Skocz do zawartości
Tomasz Fiedoruk

Namierzenie Trojana

Polecane posty

Kurcze - jaki to był program po linuxem, że otwierało się nim jakiś plik, w jego lewej części był zapis bit po bicie, a w prawej "ramce" jakieś inne dodatkowe wiadomości (to była chyba próba interpretacji jakiegoś ciągu tych bitów...)

 

 

 

--EDIT

Dobra - mam. Jest to edytor hexów kHEXedit :)

Rzuciłem okiem i nic podejrzanego nie było. Oprócz standardowych licznych krzaków

http://www.fotosik.pl/pokaz_obrazek/187f11ccee307554.html

http://www.fotosik.pl/pokaz_obrazek/2ed7b2c4a368e989.html

 

w Wine też nie chciał się uruchomić :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Analizując plik nic nie zobaczysz bo jest spakowany aspackiem albo nawet zabezpieczony asprotectem (nie powiem dokładniej bo nie mam tego pliku na dysku).

Jedynie można dumpa z pamięci robić, a jak jest asprotectem zabezpieczony to trochę się trzeba pomęczyć aby go zanalizować bo kod jest zamieniany na virtualny i wykonywany przez interpreter protecta.

 

Piszący wirusy itp często pakują/zabezpieczają takie pliki przez analizowaniem (jak jest dobrze zabezpieczone to antywirus przez samo skanowanie pliku nie znajdzie wierusa - bardziej przez zachowanie danej aplikacji).

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ale co podejrzanego chciałeś zobaczyć hexeditem? Myślisz, że autor by trzymał jakiegoś stringa w stylu "to jest wirus" wewnątrz programu?:)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

@Prohost - pewnie masz rację. Aż tak nie znam się na tym :)

 

Chciałem zobaczyć, czy nie ma jakiś wpisów/zmian w rejestrze, czy nie przeszukuje plików systemowych, itp. Niektóre takie wiadomości można wypatrzeć właśnie przez hexedit :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Odnośnie tematu:

http://www.webhostingtalk.pl/index.php?sho...view=getnewpost

Jak wykryć i prześledzić co mógł spowodować ten program?

 

Ponieważ nie wszyscy mają konta na di.pl pozwolę sobie zamieścić tutaj post, który pojawił się tamtym forum dzisiaj rano. Mam nadzieję, że będzie pomocny.

 

Zawartość tego pliku to trojan TsunamiOverHost.

Na pierwszy rzut oka jedną z objaw istnienia zainstalowanego trojana w systemie jest pojawienie się pliku autostart.exe w Start->Programy->Autostart wielkości około 22kB.

Pod adresem wymienionym przez Dropped.pl znajduje się panel do zarządzania DDoS netem.

 

Dla zainteresowanych trojan ten nie jest identyfikowany przez większość antywirusów (nod32 go nie wykrywa).

Jest późno, ale mam pustą noc, jutro postaram się dostarczyć informacje co trzeba wyczyścić w rejestrze i systemie żeby pozbyć się problemu :)

 

Edit:

W rejestrze do wywalenia:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG

 

oraz:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
smss"="C:\\Program Files\\Common Files\\System\\smss.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
smss"="C:\\Program Files\\Common Files\\System\\smss.exe"

 

W tle działa proces smss.exe (mogą być dwa, chodzi o ten z uprawnieniami usera, nie systemu), skillować.

Wywalić pliki:

C:\\Program Files\Common Files\System\smss.exe
C:\\Program Files\Common Files\System\start.bat
C:\Documents and Settings\*\Menu Start\Programy\Autostart\autostart.exe

 

Objawy: średnio co minutę odwołania do zdalnego pliku zakodowanego wewnątrz binarki servera (prawdopodobnie http://bocik.bee.pl/panel/update.php)

Poza tym, przy starcie:

GET /exceptions HTTP/1.0
Accept: */*
Accept-Language: pl,en-us;q=0.7,en;q=0.3
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Host: owned.name
Connection: close

HTTP/1.1 200 OK
Date: Sat, 15 Sep 2007 01:52:54 GMT
Content-Type: text/plain
Connection: close
Server: Apache
Last-Modified: Thu, 13 Sep 2007 22:08:42 GMT
ETag: "10a8b13-1d-94c78e80"
Accept-Ranges: bytes
Content-Length: 29

sjuazaumjsusp sjuazaumjruazd

wysłane na maszynę 84.252.148.80 (a.k.a heimdall.mchost.ru). Informacji o właścicielu domeny owned.name jest niewiele we whoisie...

Na moje oko to host autora samego trojana, niekoniecznie gościa który wymyślił, że sprzeda go jako program do robienia domen.

Co oznacza "sjuazaumjsusp sjuazaumjruazd" - nie wiem. :)

 

tu są url'e służące do kontroli bocianów nie tyle przez 'dostarczyciela', a raczej przez autora. Gość wymyślił sobie, że zrobi sobie duży ddosnet z małych, prywatnych ddosnetów bazujących na jego sofcie i słusznie. ;] Wychodzi na to, że w grę wchodzi nawet upgrading :)

http://www.owned.name/online
http://www.owned.name/upgrade
http://www.owned.name/exceptions

W moim przypadku, przy starcie BRD.exe wywalał się błąd. Następowała modyfikacja rejestru, ale sam proces trojana sie nie odpalał (nie wiem jak po reboocie, wspomniany plik autostart.exe również się nie utworzył, a wiem o nim bo pobrałem to ustrojstwo w wersji 'instalacyjnej', dla zainteresowanych:

http://koper.biz/toh.zip , instrukcje w pliku readme.txt)

 

Wysyłam to laboratorium NOD'a i pewnie niedługo będzie w sygnaturach. Smutno mi się robi na myśl, że dostęp do takich zabawek mają dzieciaki po 15 lat, które instalują to na komputerach rodziny. No a najgorsi są już 16 letni kretyni, którzy wciskają to w miejscach takich jak to forum. Osobiście uważam, że powinniśmy zrobić jakieś polowanie w tej sprawie. :) Jeżeli jest stałe to wnioskuje o podanie do publicznej wiadomości odpowiedniego IP :).

 

Sam soft wyśrubowany nie jest. Prosta konstrukcja, ciekawe czy skuteczna. Usunięcie tego z systemu nie wymaga czarów. Dziwi natomiast fakt, że nie wszystkie antywirusy to wykrywają. To świadczy o tym, że to chyba 'nowość' :)

Idę w kime, pozdrawiam.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×