Анализ DDoS-бота Black Revolution

35

Сегодня ночью был отловлен новый зловред, который еще не поступил в продажу на андеграунд-форумах, Black Revolution. Поймано было два комплекта сэмплов. Язык, как всегда, delphi. Отечественные вирмейкеры забыли, как писать на других, более подходящих для мальвари, языках.
Вредоносная программа состоит из двух частей: загрузчик-дроппер весом 23кб и сам бот весом около 250 кб.

Подробнее о файлах:

File Name:  bot (1).exe
File Size:  23552 bytes
MD5:        1dd5756ed018f341dbd970933e5eadd1
SHA1:       37f9230322a2cac5967ceab8c48d3c5faeefeef9
Virustotal
PE Time:    0x2A425E19 [Fri Jun 19 22:22:17 1992 UTC]
Sections (8):
  Name      Entropy  MD5
  CODE      6.56     cec327bfa5254cc2735015ffbe3fc670
  DATA      1.93     3f63dcba42b42ad86a9b002336d766ea
  BSS       0.0      d41d8cd98f00b204e9800998ecf8427e
  .idata    3.92     bac8bc30e0cbda78c8366045315abda0
  .tls      0.0      d41d8cd98f00b204e9800998ecf8427e
  .rdata    0.2      7cd66032ccbad0330bf6fdf8d151d54c
  .reloc    5.68     fbcb23cd964695af190bfec3d9f55388
  .rsrc     2.9      bf5c8e719248e4a87489f8a692059a46


File Name:  system.exe
File Size:  23552 bytes
MD5:        9ed393937fdde7c7d99238bcb5d47294
SHA1:       68b3d1758d794aae4f0d29d6ef887720d56fec29
Virustotal
PE Time:    0x2A425E19 [Fri Jun 19 22:22:17 1992 UTC]
Sections (8):
  Name      Entropy  MD5
  CODE      6.57     4f31c30913ea7251c5dbf58f91905f13
  DATA      1.93     3f63dcba42b42ad86a9b002336d766ea
  BSS       0.0      d41d8cd98f00b204e9800998ecf8427e
  .idata    3.92     bac8bc30e0cbda78c8366045315abda0
  .tls      0.0      d41d8cd98f00b204e9800998ecf8427e
  .rdata    0.2      7cd66032ccbad0330bf6fdf8d151d54c
  .reloc    5.67     2aa0276df8b265b667c894e8f534900e
  .rsrc     2.88     9db158e0425e6992f3cecd999a5169dc


File Name:  winlog.exe
File Size:  256000 bytes
MD5:        c9c6aeacee9f973ca0ca5da101a12a16
SHA1:       5cf33eaa387b3ee36c8cfbc140d7b64e7a68b72f
Virustotal
PE Time:    0x2A425E19 [Fri Jun 19 22:22:17 1992 UTC]
Sections (8):
  Name      Entropy  MD5
  CODE      6.37     1d7bc8d191de99dd815a7a37f9b7aca3
  DATA      5.08     14e313950dab4fff68436a41fc1af0c5
  BSS       0.0      d41d8cd98f00b204e9800998ecf8427e
  .idata    4.77     706aa5eb5fd0e8f48a72b08236c41a68
  .tls      0.0      d41d8cd98f00b204e9800998ecf8427e
  .rdata    0.21     b29a9d48437ed6bacc2021bafe4370c8
  .reloc    6.56     ba4097b01cb5eca9321ea43ce1d39c68
  .rsrc     3.6      c05d9958b57d36e11bb99686b90c0e09


File Name:  winlog.exe
File Size:  258560 bytes
MD5:        75559e97602abbd7cb0587e224ff17a6
SHA1:       b9a9b4c2f498421a0885d42276c517a7fa7f3e20
Virustotal
PE Time:    0x2A425E19 [Fri Jun 19 22:22:17 1992 UTC]
Sections (8):
  Name      Entropy  MD5
  CODE      6.38     e8fcb77652c560e46b04b4e896870a9e
  DATA      5.05     128ac01f0bb571c25408df311faf8ca5
  BSS       0.0      d41d8cd98f00b204e9800998ecf8427e
  .idata    4.88     c23501d2e2b4949322214b66d2b4fb79
  .tls      0.0      d41d8cd98f00b204e9800998ecf8427e
  .rdata    0.21     b29a9d48437ed6bacc2021bafe4370c8
  .reloc    6.6      30e8628fd2f387462da3e3ba783ba3f1
  .rsrc     3.6      41a7fb670f66926836baece85d4cf40a

Если покопаться в базах разных лабораторий, то видно, что массовое заражение, скорее всего «прогруз» со связок, произошло только что, то есть в течении последних двух дней.

