PDA

Просмотр полной версии : Описания вирусов: Worm.Win32.Feebs



Зайцев Олег
17.01.2006, 16:41
Семейство червей Worm.Win32.Feebs обладает рядом интересных особенностей, что делает данныого червя достаточно опасным.
Первой особенностью является наличие "на борту" червя достоточно мощного UserMode руткита.
Рассмотрим пример протокола зараженного ПК:


1. Поиск RootKit и программ, перехватывающих функции API
>> Опасно ! Обнаружена маскировка процессов
>>>> Обнаружена маскировка процесса 912 svchost.exe
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:FindFirstFileA (209) перехвачена, метод APICodeHijack.JmpTo
Функция kernel32.dll:FindFirstFileW (212) перехвачена, метод APICodeHijack.JmpTo
Функция kernel32.dll:FindNextFileA (218) перехвачена, метод APICodeHijack.JmpTo
Функция kernel32.dll:FindNextFileW (219) перехвачена, метод APICodeHijack.JmpTo
Функция kernel32.dll:OpenProcess (629) перехвачена, метод APICodeHijack.JmpTo
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtQuerySystemInformation (263) перехвачена, метод APICodeHijack.JmpTo
Функция ntdll.dll:RtlGetNativeSystemInformation (609) перехвачена, метод APICodeHijack.JmpTo
Функция ntdll.dll:ZwQuerySystemInformation (1072) перехвачена, метод APICodeHijack.JmpTo
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:RegEnumKeyA (471) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumKeyExA (472) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumKeyExW (473) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumKeyW (474) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumValueA (475) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumValueW (476) перехвачена, метод APICodeHijack.JmpTo
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:gethostbyname (52) перехвачена, метод APICodeHijack.JmpTo
Функция ws2_32.dll:send (19) перехвачена, метод APICodeHijack.JmpTo
Анализ wininet.dll, таблица экспорта найдена в секции .text
Функция wininet.dll:HttpOpenRequestA (203) перехвачена, метод APICodeHijack.JmpTo
Функция wininet.dll:HttpOpenRequestW (204) перехвачена, метод APICodeHijack.JmpTo
Функция wininet.dll:HttpSendRequestA (207) перехвачена, метод APICodeHijack.JmpTo
Функция wininet.dll:HttpSendRequestW (210) перехвачена, метод APICodeHijack.JmpTo
Функция wininet.dll:InternetConnectA (229) перехвачена, метод APICodeHijack.JmpTo
Функция wininet.dll:InternetConnectW (230) перехвачена, метод APICodeHijack.JmpTo
Функция wininet.dll:InternetQueryDataAvailable (268) перехвачена, метод APICodeHijack.JmpTo
Функция wininet.dll:InternetReadFile (272) перехвачена, метод APICodeHijack.JmpTo
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text

Анализ перехваченных функций показывает, что червь может маскировать свой процесс, маскировать файлы на диске, фильтровать обращения к реестру. Кроме того, он перехватывает функции, отвечающие за работой в Инет.
Интересен перехватчик OpenProcess - при обнаружении попытки открытия маскируемого руткитом процесса перехватчик червя убивает "любопытный" процесс - тем самым существенно затрудняется применение против червя всевозможных менеджеров процессов.
Программный код червя размещен в DLL, которая как правило называется ms*32.dll (известны варианты названия msss32.dll, msgf32.dll).
На эту DLL реагирует искатель кейлоггеров и троянских DLL AVZ:


C:\WINDOWS\system32\msss32.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\msss32.dll>>> Нейросеть: файл с вероятностью 0.56% похож на типовой перехватчик событий клавиатуры/мыши

Сам DLL файл имеет размер около 54 кб (последний изученный образец имел размер 54697) и запакован UPack.
Червь маскирует один процесс - это процесс svchost.exe, это системный компонент, DLL червя загружена в его адресное пространство.
Распространение червя ведется по электронной почте, письмо имеет вид:


