CSIS har modtaget flere rapporter fra mellemstore og store firmaer, som indenfor de seneste dage har oplevet at deres netværk er blevet ramt af en gammel orm i ny indpakning. Der er tale om den trussel som hedder "Vobfus" og som har tilsyneladende har kinesisk oprindelse.
Ormen hedder "Vobfus" eller "Silly", og kan sprede sig automatisk i et Microsoft Windows netværk, hvor den vil kopiere sig til delte drev, USB enheder og flytbare medier med spændende filnavne som f.eks.: "sexy.exe", "porn.exe", "secret.exe", "runme.exe", "google.com", "WINEPDATER.EXE" og "password.exe".
Den pågældende kode er polymorfisk. Det betyder at den konstant ændrer dele af dens binære struktur for bl.a. at besværliggøre antivirus detektion. På den måde vil dens MD5/SHA-1 værdi konstant ændre sig for hver gang en ny variant droppes eller kopieres til delte mapper. Det er illustreret herunder, hvor værdien i højre kolonne er MD5 sum:
Ved kørsel vil koden kopiere sig til mappen:
c:Documents and Settings[%bruger konto%]rxray.exe
Den tilføjer samtidig denne sti til registreringsdatabasen med en "runas" værdi, som sikrer at den skadelige kode køres automatisk ved en genstart af systemet:
HKCUSoftwareMicrosoftWindowsCurrentVersionRun=
c:Documents and Settings[%bruger konto%]rxray.exe /z
En del af denne orms egenskaber er at ringe hjem til flere domæner (C&C servere) hvorfra der modtages opdateringer og lækkes data til. Den vil også installere andre uønskede programmer på systemet der bl.a. kan generere med diverse pop-ups.
At den kommunikerer med central C&C server ses bl.a. herunder:
GET /xUrjkFzsuF?f HTTP/1.1
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1)
Host: 30162.ddns1.eu:443
C&C domænet oversættes til en server i Kina:
netname: CHINANET-JS
descr: CHINANET jiangsu province network
descr: China Telecom
descr: A12,Xin-Jie-Kou-Wai Street
descr: Beijing 100088
country: CN
admin-c: CH93-AP
tech-c: CJ186-AP
mnt-by: APNIC-HM
mnt-lower: MAINT-CHINANET-JS
mnt-routes: MAINT-CHINANET-JS
Programegenskaberne for den binære kode er statiske og refererer bl.a. til "saffisso" og "sporalood":
CompanyName
Camass
ProductName
sporalood
FileVersion
5.53
ProductVersion
5.53
InternalName
saffisso
OriginalFilename
saffisso.exe
Koden er udviklet i Visual Basic og kompileret med følgende tids- og datostempel: "[Mon Nov 26 19:22:54 2012 UTC]".
Vi har naturligvis allerede blokeret disse domæner i CSIS Secure DNS og Heimdal PRO og corporate.
Den skadelige kode opnår i følge Virustotal.com følgende antivirus detektion:
Agnitum - 20121127
AhnLab-V3 Worm/Win32.VBNA 20121127
AntiVir TR/Dropper.Gen 20121128
Antiy-AVL - 20121127
Avast - 20121128
AVG - 20121128
BitDefender Trojan.VB.Agent.OL 20121128
ByteHero - 20121116
CAT-QuickHeal - 20121128
ClamAV - 20121128
Commtouch W32/VB.HC.gen!Eldorado 20121128
Comodo - 20121128
DrWeb Trojan.DownLoader7.31207 20121128
Emsisoft - 20121128
eSafe - 20121126
ESET-NOD32 Win32/Pronny.IJ 20121128
F-Prot W32/VB.HC.gen!Eldorado 20121128
F-Secure Trojan.VB.Agent.OL 20121128
Fortinet - 20121128
GData Trojan.VB.Agent.OL 20121128
Ikarus Worm.Win32.Vobfus 20121128
Jiangmin - 20121127
K7AntiVirus Riskware 20121127
Kaspersky Trojan.Win32.Agent.uxpi 20121128
Kingsoft Win32.Troj.Agent.ux.(kcloud) 20121119
McAfee W32/Autorun.worm.aaeb 20121128
McAfee-GW-Edition Artemis!648CE4173E4B 20121128
Microsoft Worm:Win32/Vobfus.MB 20121128
MicroWorld-eScan - 20121128
Norman - 20121127
nProtect Trojan.VB.Agent.OL 20121128
Panda Trj/CI.A 20121128
PCTools Malware.Changeup 20121128
Rising - 20121128
Sophos Troj/Agent-ZAT 20121128
SUPERAntiSpyware Trojan.Agent/Gen-Vobfus 20121128
Symantec W32.Changeup 20121128
TheHacker - 20121127
TotalDefense - 20121128
TrendMicro WORM_VOBFUS.SMRR 20121128
TrendMicro-HouseCall - 20121128
VBA32 - 20121127
VIPRE Trojan.Win32.Generic!BT 20121128
ViRobot Trojan.Win32.A.Agent.155648.TD 20121128
↧
CSIS Nyheder: Vobfus orm snor sig
↧
