Marc Blanchard Virus Docteur

Ce code sous forme de fichier exécutable, permet à un pirate d’ouvrir des connexions à distance sur un ordinateur, victime d’avoir exécuter ce code.

Il fait partie de la famille de codes malicieux nommée BackDoor.Poison.63.

L'executable étudié n’est qu’en fait une partie du code malicieux, car pour permettre la prise de main à distance, il est nécessaire d’avoir un programme client et un programme serveur.

Le serveur est celui qui s’installe sur l’ordinateur de la victime

Le client est celui qui est installé sur l’ordinateur du pirate

Il contourne les parefeux des postes victimes.

Toutes les connexions, lors des prises de mains a distances sont encryptées avec une technique appelée CAMELLIA en 256 bits.

Le code serveur est développé en langage assembleur (donc très petit environ 5Ko), tandis que le code client est développé en Delphi (langage évolué). Le code serveur s’installe sur les operating systems Windows y compris XP, Vista en 32bits ou 64 bits.

Une technologie de keylogger (écouteur de clavier) a été intégré au code serveur, permettant une écoute quasi-permanente de ce que tape au clavier la victime. Cette technologie permet ainsi de récupérer tous les mots de passes de internet explorer, firefox, msn, etc.

Cette technique a été également ajoutée une possibilité de lancer la webcam de la victime de facon invisible et d’enclencher le microphone de l’ordinateur, permettant ainsi un espionnage complet.

Il ne faut pas se fier au nom, car le pirate peut générer le nom du programme comme il le souhaite, comme nous le montre la copie écran ci-dessous :

Comme on peut le constater, ce code possède également des actions de polymorphismes (changement d’actions, de code, de méthodes d’implémentation dans le système alèatoire, etc).

Le pirate peut également demander à son code d’utiliser des serveurs proxys y compris les proxys génériques Socks 4 et Socks5 extérieurs ou DNS afin d’être certains de pouvoir accéder au poste de sa victime.

La victime n’a pas besoin d’être administrateur de son poste, simple utilisateur suffit car les implémentations de ce code sont possible dans la registre de l’utilisateur

Ce code est capable d’établir des connexions en tant que redirection de port et d’écouter le traffic sur le réseau local la victime est connecté pour espionnage l’ensemble du parc informatique.

Voici le phénotype de ce code :

Comme on peut le constater, de nombreuses technologies de polymorphies sont utilisées ainsi qu’une multiplication des technologies ont été insérées dans ce code qui se veut très intrusif.

Voici la description du Phénotype :

Ty-6;Backdoor

Ty-15;Keylogger

Ty-25;ACTIVEX

Ty-32;SPYWARE

Ty-35;Drop de fichiers sains par sous appel (ex:svchost.exe virus.exe)

Pg-72;Open Door

Pg-81;Rebond TCPIP LSASS/RPC

Pg-90;Download via other malware

Cm-265;Complexite Niveau 3 (Difficile)

Pi-267;Perception Infection Niveau 2 (Peu percevable pour l'utilisateur)

Ne-269;Niveau d'Emergence Niveau 1 (Faible)

OS-130;Windows ALL

%SYS%\svchost.exe

Ex-194;Exploit OS

Ex-195;Exploit Application

Te-231;Scan Reseau

Te-238;Autre Server charge sur la victime

Te-239;BOT

Te-240;Modular

Te-241;Stealth

Te-242;Polymorphique

Te-243;Encryptage de donnees

Te-245;MUTEX

Te-246;File creation

Te-250;CPU Analysis

Te-252;PE

Te-261;Residant en memoire

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{2B81DA45-7941-1AAB-0607-050404050708} "StubPath"

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{255959D1-EAA2-3478-0804-030805050803} "StubPath" data: C:\WINDOWS\System32\svchost.exe

Nota: svchost.exe dans cette clef peut changer en function de la volonté du pirate.

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{112B7F82-1892-E4D0-0602-070704020806} "StubPath"

2009 commence avec une infection dite fulgurente avec Autorunner.5555 alias confiker / kido / Worm_DOWNAD.

Ce storm worm utilise toutes les technologies les plus récentes, en utilisant, entre autres, les compétences transversales, complexifiant ainsi ses méthodes de propagations, mais également ses méthodes d'infections.

