02.05.2013, 12:50
Poszukując próbkę w sieci trafiłem na nowe mutageny znanego robaka Gamarue .
Wirus ten jest bardzo popularny wśródtypowych domowych infekcji. Rozprzestrzenia się za pomocą USB, infekuje system ofiary, a następnie łączy się z podejrzanymi hostami oraz pobiera kolejne szkodliwe elementy.
Pomimo upływu czasu, adresy z jakimi się komunikuje ciągle są aktywne!
Trochę o zagrożeniu:
Gamaruerozprzestrzenia się za pośrednictwem zestawu exploitów np.Blacole,e-mail spamu np.jako załącznik.
Win32/Gamaruetworzy nową instancję jednego z następujących plików i wstrzykuje swój ładunek do nowego procesu:
%SystemRoot%\system32\svchost.exe
%SystemRoot%\system32\wuauclt.exe
Jeśli Win32/Gamaruedziała z uprawnieniami administratora, może kopiować się do następujących lokalizacji:
%USERPROFILE%\Local Settings\Temp
%ALLUSERSPROFILE%\Local Settings\Temp
Pliki kopiowane do folderów mogą mieć losową nazwę i korzystać z takich rozszerzeń jak np.
.bat
.cmd
.com
.exe
.pif
.scr
Zaobserwowano również kradzież następujących informacji z komputera ofiary jak np.
Informacje o systemie operacyjnym
IP adres
Numer seryjny woluminu
Jak również
W zależności od wariantu potrafi zbierać dane użytkownika potrzebne do logowania się w serwisach internetowych oraz może wykradać dane bankowości elektronicznej.
Następnie kontaktuje się ze zdalnymi hostami jak np.
zaletelly06.be
zaletelly07.be
napasaran.ru
loshatemikontara551.ru
Za pomocą zdalnego dostępu atakujący może również wykonać szereg różnych czynności.
Gamaruekomunikując się ze zdalnym serwerem zgłasza zainfekowanie danego komputera w celu pobrania kolejnych wariantów malware,są to:
Worm:Win32/Gamarue.Ozawiera kod, który jest ładowany i wykonywany przez Worm:Win32/Gamarue.N ,
z kolei Gamarue.Nsprawdza czy jest w systemie już desktop.ini( dodatkowy element wirusa), jeśli tak, to jest wykonywany kod w celu rozprzestrzenienia się na nośniki wymienne.
Co się tyczy wglądu na dyskach przenośnych,to różne pliki świadczą o różnych odmiennych infekcjach znajdujących się na nich.
~ $ Wb.usbdrv, wykrywany jako Worm: Win32/Gamarue.N
desktop.ini, wykrywany jako Worm: Win32/Gamarue.O
thumbs.db, wykrywany jako TrojanDropper: Win32/Gamarue
USB (1GB) lnk . , wykrywany jako Worm: Win32/Gamarue.gen lnk
Dynamiczna analiza zagrożenia zawartego poniżej:
[malware]
Wirus ten jest bardzo popularny wśródtypowych domowych infekcji. Rozprzestrzenia się za pomocą USB, infekuje system ofiary, a następnie łączy się z podejrzanymi hostami oraz pobiera kolejne szkodliwe elementy.
Pomimo upływu czasu, adresy z jakimi się komunikuje ciągle są aktywne!
Trochę o zagrożeniu:
Gamaruerozprzestrzenia się za pośrednictwem zestawu exploitów np.Blacole,e-mail spamu np.jako załącznik.
Win32/Gamaruetworzy nową instancję jednego z następujących plików i wstrzykuje swój ładunek do nowego procesu:
%SystemRoot%\system32\svchost.exe
%SystemRoot%\system32\wuauclt.exe
Jeśli Win32/Gamaruedziała z uprawnieniami administratora, może kopiować się do następujących lokalizacji:
%USERPROFILE%\Local Settings\Temp
%ALLUSERSPROFILE%\Local Settings\Temp
Pliki kopiowane do folderów mogą mieć losową nazwę i korzystać z takich rozszerzeń jak np.
