Πρόσφατα έλαβα ένα mail από ένα λογαριασμό από την contact list μου. Φαινομενικά το μήνυμα ήταν ασφαλές προερχόταν από κάποιο γνωστό μου. Στην πραγματικότητα όμως ήταν ένα spam mail το οποίο με προέτρεπε να κατεβάσω ένα *.exe το οποίο θα εγκαθιστούσε ένα κακόβουλο πρόγραμμα αν το έτρεχα.
Το mail έφτασε σε μένα με τον εξής τρόπο:
Αρχικά η φίλη από την οποία το έλαβα, είχε πάρει το ίδιο μήνυμα από κάποιο δικό της γνωστό. Κατέβασε και έτρεξε το πρόγραμμα το οποίο εγκαταστάθηκε στον υπολογιστή της. Έπειτα έτρεξε τον messenger και προσπάθησε να κάνει login κανονικά με τον windows live λογαριασμό της. Η προσπάθεια ήταν ανεπιτυχής, ο κωδικός όμως του λογαριασμού της είχε αποκαλυφθεί και χρησιμοποιήθηκε για την εξάπλωση του προγράμματος στέλνοντας το ίδιο mail στην contact list της φίλης μου (όπου υπήρχε και το δικό μου e-mail). Επίσης χρησιμοποιήθηκε για αυτόματη αποστολή spam μηνυμάτων στο msn.
Εδώ σας παρουσιάζω το περιεχόμενο του mail:
Ólha as fotos estao tudo ae…
pelo amor de deus nao mostra pra ninguem
so to passando pra voce vou confiar…
vejas as fotos.
Το οποίο θα πει με την αυτόματη μετάφραση από Πορτογαλικά σε Ελληνικά:
Ólha οι φωτογραφίες όλων των ε…
την αγάπη του Θεού, μην πάρετε κανείς δεν δείχνει
ώστε να περάσουν, θα αναθέσει σε σας…
δείτε τις φωτογραφίες.
Όχι οτι κατάλαβα αλλά δεν έχει σημασία. Στο τέλος του μηνύματος υπήρχε ένα link, το οποίο είναι και αυτό που μας ενδιαφέρει… Δεν θα δώσω τη διεύθυνση για ευνόητους λόγους… Πατώντας το ο browser με ειδοποιεί πως πάω να κατεβάσω ένα αρχείο με όνομα fotos.exe το οποίο και κατεβάζω για να συνεχίσω αυτό το άρθρο.
Το αρχείο έχει μικρό μέγεθος και είναι προφανώς ένας downloader για το κυρίως πρόγραμμα. Δε θα προχωρήσω σε reverse engineering ανάλυση, γιατί ούτε είμαι ο κατάλληλος ούτε είναι σκοπός του άρθρου τέτοιου είδους εμβάθυνση. Θα ήθελα όμως να σημειώσω πως το exe είναι packed με μια από τις εκδώσεις του γνωστού packer aspack. Οι packers είναι νόμιμα προγράμματα τα οποία κατά βάση συμπιέζουν εκτελέσιμα αρχεία τα οποία μετά τη συμπίεση συνεχίζουν να είναι εκτελέσιμα και να λειτουργούν κανονικά. Η συχνή χρήση τους σε κακόβουλα προγράμματα οφείλεται στους παρακάτω λόγους:
-με τη συμπίεση μειώνετε προφανώς το μέγεθος του αρχείου και αυξάνεται έτσι η ταχύτητα μεταφοράς του
-δυσκολεύει ελαφρώς την reverse engineering ανάλυση
-αυξάνει ελαφρώς τις πιθανότητες το αρχείο να μην εντοπιστεί από κάποιο antivirus αφού αλλάζει το περιεχόμενο του αρχείου
Τα δύο ελαφρώς που διαβάσατε οφείλονται στο γεγονός πως μετά την εμφάνιση κάποιου packer παρουσιάζεται τις περισσότερες φορές και ο αντίστοιχος unpacker του οποίου η δουλειά είναι προφανής. Επίσης κυκλοφορούν προγράμματα τα οποία αναγνωρίζουν αν κάποιο αρχείο είναι packed, την έκδοση του packer και κάποια από αυτά προτείνουν και τον κατάλληλο unpacker. Η όλη διαδικασία έχει ενσωματωθεί σε όλα τα σοβαρά antivirus τα οποία κάνουν unpack τα πακεταρισμένα αρχεία προτού τα ελέγξουν.
Παρακολουθώντας τώρα το registry, το δίσκο και το δύκτιο με εργαλεία monitoring τρέχουμε το fotos.exe. Το αρχείο αντιγράφει των εαυτό του στο φάκελο c:\windows\system και δημιουργεί ένα κλειδί στο registry για να εκτελείται το αρχείο κατά την εκκίνηση των windows. Κατεβάζει από κάποιο ip πέντε αρχεία και τα αποθηκεύει στο φάκελο c:\Program Files\GbPluggin. Tο ip είναι βραζιλιάνικο και πιθανό να εξηγεί και τα πορτογαλικά στο mail…
Τα αρχεία έχουν τα παρακάτω ονόματα:
gbiehdst.dll
gbppsv.exe
gbplib.dll
gbppdist.dll
svchost
Το exe και κάποια από τα dll είναι επίσης packed.
Το svchost παραπέμπει στο γνωστό svchost.exe το οποίο είναι αρχείο του συστήματος των windows και χρησιμοποιείτε πολύ συχνά από malware.
Αφού κατεβούν τα αρχεία το πρόγραμμα δημιουργεί ένα ένα MSDOS.INI στο φάκελο c:\ και ένα στο φάκελο στον οποίο βρίσκεται και το ίδιο del.bat το οποίο και τρέχει στο τέλος. Το del.bat περιέχει τις εντολές:
@ECHO OFF
: INICIO
IF EXIST «(Η τοποθεσία του αρχείου)\fotos.exe» GOTO DELAPP ELSE GOTO DELBAT
: DELBAT
DEL «‘(Η τοποθεσία του αρχείου)\del.bat»
: DELAPP
DEL «(Η τοποθεσία του αρχείου)\fotos.exe»
DEL «c:\windows\system\fotos.exe»
DEL «c:\windows\sharedapp.reg»
GOTO INICIO
(για περισσότερα περί bat αρχείων διαβάστε εδώ)
Το αρχείο bat προφανώς χρησιμοποιείται για την αυτοκαταστροφή του fotos.exe, το οποίο σκοπό είχε όπως προείπα να κατεβάσει το βασικό πρόγραμμα και δεν είναι πλέον χρήσιμο. Η δυσκολία που υπάρχει το ίδιο το αρχείο που εκτελείται να διαγράψει τον εαυτό του οδηγεί στη δημιουργία αυτού του .bat το οποίο εκτελείται στο τέλος, σβήνει το fotos.exe και έπειτα τον εαυτό του.
Η προηγούμενη αντιγραφή του fotos.exe στο c:\windows\system από όπου θα εκτελούνταν κατά την εκκίνηση προφανώς θα χρησίμευε στην περίπτωση που δεν ολοκληρωνόταν το download των αρχείων και πιθανών σε αυτήν την περίπτωση να παραλειπόταν η διαδικασία του del.bat.
Αν τώρα τρέξουμε το gbppsv.exe, επιχειρεί μια εξωτερική σύνδεση με κάποιο βραζιλιάνικο ip και πάλι…