Son action est en train de servir pour l'ouverture d'un réseau parallele zombie de grande ampleur.

Pour des informations sur les réseaux paralleles zombies un peu moins scientifiques, j'avais été interviewé par TiVi Pro à ce sujet: Voir la Vidéo cliquer ici !

Voici le phonotype de Autorunner.5555 alias confiker

Rapport :

OPERATING SYSTEM : OS XP OS WIN 2000 WKS OS WIN 2003 SRV OS WIN VISTA

COMMENTAIRES ANALYSTE INFECTION PAR AUTORUNNER.5555 LES CLIENTS SUBISSENT UNE INFECTION HAUTEMENT EMERGENTE

PRODUIT DE NETTOYAGE : DRWEB CUREIT

COMMENTAIRES ANALYSTE LE CLIENT NE POSSEDANT PAS D'ANTIVIRUS RESIDENT NE STOPPANT PAS LE STORM, L'INFECTION BOUCLE CAR NOTION DE MACHINES INFECTANTES ET MACHINES INFECTEES PAR REBOND

IDENTITE EGENE : AUTORUNNER.5555

CLASSIFICATION EGENE : WORM A EMERGENCE RAPIDE DUE A DES TECHNIQUES DE STORM

HOTFIX NECESSAIRE : MS-08-067 MS-08-068

TECHNOLOGIE EGENE : PROXY-DOWNLOADER VULNERABILITE OS BACKDOOR BOTNET MULTI THREADING WORM PROCESS MUTEX DOWNLOAD EXPLOIT POLYMORPHE CODE MODULAIRE SCANNER DE PORTS ZOMBIE INTEGRATION NETWORK AUTORUNNER

PROPAGATION HAUTEMENT EMERGENTE

Commentaires :

Le probleme est que si sur la machine infectée on bloque le port 445, le storm essaie via les compétences transversales d'autres ports.

On a constater des refus de connexion sur les sites de mises a jour des antivirus, mais egalement un refus de mise a jour automatique de Windows Update (normal le storm est grandement freiné par l'application des patchs MS-08-067 et 068), pour se relancer, il peut utiliser également les commandes AT, qui correspondent au planificateur de tâches.

Concernant le nettoyage : Le nettoyage est fastidieux car il doit etre tres rigoureux.

Dans un premier temps, s'assurer que le résident temps reel de l'antivirus bloque bien la tentative d'infection venant d'une autre machine.

Deuxieme temps, s'assurer que le nettoyage est bien fait, et qu'il ne reste aucune trace.

Troisieme temps, patcher avec MS-08-067 et 068

Quatrieme temps, redemarrer la machine

Cinquieme temps, verifier les regles de parefeux qui ont du etre modifiee par le storm worm quelque soit votre parefeu logiciel.

Sixiemement, rescanner avec un scanner ex:CureIt pour etre sur de la non presence entre toutes ces manipulations du storm

Septiemement, bien redemarrer la machine apres le scan du point 6.

NOTA : Ce storm est hautement polymorphe due a ses modifications de codes en temps reel (infections actives)

Par consequent, il est possible qu'apres nettoyage complet, l'antivirus réagisse de nouveau. C'EST NORMAL !!! Il s'agit en fait qu'une autre machine infectée sur le réseau tente une infection, faisant ainsi réagir le temps réel de l'antivirus....mais si votre antivirus est efficace, aucune infection devrait apparaitre dans la machine nettoyee.

Ce PhenoType est interessant dans la mesure ou peu de technologies sont embarquees mais montrent bien que les perturbations du systeme...

Voici la description du phéntotype Sohanad.dr :

Ty-7;Trojan Downloader

Ty-10;Storm Worm

Pg-61;HTTP

Pg-78;Automatic download

Pg-88;Injection HTTP

Pg-90;Download via other malware

Cm-264;Complexite Niveau 2 (Moyen)

Pi-267;Perception Infection Niveau 2 (Peu percevable pour l'utilisateur)

Ne-270;Niveau d'Emergence Niveau 2 (Moyen)

OS-130;Windows ALL

Pg-88;Injection HTTP

Pg-90;Download via autre Malware

C:\Windows\dc.exe

C:\Windows\SVIQ.EXE

C:\Windows\system\Fun.exe

Ex-182;HTTP

Ex-199;Automatic download

Ex-209;Injection HTTP

Rm-211;Requette malformee HTTP

Rm-216;Requette HTTP normalisee

Te-246;File creation

Te-247;BHO

Te-252;PE

Te-261;Residant en memoire

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\dc = "C:\Windows\dc.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\dc2k5 = "C:\Windows\SVIQ.EXE"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Fun = "C:\Windows\System\Fun.exe"

Voici ci-dessous le phénotype du malware Renos.aco qui est un storm worm utilisant plusieurs techniques.

