Pages

10/17/2010

Malware จาก Facebook

ในที่สุดก็ได้มาซักทีไวรัสตัวนี้  ในที่สุดก็มีคนส่งLinkมาให้ทางFacebook (ตอนนี้ใช้Linuxเลย ใช้Empathyอยู่)

มาถึงก็ Foto http://google-pics.com/image_id.php?=.... เลย
ลองเอาhostnameมาตรวจกับwho.is ก็เจออะไรฮาๆ
Google-pics.com เนี่ยนะ  แต่ทำไม dns,mail,address ชี้ไปหา Yahoo! หมดเลยล่ะ
หรือว่าสองบริษัทนี้ควบรวมกันตั้งแต่เมื่อไหร่?  ฮ่าๆๆๆ


พอกดเปิดลิงค์นั้นเข้าไปปุ๊ป  ขึ้นไฟล์มาให้โหลดเลย  ชื่อ
P1753577.JPG-www.facebook.exe
เอาล่ะ ดูน่าสนใจดีนะ เหมือนจะเป็นไฟล์รูปเพราะมี .JPG ซะด้วย แถมต่อท้ายว่ามาจากfacebook
(ถ้าไม่มอง extensionต่อท้ายว่าเป็น exe คนทั่วไปก็คงโหลดไปแล้ว
เพราะเดี๋ยวนี้ www นอกจากจะมี dot com แล้ว เดี๋ยวนี้มี dot exe แล้วด้วย ฮ่าๆ)

ว่าแล้วก็....โหลด โลดดดดดด

เลยได้ไฟล์ส่งไปให้ cwsandbox ลองเทสต์ให้
รอนานมากเลยคราวนี้ กว่าจะได้ผลมา
ผลเต็มๆอยู่ link นี้ http://www.sunbeltsecurity.com/cwsandboxreport.aspx?id=12067447&cs=14AE20682B681145080C6A78B789D0E0
แต่จะเอามาเขียน เท่าที่พอรู้ละกัน  งูๆปลาๆ กันไป


หน้าแรก
เปิดมาหน้าแรกก็อึ้งแล้ว ไฟล์เดียว มี main process ตั้ง4ตัว แถมยังมี spawned process อีกมาตั้ง 19 ตัว



หน้าสอง
หน้าสองแสดงรายละเอียดว่าเวลารันไฟล์นี้แล้วมันทำไรบ้าง (เอาเฉพาะที่น่าสนใจมาละ)

Process ID 352, File Name: explorer.exe http://browseusers.myspace.com/Browse/Browse.aspx, File Name Hash: hash_error.
Process ID 428, File Name: sc config MsMpSvc start= disabled, File Name Hash: hash_error.
Process ID 428, File Name: sc config MsMpSvc start= disabled, File Name Hash: hash_error.
Process ID 456, File Name: net stop, File Name Hash: hash_error.
Process ID 576, File Name: net1 stop MsMpSvc, File Name Hash: hash_error.
Process ID 928, File Name: net stop MsMpSvc, File Name Hash: hash_error.
Process ID 940, File Name: net stop wuauserv, File Name Hash: hash_error.
Process ID 996, File Name: netsh firewall add allowedprogram 1.exe 1 ENABLE, File Name Hash: hash_error.
Process ID 1004, File Name: C:\12067447.exe, File Name Hash: 08C4B8BA002652BBF4D90067A8017E003212E097.
Process ID 1064, File Name: net1 stop, File Name Hash: hash_error.
Process ID 1212, File Name: C:\Program Files\Internet Explorer\IEXPLORE.EXE -Embedding, File Name Hash: 9E6DCB2F20C3C667AB9309A3121C40002AB5BC07.
Process ID 1296, File Name: netsh firewall add allowedprogram 1.exe 1 ENABLE, File Name Hash: hash_error.
Process ID 1400, File Name: net1 stop wuauserv, File Name Hash: hash_error.
Process ID 1420, File Name: sc config wuauserv start= disabled, File Name Hash: hash_error.
Process ID 1604, File Name: C:\WINDOWS\system32\cmd.exe, File Name Hash: 2751DD6A00570674F0080506F4B6C600B64FDB50.
Process ID 1612, File Name: net stop, File Name Hash: hash_error.
Process ID 1640, File Name: net1 stop, File Name Hash: hash_error.
Process ID 1828, File Name: C:\WINDOWS\system32\cmd.exe, File Name Hash: 2751DD6A00570674F0080506F4B6C600B64FDB50.
Process ID 1964, File Name: C:\Program Files\Internet Explorer\iedw.exe -h 1364, File Name Hash: 9FC53B5700DB117E0EE701392EDE4E0032635048.
Process ID 2024, File Name: C:\12067447.exe, File Name Hash: 08C4B8BA002652BBF4D90067A8017E003212E097.
Process ID 2032, File Name: C:\WINDOWS\system32\rundll32.exe, File Name Hash: 8F5576C400BCA32982A2003396ABA600A90A8D28.

