LLeSS, по проге tricolor уже есть кое-какие результаты. Известно мыло кидиса, на которое отправлялась инфа, оно на @bk.ru, через MAgent получены и его другие данные. Анализ пока не закончил, завтра результаты обнародую.
Сообщение отредактировал Snowm@n - Feb 11 2008, 23:00
--------------------
Developer -> Lead Developer -> Lead Architect -> ... ?
LLeSS, по проге tricolor уже есть кое-какие результаты. Известно мыло кидиса, на которое отправлялась инфа, оно на @bk.ru, через MAgent получены и его другие данные. Анализ пока не закончил, завтра результаты обнародую.
дай ип этого мерзафца фотку ) фстудию данные
Сообщение отредактировал LLeSS - Feb 11 2008, 23:10
айпи не знаю с этим в мейл.ру все завтра будет, я еще не закончил троян как матрешка, один расковырял - там два, в одном третий в ресурсах (там и было мыло), а другой на первый похожий, его еще распаковывать надо Gray, это не та прога
Сообщение отредактировал Snowm@n - Feb 11 2008, 23:15
--------------------
Developer -> Lead Developer -> Lead Architect -> ... ?
айпи не знаю с этим в мейл.ру все завтра будет, я еще не закончил троян как матрешка, один расковырял - там два, в одном третий в ресурсах (там и было мыло), а другой на первый похожий, его еще распаковывать надо Gray, это не та прога
Млин, а как вы это делаете? Круто!!! Огромный респект вам, ребята!!! Супер, прям как агенты спецслужб!
айпи не знаю с этим в мейл.ру все завтра будет, я еще не закончил троян как матрешка, один расковырял - там два, в одном третий в ресурсах (там и было мыло), а другой на первый похожий, его еще распаковывать надо Gray, это не та прога
А не проще на виртуальной машине под снифером запустить? А потом пакеты глянуть, куда мыло идет?
А не проще на виртуальной машине под снифером запустить? А потом пакеты глянуть, куда мыло идет?
Может быть, но я более технично сделал Вообщем описываю весь процесс, чтобы не показалось, что я обвиняю кого-то голословно. Анализ пока не закончен, показываю что есть. Не профессионалам не поторять 1. Берем прогу отсюда http://www.rapidshare.ru/571216, пароль tricolor 2. Бегло смотрим в FAR'е, запакована UPX'ом 1.20, сигнатуры не потерты, распаковываем UPX'ом же
Исходный код
upx -d "tricolor setup.exe"
3. Размер увеличился ненамного, смотрим на распаковынный EXE, он включает в себя немного кода и большой оверлей, очевидно это контейнер-распаковщик, распаковывающий свой оверлей и запускающий полученный файл (или файлы) 4. Открываем EXE в IDA, исследуем. Рассмотрим код WinMain(комментарии мои). Очевидно, что распаковщик работает по следующему алгоритму: - Ищем и завершаем процессы антивирусов и фаерволлов (KillProcess1, KillProcess2), список из программы
- Распаковываем свое содержимое (в данном случае два EXE-файла) в выбранную в зависимоcти от настроек папку (системная, временная или Windows) (Decrypt1, Decrypt2) выбираем имена случайно (tmpnam) - Запускаем каждый из распакованных файлов (ShellExecute) - Удаляем каждый из распакованных файлов Полный листинг 5. Мне лениво было разбираться с алгоритмом и писать свой распаковщик Однако извлечь файлы нужно. Можно возложить эту задачу на сам распаковщик, но нужно запретить ему запускать и удалять распакованные файлы. Рассмотрим код:
Заметим, что сначала проверяется eax, и если он равен 0 то ShellExecute не выполняется. Сделаем его равным нулю всегда, то есть ShellExecute не выполниться никогда. Для этого можно заменить test eax,eax (85С0) на xor eax,eax (33C0). В других местах код аналогичный поэтому произведем замену в 4-ех местах (2 ShellExecute, 2 DeleteFile)
Исходный код
4017F0 40180E 401840 401858
4 удара скальпелем (HIEW) и наш распаковщик стал белым и пушистым 6. Запускаем пропатченный (безвредный) распаковщик на виртуальной машине (на всякий случай, который как известно, бывает разный ), сделав бекап жестких дисков и запустив перед этим FileMon, чтобы не искать потом распаковынне файлы, смотрим логи
Исходный код
945 22:11:37 tricolor_safe_p:1512 CLOSE C:\DOCUME~1\opc\LOCALS~1\Temp\s1f8..exe SUCCESS 947 22:11:37 tricolor_safe_p:1512 CLOSE C:\DOCUME~1\opc\LOCALS~1\Temp\s1f8.1.exe SUCCESS
Итак, нужные файлы во временной папке 7. Рассмотрим s1f8.1.exe, он запакован UPX'ом, сигнатуры не потерты, распаковываем 8. Смотрим, это троян написанный на Delphi, заглянем в оверлей, там находиться мыло, на которое отправляется инфа, адрес SMTP-сервера и открываемый трояном порт
Исходный код
dim12@bk.ru по смещению 6F27Bh - мыло smtp.bk.ru по смещению 6F299h - SMTP сервер 47891 по смещению 6F2CDh - порт
9. Лезем в MAgent получаем инфу на dim12@bk.ru
10. С s1f8..exe пока не разбирался, но похоже что он распаковывается тем же распаковщиком, что и "tricolor setup.exe"! Похоже на генератор вирусов p.s. Кто-нибудь statdirANIXAKER мне даст посмотреть?
Сообщение отредактировал Snowm@n - Feb 12 2008, 09:35
--------------------
Developer -> Lead Developer -> Lead Architect -> ... ?