Ένα malware με πολλά ταλέντα!
Το rimecud ε?ναι ?να αρκετ? γνωστ? malware-bot το οπο?ο διεκδικε? και την πρωτι? για το 2010! https://www.microsoft.com/security/sir/story/default.aspx#section_3_1
Πριν ξεκιν?σω ας δο?με τι λ?ει το www.virustotal.com σχετικ? με τα executables που κατ?βηκαν.
Τι να πω; τα νο?μερα μιλ?νε απ? μ?να τους! Βλ?πετε π?σο χαμηλ? ε?ναι το ποσοστ? εντοπισμο? απ? τα Antivirus.
Οπ?τε ας π?ρουμε μια καλ? ιδ?α απ? τα πλο?σια ταλ?ντα του συγκεκριμ?νου malware. Καταρχ?ς περι?χει ρουτ?να ?στε ?ταν εκτελε?ται να τερματ?ζει οποιοδ?ποτε monitor tool τ?που process monitor, wireshark, process explorer etc. Πρ?κειται για πολ? δημοφιλ? τεχνικ? που χρησιμοποιε?ται αρκετ? ?στε να δυσκολ?ψει την αν?λυση.
Εκτελ?ντας λοιπ?ν το malware συμβα?νουν τα εξ?ς:
- DNS query για το ?νομα ms.mobilerequests.com, ακο?γεται πραγματικ?/ν?μιμο αλλ? δεν ε?ναι!
- To συγκεκριμ?νο bot αν?κει στην κατηγορ?α mariposa ? butterfly ? rimecud και χρησιμοποιε? σε αντ?θεση με ?λλα udp πρωτ?κολλο για την επικοινων?α με τον C&C Server
- Εδ? βλ?πουμε πως γ?νεται reverse lookup για την IP του bot ?στε να μ?θει το fully qualified domain name και κατ’ επ?κταση τον ISP. Θα καταλ?βετε παρακ?τω το λ?γο.
- Ακολουθε? π?λι επικοινων?α με τα “κεντρικ?” για επιπλ?ον εντολ?ς!
- Στα επ?μενα β?ματα πραγματοποιε?ται download διαφ?ρων αρχε?ων τα οπο?α μην σας ξεγελ?ει η κατ?ληξη πρ?κειται για executables.
- Ενδεικτικ? δε?τε το 2ο file dateonewo.ol μ?σα απ? hex editor ?που προδ?δεται και η ταυτ?τητ? του
- Εδ? πλ?ον κατεβα?νει το serv.exe ?που ε?ναι και η κ?ρια εφαρμογ? που εκτελε?ται στο εξ?ς και γι’ αυτ? μ?λλον ?χει και το ευφ?νταστο ?νομα serv –> server.
Συνεχ?ζοντας …
- Συνδ?εται στους smtp του hotmail και για κ?ποιο λ?γο δεν προσπαθε? να στε?λει κ?ποιο “ωφ?λιμο” mail.
- Σε αυτ? το σημε?ο συνδ?εται σε web service και ζητ?ει το /spm/s_get_host.php?ver=522 και η επικοινων?α ε?ναι
GET /spm/s_get_host.php?ver=522 HTTP/1.0
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; VS2)
Host: 91.200.242.230
Accept: */*
Connection: Close
HTTP/1.0 200 OK
Content-Type: text/html; charset=ISO-8859-1
Connection: close
athedsl-132631.home.otenet.gr
Αυτ? στην ουσ?α που ζητ?σαμε ε?ναι να μ?θουμε το hostname μας ?πως ?χει καταγραφε? στους C&C.
Στο 3ο β?μα βλ?πουμε πως εκτελε? dns query αλλ? για mx record, δηλαδ? προσπαθε? να βρει τον mail exchanger του ISP μου. Αυτ? συνδ?εται με το β?μα 3 στην προηγο?μενη παρ?γραφο ?που εκτ?λεσε reverse lookup για να μ?θει τον fqdn μου ?ρα και τον π?ροχο που αν?κω. Οπ?τε βλ?πουμε να προσπαθε? απεγνωσμ?να να εντοπ?σει τον smtp server του ISP ρωτ?ντας δι?φορους DNS serves.
Γιατ? θ?λει τον mx server? Η απ?ντηση προφαν?ς, spam και ακολουθε?:
Η smtp επικοινων?α (μπλε smtp server, κ?κκινο bot)
SMTP spam
220 speedy.otenet.gr ESMTP Sun, 5 Dec 2010 12:20:26 +0200
HELO athedsl-132631.home.otenet.gr
250 speedy.otenet.gr Hello athedsl-132631.home.otenet.gr [85.75.93.182], pleased to meet you
MAIL FROM:<ann_hvoz@msn.com>
550 5.7.1 Rejected: 85.75.93.182 listed as spam source at https://www.spamhaus.org/
Β?βαια τα πολυτ?λαντο bot δεν σταματ? εδ? κι ?τσι ταυτ?χρονα προσπαθε? να στρατολογ?σει και ?λλα bots
Αυτ? που φα?νεται παραπ?νω ε?ναι προσπ?θειες σ?νδεσης στην 445/tcp (smb) διαφ?ρων IPs οπ?τε ?ποια βρεθε? και δεν ?χει τα απαρα?τητα updates να ?λθει αμ?σως στις υπηρεσ?ες μας!
Συνοψ?ζοντας
Πρ?κειται για botnet με ποικ?λα χαρακτηριστικ?, να σημει?σω εδ? πως τα περισσ?τερα απ? τα εκτελ?σιμα που κατ?βηκαν ε?ναι επιπλ?ον trojan ? εφαρμογ?ς τ?που fake AV, fake antispam etc.
Επ?σης για να μη νομ?ζετε πως οι web servers που κρατο?ν τα συγκεκριμ?να αρχε?α ε?ναι μ?ρος του κυκλ?ματος δε?τε το παρακ?τω:
?λλος ?νας απ? τους πολλο?ς web servers ?που εν αγνο?α των υπευθ?νων μοιρ?ζει malware.
Τ?λος σε ?λη την επικοινων?α εμφανιζ?ταν παντο? η πληροφορ?α PASS laorosr ?πως φα?νεται και παρακ?τω.
Μ?νο τη συγκεκριμ?νη ?κφραση αν ψ?ξετε στο internet θα δε?τε πως τα περισσ?τερα αποτελ?σματα συνδ?ονται με κακ?βουλη χρ?ση.