Author Topic: Virus Lab - Impariamo a riconoscere le attività dei malware  (Read 59177 times)

Offline sirio

  • Global Moderator
  • Comodo's Hero
  • *****
  • Posts: 1736
Virus Lab - Impariamo a riconoscere le attività dei malware
« on: December 22, 2008, 11:50:43 AM »
Virus Lab

Impariamo a riconoscere le attività dei malware

Ho pensato di aprire questo topic per vedere come CIS reagisce durante un'infezione reale.
Credo sia molto interessante approfondire questa cosa per capire quali sono i comportamenti tipici dei virus e di conseguenza imparare a prevenire le infezioni.

N.B. Sconsiglio vivamente di fare queste prove senza un adeguata protezione: Chi gioca col fuoco prima o poi si scotta. ;)

Ho dedicato un vecchio computer per fare questi esperimenti, quindi senza alcuna informazione personale o dati importanti.
« Last Edit: May 05, 2009, 08:42:10 AM by sirio »

Offline sirio

  • Global Moderator
  • Comodo's Hero
  • *****
  • Posts: 1736
Re: Virus Lab - Impariamo a riconoscere le attività dei malwares
« Reply #1 on: December 22, 2008, 12:02:25 PM »
TEST wmcodec_update.exe (Backdoor.Win32.Frauder)

Breve descrizione: Malware che si spaccia per un codec video, potremmo trovarlo durante la navigazione in siti poco raccomandabili come codec da scaricare per visualizzare un video.

PC dedicato per i test:

  • Windows XP sp3
  • COMODO Internet Security 3.5.57173.439 (DEFENSE+ Safe Mode)
  • Returnil Virtual System 2008 premium edition


Analisi su Virustotal http://www.virustotal.com/analisis/60781df1a5d4a8730b51850223f9253d

Report ottenuto con CIMA (COMODO Instant Malware Analysis) http://camas.comodo.com/cgi-bin/submit?file=fa987e921e61783b0d1e7794f2e89a38e93eb7ede39c6ebae0b2fb6eaaf99860

MD5 : 094fccc0a8adaf30c2a0f1d9061cc12a

Avviando wmcodec_update.exe avremo la prima richiesta del DEFENSE+ per avviare l'installazione del falso codec
successivamente avremo un'altra richiesta ci dice che l'applicazione sta tentando di avere l'accesso Service Control Manager, poi sotto nelle Security Considerations ci spiega che dando all'applicazione questa autorizzazione, essa potrà eseguire operazioni privilegiate inclusa l'installazione di alti privilegi per le applicazioni o drivers.
La terza richiesta ci chiede il permesso di creare un file in una cartella protetta dal D+
poi avremo la modifica di una chiave del registro di Windows anche questa un'azione pericolosa.

Nota: Possiamo renderci conto delle attività più pericolose quando i popups del DEFENSE+ avranno lo sfondo del titolo di colore rosso, questo per richiamare meglio la nostra attenzione.

Avremo altri 30 popups riguardo la modifica di chiavi del registro di Windows, poi apparirà un messaggio di errore
Ma in realtà è un falso errore, wmcodec_update.exe è attivo e funzionante come possiamo vedere nell'immagine seguente

A questo punto il virus si fermerà per un pò di tempo ma dopo qualche minuto il virus tenta l'accesso DNS/RPC Client Service e consentendo daremo a wmcodec_update.exe il permesso di usare l'applicazione di Windows svchost.exe per le connessioni internet. Quindi fate molta attenzione con questo tipo di richieste.

Continuando il malware ci chiede di poter eseguire 5378.exe subito dopo la modifica della chiave del registro di windows successivamente la richiesta è per la creazione di un nuovo file: 0.exe, da parte di 5378.exe e subito CAVS (COMODO Anti Viruspyware) entra in azione rilevando 0.exe come virus: "Backdoor.Win32.Frauder.fg"

Per poter proseguire ho dovuto disabilitare la protezione in real-time dell'antivirus.