เหอๆๆ  มีแต่คำสั่ง ตัดเน็ต มีคำสั่งแก้ Windows Firewall ให้โปรแกรมตัวเองผ่าน
มีการเรียกใช้ internet explorer, cmd, explorer, rundll32  แต่ละตัวอันตรายทั้งนั้น
แถมมีการสร้างไฟล์เข้าไปวางที่ไดร์ฟ C:\ กับ C:\Windows ได้อีก อะไรจะขนาดนั้น


หน้าสาม
หน้าสามแสดงว่าโปรแกรมนี้มีการทำงานอะไรกับhard disk บ้าง
ดูน่าสนใจดีมากว่า มันสร้างและเรียกไฟล์อะไรขึ้นมาใช้บ้าง
ยกตัวอย่างเช่น
Process ที่ 4
สร้างไฟล์ nvsvc32.exe (เนียนเป็น Nvidia driver เลย) แถมเอาไว้ที่ C:\WINDOWS !!!! เอาไปไว้ได้ไง????
สร้างไฟล์ 12067447.exe เอาไปไว้ที่ C:\     นี่ก็เหมือนกันทำได้ไงเนี่ย!?!?


หน้าสี่
มาดู Registry Activity ต่อ

ที่ Process แรกๆ มีการเรียกใช้ Registry จาก Media Player (คาดว่าจะมีการเจาะเข้าที่ช่องโหว่แถวๆนั้น)

ที่ Process #4 มีการตั้งค่าให้ Firewall อนุญาตให้โปรแกรมอันตราย(ที่เพิ่งสร้างขึ้น) ออกเน็ตได้
และยังมีการตั้งค่าให้ โปรแกรมอันตรายที่ชื่อ nvsvc32.exe ที่มันเพิ่งสร้าง  เข้าไปอยู่ใน RUN เพื่อให้โปรแกรมตัวนี้รันทุกครั้งที่เปิดเครื่องด้วย!!!
น่ากลัวมั๊ยล่ะ  แถมรันมาแล้วเรายังนึกว่ามันเป็น NVIDIA Driver Monitor ด้วยสิ เครียดไปใหญ่
(แต่คาดว่าคงหลอกคนใช้การ์ดจอค่ายอื่นไม่ได้ 555)

ที่ Process #5 มีการแก้ไขอีกที่ eappcfg

"A creates additional registry values and related data that may redirect the Windows software trace preprocessor (WPP) that traces driver operation to direct trace output to the console instead of an event trace log" จาก http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Worm:Win32/Lamin.A
แปลว่า  ตั้งค่าให้โปรแกรม Windows Software Trace Preprocessor ที่จะค้นข้อมูลของdriverแต่ละตัวนั้น
แสดงผลออกไปที่ Console แทนที่จะแสดงผลออกที่ event log ซึ่งเราสามารถเปิดดูได้ทีหลัง
ทีนี้ เกิดerrorในการค้นหาไดร์เวอร์นั้นเมื่อไหร่ เราก็ไม่รู้เลย  เราก็จะนึกว่าไดว์เวอร์นี้ถูกต้อง


Process #12 ทำเหมือน Process #5

Process #17 มีการลบการส่ง Error Report ของโปรแกรม PCHealth ด้วย




หน้าห้า
มาต่อกันที่ Network Activities
มีแค่ 4 processes เท่านั้นที่ใช้เน็ตแฮะ
แต่มีแค่ process เดียวที่น่าสนใจ

