www.MegaLab.it

da **ste_95** » dom mar 30, 2008 7:31 am

Un trojan, e precisamente questo trojan, crea tre file oltre all'eseguibile:

oflmt.dat
oflmt_nav.dat
oflmt_navps.dat

Ora, magari lasciamo perdere il secondo perché sono 388 KB di puro codice da decompilare. Gli altri due di rispettivamente 5 e 1 KB, vorrei capire bene a cosa servono e cosa dovrebbero fare. Posto di seguito il codice, se qualcuno ècosì gentile da darci un occhio e darmi qualche indicazione a grandi linee...!

oflmt.dat:

Codice: Seleziona tutto: LAX]IO]^]AT\ ^xa=YUTETN LygP3".b~|7:93( /GW PAPT AYP2$>#9A q=9=#>(-fn3$SP3".b~|7:9L ^R\CX]@IAQSVVWIO"?OL q=9=#>(-f[IOXRMWCAQR\O^GOL\^E ^hw!VSP??'wcPNB^[ R ^x|-$?#7?&abRK"VM ]F^ PA|~R2\UPVM mSWQR_S AG]\GXZW 3WC@]N_S_}cv7&MPA GVM ]DFOVOLFTP0""5OCZXAMO%SVVWIO"?OCVPF+PAF3[_PF]\H]PEATNNQ'ses08"/;MQZ\ V<;OLWn@ PA JD^_@]TL0SU W]0,81//}ryLHB#")&`]7"! "-wfLH.#==,|t|&TMOR ^DA\\^APQUTVOV4)#OL q=9=#>(-f[IO]AOCDT@MORBX_NP Y_]k7'OCNQ }|b=:("$M VCFOLAX]IO]\]OPTE]WMO:wb]JQ/? 3}w< MPAR\CX]@@ARSVVWIO55>A1; <?#&|ePNAYAGW PA^DA]RMQZ\ V+1>N_S_r}?$""5#7m|s"JQ/? 3gew JQ%4MQZ\ V+1>NN?9 |w11> [asT>F:4G{6JQ.1#-wc{6TE]WMO:wbLBZ^A_Vp3:#)"$' u ;8<9)CSRY WUP-(?RSU 5&"9 $' c';;-3"6|e`+TE]WMO:wbLECUAQLcd}$5.#%#7`hN6?#'>&`r}':9>)MQZ\ V+1>NN]_s`=#>)".,gf -SP'$-dt`!=""P Y_]k7'ORECRe;:;)">*}N;>? MQZ\ V+1>NN>@G[M<];>? S_{t3>">&(1ax}<TE]WMO:wbLBC\^_Z@EU\LB*w|s8;?:5?0{~|LH$)<,0fas&7%%4MQZ\ V+1>N_S_{ta"TE]WMO:wbL'=^LB*wbbLH>/"(&|iWUUPN)(0BFYP_> `tw<,SP#.1wt|+TE]WMO:wbLC[TLB0qcw7:4RL!"aeb'6!%3$3PQUTVOV4)#O] @F]BAZ[N[!-#93gs~;7$<NQ }|779%?#7kawR^TV QR4&aP_.,|w1 $#>9:btN7%#?>&|r}':9>)MQZ\ V+1>N_S_df3 $#>MQZ\ V<;ORW?V^QCS_VR UBn nX_ ]_[R nUSM [RS1]TFMWIWN[ 9$,7{~|LH9%=(<aas<TE]WMO:wbLDB\@BSBHB89 &mbb3:SP1"/PQUTVOV4)#OL |'9>L\^E ^hw!VBRL#"de{?1M ]F^ PA|~LE_\G]Q @HB"1;7{|wLH>9#=&|uw6TE]WMO:wb]JQ."""vss<0M ]F^ PAktaPJ\P_/1}pv05#(NQ0btw6TE]WMO:wbL F !$()4S_tx`72"4P Y_]|=VS]LB%{cw4;5RL?&srf;",89"-PQUTVOV4)#O] 1,/$$5se{=:SP1!/}fm':$"#9"~}WUUPN)(0N[, <"4md|;:>81!/ g<=#?$,/~np3 .$/="fyWUUPN)(0N2$>#9<|pd;+#-=(CSRY WUP-(?RB]up;0M ]F^ PAktaP[SP1#7{g{ !>L\^E ^}PJ,p\;M3WCA 5 FX]TM[^]M@ygP_,-fxd;&8?NQ5{cf'5!!1.+{wR^TV QR4&aBHB:9?7gp~?5.$9#& v&", %(CSRY WUP-(?RS%tBD+X@^[ 6 ;-<8& z& =)((-s|wR^TV QR4&a?'#!#*1tj7HB$$93wiw<5 )NQ*|bf38!34,7wSVVWIO"?O] JD^_@]T]=#?$,/~nv3 (RL.