5378.exe andrà avanti creando nuovi files fino ad arrivare a 7.exe dopodiché chiederà l'access the Service Control Manager per ottenere alti privilegi una volta concesso vorrà eseguire 0.exe e 0.exe vorrà eseguire dwwin.exe (una parte dello strumento di segnalazione di errore di Microsoft Doctor Watson)
e a sua volta dwwin.exe tenterà l'accesso a 0.exe caricato in memoria precedentemente accettando daremo il controllo completo all'applicazione "parent" (dwwin.exe) su quella in memoria (0.exe), poi, ancora dwwin.exe chiede l'accesso al Service Control Manager per poter poi terminare 0.exe restituendo un errore
... ma è qui l'inganno, infatti di nascosto 0.exe tenta di eseguire Microsoft Doctor Watson (drwtsn32.exe) e leggendo le considerazioni nel popup ci viene spiegato che drwtsn.exe è un file eseguibile "safe" (sicuro) però l'applicazione "parent" (0.exe) non può essere riconosciuta. Viene anche precisato che una volta eseguita l'applicazione (drwtns.exe), 0.exe avrà il controllo completo su di essa.
Infatti una volta dato il consenso possiamo vedere l'accesso in memoria da parte di drwtsn.exe che è appunto un'applicazione "safe", ergo, non riceveremo nessuna richiesta da parte del D+ (il D+ ci aveva avvisato precedentemente del pericolo - screen precedente) ma vedremo (se abbiamo attivato "Display Balloon Messages") l'accesso di drwtsn.exe in tutte le applicazioni in memoria in modalità "learning" quindi verranno create delle regole nella Computer Security Policy,
ma andiamo a controllare le regole appena createsi in "learning" .

Facendo una scansione con CAVS

Cosa ne pensate? Se avete dubbi, domande da fare sono qui.

Saluti,
sirio.  (:KWL)

Offline Jovis

  • Newbie
  • *
  • Posts: 13
Re: Virus Lab - Impariamo a riconoscere le attività dei malwares
« Reply #2 on: December 22, 2008, 02:06:55 PM »
Che è meglio passare a Linux.

Offline sirio

  • Global Moderator
  • Comodo's Hero
  • *****
  • Posts: 1736
Re: Virus Lab - Impariamo a riconoscere le attività dei malwares
« Reply #3 on: December 23, 2008, 06:32:25 AM »
Si, ok... ma che c'entra?

Ciao Jovis  :)

Offline Jovis

  • Newbie
  • *
  • Posts: 13
Re: Virus Lab - Impariamo a riconoscere le attività dei malwares
« Reply #4 on: December 23, 2008, 08:44:44 AM »
Ciao. In effetti, direttamente non c'entra niente, perciò mi scuso per la risposta provocatoria. In realtà anch'io uso Windows (oltre che Linux), ed uso Comodo! Però, con tutto questo continuo preoccuparmi per la sicurezza (settaggi, confronti, prove: per il firewall, per l'antivirus, per l'antiantispyware, per il browser, per i programmi, per...tutto) a volte mi sembra che non sia Windows (e il pc) a lavorare per me, ma il contrario, e mi capita di domandarmi se ne vale davvero la pena, ecco.

Offline sirio

  • Global Moderator
  • Comodo's Hero
  • *****
  • Posts: 1736
Re: Virus Lab - Impariamo a riconoscere le attività dei malwares
« Reply #5 on: December 23, 2008, 11:17:23 AM »
Ciao. In effetti, direttamente non c'entra niente, perciò mi scuso per la risposta provocatoria. In realtà anch'io uso Windows (oltre che Linux),...


Come tutti del resto  ;D

Quote
...ed uso Comodo! Però, con tutto questo continuo preoccuparmi per la sicurezza (settaggi, confronti, prove: per il firewall, per l'antivirus, per l'antiantispyware, per il browser, per i programmi, per...tutto) a volte mi sembra che non sia Windows (e il pc) a lavorare per me, ma il contrario, e mi capita di domandarmi se ne vale davvero la pena, ecco.

