat samotný soubor winmgr.exe ve složce S-500-9430-5849-2045. Je však potřeba nejdříve zapnout zobrazování skrytých a systémových souborů. Pak ještě odebereme z registrů klíč Microsoft Windows Manager a po restartu by mělo být již vše v pořádku.

Tento malware se nezdá být příliš sofistikovaný. Jeho závislost na jednom serveru i jeho relativně snadné odstranění ze systému ukazují spíš na práci někoho, kdo si možná jen chtěl vyzkoušet své možnosti. Přesto náš další krok bude distribuce vzorku tohoto malware antivirovým výrobcům.

UPDATE: Po napsání tohoto blogpostu se server na IP adrese 94.242.198.64 opět rozběhl. Stávající malware si z něho poté stáhl bratříčka, soubor bget.exe. Ten se v systému zahnízdil jako soubor 0584105130.exe v adresáři LOCALS~1\Temp\ v domovském adresáři uživatele. Tento soubor se v registru nachází hned na několika místech. Je tedy potřeba prohledat registr na výskyt „0584105130“ a všechny klíče odstranit. Po tomto kroku doporučujeme provést preventivní kontrolu systému některým z bootovatelných antivirových CD.

Pavel Bašta

Autor:

Komentáře (9)

  1. Cechi říká:

    Díky za zajímavý článek. Můžete ještě prosím uveřejnit screenshot s výsledky AV analýzy? Zajímalo by mě, které antiviry nákazu poznaly a které nikoliv (zejména zda-li je tam můj domácí). Děkuji.

  2. TM říká:

    Jste si jisti ze jsou nazvy adresaru a souboru vzdy stejne? Negeneruji se vzdy unikatni pro kazde pc?

  3. Pavel Bašta říká:

    Děkuji za vaše dotazy.
    Cechi: Přiznám se, že to byl záměr a takový screenshot jsem ani nepořizoval. Obávám se, že by to mohlo některé výrobce nespravedlivě poškodit.
    TM: Zkoušel jsem to na WinXP a W2008 server s různými user name a jména adresářů jsou na obou systémech stejná. Pravda, obojí bylo na virtuálech.

  4. Batou říká:

    Dobrý den. Můžu se zeptat, zda se jedná o vir Dorkbot?

  5. Pavel Bašta říká:

    Dobrý den. Žádný z antivirů, které vir dokázaly detekovat, jej takto neoznačil.

  6. Petr říká:

    A když se podíváte na http://94.242.198.64/ jsou tam i jiné spustitelné soubory a pěkně dlouhé seznamy emailový adres. Myslíte že je to seznam adresátů pro ten virus?

  7. Pavel Bašta říká:

    To bohužel nemohu říci, ale pokud by to tak bylo, nepřišlo by mi to příliš praktické. Všechny nakažené počítače by totiž posílaly kopie viru na stále stejné adresy. Z pohledu útočníka je lepší vytěžit lokální databáze u uživatele a poslat virus lidem, které má v kontaktech a nejlépe ještě jménem tohoto uživatele. Už jenom proto, že pokud mi přijde zpráva od známého, budu méně ostražitý.

  8. brano říká:

    dobry den nenasla by sa este u vas niekde este vzorka daneho malwaru?
    dakujem za ochotu (chcel by som si to doma vyskusat ako sa to sprava)

  9. Pavel Bašta říká:

    Dobrý den, je mi líto, ale takovéto vzorky poskytujeme pouze společnostem, které se analýzou malware a virů prokazatelně zabývají, například antivirovým společnostem. Děkuji za pochopení.

Zanechte komentář