Pages

10/19/2010

Malware จาก Facebook ภาค 2

จากภาค1 ที่ http://dearpcyp.blogspot.com/2010/10/malware-facebook.html

คราวนี้เจอสายพันธุ์ที่สอง
URL เป็น


http://web-imgs.com/view.php?=100000603338391



พอรับมาเป็นเป็นไฟล์ชื่อเดิมเลย
แต่พอ md5sum แล้วไม่ได้ hash เดิมแฮะ



$ md5sum P1753577.JPG-www.facebook.exe
62e4a7ea9ddbdfac04873609df5da275  P1753577.JPG-www.facebook.exe


เหมือนเดิม เอาไปส่ง cwsandbox, virustotal
http://www.sunbeltsecurity.com/cwsandboxreport.aspx?id=73912891&cs=8A5E015D9308C31E18B6EC1440BCCFC1

แต่คราวนี้ไม่ได้รอให้มันสแกนให้เพราะว่า ทั้งคู่มีคนเอา ไวรัสตัวนี้ไปสแกนไว้แล้ว
เราก็เลยเอา md5 เทียบ เอาผลมาเลย

น่าแลปก มี Process รันไม่กี่ตัวเองแฮะ

พอเข้ามาดูรายละเอียด ..  ก็เจอว่า มันโดนดักตั้งแต่ Process แรกแล้วนี่นา
Antivirus เจอเพียบเลย

Process ที่เหลือที่ทำงานก็แค่สั่ง
net stop ซึ่งไปสั่ง  net1 stop ต่ออีกที
แล้วก็มีการเรียกตัวเองรันอีกรอบนึง  (แต่ก็โดนantivirus ตัดตอนอีกรอบอยู่ดี)

ผลก็เลยไม่ได้อะไรเลย

ลองไปดูใน ThreatExpert มั่ง
http://www.threatexpert.com/report.aspx?md5=62e4a7ea9ddbdfac04873609df5da275


 Threat Expert บอกว่า อันตรายเพราะ..
มีการต่อไป IRC server
มีการส่งข้อมูลออกนอกเครื่อง
มีการดาวน์โหลดไฟล์
มีการแก้ Registry
มีลักษณะที่เป็นอันตราย  ***

ตรงนี้บอกชัดเลยว่าเป็น bot/trojan และมีการแก้ไขไฟล์ต่างๆดังนี้

นอกจากนี้ก็คือทำตัวเหมือนกับ ตัวเก่า
ปลอมตัวเป็น nvidia driver, ปิด windows update, ฝังตัวเองให้รันตอนเปิดเครื่อง
แล้วก็เรียกหน้าเวปมากมาย เพื่อทั้งเจาะข้อมูล และ หาที่ๆจะไปต่อ
และก็ต่อ IRC กลับไปเหมือนเดิม

น่าสนใจตรง IP ที่มี port=1234 เนี่ยแหละ  เอาไปเช็คดูแล้ว มาจาก มาเลเซีย แฮะ (ของอีกตัว ตัวเก่ามาจากอเมริกา)


พอมาดูที่ VirusTotal บ้าง
http://www.virustotal.com/file-scan/report.html?id=8cd44fcc3533c9addc52f1b50ab71a176a1b82f6e4ef57f179ed286117147a3d-1287492901

จากเดิมที่ antivirus ตรวจเจอ 9/43  ว่าเป็น GenPack:Trojan.IRCBot.ZR
แต่คราวนี้ ตรวจเจอตั้ง 16/43  แถมส่วนใหญ่ตรวจเจอว่าเป็น GenPack:Generic.Malware.SFYdC.3AD41368
ดูท่าทางตัวนี้จะอ่อนกว่าอีกตัวแฮะ เจอตั้ง 16 ยี่ห้อจาก 43 ยี่ห้อ


แต่.. antivirus เหล่านี้ก็ยังตรวจไม่เจออยู่ดี
McAfee, Kaspersky, Symatec, TrendMicro, Sophos


No comments:

Post a Comment