*fhWUUPN)(0u LB {ekLH$??2 }d|&&4L\^E ^hw!VS%$quello{b}-7"9>91k08$"481~SVVWIO"?O]p>=#(%?/ 1; <%9&`=&))"2.saN;?(5?C[UPE]^AOCQ^_ <[UPFOLA\[IO]\]O PT SIPVM@XFIO\RM[\WQROCWIW+JEPDOL \X\+ ^R2KAWOV]NPG_F 2 s>8OLWnPMOAUS2 ^~deyQ3`~b7&95/=6f\QR, FX]VSazdj;8"5?-=S.gewN[=-",.<8{}dP_=1}aw 43 87<8{}dopo ?,bt`&-2<%9C\P_IO9GEWSULygeydjas 5 RB]B GCW_^] C SC[B]_ ^PUBm BX\@FQLbp`39Sazdj; "&"<5?7knb' Sazdj; b ;=)"9:mag&T ^r] BPFVSazdj;8"5?-=S<ex|6;:?/)*`nn Fm_TJHB<1?"?x}deLB3`~b7&95/=6f?x}dP_"1vt`LygeyQ,`uw TMOQ PT\T\+MOWD^ BX\@IOCDT@MOAA@^R 2 ]_FQR]ACG2]UWOV]NPAXVQR\AE[PAF3 ^R<VPFIO^@]VGEXYEOC^XA+ ^RKn^QR,/~ /UX\OVOLWnWPNRSn88;{H )$%,v\QR> ]C[OR}gj;8;N$,>1 ] CFXP_="`pLygeydjas 5 RFZQN[=-",.<8{}dP_ &fy}6J`fyd_~`61?R}gj} 0(>/ "b>5>8/+*`bf-&(*"(0z@D[TE[T ]8,?$2%{ca&+?)6?&ayN15)#2!~pq9+!%#9L s1?##'!&vvw6+ - B]tj11=89"-m|s"[SP??'wcm&1 </ "bN',34,7s?x}dP55&an~;'9R}g.a!3?B55&t'8(B55&xq#Z(45F7`x~>=,"^(;wa9-=)^(;wt;&(*?5MwiwY#,#<C&jt?;7%<!"tj7_"9$!,}z7,(G=>*7,(G$%6|uw 6$>4C&jt!<,>5,9sw*1F)4"-ytk\15)[$&ja~=&(B55&tj"8">5?Mwiw~QC55&an~;'9R}gj; v4=!)<$0f?x1 <$4n8 62$ 5!*ae~deL)5s}g78$?$Sn8x\ M"QRW`fLB'dopo~'1!%#9]?;;{H)'54/{bfLyg2+ E6@T@]UAB@U4YZqEMZ-5+ pwygP_)(wh~;'9R}gj; v&-=)N`i<8N[)8)=&<8{}Q(3"6|e`;1>R}g"~}?xHB(3"6|e`;1>R}gj; v"&"85.7<8BygP_)3`~f779R}gj; u-?#R}gR?;]32'>Sn88;N32'&Sn8 ?xHB+/&5<8{}Q+/+]?; ~QC72%<8{}Q+/ ]?;~QC72.<8{}Q+/=]?;~QC723<8{}Q"22%{ca&+?)6?&aym45$ 5)<f~m!!$/9)&<8@A]azQL|sm4=??$21ww`7'%36,*~tv- "3#8*qxv7J`fyd_|sm!1.#>)<`tt 1>$N`i<8N[#./>&q~|6+?)6?&ay~deL?6|n} 0(>/)&~pkLyg]B]n8 !#3??'wcm61!-)Sn88;N'(/?#'mcw4&(?82'w}s+J`fC]S?;]'(/?#'mcw4&(?82'w}s+J`fyd_bpf:+$"#9"~}~:%>17w|b.ygP_="fym;:>81!/<8{}Q-3&-}f~70*)N`i}z?xHB-3&-}f~70*)N`i;8;:>81!/vx`Lyg@X_~QC9#0fp~>0$>N`i;8!529"!]?;ADB C ]\?xHB?126`}~deL+*`bf-&(*"(0znv78,5N`i JD]azQLtx`! 2>5+1wbz-0( 14]?;;{H;%#$!~tm5&"9 >]?;CAZGAX[ K_\Z@FR CB_G}g_g{!=/ 52$`~g"'Sazdjrz77&36"1md`51#8/83vpf7'2(5!"k?x@^^@]n8 1<(/;2%}cm'&*)>9<gav3 (?/)&~pkLygeyQ6`vw< 29 )"fta-5.89;&m}{! Saz#@E]_& @BY_##$20gab=&9)4F0K\S [/ FUWHsguY5 Hs_FPF"DX@_= ]G_azQLgcu7:93%='sew!+,/$$5wn~;'9R}gja3+)-$,]?;]7"! "-wf-, N`i

oflmt_navps.dat

Codice: Seleziona tutto: HRAPCVGSVM PN9>.JQ[ATAAO^YdiH=)">(4=<2$ 5M MOPUYTD_UEUSEW_$"<%=>*(3[SP ?.$,&0((/ 7W_$?#3($#,'T \E[SDU\C^QEI2 MOPIPRVM2 > ZKSVM2 > 8',TADOL> 8 MOQEF]HB<"""",'1)3=,1YU0 ,8#25/,.1>3=,1HW_'9-$>>7&3!=?/ 7F]HB<5?2.:7++%<(_jc

