Исследование вирусов и вредоносного ПО
Анализ DDoS-бота Dirt Jumper.
Приветствую. Передо мной три сэмпла разных версий бота Dirt Jumper. Какой-то значительной разницы между ними нету, разве что в каждой последующей версии улучшались механизмы ДДоС-атак.
Размер файла бота составляет 173 кб, 180 кб, 184 кб, соответственно каждой версии.
Отчеты с вирустотала я приводил в предыдущем посте.
Инсталляция в системе шаблонная — при запуске файла происходит копирование по пути %SystemRoot%\\system32\\drivers\\, то есть например, в папку C:\windows\system32\drivers, добавление службы с именем, совпадающим с именем созданного файла, к примеру:
- kmhfoot
- svajnager
- svflooje
- svbroms
- svlkanager
Имя это не случайно сгенерировано, а зависит от конкретного билда вредоноса.
Так же создается файл %SystemRoot%\\keys.ini (c:\windows\keys.ini), в котором записана строка из 15 чисел, это уникальный идентификационный номер зараженной системы.
Далее запускается созданная служба, и вирус подключается к панели управления ботнетом.
Такова система инсталляции у всех, имеющихся у меня сэмплов.
Никакой защиты процесса или файла нету — останавливаем службу, удаляем файл, удаляем службу из реестра. Все, сиситема чиста, все делается штатными средствами.
Функционал скромен, но надежен — только атаки, никаких накруток посещений, скачивания и запуска файлов, кражи паролей. Только жесткий http-флуд Get и Post запросами.
В чем же заключаются отличия версий?
Со второй ветки были добавлены поддельные рефереры для усложнения блокировки атак:
http://yandex.ru http://rambler.ru http://mail.ru http://google.com http://referat.ru http://rol.ru http://yahoo.com http://rbc.ru http://lenta.ru http://subscribe.ru http://anekdot.ru http://job.ru http://gazeta.ru http://gismeteo.ru http://fomenko.ru http://lib.ru http://afisha.ru http://altavista.com http://download.ru http://mail.com
Список юзер-агнетов огромен, наверное самый большой из всех ботов, которые мне доводилось исследовать.
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) Mozilla/5.0 (Wi ndows; U; Windows NT 5.1; ru; rv:1.8.1.9) Gecko/20071025 Firefox/2.0.0.9 Mozilla/5.0 (X11; U; Linux i686 (x86_64); en-US; rv:1.8.1.9) Gecko/20071025 Firefox/2.0.0.9 Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.1.17) Gecko/20080829 Firefox/2.0.0.17 Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.1.19) Gecko/20081201 Firefox/2.0.0.19 Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.1.20) Gecko/20081217 Firefox/2.0.0.20 Mozilla/5.0 (X11; U; Linux i686 (x86_64); en-US; rv:1.9a1) Gecko/20061204 GranParadiso/3.0a1 Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9) Gecko/2008052906 Firefox/3.0 Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1 Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.2) Gecko/2008091620 Firefox/3.0.2 Mozilla/5.0 (X11; U; Linux x86_64; ru; rv:1.9.0.2) Gecko/2008092702 Gentoo Firefox/3.0.2 Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.3) Gecko/2008092417 Firefox/3.0.3 Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.3) Gecko/2008092417 Firefox/3.0.3 (.NET CLR 3.5.30729) Mozilla/5.0 (Windows; U; Windows NT 6.0; ru; rv:1.9.0.3) Gecko/2008092417 Firefox/3.0.3 Mozilla/5.0 (Windows; U; Windows NT 5.2; ru; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5 Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.7) Gecko/2009021910 Firefox/3.0.7 Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10 Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.1) Gecko/20090624 Firefox/3.5 Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.1.1) Gecko/20090716 Ubuntu/9.04 (jaunty) Shiretoko/3.5.1 Mozilla/5.0 (X11; U; Linux