Что внутри трояна – история одного взлома

Довелось мне удалять троян на одном юзерском ПК. Помимо собственно удаления вирус весьма меня заинтересовал, и я решил разобраться в механизме его работы. Результат превзошёл все ожидания. Удалось не только раскрыть злой замысел трояна но и нанести ответный удар и полностью обезвредить зверюгу.

Замес

Вирус пришёл юзеру по почте в виде SCR файла в RAR архиве. В тексте письма, путём простых приёмов социальной инженерии, утверждалось, что сей архив очень полезный и хороший, а файл нужно обязательно запустить. Надо заметить что злодейский SCR файл не обнаруживался антивирусом почтового сервера (какой там стоял антивирус я не знаю), и антивирусом юзера (NOD32). Я никогда не любил NOD32, но теперь я его просто ненавижу. Касперского под рукой не было, но DR.Web и Symantec Endpoint Protection успешно находили вирус.

Наивный и немного глупый юзер конечно же запустил файл. Что мы имеем в результате – ПК жутко тормозит и жрёт трафик, ведёт себя не адекватно. Удалить вирус не составило большого труда, всего пара ключей в реестре на привычных местах – вот и все. После этого приступил к препарированию троянца.

Начальный анализ

После запуска SCR файл порождает три файла, два из которых сразу же запускаются. В памяти постоянно висят два процесса – finder.exe (это он и тормозил систему) и Update.exe. Третьим файлом является (о! ужос!) обычный консольный архиватор RAR! Всё это хозяйство складывается в каталог c:\windows\system и прописывается в реестре на автозагрузку.

Проверка сетевой активности

“Устанавливаем” троян на тестовый ПК и подключаем к его сетевому разъёму ноут со сниффером. В процессе работы троян отправляет DNS запросы на резолвинг адреса почтового сервера Яндекса. Что-ж, ты хочешь Яндекс-почту? Ты её получишь. Ставлю на свой ноут простой почтовый сервер и прописываю в файле HOSTS на заражённом ПК, что mail.yandex.ru теперь живёт на моём ноуте. Смотрим логи почтовика.

Действительно, троян ломится на почтовый сервер с надеждой отправить сообщение. Конечно у него это не получается, ибо при отправке на сервер передаётся запрос на защищённое SMTP соединение. В результате в логах видно только адрес отправителя id3519688@yandex.ru, пароль к сожалению не получится узнать, но нам оно и не очень надо. После ошибки при отправке почты троян пытается открыть FTP соединение с отдельным IP адресом в Интернете. После неудачи при соединении по FTP всё повторяется снова. Так себя проявляет файл Update.exe. Другой файл finder.exe не производит никакой сетевой активности.

Анализ внутренней структуры

Первое, что приходит на ум – попытаться найти в коде вируса найденные IP адес и email. Анализ SCR файла дизасемблером не дал никаких результатов, оказалось, что он представляет собой архив в неизвестном мне формате. Тогда может быть найти файлы finder.exe и Update.exe? Но при выключенном ПК этих файлов нет на диске, а при выключенном их не возможно открыть по причине того, что они уже запущены. Логично предположить, что троян затирает сам себя при выключении ПК, оставляя только основной файл, который порождает все остальные.

Решить такую проблему очень просто – выключим питание заражённого ПК в процессе работы, выдёргиваем шнур питания из розетки и вот они! Попались голубчики! Открываем Update.exe двоичным редактором, а там всё, как на ладони.

Как работает троян

В результате проделанных действий удалось установить механизм работы трояна. В процессе работы вирус ищет на ПК жертвы файлы документов MS office, картинки и PDF файлы, извлекает из системы данные учётных записей популярных сервисов (это делается с помощью программы подобной Multi Password Recovery), вся полученная информация упаковывается обычным RAR. Архив с крадеными данными отправляется по email через сервер Яндекса на адрес gmail.com. В качестве запасного варианта используется FTP.

Все вредоносные действия выполняются с помощью BAT файла, текст которого в открытом виде находится в Update.exe. Вирус используется крайне простой способ работы и не отличается какими-либо средствами самозащиты. Во вредоносном BAT файле содержатся так же все адреса для отправки данных логины и пароли от FTP и почты.

Даём сдачи

Прежде всего открываем почту Яндекса и заходим в учётку почты. Во входящих – несколько сообщений об ошибках доставки, в остальных папках пусто. Ошибки доставки интересны тем, что это ошибки ограничения размера отправляемого сообщения – вирус собирает так много информации, что она не обрабатывается серверами Яндекса, слишком большой размер исходящего сообщения. Пароль на почту конечно же поменял.

Теперь очередь за FTP. Сканируем сервер с помощью nmap. Открыт стандартный набор портов для обычного шаред-хостинга. В ответе на стандартное приветствие почтовый сервер возвращает интересный комментарий – “Direct Admin mailserver”. Есть такая панель управления хостингом – Direct Admin, отвечает она по HTTP на порту 2222. Заходим на страничку у правления хостингом с параметрами от FTP, всё – хостинг то же наш!

На сервере была размещена админка управления процессом распространения вируса: формы отправляемых писем, списки адресов для отправки, упакованные в разных форматах копии трояна. Теперь процесс работы злодея стал виден полностью. Злодей собирал приватные данные крайне примитивным способом надеясь на удачу. Все пароли поменял, содержимое хостинга удалил, для красоты повесил красивую картиночку ;-).

Эпилог

Вот так, проявив немного смекалки и терпения можно полностью деактивировать простой троян. Никаких супер-умений тут не требуется, использовал самые известные программы – nmap, IDA, far. Все желающие могут ознакомиться с содержимым злодейского сервера. Все реально опасные вещи из него удалены, но можно посмотреть как работает такой троян изнутри, может кому это будет полезно. После удаления такого вируса нужно обязательно сменить все пароли, которые использовались на заражённом ПК!

3 комментария to“Что внутри трояна – история одного взлома”

  1. Илья
    16.07.2014 at 22:48 #

    Интересно было почитать)
    Не задумывался о том, что внутри трояна)

  2. Павел
    13.11.2015 at 22:33 #

    Жестокий вы человек, кабель из сети выдергиваете :-) можно же было на виртуальной машине запускать.

  3. 13.11.2015 at 23:14 #

    На виртуалке не удобно. Вирт машина отрабатывает не мгновенно, а тут даже полсекунды решает. К тому же железа – масса, чего зря напрягаться.

Добавить комментарий

Ваш e-mail не будет опубликован.

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

Proudly powered by WordPress   Premium Style Theme by www.gopiplus.com