เห็นๆเลยว่า ใช้ XSS (Cross Site Scripting) แน่ๆ
มีการต่อไปที่ 174.37.200.82 ก่อน  แล้วจึงโดน HTTP Response ว่า Reload
ให้ไปเข้า www.facebook.com/home.php
โชคดีว่าเครื่องที่ทดสอบไม่มีaccount ของ facebook ไม่งั้นคงจะมีอะไรให้ดูมากกว่านี้
พอเข้าหน้า home.php ไม่ได้ก็เลยโดน reloadอีกรอบ
แล้วก็เลยไปเข้าหน้าหลัก www.facebook.com  ถึงเห็นว่ามีการสร้างconnectionจริงๆเกิดขึ้นที่นี่

ต่อ..
จากนั้นก็มีการทำท่าจะต่อไปหลายๆ server คาดว่าจะเป็น Seed URL ของไวรัสตัวนี้
โดยมันจะมองหาแหล่งที่มันเคยเจาะไว้แล้ว และทำตัวเครื่องๆนั้นให้พร้อมรอรบ XSS ให้มันแล้ว
ในที่นี้พอเจอ 174.37.200.82 ก็เลยใช้ตัวนี้เป็นตัวหลักในการโจมตี


และในที่สุดก็สร้าง socket ต่อไปแค่ 3 ที่








อันกลางเป็นตัวทำ XSS  เพื่อต่อเข้าไปที่อันล่างซึ่งเป็น Facebook.com
แต่แล้วก็ส่งข้อมูลกลับไปให้อันแรก  เห็นแค่เลข port ก็แทบจะเดาได้แล้ว ว่าเป็นตัวร้ายแน่ๆ


เป็น requestไป อันแรก แล้วค่อย redirect ไปหา facebook จริงๆด้วย  น่าจะมีการใช้XSSหรือcookie hijacking กันตรงนี้
และยังมีการติดต่อ IRC ช่องที่ชื่อว่า #!nn! เพื่อเข้าไปลบ topic นั้นทิ้งด้วย (ไม่รู้เพราะอะไร อาจจะเพราะใช้แล้วทิ้งมั๊ง?)


ติดต่อไปที่ IP นี้ด้วยโปรโตคอล IRC ซะด้วย (ทำไมหว่า? ง่าย? plaintext?)


หน้าสุดท้าย
เป็นหน้าสรุปของทุกอย่าง
Proc#1:  C:\12067447.exe ---> net stop ---> C:\12067447.exe
Proc#2:  net stop --> net1 stop
Proc#3:  net1 stop 
Proc#4:  C:\12067447.exe ---> netsh firewall add allowedprogram 1.exe 1 ENABLE ---> C:\WINDOWS\nvsvc32.exe ---> explorer.exe http://browseusers.myspace.com/Browse/Browse.aspx 
    open file: \Device\Tcp, \Device\Ip
    copy file: C:\12067447.exe --> C:\WINDOWS\nvsvc32.exb
    C:\mtdlh.dl
Proc#5:  netsh firewall add allowedprogram 1.exe 1 ENABLE
Proc#6:  C:\WINDOWS\nvsvc32.exe --> net stop --> C:\WINDOWS\nvsvc32.exe  (Thread)
Proc#7:  explorer.exe http://browseusers.myspace.com/Browse/Browse.aspx
Proc#8:   C:\WINDOWS\system32\svchost.exe
Proc#9:  net stop ---> net1 stop
Proc#10:  net1 stop
Proc#11:  C:\WINDOWS\nvsvc32.exe ---> netsh firewall add allowedprogram 1.exe 1 ENABLE ---> net stop wuauserv ---> net stop MsMpSvc ---> sc config wuauserv start= disabled --->  sc config MsMpSvc start= disabled ---> Enum Processes (Api-function: Process32First)
  HTTP Connection to:
    http://174.37.200.82/index.php ---> www.facebook.com/home.php
  IRC connection: channel !nn!
  Services:
    open: SC MAnager, RASMAN
  create 14 threads
  impersonate users: 5 times
  created file:
     C:\windows\mdlu.dl, C:\windows\wintybrd.png, C:\windows\wintybrdf.jpg