Il se telecharge automatiquement via des sites webs publiques contamines par des ajouts de IFRAME, pour enfin pointer sur des serveurs hebergeurs du code malicieux Renos.

Description du PhénoType :

Ty-5;Trojan

Ty-7;Trojan Downloader

Ty-10;Storm Worm

Ty-36;Disable System Restore

Ty-3;Worm

Commande Non Documentee dans Base de connaissances Cariotypes de Blanchard (marc.blanchard@viruslab.ath.cx)

Ty-4;Virus

OS-130;Windows ALL

Pg-61;HTTP

Pg-78;Automatic download

Pg-84;AUTORUN

Pg-90;Download via other malware

%System%\lphc3pgj0e3ct.exe

%System%\blphc3pgj0e3ct.scr

%System%\lphc3pgj0e3ct.exe

%System%\blphc3pgj0e3ct.scr

%System%\lphc3pgj0e3ct.exe

%System%\blphc3pgj0e3ct.scr

%System%\phc3pgj0e3ct.bmp

Ex-182;HTTP

Ex-199;Automatic download

Ex-205;AUTORUN

Rm-216;Requette HTTP normalisee

%System%\lphc3pgj0e3ct.exe

%System%\blphc3pgj0e3ct.scr

%System%\phc3pgj0e3ct.bmp

Te-246;File creation

Te-249;Autorun

Te-251;desktop wallpaper change

Te-252;PE

Te-258;scr

Te-261;Residant en memoire

Te-262;Residant en memoire en mode sans echec

HKLM\SYSTEM\CurrentControlSet\Services\sr\Parameters\FirstRun = "0"HKLM\SYSTEM\CurrentControlSet\Services\sr\Start = "0"

HKLM\SYSTEM\CurrentControlSet\Services\sr\ImagePath = "\System32\DRIVERS\sr.sys"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\DisableSR = "0"

HKLM\SOFTWARE\Microsoft\Software Notifier

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphc3pgj0e3ct

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage = "1"

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage = "1"

HKCU\Software\Sysinternals\Bluescreen Screen Saver

HKCU\Control Panel\Colors\Background = "0 0 255"

HKCU\Control Panel\Desktop\ConvertedWallpaper = "%System%\phc3pgj0e3ct.bmp"

HKCU\Control Panel\Desktop\ScreenSaveActive = "1"

HKCU\Control Panel\Desktop\SCRNSAVE.EXE = "%System%\blphc3pgj0e3ct.scr"

HKCU\Control Panel\Desktop\TileWallpaper = "0"

HKCU\Control Panel\Desktop\Wallpaper = "%System%\phc3pgj0e3ct.bmp"

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\GeneralFlags = "0"

Etudes phénotypiques :

Le phénotype est l'ensemble des traits observables (propagation, méthodes d'infection, de réplication, action visibles et invisibles, dégâts, etc.) caractérisant un code malicieux donné (ex: virus, rootkit, backdoor, worm, storm,...).

Le phénotype est dépendant de l'identité des techniques utilisées par chaque egène (code malicieux) sur un ou plusieurs systèmes d'exploitations, mais l'influence du milieu se combine fortement à celui-ci pour déterminer le phénotype.

Le bénéfices de cette pratique sont les suivants :

Grande connaissance des environnements infectés ou potentiellement infectables ou sensibles à une infection

Rapprochement des phenotypes par famille afin de comparer les cyber-cariotypes qu'ils embarquent dans leur(s) code(s) malicieux.

J'ai imaginé un procédé pouvant reconnaitre aisément pendant mes recherches les rapprochements de familles de malwares. Regulièrement, ces phenotypes seront publies dans ce blog et dans cette section avec bien evidemment mes reactions par rapport a differents codes qui, pour certains pourront etre juxtaposes pour en verifier les points communs.

Je vous en dirais plus dans les posts suivants.