Paweł Goleń, blog

Mam dwa pliki wykonane za pomocą logparsera, które zawierają zrzut gałęzi HKLM oraz HKCU. Co ciekawe po infekcji nie mogę wykonać zrzutu rejestrów przy pomocy polecenia reg save. Do sprawdzenia, czy wynika to z działania mojego zwierzaka.

Z plików tych wyciągam informację o timeline zmian w rejestrze. Tutaj jednak trzeba pamiętać, że parametr LastWriteTime jest atrybutem klucza, a nie wartości. Czyli na przykład jeśli w kluczu RUN istnieją jakieś wpisy, ale jest dodawany nowy, to nie ma możliwości, na podstawie LastWriteTime, ustalenia, kiedy wcześniejsze wpisy zostały dodane.

Zmian w rejestrze jest oczywiście dużo, ale większość z nich wynika z normalnego działania systemu. Poniżej prezentuję tylko te zmiany, które niewątpliwie wiążą się z działaniem mojego zwierzaka.

• 2008-05-17 19:47:35: HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}\StubPath - c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
• 2008-05-17 19:47:37: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • Advanced DHTML Enable - C:\WINDOWS\system32\pwpveix.exe
  • Windows Explorer - C:\WINDOWS\system32\explorer.exe
  • Microsoft Internet Explorer - C:\WINDOWS\system32\iexplore.exe
• 2008-05-17 19:47:41: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\ StandardProfile\AuthorizedApplications\List
  • C:\WINDOWS\system32\pwpveix.exe - C:\WINDOWS\system32\pwpveix.exe:*:Enabled:pwpveix
  • C:\WINDOWS\system32\iexplore.exe - C:\WINDOWS\system32\iexplore.exe:*:Enabled:iexplore

Analogiczne wpisy jak dla CurrentControlSet pojawiły się w ControlSet001, co jest dość oczywiste.

Nowe informacje, które pojawiły się tutaj, dotyczą tylko zmiany konfiguracji firewalla systemowego. Pojawiły się wpisy pozwalające programom pwpviewx.exe oraz iexplore.exe na nasłuchiwanie (otwarte są dla nich porty).

O zmianach w kluczu RUN oraz w Active Setup wiem już z analizy rezultatów autorunsc. Zastanawiające może jednak być to, że nie została wychwycona zmiana dotycząca klucza HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell. Sprawdzenie informacji na jego temat pokazuje następujące dane: Path: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon; ValueName: Shell; Value: Explorer.exe; LastWriteTime: 17-05-2008 19:42:12 Zwierzątko zostało puszczone na wybieg o godzinie 21:47:17 (data utworzenia pliku w Prefetch). Dwie godziny różnicy to oczywiście różnica między czasem lokalnym i UTC. Pozostaje jednak jeszcze 5 minut różnicy, które trzeba jakoś wytłumaczyć. Być może jest to element maskowania podobny do prawdopodobnego fałszowania czasu dla plików explorer.exe oraz iexplore.exe... Jest jeszcze jedna możliwość, bliższa prawdy. Klucz ten nie został zmodyfikowany przez malware. Dlaczego więc autorunsc wskazał, że zmieniony został shell? Dlatego, że wartość nie zawiera ścieżki, a c:\windows\system32 jest wcześniej w ścieżce, niż c:\windows\, dlatego autorunsc najpierw znalazło plik c:\windows\system32\explorer.exe. W tej chwili nie wiem, czy przy logowaniu użytkownika plik explorer.exe będzie wyszukiwany w ten sam sposób, w jaki szuka go autorunsc.

Wszystkie zmiany, które zidentyfikowałem, w HKCU są umieszczone w kluczu HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache, wartość LastWriteTime dla tego klucza to 2008-05-18 09:07:48, ale akurat do tej wartości nie specjalnie bym się przywiązywał, z uwagi na fakt czym klucz MUICache jest. Podejrzane wartości:

• C:\WINDOWS\system32\pwpveix.exe - pwpveix
• C:\WINDOWS\system32\hheyjo.exe - hheyjo
• C:\WINDOWS\system32\qbqwov.exe - qbqwov
• C:\Documents and Settings\Administrator\Desktop\yhxdrg.bat - yhxdrg
• C:\WINDOWS\system32\wgwsafhn.exe - wgwsafhn
• C:\WINDOWS\system32\gsxsrdx.exe - gsxsrdx
• C:\WINDOWS\system32\fzdsv.exe - fzdsv
• C:\WINDOWS\system32\hvhje.bat - hvhje

Co oznaczają te klucze? Polecam lekturę The Mystery of MUICache...solved??. W zasadzie to nie moje zwierzątko stworzyło te klucze, lecz shell (explorer.exe, ten prawdziwy). Wpisy te jednak dostarczają ciekawych informacji o dwóch plikach *.bat uruchamianych prawdopodobnie w trakcie infekcji. Informacja na ten temat nie zachowała się w Prefetch, bo są to skrypty interpretowane przez cmd.exe. Kolejne dwa pliki do poszukania na dysku...

...a miało być krótko :)