You have received Protected Message from MSN.com user.
This e-mail is addressed personally to you.
To decrypt the e-mail take advantage of following data:
Subject: happy new year
ID: 18695
Password: wsxoomdxi
Keep your password in a safe place and under no circumstances give it
to ANYONE.
Protected Message and instruction is attached.
Thank you,
Secure E-mail System,
MSN.com

К письму приаттачен HTA файл, типичное имя - Encrypted Html File.hta или Secure Mail File.hta, его запуск и приводит к инсталляции червя (при этом имитируется вывод окна запроса пароля, что соответствует контексту письма). Второй вариант - это письмо с ZIP-архивом, который в свою очередь содержит HTA файл. Третий вариант - инсталлятор червя в виде небольшого исполняемого файла размером около 55 кб, один из вариантов имени - webinstall.exe.
Согласно отчетам пользователей в ряде случаев на зараденной машине наблюдается побочный эффект - перестает переключаться раскладка клавиатуры.
Изученная разновидность червя регистрирует CLSID 95BC0491-2934-6105-856B-193602DCEB1F и прописывает себя на автозапуск при помощи ShellServiceObjectDelayLoad (в котором собственно идет ссылка на CLSID червя).
На зараженном компьютере можно обнаружить инсталлятор червя. Он имеет имя ms*.exe (например, mshq.exe) и размер около 55 кб.
Червь создает в реестре ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSxx, в которо хранит различную информацию. В частности, раздел DAT этого ключа хранит найденные на компьютере email адреса.

Зайцев Олег
19.01.2006, 21:44
Сегодня у меня появилась свободная минутка, которую я посвятил анализу HTA файлов, которые применяются для закачки червя.
HTA файл содержит скрипт, часть которого зашифрована. Шифровка многоступенчатая:
1. В скрипте имеется несколько строковых переменных с несмысловыми именами, которые содержат текст фанкции-дешифратора. Данные в переменных представлены в формате %XX, где XX - код символа. Собственно "дешифрация" сводится к конкантенации строк и обработке содержащейся в ней информации при помощи unescape (в частности, в исследуемом образце это выглядело как "unescape(eb+lc+aqe+iao+hrb);". В результате получается текст функции, который выполняется с помощью eval (побочный эффект - функция становится доступной для последующего кода). Данная функция-дешифратор на входе получат строку, раскодирует ее и выводит в документ при помощи document.write
2. Производится вызов функции-дешифратора. Код
i("T'mmsZF,mv$F'$jKw''9Z'x$ sZ= .... в скрипте на первый взгляд является мусором, но это не так - это вызов функции с именем "i" (эта функция получается на шаге 1), а бредовые на первый взгляд данные - это зашифрованный скрипт).
3. Функция-дешифратор помещает расшифрованный скрипт в документ, и он исполняется.
Размещенный в документе на шаге 3 скрипт собсвенно и делает всю работу. Его можно классифицировать как Trojan-Downloader. В теле скрипта имеется массив из нескольких адресов, с которых производится загрузка файла. Загрузка оригинальна - загружаемый файл текстовый, поэтому просто производится навигация на один из URL загрузки, а затем полученный текст считывается из Document.Body.InnerText. В моем случае файл сохранялся в папке C:\Recycled\userinit.exe, причем в скрипте предусмотрена проверка наличия там этого файла. В случае отсутствия файла он создается и заполняется результатми расшифровки.
Примечательно, что в скрипте содержится адрес, на который был прислан скрипт - этот адрес сохраняется в реестре. Второй особенностью скрипт является попытка удаления в реестре сервисов pcipim, pcIPPsC, RapDrv, FirePM, KmxFile. Если хотя-бы одна из попыток удаления оказывается успешной, то скрипт определяет через реестр путь к папке автозапуска и копирует туда загруженный/расшифрованный EXE файл. Если удаление было неспешным (т.е. предполагается, что таких сервисов в реестре не зарегистрировано), то происходит запуска загруженного файла. Кроме того, в скрипте есть код для прописывания а Active Setup\Installed Components\{CLSID вируса} параметра Stubpath, указывающего на загруженный файл.
Загруженный EXE файл является дроппером DLL, которая собственно и является вирусом.