Non hai tutti i torti, bisogna preoccuparsi purtroppo... :( comunque un programma come CIS aiuta a preoccuparci di meno (B) non trovi?

Offline Jovis

  • Newbie
  • *
  • Posts: 13
Re: Virus Lab - Impariamo a riconoscere le attività dei malwares
« Reply #6 on: December 23, 2008, 05:46:59 PM »
Ma certo, Sirio, altrimenti non l'avrei scelto. Trovo il tuo topic molto interessante e utile perché, al di là del valore in sé del test effettuato, aiuta a capire il funzionamento del programma, specialmente del D+ che è certamente la sua parte più difficile da "digerire" (perfetti gli screenshot). Certo, se i messaggi fossero in (buon) italiano, ben altro successo arriderebbe a questo firewall, ma... a quanto pare per questo non c'è più speranza.

Offline sirio

  • Global Moderator
  • Comodo's Hero
  • *****
  • Posts: 1736
Re: Virus Lab - Impariamo a riconoscere le attività dei malwares
« Reply #7 on: December 24, 2008, 07:04:26 AM »
Mi fa piacere che lo trovi interessante, lo scopo è proprio quello di imparare ad usare bene il D+.

In seguito farò altre prove.

Per la traduzione.... se non ci decidiamo noi aspetteremo all'infinito ;)

Ciao. :)

Offline sirio

  • Global Moderator
  • Comodo's Hero
  • *****
  • Posts: 1736
Re: Virus Lab - Impariamo a riconoscere le attività dei malwares
« Reply #8 on: February 04, 2009, 07:44:02 AM »
Waledac Botnet come Storm Worm

"Da poco , approfittando del periodo natalizio, abbiamo assistito alla rilevante diffusione di una botnet a cui e' stato dato il nome di 'Waledac botnet' che presenta molte analogie con la ben nota Storm Worm Botnet, praticamente scomparsa sia dalla rete che dalle cronache di sicurezza informatica degli ultimi mesi.

Le analogie con la Storm Worm Botnet sono molte e riconducono al medesimo sistema utilizzato in passato e cioe' l'utilizzo di mails di spam che contengono un link a pagina con card di auguri natalizi fasulla che in realta' propone un file (card.exe o postcard.exe) che se eseguito trasformera' il pc in zombie al servizio della botnet Waledac...."

Fonte: (rimosso per motivi di sicurezza)
Aggiornamento al 04/02/2009: (rimosso per motivi di sicurezza).

Le feste natalizie sono passate e per ingannare gli utenti viene usata la festa di San Valentino.

Consiglio di non visitare i link se non siete adeguatamente protetti e meglio ancora con una macchina virtuale per evitare spiacevoli incovenienti.



Il malware è in continua evoluzione e oggi se si tenta di salvare l'eseguibile love.exe l'euristica di CAVS segnala



CIS 3.8.61948.459 Beta con Virus Signature Database Version: 9

Ho eseguito un test con un campione scaricato il 29/01/2009: youandme.exe

MD5...: 7232751c59610f4e06dd16ec9d623a79

PC dedicato per i test:

  • Windows XP SP3
  • CIS 3.8.61948.459 Beta
  • Returnil Virtual System 2008 premium edition


Analisi su virustotal: http://www.virustotal.com/analisis/fd4431961015ffae675b3d858f9f3a64

Analisi su CIMA (Comodo Instant Malware Analysis): http://camas.comodo.com/cgi-bin/submit?file=2e94ffe51012d69e3fff8330e947abe1074b6d03196f89459bac743e51f6121c

Analisi su Threatexpert: http://www.threatexpert.com/report.aspx?md5=7232751c59610f4e06dd16ec9d623a79


Una volta avviato e dato l'assenso al D+, youandme.exe esegue la prima attività pericolosa, la modifica della chiave di registro

poi chiede la connessione a diversi IP vado avanti fino ad un'altra richiesta importante che ci avvisa del pericolo

dopo viene avviato dwwin.exe (una parte dello strumento di segnalazione di errore di Microsoft Doctor Watson)

che porterà alla terminazione di TMP8.tmp continuando si nota un'intensa attività online con continue richieste del firewall....intanto youandme.exe è sempre attivo

mi fermo qui.