Grazie!

da **Aesir** » dom mar 30, 2008 1:46 pm

Per me è un archivio di barzellette e filastrocche klingon. [:D]

No, scherzi a parte, sono file salvati in binario, così non si capisce niente e può essere qualsiasi cosa, magari sono anche criptati.
Per capire a cosa possono servire, ci vuole uno bravo bravo e con *tanto* tempo da perdere che si metta a fare il reverse engeneering del trojan.

da **ste_95** » dom mar 30, 2008 1:57 pm

Aesir ha scritto:Per capire a cosa possono servire, ci vuole uno bravo bravo e con *tanto* tempo da perdere che si metta a fare il reverse engeneering del trojan.

Sergiooooooo! Dove sei...?!?! [applauso+]

da **Silver Black** » dom mar 30, 2008 3:29 pm

Aesir ha ragione: il file è COMPILATO, quindi binario e probabilmente compresso anche con UPX (come molti altri malware).
Non è possibile capirne il funzionamento se non si vede il codice in chiaro. [nonono]

da **ste_95** » dom mar 30, 2008 3:35 pm

Silver Black ha scritto:Non è possibile capirne il funzionamento se non si vede il codice in chiaro.

Neanche ricorrendo a un decompilatore o a un programma di questo genere?

da **Silver Black** » dom mar 30, 2008 10:20 pm

No, se è criptato con UPX bisogna beccare il codice quando viene decrittato e cioè... in memoria! Un lavoro molto certosino e lungo.

Quanto ne vale la pena? perché ti interessa così tanto? [8)]

da **ste_95** » lun mar 31, 2008 6:09 am

Silver Black ha scritto:Quanto ne vale la pena? perché ti interessa così tanto?

Era semplice curiosità. Il primo file potrebbe essere il rootkit?

da **Silver Black** » lun mar 31, 2008 10:25 am

Mah, non è possibile saperlo: potrebbe essere che non si tratti di alcun rootkit. Ti conviene cercare in rete informazioni a riguardo del trojan. A proposito, come si chiama?

da **ste_95** » lun mar 31, 2008 10:55 am

Silver Black ha scritto:A proposito, come si chiama?

E' una variante del trojan CiD/Swizzor, che in questa variante è nascosto da un rootkit. Sicuramente uno di quei tre è il file rootkit, ma chissà quale.

da **Silver Black** » lun mar 31, 2008 11:05 am

Capisco... Beh, credo di poter affermare senza ombra di dubbio che i rootkit sono tra i malware più tosti. Quindi sono sicuramente protetti con UPX (criptati) e sicuramente utilizzano tecniche di camuffamento in memoria.
Prova con un debugger, ma io non mi sono mai avventurato assiduamente in questo campo, quindi più di così non saprei proprio come aiutarti... [boh]

da **ste_95** » lun mar 31, 2008 11:08 am

In effetti, dubito che il rootkit sia tra i file dei quali ho postato il codice, in quanto secondo me il file che accoulta l'infezione dopo il primo riavvio è il file [nomeseguibile]_nav.dat perché è di 388 KB ed è più probabile che sia il file rootkit. Non credi?

da **Silver Black** » lun mar 31, 2008 11:15 am

ste_95 ha scritto:In effetti, dubito che il rootkit sia tra i file dei quali ho postato il codice, in quanto secondo me il file che accoulta l'infezione dopo il primo riavvio è il file [nomeseguibile]_nav.dat perché è di 388 KB ed è più probabile che sia il file rootkit. Non credi?

Decisamente sì, è molto probabile. Bisognerebbe trovare un sito che spieghi nel dettaglio il funzionamento di questo rootkit (se è non nuovissimo e molto famoso non dovrebbe essere difficile trovarlo).

da **ste_95** » lun mar 31, 2008 11:23 am

Cercando in rete, trovo solo l'altra versione, ciò questa. In ogni caso non credo che un file di 1 o anche 5 KB possa svolgere il lavoro di rootkit. Magari GMER mi darà più spiegazioni [;)]

.

da **ste_95** » lun mar 31, 2008 12:18 pm

Traggo dal log rootkit di GMER le righe più interessanti.