Побочным эффектом работы червя является удаление всех сохраненных на компьютере cookies.

PS: Другое (достаточно полное и интересное) описание зверя можно найти на сайте
http://www.symantec.ru/avcenter/venc/data/pf/w32.feebs.a.html
http://www.symantec.ru/avcenter/venc/data/pf/w32.feebs.b@mm.html
http://www.viruslist.com/ru/viruses/encyclopedia?virusid=107701

MOCT
19.01.2006, 22:01
PS: Другое (достаточно полное и интересное) описание зверя можно найти на сайте
http://www.symantec.ru/avcenter/venc/data/pf/w32.feebs.a.html
http://www.symantec.ru/avcenter/venc/data/pf/w32.feebs.b@mm.html
http://www.viruslist.com/ru/viruses/encyclopedia?virusid=107701
у касперского левое описание.

вот продолжение серии от Симантека (действительно достаточно подробно, но тоже не о всем):
http://www.symantec.ru/avcenter/venc/data/pf/w32.feebs.d@mm.html

RiC
20.01.2006, 00:20
У доктора неплохое описание - http://info.drweb.com/virus/?virus=471

ScratchyClaws
26.03.2006, 15:15
http://virusinfo.info/showthread.php?t=5095
Олег, если речь идет об этом вирусе, то avz cо свежей базой его не видит!!

pig
26.03.2006, 15:33
Может быть, новая разновидность. На анализ его надо как-нибудь.

Xen
31.05.2006, 21:36
Сегодня получил свежую версию, на этот раз - якобы от HotMail ;-) После запуска HTA-шки происходит запуск дроппера msab.exe в System32, который экстрактит msvz32.dll, прпоисываемую в SSODL.

Далее библиотека внедряется в svchost.exe и маскирует процесс. Также маскируется файл либы на диске.



Logfile of XenAntiSpyware 4.2.8
Scan saved at 22:04:14, on 31.05.2006
Platform: Microsoft Windows XP Professional Service Pack 2 (Build 2600)
MSIE: Internet Explorer build 6.0.2900.2180

[Hidden] [Process] [1416] [svchost.exe]
[Delay Load Object] [msvz32.dll] [c:\windows\system32\msvz32.dll] *


Как избавиться от заразы: отметьте галочками два найденных пункта в XenAntiSpyware и нажмите Удалить. Или же перегрузитесь в безопасный режим и грохните файлы оттуда вручную.

Jay228
08.01.2008, 18:32
Сегодня получил свежую версию, на этот раз - якобы от HotMail ;-) После запуска HTA-шки происходит запуск дроппера msab.exe в System32, который экстрактит msvz32.dll, прпоисываемую в SSODL.

Далее библиотека внедряется в svchost.exe и маскирует процесс. Также маскируется файл либы на диске.



Logfile of XenAntiSpyware 4.2.8
Scan saved at 22:04:14, on 31.05.2006
Platform: Microsoft Windows XP Professional Service Pack 2 (Build 2600)
MSIE: Internet Explorer build 6.0.2900.2180

[Hidden] [Process] [1416] [svchost.exe]
[Delay Load Object] [msvz32.dll] [c:\windows\system32\msvz32.dll] *


Как избавиться от заразы: отметьте галочками два найденных пункта в XenAntiSpyware и нажмите Удалить. Или же перегрузитесь в безопасный режим и грохните файлы оттуда вручную.
Пробывал грохнуть с безопасного он опять появился...и есчо одно когда в безопасный режим вошел очередной раз его необнаружил ниодин из : Avast,avz,Dr.Web после этого загрузил в обычном режиме систему появился...Аваст предлагает удалить файл mscn32.dll ...ставлю галочку удалить при след.загрузке системы..тоже самое...
П.С. при загрузке винды постоянно вылетает окно svchost

?? Как его сделать

Макcим
08.01.2008, 18:37
Как его сделатьЯ Вам ответил http://virusinfo.info/showpost.php?p=168939&postcount=2