Possiamo vedere il processo e la chiave del registro di sistema infetti
« Last Edit: February 09, 2009, 07:23:41 AM by sirio »

Offline sirio

  • Global Moderator
  • Comodo's Hero
  • *****
  • Posts: 1736
Re: Virus Lab - Impariamo a riconoscere le attività dei malware
« Reply #9 on: September 16, 2009, 12:26:00 PM »
b.css vs CIS 3.11 e Returnil 2010 beta

Thank you Aigle for the sample.

Host: XP sp3 aggiornato
VM: VirtualBox 3.0.4.0
Guest: XP sp3 aggiornato
Suite di sicurezza: CIS 3.11.108364.552 completa - database AV 2326 - Proactive Security - Paranoid Mode a default
ISR: RVS 2010 - 3.0.5869.4905

Malware b.css MD5: 8404200644217e86445d89d1f3ae8fee

Analisi su VirusTotal: http://www.virustotal.com/analisis/f73be9f32534606b17057ebf80a3d676229e85515a4d0fb271b8717140b24c15-1253090543

Analisi su ThreatExpert: http://www.threatexpert.com/report.aspx?md5=8404200644217e86445d89d1f3ae8fee

Analisi su CIMA: http://camas.comodo.com/cgi-bin/submit?file=f73be9f32534606b17057ebf80a3d676229e85515a4d0fb271b8717140b24c15

Da quello che ho potuto notare questo malware si occupa di varie cose una volta avviato, direi... un virus molto cattivo!  :o

La protezione real-time di Comodo antivirus lo riconosce quella di Returnil 2010 beta no.

Avvio b.css da prompt dei comandi (finestra dos) e come potete vedere l'analisi euristica del D+ lo riconosce come possibile malware dato l'unico assenso per l'esecuzione, nego tutte le attività successive, eccetto l'accesso al DNS/RPC Client Service perché volevo vedere dove si collegava.

Inizia modificando una chiave protetta del registo di sistema dopo chiede privilegi di Debug crea una libreria ed inizia a modificare moltissime chiavi del registro di sistema

Poi cerca di creare o modificare i file autorun.inf con uno infettato nelle varie partizioni che trova, in questo scrren possiamo vedere mentre prova su C: dove non riesce, in seguito lo farà anche sugli altri dischi ed ecco la prova (purtroppo :() sulla mia pendrive solo che io non ho ricevuto alcuna segnalazione da D+ per la creazione dell'autorun.inf su altri dischi, bensì di E:\TPR.PIF o Y:\TPR.PIF... e comunque CAVS non lo riconosce

Prima del riavvio ho provato a cancellare E:\autorun.inf manualmente ma dopo qualche secondo era lì di nuovo e niente popup, quindi, aimé.. come avevamo constatato per wversion.exe anche qui D+ non protegge gli altri dischi diversi da dove risiede l'OS.

Per proteggere le altre partizioni bisogna aggiungerle ai File Protetti in questo modo il malware non riesce a scrivere autorun.inf in nessun disco o partizione.

Intanto b.css rimane attivo in memoria e tenta di fare altri danni, per esempio va alla ricerca di eventuali antivirus installati per corromperli e qui ho avuto una comunicazione da CIS (l'unica, anche se non avevo nessuno degli AV o suite di sicurezza per i quali tenta la modifica successivamente) ...ecc.