.bat
.cmd
.com
.exe
.pif
.scr
Zaobserwowano również kradzież następujących informacji z komputera ofiary jak np.
Informacje o systemie operacyjnym
IP adres
Numer seryjny woluminu
Jak również
W zależności od wariantu potrafi zbierać dane użytkownika potrzebne do logowania się w serwisach internetowych oraz może wykradać dane bankowości elektronicznej.
Następnie kontaktuje się ze zdalnymi hostami jak np.
zaletelly06.be
zaletelly07.be
napasaran.ru
loshatemikontara551.ru
Za pomocą zdalnego dostępu atakujący może również wykonać szereg różnych czynności.
Gamaruekomunikując się ze zdalnym serwerem zgłasza zainfekowanie danego komputera w celu pobrania kolejnych wariantów malware,są to:
Worm:Win32/Gamarue.Ozawiera kod, który jest ładowany i wykonywany przez Worm:Win32/Gamarue.N ,
z kolei Gamarue.Nsprawdza czy jest w systemie już desktop.ini( dodatkowy element wirusa), jeśli tak, to jest wykonywany kod w celu rozprzestrzenienia się na nośniki wymienne.
Co się tyczy wglądu na dyskach przenośnych,to różne pliki świadczą o różnych odmiennych infekcjach znajdujących się na nich.
~ $ Wb.usbdrv, wykrywany jako Worm: Win32/Gamarue.N
desktop.ini, wykrywany jako Worm: Win32/Gamarue.O
thumbs.db, wykrywany jako TrojanDropper: Win32/Gamarue
USB (1GB) lnk . , wykrywany jako Worm: Win32/Gamarue.gen lnk
Dynamiczna analiza zagrożenia zawartego poniżej:
[malware]
[Aby zobaczyć linki, zarejestruj się tutaj]
pass. sg [/malware]Kod:
Created process: C:\Users\tachion\AppData\Local\Temp\MSI\msiexec.exe, "C:\Users\tachion\AppData\Local\Temp\MSI\msiexec.exe" , C:\Users\tachion\AppData\Local\Temp
Created process: C:\Users\tachion\AppData\Local\Temp\Peqeguteli.exe, "C:\Users\tachion\AppData\Local\Temp\Peqeguteli.exe" "C:\Users\tachion\Desktop\gamarue\AB981DF9F4CF57FEB4DC35FA5A3AC473.exe" , C:\Users\tachion\AppData\Local\Temp
Created process: C:\Users\tachion\AppData\Local\Temp\qejezirafil.exe, "C:\Users\tachion\AppData\Local\Temp\qejezirafil.exe" "C:\Users\tachion\AppData\Local\Temp\MSI\msiexec.exe" , C:\Users\tachion\AppData\Local\Temp
Created process: null, "C:\Users\tachion\AppData\Local\Temp\MSI\msiexec.exe" , null
Created process: null, "C:\Users\tachion\Desktop\gamarue\AB981DF9F4CF57FEB4DC35FA5A3AC473.exe" , null
Created process: null, C:\Windows\system32\wuauclt.exe, null
Decrypted data
Defined file type created: C:\Users\tachion\AppData\Local\Temp\sd987sd9898798798kjlk.ini
Defined file type created: C:\Users\tachion\Local Settings\Temp\mscwzac.com
Defined registry AutoStart location created or modified: user\current\software\Microsoft\windows nt\currentversion\windows\Load = C:\Users\tachion\LOCALS~1\Temp\mscwzac.com
Hid file from user: C:\Users\tachion\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
Hid file from user: C:\Users\tachion\Local Settings\Temp\mscwzac.com
Hide OS protected files: user\current\software\microsoft\windows\currentversion\explorer\advanced\showsuperhidden = empty value key
Internet connection: C:\Windows\System32\wuauclt.exe Connects to "195.22.26.231" on port 80 (TCP - HTTP)
Internet connection: C:\Windows\System32\wuauclt.exe Connects to "217.23.11.124" on port 80 (TCP - HTTP)
Show hidden files and folders: user\current\software\microsoft\windows\currentversion\explorer\advanced\hidden = 00000002