Szczerze mówiąc rozczarowałem się tym groźnym niewykrywalnym wirusem, który kradnie hasła. Rezultaty z CWSandbox, myślałem, że to coś bardziej zmyślnego. Ogólnie - nihil novi sub sole.
Ten niewykrywalny wirus co o nim mówią
Próbka, którą otrzymałem dzięki uprzejmości jednego z czytelników bloga ma następującą sumę kontrolną md5: 527cdea21425634bee5f38db2a76e398. Jak widać na Virustotal, rzeczywiście jest ona niewidoczna dla większości antywirusów. Próbka nie jest w żaden sposób "zabezpieczona", nie jest użyty żaden paker ani crypter. W nagłówku PE znajduje się timestamp: 2008-11-20 12:38:35. Zadaniem tego pliku jest wyświetlenie zdjęcia (swoją drogą ciekawe kto jest na tym zdjęciu) i zainstalowanie "wirusa właściwego". Widać to wyraźnie w rezultatach CWSandbox. Tworzony jest plik C:\WINDOWS\system32\winloge.exe oraz wpis w rejestrze uruchamiający ten proces po logowaniu użytkownika.
"Wirus właściwy" ma md5 a8e046ad1e81a18a282db42a0b7fe0d8. Jest on spakowany przy pomocy UPX, nie zostały zastosowane żadne dodatkowe mechanizmy, które miałyby spowodować utrudnienie jego rozpakowania. W tym wypadku timestamp w nagłówku jest nieco wcześniejszy - 2008-11-17 20:18:10. Na Virustotal pierwszy raz próbka pojawiła się 10 grudnia 2008 roku, czyli (zakładając, że timestampy w nagłówkach są prawdziwe), niecały miesiąc po powstaniu.
Niestety, serwer, z którym łączy się wirus (87.98.179.124) jest już nieaktywny, nie wiadomo więc co miał robić później. Być może dopiero z tego serwera pobierał ciekawszych towarzyszy?
W każdym razie jak na coś, co ma być niewykrywalne - zostawia strasznie duże ślady:
TCP 172.16.0.56:1046 87.98.179.124:80 SYN_SENT 420 winloge 420 8 3 52 21764 3152 1276 Windows Log C:\WINDOWS\system32\winloge.exe c:\windows\system32\winloge.exe a8e046ad1e81a18a282db42a0b7fe0d8 (MD5) dccc2c8fc97a2fade448302a1e5b3acf8aec5f48 (SHA-1) fca8a5214f1a44b141f2236dcb8f853101d06a34a717324587ba83895db4080e (SHA-256)
Widać aktywność sieciową, widać uruchomiony proces, widać jak ten proces się ma uruchomić...
Zdjęcie mnie zastanawia, bo w sumie w tamtym czasie praktycznie wszystkie dzieciaki wyglądały na zdjęciach podobnie
Nawiasem mowiac, zastanawia mnie log DNS Lookup z CWSandbox: dell-8685e244aa 10.1.5.2. Czy to jest nazwa wirtualnej maszyny CWSandbox czy tez moze autor malwaru zostawil jakis string w execu?
Pozdrawiam i gratuluje ciekawego bloga.