Особенность этого продукта не только в том, что он состоит из двух частей, но и в системе защиты бота и его обновлении. Лоадер резидентен, то есть постоянно весит в процессах, как основная часть. Он с определенным промежутком проверяет наличие файла бота в системе, сравнивает его с файлом на сервере и, если файлы отличаются, или система была вылечена от ддос-бота, скачивает с сервера злоумышленника новый бинарник, запускает его и продолжает контроль. Не ново, но необычно для отечестевенного malware-рынка уровня всех этих низкопробных ботов в стиле «джампера», «оптимы» и остальных поделок. В прочем, на самом деле это совершенно бесполезно, т.к. вероятность попадания в антивирусные базы лоадера равна оной в случае с ботом. Да и если человек вручную взялся чистить систему, то удалит явно оба подозрительных файла сразу.
Рассмотрим алгоритм заражения подробнее.

(далее…)

Анализ DDoS-бота Drive

6

Drive admin panel

Новый DDoS-бот от создателя dirt jumper. Было и еще несколько клонов, но они совершенно не отличались от оригинала, по этому я взялся сразу за этот. Он совершенно не похож на «джампер», переписано все. Появился новый вид атаки, как было в Armageddon и подобных, шаблон для атак сайтов, в частности форумов, post-запросами:

driver ddos bot vbulletin attack

Самое яркое отличие — отказ от использования библиотеки synapse, что значительно уменьшило вес бинарника.
У меня на руках пара сэмплов, первый был пойман еще 2 недели назад, размер не превышает 40 кбайт. Все скомпилированы в delphi 7.
Реакция вирустотала:
242A045AD36E5E3EBA6D3A06B8F907C4
415F8E46819FCF78A51A8B484CA023CE
Какого-то централизованного названия этот зловред ни у одного антивируса не заслужил.
Рассмотрим подробнее.
(далее…)

LOCKERz winlocker. Винлокер весом «полметра».

2

lockerz winlock

Получил сегодня любопытный сэмпл. Винлокер на дэлфи весом в 527кб. Очередная поделка отечественных школьников.
Странным кажется то, что нету обычного для вымогателей текста с предложениями о покупке ключа в обмен на удаление блокировщика из системы. Дебютная работа юного дарования?

Узнать стоимость этого образца у меня не вышло, так как автор не вышел на связь. Видимо, покупатели ему не очень-то и нужны)

Подробнее о файле:
(далее…)

Анализ DDoS-бота Destination Darkness Optima XXh

4

Пару минут назад был отловлен сэмпл очередной обновленной версии «оптимы». На этот раз версия xxh.

File Name:  DarkPlus.exe
File Size:  144896 bytes
MD5:        1aa007c498f53326ad8251ccf12a5324
SHA1:       1a6fcfffcc9eebc1c0f0a07ff6eacf379bab7846
PE Time:    0x51435425 [Fri Mar 15 17:02:29 2013 UTC]
Sections (9):
  Name      Entropy  MD5
  .text     6.31     84a5771a1f32fe182a66511ba44783a5
  .itext    4.81     60838bd8a118fc87cd40cc62babbf72c
  .data     2.59     2ba5dfa275c4127b5c6f34a3a12d76b5
  .bss      0.0      d41d8cd98f00b204e9800998ecf8427e
  .idata    4.8      84a41b802fbaaf48a541159166b9aa61
  .tls      0.0      d41d8cd98f00b204e9800998ecf8427e
  .rdata    0.21     12323cf06176776eff160fbb2e2784c9
  .reloc    6.54     e62ab8107b2908699297c36de66ddafa
  .rsrc     3.79     f1e259ef39a70739e8bf0ff1c0b6cf8f
GET /clf/index.php?uid=158774&ver=xxh&mk=22B201&prx=1080 HTTP/1.1
Host: c*p1.com

Virustotal
В новых версиях антивирусы не распознают именно оптиму, наиболее часто встречаемые алиасы:
TrojWare.Win32.TrojanDownloader.Delf.gen
Gen:Variant.Graftor
Backdoor.Win32.DarkHole
DLOADER.Trojan — дрвеб не признал своего любимого бота)

Эта версия мало чем отличается от рассмотренной ранее optima xxe, но зато я расскажу подробней о новшестве с инсталлом, о котором в прошлый раз мне было писать леньнедосуг
(далее…)

Radix antirootkit

0

radix antirootkit

Usec Radix — этот антируткит является разработкой австрийской компании Usec.at. Ничего ранее о нем не слышал, но поковырявшись сегодня, решил поделиться находкой.
Имеет стандартный для такого рода инструментов набор функций:

  • Проверка альтернативных потоков данных
  • Поиск скрытых ключей реестра, процессов и службы
  • Проверка и восстановление MBR в Windows 2k, xp, vista, 7.
  • Определение и снятие модификаций и перехватов IRP, GDT, SDT, IDT, SYSENTER, IAT
  • Детект модификации драйверов и системных объектов
  • И т.д..

Поддерживается windows 7, правда только x86-версия.
К сожалению, не обновлялся уже с 2010 года.
Неплохой инструмент, достоин своего места в коллекции.

Скачать Usec Radix antirootkit: http://www.usec.at/downloads3/radix_installer.zip

Вверх