Dave
26.05.2010, 11:29
На днях на компьютере одного из пользователей был обнаружен потенциальный зловред – файлы “autorun.exe” и “autorun.inf” в корне диска C:, которые появляются после удаления, по заверениям пользователя.
После первичного анализа было обнаружено, что скачивается множество файлов, в том числе .NET FrameWork, который в дальнейшем «тихо» устанавливается. Это было очень неожиданно для меня - давно я не видел настолько наглого зловреда, который устанавливает .NET. Я принял решение полностью разобрать этот экземпляр. Оказалось, что он очень интересен – как вредоносным функционалом, так и способом установки своих компонент.
Исходный файл “autorun.exe” представляет собой WinRK SFX – архив, который не распространён в настоящее время. После его запуска происходит целая цепочка исполнений разнообразных файлов:
Autorun.exe -> .exe -> !.bat -> start.vbs -> .bat -> Hidden Start inst.bat -> evntstart.exe;
Что интересно в этой последовательности используются только стандартные легальные программы:
“Autorun.exe” – WinRK SFX;
“.exe” – BatToExe;
“inst.bat” – запускается с помощью Hidden Start;
“evntstart.exe” – WinRK SFX;
На этих этапах вредоносным функционалом является только установка службы в реестр, которая обеспечивает запуск evntstart.exe при загрузке системы, копирование распакованных файлов в системную папку и завершение процессов, относящихся к SafeSurf. О самой программе SafeSurf и её участии в зловреде будет описано далее. В файле inst.bat происходят вызовы таких системных утилит, как “taskkill”, “net”, “regedit” и т.д.
Продолжим дальнейшую цепочку развития событий:
Evntstart.exe -> msexec.bat -> jnwmon.bat -> zrgutsp.bat -> ai.bat -> build.bat -> spidermod.bat -> .NET Setup -> SafeSurf start;
Немного детализирую назначение каждого .bat файла:
“zrgutsp.bat” – добавление пользователей с правами администратора, открытие порта 3389 протокола TCP для RDP с помощью netsh и аналогичные действия;
“ai.bat” – установка RAdmin в скрытом режиме, используется две библиотеки и исполняемый файл, которые находились в SFX – архиве;
“build.bat” – сборка autorun.exe «на лету» в тихом режиме с помощью основного файла архиватора WinRK;
“spidermod.bat” – непрерывная очистка корней всех дисков от autorun.inf и копирование оного туда же;
“.NET Setup” – скрытная установка .NET на машине пользователя из файла jnwmon.bat, реализуется следующим образом:
if exist %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\Ac cessibility.dll goto end dotnetfxupdt.exe -download [Ссылки доступны только зарегистрированным пользователям] dotnetfx.exe dotnetfx.exe /q:a /c:"install /q"
Обращаю внимание на то, что на втором этапе также не было использовано ничего вредоносного, а именно – “RAdmin”, “netsh”, “net”, “dotnetfx”, “WinRK” – всё это легальные программы, в т.ч. системные. А теперь поподробнее остановимся на системе JetSwap.
На сайте [Ссылки доступны только зарегистрированным пользователям] указана следующая информация:
«Система JetSwap была создана, чтобы облегчить процесс раскрутки новых проектов в сети Интернет. После создания проекта достаточно разместить на нем один или несколько кодов системы (при установке всех кодов эффект максимален) и получить небольшую начальную группу посетителей. Достаточно нескольких человек в день, которые будут просматривать страницы этого сайта, чтобы получить многих других посетителей. Коды системы, предназначенные для установки на сайте, позволяют автоматизировать процесс получения кредитов для раскрутки сайта. Вы будете получать кредиты с ваших посетителей. При этом достаточно только наблюдать за процессом и не предпринимать никаких действий.»
Данный зловред на заключительном этапе устанавливает программу SafeSurf, которая работает с системой JetSwap, на компьютер пользователя и запускает её в скрытом режиме на «автосёрфинг». Таким образом, компьютер ничего не подозревающего человека кликает по сайтам и зарабатывает кредиты владельцу аккаунта. Злоумышленник, по–видимому, не очень – то и пытался скрыть свои данные – они доступны в открытом виде в *.reg файле:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\JetSwap]
"autocr"="1"
"v2"="1"
"splash"="1"
"v3"="1"
"v4"="0"
"v5"="1"
"vhd"="1"
"msurf"="0"
"surfhide"="0"
"asurf"="1"
"minw"="0"
"login"="jackmen"
"passh"="7458bab36c82e74839639c48b9e64a05"
Я запустил только программу с данными в реестре без остальных зловредных компонент и увидел основное окошко SafeSurf. И даже нажал кнопку для проверки баланса, что прекрасно видно на скриншоте.
[Ссылки доступны только зарегистрированным пользователям]
Скриншот программы SafeSurf, с параметрами, которые указал вирусописатель в .reg файле
В начале поста я упоминал, что этот зловред интересен как функционалом, так и способом установки, а теперь я поясню это. Все компоненты являются легальными, и весь процесс установки также происходит только с помощью стандартных и легальных программ, .bat файлов, скриптов и файлов реестра. Таким образом, вредоносными можно посчитать только некоторые пакетные файлы. Так как даже исходный файл autorun.exe, обнаруженный у пользователя, является WinRK SFX – архивом. Также интересен способ получения денег – с помощью установки софта, предназначенного для раскрутки сайтов.
В настоящее время зловред детектируется как Trojan-Clicker.Win32.FrusEfas. Отдельно спасибо Олегу Зайцеву за предоставленный материал.