Ma la storia non finisce qui, il trojan downloader (sarebbe opportuno chiamarlo "il bastardo" visto quello che fa) chiede l'accesso al DNS/RPC Client Service e io glielo concedo per controllare dove vuole andare a parare ovviamente bloccata e non ho avuto altre richieste per altri IP, comunque ad intervalli regolari ci riprova per poter scaricare altro malware

Il lavoro del virus è incessante, tanto che mi sta rompendo e arrivato alla centesima richiesta decido di trattarlo come Applicazione Isolata e chiudo la finestra DOS... ma lui non si spaventa e continua a rimanere attivo

Arrivato a questo punto prima di riavviare faccio delle scansioni per verificare eventuali infezioni ma, a parte i processi attivi e i file relativi non trovo altro

Al riavvio RVS 2010 spazzerà via i processi e i file su C:.

Come abbiamo visto CIS con le regole a default ci protegge eccetto le altre partizioni, aggiungendo le partizioni ai File Protetti ci proteggerà contro ogni attività di b.css.

I pop-up non sono necessariamente in sequenza e ovviamente ho messo solo quelli che ritenevo importanti per far capire, il log completo lo potete scaricare da qui (link).

Poi proverò abbinando xyplorer.

Saluti  8)
« Last Edit: September 16, 2009, 12:31:41 PM by sirio »

Offline TirpitzITA

  • Comodo's Hero
  • *****
  • Posts: 403
Re: Virus Lab - Impariamo a riconoscere le attività dei malware
« Reply #10 on: September 16, 2009, 02:36:58 PM »
che virus... assolutamente da evitarlo O.o

yeiazel

  • Guest
Re: Virus Lab - Impariamo a riconoscere le attività dei malware
« Reply #11 on: September 16, 2009, 04:27:13 PM »
b.css vs CIS 3.11 e Returnil 2010 beta

Da quello che ho potuto notare questo malware si occupa di varie cose una volta avviato, direi... un virus molto cattivo!  :o

Articolo interessante, soprattutto per il fatto di aver evidenziato il problema (e la soluzione) di eventuali vulnerabilità agli altri drive.

Veramente un bastardone!

Da notare in Process Explorer come il fetente assuma il nome di un noto antivirus cinese: "Rising RsShell" !!

Altra cosa da notare è il numero IP che cerca di contattare per scaricare altro malware:

Whois query for 76.73.77.85

Results returned from whois.arin.net:

OrgName:    FDCservers.net
OrgID:      FDCSE
Address:    141 w jackson blvd.
Address:    suite #1135
City:       Chicago
StateProv:  IL
PostalCode: 60098
Country:    US

ReferralServer: rwhois://rwhois.fdcservers.net:4321

NetRange:   76.73.0.0 - 76.73.127.255
CIDR:       76.73.0.0/17
OriginAS:   AS30058
NetName:    FDCSERVERS
NetHandle:  NET-76-73-0-0-1
Parent:     NET-76-0-0-0-0
NetType:    Direct Allocation
NameServer: NS3.FDCSERVERS.NET
NameServer: NS4.FDCSERVERS.NET
Comment:    
RegDate:    2009-02-02
Updated:    2009-04-08


.. e che già nel 2005 questi server risultavano segnalati/pericolosi:
http://www.geekissimo.com/2007/05/24/blacklist-lista-di-indirizzi-ip-da-bloccare/

 

Offline sirio

  • Global Moderator
  • Comodo's Hero
  • *****
  • Posts: 1736
Re: Virus Lab - Impariamo a riconoscere le attività dei malware
« Reply #12 on: September 17, 2009, 01:58:45 PM »
Articolo interessante, soprattutto per il fatto di aver evidenziato il problema (e la soluzione) di eventuali vulnerabilità agli altri drive.

Veramente un bastardone!

Da notare in Process Explorer come il fetente assuma il nome di un noto antivirus cinese: "Rising RsShell" !!