x86_64; ru; rv:1.9.1.1) Gecko/20090730 Gentoo Firefox/3.5.1 Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.9.1.1) Gecko/20090715 Firefox/3.5.1 Microsoft Internet Explorer/4.0b1 (Windows 95) Mozilla/1.22 (compatible; MSIE 1.5; Windows NT) Mozilla/1.22 (compatible; MSIE 2.0; Windows 95) Mozilla/2.0 (compatible; MSIE 3.01; Windows 98) Mozilla/4.0 (compatible; MSIE 5.0; SunOS 5.9 sun4u; X11) Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0) Mozilla/4.0 (compatible; MSIE 5.17; Mac_PowerPC) Mozilla/4.0 (compatible; MSIE 5.23; Mac_PowerPC) Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0) Mozilla/4.0 (compatible; MSIE 6.0; MSN 2.5; Windows 98) Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322) Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0; .NET CLR 2.0.50727) Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322) Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 5.1) Mozilla/4.0 (compatible; MSIE 7.0b; Win32) Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0) Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; Arcor 5.005; .NET CLR 1.0.3705; .NET CLR 1.1.4322) Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; YPC 3.0.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727) Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0) Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; WOW64; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506; .NET CLR 3.5.21022) Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; WOW64; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506; .NET CLR 3.5.21022) Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; WOW64; Trident/4.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.5.21022; .NET CLR 3.5.30729; .NET CLR 3.0.30618) mozilla/4.0 (compatible; msie 7.0; windows nt 5.1; trident/4.0; ...) mozilla/4.0 (compatible; msie 8.0; windows nt 5.1; trident/4.0; ...) Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0) Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/525.13 (KHTML, like Gecko) Chrome/0.2.149.27 Safari/525.13 Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/525.19 (KHTML, like Gecko) Chrome/0.4.154.25 Safari/525.19 Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/525.19 (KHTML, like Gecko) Chrome/1.0.154.65 Safari/525.19 Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/532.5 (KHTML, like Gecko) Chrome/4.0.249.89 Safari/532.5 Mozilla/4.1 (compatible; MSIE 5.0; Symbian OS; Nokia 6600;452) Opera 6.20 [ru] Mozilla/4.0 (compatible; MSIE 6.0; Symbian OS; Nokia 6600/5.27.0; 6329) Opera 8.00 [ru] Mozilla/4.0 (compatible; MSIE 6.0; Symbian OS; Nokia 6600/5.27.0; 6936) Opera 8.50 [ru] Mozilla/4.0 (compatible; MSIE 6.0; Symbian OS; Nokia 6600/5.27.0; 1657) Opera 8.60 [ru] Mozilla/4.0 (compatible; MSIE 6.0; Symbian OS; Nokia 6600/5.27.0; 1665) Opera 8.60 [ru] Mozilla/4.0 (compatible; MSIE 6.0; Symbian OS; Nokia 6600/5.27.0; 9399) Opera 8.65 [ru] Mozilla/4.0 (compatible; MSIE 6.0; Symbian OS; Nokia 6600/5.27.0; 9424) Opera 8.65 [ru] Mozilla/4.0 (compatible; MSIE 5.0; Windows 2000) Opera 6.03 [en] Mozilla/4.0 (compatible; MSIE 5.0; Mac_PowerPC) Opera 6.0 [en] Opera/7.23 (Windows 98; U) [en] Opera/8.0 (X11; Linux i686; U; cs) Mozilla/4.0 (compatible; MSIE 6.0; ; Linux armv5tejl; U) Opera 8.02 [en_US] Maemo browser 0.4.31 N770/SU-18 Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; en) Opera 8.50 Mozilla/5.0 (Windows NT 5.1; U; en) Opera 8.50 Mozilla/4.0 (compatible; MSIE 6.0; Symbian OS; Nokia 6630/4.03.38; 6937) Opera 8.50 [es] Mozilla/4.0 (compatible; MSIE 6.0; Nitro) Opera 8.50 [ja] Mozilla/4.0 (compatible; MSIE 6.0; Nitro) Opera 8.50 [en] Mozilla/4.0 (compatible; MSIE 6.0; Nitro) Opera 8.50 [fr] Mozilla/4.0 (compatible; MSIE 6.0; Nitro) Opera 8.50 [it] Mozilla/4.0 (compatible; MSIE 6.0; Nitro) Opera 8.50 [de] Mozilla/4.0 (compatible; MSIE 6.0; Nitro) Opera 8.50 [es-es] Opera/8.51 (Windows NT 5.1; U; en) Opera/9.00 (Wii; U; ; 1038-58; Wii Shop Channel/1.0; en) Opera/9.00 (Nintendo Wii; U; ; 1309-9; en) Opera/9.0 (Windows NT 5.1; U; en) Opera/9.01 (X11; Linux i686; U; en) Opera/9.02 (Windows NT 5.1; U; en) Opera/9.10 (Windows NT 5.1; U; en) Opera/9.23 (Windows NT 5.1; U; ru) Opera/9.50 (Windows NT 5.1; U; ru) Opera/9.50 (Windows NT 6.0; U; en) Opera/9.60 (Windows NT 5.1; U; en) Presto/2.1.1 Opera/10.00 (Windows NT 6.0; U; en) Presto/2.2.0 Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.2.15 Version/10.00 Opera/9.80 (X11; Linux x86_64; U; en) Presto/2.2.15 Version/10.10 Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.2.15 Version/10.20 Opera/9.80 (Windows NT 5.1; U; en) Presto/2.5.18 Version/10.50 Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.3a) Gecko/20030105 Phoenix/0.5 Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.6b) Gecko/20031215 Firebird/0.7+ Mozilla/5.0 (Windows; U; Windows NT 5.1; nl-NL; rv:1.7.5) Gecko/20041202 Firefox/1.0 Mozilla/5.0 (X11; U; FreeBSD i386; en-US; rv:1.7.8) Gecko/20050609 Firefox/1.0.4 Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7.9) Gecko/20050711 Firefox/1.0.5 Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7.10) Gecko/20050716 Firefox/1.0.6 Mozilla/5.0 (Macintosh; U; PPC Mac OS X Mach-O; en-US; rv:1.7.12) Gecko/20050915 Firefox/1.0.7 Mozilla/5.0 (Windows; U; Windows NT 5.1; nl; rv:1.8) Gecko/20051107 Firefox/1.5 Mozilla/5.0 (Windows; U; Windows NT 5.1; en-GB; rv:1.8.0.1) Gecko/20060111 Firefox/1.5.0.1 Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.0.2) Gecko/20060308 Firefox/1.5.0.2 Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.0.3) Gecko/20060426 Firefox/1.5.0.3 Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.8.0.4) Gecko/20060508 Firefox/1.5.0.4 Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.0.6) Gecko/20060808 Fedora/1.5.0.6-2.fc5 Firefox/1.5.0.6 pango-text Mozilla/5.0 (Macintosh; U; Intel Mac OS X; en-US; rv:1.8.0.7) Gecko/20060909 Firefox/1.5.0.7 Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.8.1) Gecko/20060601 Firefox/2.0 (Ubuntu-edgy) Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.1) Gecko/20061204 Firefox/2.0.0.1 Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.1.2) Gecko/20070220 Firefox/2.0.0.2 Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.1.2) Gecko/20070221 SUSE/2.0.0.2-6.1 Firefox/2.0.0.2 Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/532.9 (KHTML, like Gecko) Chrome/5.0.307.9 Safari/532.9 Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.4) Gecko/20060516 SeaMonkey/1.0.2 Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.6) Gecko/20060728 SeaMonkey/1.0.4
Служебная информация зашифрована: обрабатываемые команды бота, пути к файлам и названия ключей реестра. Это может препятствовать реверсу и статическому анализу, но никак не может быть использовано для увеличения защиты бота от антивирусных сканеров и проактивных защит.
Добавить наверное большее нечего, т.к. дизассемблирование ничего интересного для обывателя не даст, а статический анализ затруднителен. Засим заканчиваю.
Ах, да забыл сказать, что этот бот считается одним из самых мощных, благодаря огромному количеству создаваемых исходящих пакетов во время атаки, что непременно создает высокую нагрузку, как на инфицированную систему, так и на атакуемый сервер.
В общем-то все, за лечением, вы можете обратиться на форум, там обязательно помогут.
Как в билдере от апокалипсиса прописывать путь вмесе с индекс?