• Author: Закоржевский Вячеслав
• source: securelist
После первичного анализа было обнаружено, что скачивается множество файлов, в том числе .NET FrameWork, который в дальнейшем «тихо» устанавливается. Это было очень неожиданно для меня - давно я не видел настолько наглого зловреда, который устанавливает .NET. Я принял решение полностью разобрать этот экземпляр. Оказалось, что он очень интересен – как вредоносным функционалом, так и способом установки своих компонент.
Исходный файл “autorun.exe” представляет собой WinRK SFX – архив, который не распространён в настоящее время. После его запуска происходит целая цепочка исполнений разнообразных файлов:
Autorun.exe -> .exe -> !.bat -> start.vbs -> .bat -> Hidden Start inst.bat -> evntstart.exe;
Что интересно в этой последовательности используются только стандартные легальные программы:
“Autorun.exe” – WinRK SFX;
“.exe” – BatToExe;
“inst.bat” – запускается с помощью Hidden Start;
“evntstart.exe” – WinRK SFX;
На этих этапах вредоносным функционалом является только установка службы в реестр, которая обеспечивает запуск evntstart.exe при загрузке системы, копирование распакованных файлов в системную папку и завершение процессов, относящихся к SafeSurf. О самой программе SafeSurf и её участии в зловреде будет описано далее. В файле inst.bat происходят вызовы таких системных утилит, как “taskkill”, “net”, “regedit” и т.д.
Продолжим дальнейшую цепочку развития событий:
Evntstart.exe -> msexec.bat -> jnwmon.bat -> zrgutsp.bat -> ai.bat -> build.bat -> spidermod.bat -> .NET Setup -> SafeSurf start;
Немного детализирую назначение каждого .bat файла:
“zrgutsp.bat” – добавление пользователей с правами администратора, открытие порта 3389 протокола TCP для RDP с помощью netsh и аналогичные действия;
“ai.bat” – установка RAdmin в скрытом режиме, используется две библиотеки и исполняемый файл, которые находились в SFX – архиве;
“build.bat” – сборка autorun.exe «на лету» в тихом режиме с помощью основного файла архиватора WinRK;
“spidermod.bat” – непрерывная очистка корней всех дисков от autorun.inf и копирование оного туда же;
“.NET Setup” – скрытная установка .NET на машине пользователя из файла jnwmon.bat, реализуется следующим образом:
if exist %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\Ac cessibility.dll goto end dotnetfxupdt.exe -download [Ссылки доступны только зарегистрированным пользователям] dotnetfx.exe dotnetfx.exe /q:a /c:"install /q"
Обращаю внимание на то, что на втором этапе также не было использовано ничего вредоносного, а именно – “RAdmin”, “netsh”, “net”, “dotnetfx”, “WinRK” – всё это легальные программы, в т.ч. системные. А теперь поподробнее остановимся на системе JetSwap.
На сайте [Ссылки доступны только зарегистрированным пользователям] указана следующая информация:
«Система JetSwap была создана, чтобы облегчить процесс раскрутки новых проектов в сети Интернет. После создания проекта достаточно разместить на нем один или несколько кодов системы (при установке всех кодов эффект максимален) и получить небольшую начальную группу посетителей. Достаточно нескольких человек в день, которые будут просматривать страницы этого сайта, чтобы получить многих других посетителей. Коды системы, предназначенные для установки на сайте, позволяют автоматизировать процесс получения кредитов для раскрутки сайта. Вы будете получать кредиты с ваших посетителей. При этом достаточно только наблюдать за процессом и не предпринимать никаких действий.»
Данный зловред на заключительном этапе устанавливает программу SafeSurf, которая работает с системой JetSwap, на компьютер пользователя и запускает её в скрытом режиме на «автосёрфинг». Таким образом, компьютер ничего не подозревающего человека кликает по сайтам и зарабатывает кредиты владельцу аккаунта. Злоумышленник, по–видимому, не очень – то и пытался скрыть свои данные – они доступны в открытом виде в *.reg файле:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\JetSwap]
"autocr"="1"
"v2"="1"
"splash"="1"
"v3"="1"
"v4"="0"
"v5"="1"
"vhd"="1"
"msurf"="0"
"surfhide"="0"
"asurf"="1"
"minw"="0"
"login"="jackmen"
"passh"="7458bab36c82e74839639c48b9e64a05"
Я запустил только программу с данными в реестре без остальных зловредных компонент и увидел основное окошко SafeSurf. И даже нажал кнопку для проверки баланса, что прекрасно видно на скриншоте.
[Ссылки доступны только зарегистрированным пользователям]
Скриншот программы SafeSurf, с параметрами, которые указал вирусописатель в .reg файле
В начале поста я упоминал, что этот зловред интересен как функционалом, так и способом установки, а теперь я поясню это. Все компоненты являются легальными, и весь процесс установки также происходит только с помощью стандартных и легальных программ, .bat файлов, скриптов и файлов реестра. Таким образом, вредоносными можно посчитать только некоторые пакетные файлы. Так как даже исходный файл autorun.exe, обнаруженный у пользователя, является WinRK SFX – архивом. Также интересен способ получения денег – с помощью установки софта, предназначенного для раскрутки сайтов.
В настоящее время зловред детектируется как Trojan-Clicker.Win32.FrusEfas. Отдельно спасибо Олегу Зайцеву за предоставленный материал.
• Author: Закоржевский Вячеслав
• source: securelist