Altra cosa da notare è il numero IP che cerca di contattare per scaricare altro malware:

Whois query for 76.73.77.85

Results returned from whois.arin.net:

OrgName:    FDCservers.net
OrgID:      FDCSE
Address:    141 w jackson blvd.
Address:    suite #1135
City:       Chicago
StateProv:  IL
PostalCode: 60098
Country:    US

ReferralServer: rwhois://rwhois.fdcservers.net:4321

NetRange:   76.73.0.0 - 76.73.127.255
CIDR:       76.73.0.0/17
OriginAS:   AS30058
NetName:    FDCSERVERS
NetHandle:  NET-76-73-0-0-1
Parent:     NET-76-0-0-0-0
NetType:    Direct Allocation
NameServer: NS3.FDCSERVERS.NET
NameServer: NS4.FDCSERVERS.NET
Comment:   
RegDate:    2009-02-02
Updated:    2009-04-08


.. e che già nel 2005 questi server risultavano segnalati/pericolosi:
http://www.geekissimo.com/2007/05/24/blacklist-lista-di-indirizzi-ip-da-bloccare/

 


Grazie yeiazel  :)

non avevo controllato l'IP della "mamma" :D ..però immaginavo che non fosse niente di buono.

Ciao  ;)

Offline sirio

  • Global Moderator
  • Comodo's Hero
  • *****
  • Posts: 1736
Re: Virus Lab - Impariamo a riconoscere le attività dei malware
« Reply #13 on: September 18, 2009, 11:58:32 AM »
Riguardavo il test.. e c'è da dire una cosa a favore del D+ con le regole a default: è vero che non ferma la creazione di autorun.inf nelle partizioni che trova... però blocca la creazione di TPR.PIF (il virus vero e proprio)                  , senza il quale, le istruzioni contenute in autorun.inf non possono nulla (non trovando il TPR.PIF) ergo, il solo autorun.inf è innocuo.
Così ho interpretato la cosa... poi può darsi che non sia del tutto esatta  ;D ;D

Offline sirio

  • Global Moderator
  • Comodo's Hero
  • *****
  • Posts: 1736
Re: Virus Lab - Impariamo a riconoscere le attività dei malware
« Reply #14 on: November 08, 2009, 12:13:57 PM »
Vista SP2
CIS 3.12.111745.560 Proactive Security - Defense+ in Paranoico
Returnil 2010 Home Lux 3.0.6517.4958

MD5 : fbfcfcc369bb7fdf07ac5b9f36dc58ad

Analisi su VirusTotal : http://www.virustotal.com/analisis/57a8e1828ba4d0cf42e23a9e8113848c6290a220b88b0aff738fa783425364c1-1257693666

N.B. Le analisi eseguite su ThreatExpert e CIMA sono con il campione di ieri, infatti l'MD5 e lo SHA-1 risulta differente da quello di oggi, anche se comunque il malware è sempre lo stesso.

Analisi su ThreatExpert : http://www.threatexpert.com/report.aspx?md5=834c84334a497851ee7a8d256408e6ec

Analisi su CIMA : http://camas.comodo.com/cgi-bin/submit?file=dc06ad9ca98c18d82174b639006a8e5f279041ce8d51b54876f3fdd572368c97


Oggi, navigando nel web è facile incontrare delle pagine come questa che ci invita ad installare un fantomatico antivirus... e noi facilmente "abbocchiamo" :D
Si, perché in realtà questo messaggio è fasullo e in realtà l'antivirus che andremo ad installare è un malware, un Rogue per essere precisi.

Andiamo avanti, clicco su Ok e si apre una pagina web dove vengono visualizzate le risorse del computer fasulle anche queste, click su Ok e viene visualizzato un alert con i falsi malware rilevati cliccando su Remove All si avvia il download del setup del malware.

Avvio il setup ed abbiamo questi avvisi dal D+:

     

  qui ho perso un popup, dove veniva segnalata la creazione di un file, penso dell'eseguibile, poi  

     

ed infine si cancella il setup

Saluti  8)


« Last Edit: November 08, 2009, 12:17:43 PM by sirio »

 

Free Endpoint Protection
Seo4Smf 2.0 © SmfMod.Com Smf Destek