Worm

Door woutertje op zondag 15 februari 2009 23:53 - Reacties (35)
Categorie: Algemeen, Views: 7.135

Om dan maar gelijk goed te beginnen met een eerste blogpost, een reactie op
http://sebazzz.tweakblogs.net/blog/1341/virii.html waarbij ik iets meer informatie wil verschaffen over de werking van de worm (met beeldmateriaal). Vandaag kreeg ik namelijk via MSN een van deze wormen toegestuurd, en aan de url's te zien dezelfde die Sebazzz heeft beschreven in zijn blog. Dit keer ging het om http://www.hi5-spaces.com (een email naar yahoo is reeds verzonden).

Kleine illustratie met versimpelde werking botnet worm:
http://tweakers.net/ext/f/IJQkAZRGnq9YJfUGln58dHSp/full.png

Je ziet dat de onderste hosts niet alleen zijn, in dit plaatje zijn het er 3 maar in het echt zijn het er veel meer en ze worden continue vervangen. Hierdoor is het niet erg nuttig om deze hosts aan te pakken. Wat wel interessant is is de bovenste host, dit is de "master". Hieronder beschrijf ik de stappen die ik heb doorlopen om erachter te komen wat deze server is en waar hij gehost is met daarbij een tweetal screenshots.

De applicaties die ik hierbij gebruikt heb zijn VMWare workstation met een windows xp virtual machine en Wireshark. Na wireshark gestart te hebben op de vm en het virus te hebben aangeklikt kwamen er al direct allerlei leuke pakketten voorbij:
http://tweakers.net/ext/f/k0wWcohuaIQgeQacXLeENC4a/thumb.png
(klikbaar)

Zo'n pakketje bevat bijvoorbeeld het volgende:
code:
1
2
3
4
5
6
7
8
0c    29 5c 93 b4 08 00 45 00                            .../.... )\....E.
0010  00 66 90 04 40 00 80 06  8b 1f c0 a8 00 71 5d ba   .f..@... .....q].
0020  c0 9a 04 99 10 94 3c c2  76 c2 1c 60 b1 af 50 18   ......<. v..`..P.
0030  fa 7e 69 f0 00 00 4a 4f  49 4e 20 23 23 62 62 23   .~i...JO IN ##bb#
0040  23 20 62 6f 6c 65 0d 0a  4d 4f 44 45 20 5b 30 30   # bole.. MODE [00
0050  7c 55 53 41 7c 36 37 38  38 33 30 5d 20 2d 69 78   |USA|678 830] -ix
0060  0d 0a 4a 4f 49 4e 20 23  23 62 62 23 23 20 62 6f   ..JOIN # #bb## bo
0070  6c 65 0d 0a                                        le..

Een protocol wat sterk lijkt op het irc-protocol als het dat al niet is dus. Het meest interessante hieraan is is het kanaal wat er gejoined word (##bb##) en het wachtwoord van dit kanaal (bole). Als we nu eens gaan kijken wat er gebeurd als we onszelf voordoen als een geinfecteerde pc en een verbinding met de server maken met het programma mIRC.

Hier een screenshotje van hetgeen wat er gebeurde:
http://tweakers.net/ext/f/yu8OR74xxW8NmrnOJdNtAJgp/thumb.jpg
(klikbaar)
Dat ziet er toch behoorlijk tot zeer interessant uit en bied enig inzicht in hoe zo'n worm nou te werk gaat. Als je niet uitkijkt word je dus binnen notime volgezogen met de meest verschrikkelijke virii ;)

Eind van het verhaal is dat de masterserver in het bovenste plaatje hier een IRC server is op een dedicated server gehost in Duitsland bij het bedrijf webtropia.com. Een mailtje naar deze mensen zou dus genoeg moeten zijn om de hele handel uit de lucht te halen.

Tot zover mijn eerste en hopelijk enigzins interessante blogpost ;)

Edit: bij het blokkeren van de server bij webtropia.com werd er verbinding gemaakt met een nieuwe server, wederom in Duitsland maar dit keer bij het bedrijf Strato. Heb ze een mailtje gestuurd, hopelijk gaat die dus ook down :)