Malware lây qua Skype

256

Link file IMG054503502016-JPG.scr là installer.

Malware:

–          Kiểm tra máy ảo,sanbox (tìm kiếm các dll,string hay có trong máy ảo), các phần mềm netmonitor wireshark,WPE (tìm kiếm các process liên quan). Để chống debug/phân tích.

–          Copy bản thân, sửa tên thành winmgr.exe đưa vào thư mục windows\M-50504503050608435754850840840, tạo process mới,xóa file cũ.

–          Dựa vào các tùy chọn cài đặt mà disablecmd,disable taskmanager.

–          Inject file exe chính trong resource vào 1 trong các process vbc.exe, regasm.exe, AppLaucher.exe, svchost.exe,(kỹ thuật tạo process,supend, rewrite,resume thread)

 

USB:

Tạo ra các file Manager.js (hoặc Manager.bat), DeviceManager.bat, Autorun.inf, Manager.exe

Khi chạy hoạt động tương tự installer của skype.

ZIP, RAR Lây thêm file README.txt.scr vào các file zip rar, là installer có nội dung tương tự của skype.

 

Phát hiện:

Dùng chung mutex tên t13 để kiểm tra không chạy trùng.

 

Sơ lược một số hoạt động chính:

Kiểm tra máy áo, các phần mềm debug monitor ……. nếu có thì xóa dấu vết với file .bat có tên ngẫu nhiên.

Thêm chương trình vào danh sách cho phép trong registry của firewall windows

Reg: HKLM,”SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\ FirewallPolicy\StandardProfile“,

Path %windows%\M-50504503050608435754850840840\winmgr.exe

Name: “MICROSOFT WINDOWS MANAGER”

Đăng ký khóa registry khởi động theo máy với file winmgr.exe

HKLM(CU)\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN; tên: “MICROSOFT WINDOWS MANAGER”

Disable windefend server

 

Có 4 thread hoạt động chính:

1 thread kiểm tra có usb cắm vào hay k rồi lây lan bằng cách tạo các file Manager.js (hoặc Manager.bat), DeviceManager.bat,Autorun.inf, Manager.exe vào usb

1 thread tìm các file zip,rar thêm README.txt.scr vào

1 thread tìm kiếm các trình debug, netmonitor liên tục, đề ngừng hoạt động, tự xóa ngay lập tức nếu phát hiện

1 thread Connect bằng socket đến một IRC server

 

Tạo chuỗi định danh cho máy dạng:

Nước|PB HDH| A(admin)/U(user)| + chuỗi  ngẫu nhiên

VD: |USA|W7|64|U|uggzrxq

Chuỗi sử dụng làm id trong kênh liên lạc IRC

Dùng socket gửi các chuỗi lệnh cơ bản để tạo kết nội với IRC như: NICK, USER, JOIN, PING, PONG.

Hoạt động là đăng ký id với chuỗi đã tạo trong kênh irc, join vào #trik.

 

Vòng lặp chờ lệnh từ IRC với các mã lệnh:

001 Yêu cầu client vào phòng #trik

PING : yêu cầu client Pong trả lời để xác định.

443 : Tạo lại chuỗi định danh, đăng  ký lại tên trong IRC

322,PRIVMSG: Mã lệnh với yêu cầu thực thi các công việc như:

x = download , execute 1 file nữa.

u = update, tương tự x

f= ddos

 

Tìm kiếm, Phát hiện:

Xác định máy nhiễm:

Tìm mutex tên t13 là chính xác nhất.

Tìm file winmgr.exe

HKLM(CU)\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN; tên: “MICROSOFT WINDOWS MANAGER”

Tìm file: %windows%\M-50504503050608435754850840840\winmgr.exe

Tìm trong usb các file: Manager.js(hoặc Manager.bat),DeviceManager.bat,Autorun.inf, Manager.exe

Tìm trong các file zip,rar file: README.txt.scr

 

Phương pháp xử lý thủ công:

– Disable khóa registry RUN của mã độc, khởi động lại máy, xóa các file liên quan.

– Với usb thì xóa các file có liên quan.

– ZIP RAR cần tool tự động.

 

VÌ CÓ LỆNH DOWNLOAD,EXECUTE THÊM CÁC FILE KHÁC NÊN KHÔNG THỂ XÁC ĐỊNH RÕ RÀNG TRÊN CÁC MÁY CÓ NHIỄM THÊM MÃ ĐỘC GÌ KHÔNG CẦN KIỂM TRA KỸ LẠI CÁC MÁY ĐÃ NHIỄM 

Hà Văn Cường – ANTT – VTC INTECOM