Paweł Goleń, blog

Dla przypomnienia, były to następujące pliki:

• c:\WINDOWS\SchedLgU.Txt,
• c:\WINDOWS\WindowsUpdate.log,
• c:\WINDOWS\Debug\UserMode\userenv.log,
• c:\WINDOWS\system32\drivers\etc\hosts,
• c:\Documents and Settings\Administrator\Local Settings\History\History.IE5\index.dat,
• c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat,
• c:\Documents and Settings\Administrator\Local Settings\History\History.IE5\MSHist012008051720080518\index.dat,

Plik SchedLgU.txt związany jest z usługą zaplanowanych zadań. Mogło się zdarzyć tak, że malware na przykład dopisał sobie jakieś zadanie... Co prawda zostałoby to wykryte prawdopodobnie przez autorunsc, ale zawsze mogło być to jakieś pojedyncze zadanie wykonane w trakcie infekcji. Okazuje się jednak, że plik ten nie zawiera żadnych ciekawych informacji:

"Task Scheduler Service" Started at 2008-05-17 19:13:30 
"Task Scheduler Service" Exited at 2008-05-17 19:39:02 
"Task Scheduler Service" Started at 2008-05-17 21:42:14 
[ **** Most recent entry is above this line **** ]
    

Plik WindowsUpdate.log związany jest z usługą aktualizacji Windows. Zgodnie z przewidywaniami nie zawierał on żadnych informacji związanych z moim zwierzątkiem. Podobnie jak plik userenv.log.

Pliki index.dat nie są plikami tekstowymi. Jednym z narzędzi, które pozwala na ich analizę jest Windows File Analyzer. Te pliki również nie zawierały żadnych informacji związanych z działaniem malware.

Pozostał plik hosts, nie przypadkowo zostawiony na koniec. To właśnie tam malware najbardziej zaingerował w system. Niestety, tu również nie ma żadnych "ataków na banki". Zwierzak zabezpieczył się przed aktualizacjami (zarówno Windows, jak i programów antywirusowych):

127.0.0.1 www.symantec.com 
127.0.0.1 securityresponse.symantec.com 
127.0.0.1 downloads1.kaspersky-labs.com 
(...) 
127.0.0.1 liveupdate.symantec.com 
127.0.0.1 customer.symantec.com 
127.0.0.1 rads.mcafee.com 
127.0.0.1 trendmicro.com 
127.0.0.1 www.trendmicro.com 
(...) 
127.0.0.1 virustotal.com 
127.0.0.1 www.virustotal.com
    

Co ciekawe, zaatakował chyba również konkurentów, na przykład:

127.0.0.1 m.proxyisp.info 
127.0.0.1 proxyisp.info
    

Szukając informacji o proxyisp.info dość szybko znalazłem następującą notkę:

Dotyczy ona oczywiście działania wirusa, z który moje zwierzątko prowadzi wojnę podjazdową.

W sumie do pliku hosts dopisane zostały 372 adresy, przy czym wszystkie wskazują na adres 127.0.0.1, co oznacza po prostu, że dostęp do umieszczonych w pliku domen jest zablokowany. Blokowanie stron z antywirusami (online, bądź aktualizacjami) nie dziwi, zwierzak chce przeżyć jak najdłużej. Skoro jest (a przynajmniej w pewnej chwili był) nową mutacją, to zablokowanie mechanizmu aktualizacji sygnatur programu antywirusowego powoduje, że program ten dysponuje sygnaturami, na których podstawie może nie rozpoznać nowego domownika. Nie powinna również dziwić walka z konkurencją. Jednym z zasobów, który chcą zdobyć twórcy tego typu oprogramowania, są moce obliczeniowe ofiar. Moce te później można sprzedać oferując je na przykład do rozsyłania spamu, albo prowadzenia ataku DDoS. Dlatego też raz zdobytej ofiary nie chcą utracić (aktualizacja wrogiego programu, blokowanie aktualizacji sygnatur programu antywirusowego), ani dzielić się nią z innymi (walka z konkurencją).

Co ciekawe w pliku hosts znalazło się kilka typowo polskich akcentów:

127.0.0.1 eircd.zief.pl 
127.0.0.1 zief.pl 
127.0.0.1 proxim.ircgalaxy.pl 
127.0.0.1 proxima.ircgalaxy.pl 
127.0.0.1 ircgalaxy.pl
    

Można o nich przeczytać tu i tu.