Proc#12:  netsh firewall add allowedprogram 1.exe 1 ENABLE
   create 4 threads: 
   Services: open: SC MAnager, NapAgent
Proc#13:  net stop wuauserv ---> net1 stop wuauserv
Proc#14:  net stop MsMpSvc ---> net1 stop MsMpSvc
Proc#15:  net1 stop MsMpSvc
Proc#16:  net1 stop wuauserv
Proc#17:  C:\Program Files\Internet Explorer\IEXPLORE.EXE -Embedding ---> "C:\Program Files\Internet Explorer\iedw.exe" -h 1364
Proc#18:  C:\WINDOWS\system32\services.exe
Proc#19:  C:\WINDOWS\system32\services.exe
Proc#20:  sc config wuauserv start= disabled
Proc#21:  C:\Program Files\Internet Explorer\iedw.exe -h 1364
Proc#22:  C:\WINDOWS\system32\wbem\wmiprvse.exe -Embedding



สรุป
ไวรัส facebook ตัวนี้แพร่ทาง facebook
โดยหลอกให้ไปเข้าเวปชื่อแปลกๆ เช่น google-pics.com , web-facebook.com เป็นต้น
แล้วจะโหลดไฟล์ exe เข้ามาในเครื่อง
เมื่อเราเผลอรันไฟล์ๆนั้น  จะมีผลทำให้ไวรัสเข้าไปในเครื่อง
โดยการทำงาน(คร่าวๆ)
ทำการสร้างไฟล์ขึ้นที่ C:\ เป็นชื่อตัวเลขหมด และเริ่มพยายามที่จะย้ายตัวเองให้เป็น
ไฟล์ nvsvc32.exe ที่อยู่ใน C:\WINDOWS
โดยจะพยายามปลอมตัวไฟล์นี้ให้เป็น ไดร์เวอร์ของการ์ดจอ Nvidia
มีการตั้งให้รันทุกครั้งที่เปิดเครื่อง  แถมแก้ให้ทะลุไฟล์วอล  และปลดการตรวจจับ ปิดserviceป้องกันทั้งหมด
ปิดไม่ให้ windows update ได้ และมีการเปิดRASMAN(Remote Access Service Manager) ด้วยเพื่อใช้ในการเจาะช่องโหว่ตรงนี้เพื่อควบคุมสั่งงานเครื่องในภายหลัง
นอกจากนั้น ยังทำการเจาะเข้าทั้ง myspace / facebook เพื่อปล่อยกระจายให้เหยื่ออื่นๆอีกต่อไป
และมีการติดต่อกับ IRC ไปที่serverตัวนึงด้วย (ยังไม่รู้ว่าทำไรกันบ้าง แต่ไม่อยากตามต่อละ)


Antivirus??
เอาไปตรวจที่ virustotal ได้ผลเป็น
http://www.virustotal.com/file-scan/report.html?id=9c047d36b763f29bf601b5d89982cbf7f5e1c90cbeeebc2d2675f1863337d0a8-1287320315

ตรวจเจอว่าเป็น Trojan ชื่อ GenPack:Trojan.IRCBot.ZR
โดยAntivirusที่ตรวจเจอได้คือ
BitDefender, F-Secure, GData, McAfee, Microsoft, nProtect, Panda, Prevx, VBA32

ระวัง! Antivirus ต่อไปนี้ยังตรวจไม่เจอ (ณ วันที่ 17 October 2010)
AntiVir, Avast, AVG, Comodo, Kaspersky, NOD32, PCTools, Symantec, TrendMicro, และผองเพื่อน


วิธีป้องกัน  ทั่วๆไป ก็ ... ดู URL ดีๆ อย่าไปเปิดสุ่มสีสุ่มห้า,  เห็นไฟล์แปลกๆมาให้เช็คก่อน
อัพเดต antivirus และอาจจะต้องเปลี่ยน Antivirus ไปเป็นที่ๆ มันตรวจเจอ


Good Luck

No comments:

Post a Comment