Codice: Seleziona tutto: .text D:\Documents and Settings\Stefano\Impostazioni locali\Dati applicazioni\denxseejvz.exe[996] ntdll.dll!NtEnumerateKey 7C91D94C 5 Bytes JMP 1000200E .text D:\Documents and Settings\Stefano\Impostazioni locali\Dati applicazioni\denxseejvz.exe[996] ntdll.dll!NtEnumerateValueKey 7C91D976 5 Bytes JMP 10001DAF .text D:\Documents and Settings\Stefano\Impostazioni locali\Dati applicazioni\denxseejvz.exe[996] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 5 Bytes JMP 10001CF2 .text D:\Documents and Settings\Stefano\Impostazioni locali\Dati applicazioni\denxseejvz.exe[996] ntdll.dll!NtQuerySystemInformation 7C91E1AA 5 Bytes JMP 1000191B

Codice: Seleziona tutto: Process D:\Documents and Settings\Stefano\Impostazioni locali\Dati applicazioni\denxseejvz.exe (*** hidden *** ) 996 Library D:\documents and settings\stefano\impostazioni locali\dati applicazioni\denxseejvz.exe (*** hidden *** ) @ D:\Documents and Settings\Stefano\Impostazioni locali\Dati applicazioni\denxseejvz.exe [996] 0x00400000

Codice: Seleziona tutto: ---- Registry - GMER 1.0.12 ---- Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\denxseejvz Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\denxseejvz@DisplayName Favorit Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\denxseejvz@UninstallString "d:\documents and settings\stefano\impostazioni locali\dati applicazioni\denxseejvz.exe" -uninstall Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\denxseejvz@NoRemove 0 Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\denxseejvz@NoModify 1 Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\denxseejvz@NoRepair 1 Reg \Registry\USER\S-1-5-21-861567501-602162358-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run@denxseejvz d:\documents and settings\stefano\impostazioni locali\dati applicazioni\denxseejvz.exe denxseejvz

Codice: Seleziona tutto: ---- Files - GMER 1.0.12 ---- File D:\Documents and Settings\Stefano\Desktop\Variante CiD\Nuova cartella\denxseejvz.dat File D:\Documents and Settings\Stefano\Desktop\Variante CiD\Nuova cartella\denxseejvz.exe File D:\Documents and Settings\Stefano\Desktop\Variante CiD\Nuova cartella\denxseejvz_nav.dat File D:\Documents and Settings\Stefano\Desktop\Variante CiD\Nuova cartella\denxseejvz_navps.dat File D:\Documents and Settings\Stefano\Desktop\Variante CiD\Nuova cartella (2)\denxseejvz.dat File D:\Documents and Settings\Stefano\Desktop\Variante CiD\Nuova cartella (2)\denxseejvz.exe File D:\Documents and Settings\Stefano\Desktop\Variante CiD\Nuova cartella (2)\denxseejvz_nav.dat File D:\Documents and Settings\Stefano\Desktop\Variante CiD\Nuova cartella (2)\denxseejvz_navps.dat File D:\Documents and Settings\Stefano\Impostazioni locali\Dati applicazioni\denxseejvz.dat File D:\Documents and Settings\Stefano\Impostazioni locali\Dati applicazioni\denxseejvz.exe File D:\Documents and Settings\Stefano\Impostazioni locali\Dati applicazioni\denxseejvz_nav.dat File D:\Documents and Settings\Stefano\Impostazioni locali\Dati applicazioni\denxseejvz_navps.dat File D:\WINDOWS\Prefetch\DENXSEEJVZ.EXE-02B0936E.pf

E' terrificante come il rootkit abbia nascosto sia tutti i valori di registro che non risultano neanche con la ricerca di questi, il file relativo nella cartella Prefetch di Windows, ma soprattutto i file dell'infezione che mi ero messo da parte per inviarli alle case antivirus [!!!]

da **Silver Black** » lun mar 31, 2008 12:32 pm

Sì, i rootkit sono proprio tosti! Riescono a prendere possesso del SO facendo vedere ad esso e all'utente (e quindi anche all'antivirus) solo quello che vogliono. Veramente preoccupante!

da **ste_95** » lun mar 31, 2008 12:35 pm

Se non altro ho trovato un modo per trovare il file rootkit. Elimino ogni volta un file .dat con Avenger e vedo con GMER come e se le cose cambiano. Usando questo metodo per ora il rootkit non dovrebbe essere il file denxseejvz_nav.dat. Ora procedo con gli altri due.

PS. Che bel viruz!

EDIT: Ho fatto scansionare il disco ad Avira Antivir Premium utilizzando il controllo antirootkit e ha trovato tutto, ma dice solo che sono rootkit, chiedendo di mandare ai laboratori per le analisi, anche se ormai glieli avrò già mandati dieci volte!

www.MegaLab.it

Analisi trojan

Analisi trojan

Chi c’è in linea