Worm

Door woutertje op zondag 15 februari 2009 23:53 - Reacties (35)
Categorie: Algemeen, Views: 7.176

Om dan maar gelijk goed te beginnen met een eerste blogpost, een reactie op
http://sebazzz.tweakblogs.net/blog/1341/virii.html waarbij ik iets meer informatie wil verschaffen over de werking van de worm (met beeldmateriaal). Vandaag kreeg ik namelijk via MSN een van deze wormen toegestuurd, en aan de url's te zien dezelfde die Sebazzz heeft beschreven in zijn blog. Dit keer ging het om http://www.hi5-spaces.com (een email naar yahoo is reeds verzonden).

Kleine illustratie met versimpelde werking botnet worm:
http://tweakers.net/ext/f/IJQkAZRGnq9YJfUGln58dHSp/full.png

Je ziet dat de onderste hosts niet alleen zijn, in dit plaatje zijn het er 3 maar in het echt zijn het er veel meer en ze worden continue vervangen. Hierdoor is het niet erg nuttig om deze hosts aan te pakken. Wat wel interessant is is de bovenste host, dit is de "master". Hieronder beschrijf ik de stappen die ik heb doorlopen om erachter te komen wat deze server is en waar hij gehost is met daarbij een tweetal screenshots.

De applicaties die ik hierbij gebruikt heb zijn VMWare workstation met een windows xp virtual machine en Wireshark. Na wireshark gestart te hebben op de vm en het virus te hebben aangeklikt kwamen er al direct allerlei leuke pakketten voorbij:
http://tweakers.net/ext/f/k0wWcohuaIQgeQacXLeENC4a/thumb.png
(klikbaar)

Zo'n pakketje bevat bijvoorbeeld het volgende:
code:
1
2
3
4
5
6
7
8
0c    29 5c 93 b4 08 00 45 00                            .../.... )\....E.
0010  00 66 90 04 40 00 80 06  8b 1f c0 a8 00 71 5d ba   .f..@... .....q].
0020  c0 9a 04 99 10 94 3c c2  76 c2 1c 60 b1 af 50 18   ......<. v..`..P.
0030  fa 7e 69 f0 00 00 4a 4f  49 4e 20 23 23 62 62 23   .~i...JO IN ##bb#
0040  23 20 62 6f 6c 65 0d 0a  4d 4f 44 45 20 5b 30 30   # bole.. MODE [00
0050  7c 55 53 41 7c 36 37 38  38 33 30 5d 20 2d 69 78   |USA|678 830] -ix
0060  0d 0a 4a 4f 49 4e 20 23  23 62 62 23 23 20 62 6f   ..JOIN # #bb## bo
0070  6c 65 0d 0a                                        le..

Een protocol wat sterk lijkt op het irc-protocol als het dat al niet is dus. Het meest interessante hieraan is is het kanaal wat er gejoined word (##bb##) en het wachtwoord van dit kanaal (bole). Als we nu eens gaan kijken wat er gebeurd als we onszelf voordoen als een geinfecteerde pc en een verbinding met de server maken met het programma mIRC.

Hier een screenshotje van hetgeen wat er gebeurde:
http://tweakers.net/ext/f/yu8OR74xxW8NmrnOJdNtAJgp/thumb.jpg
(klikbaar)
Dat ziet er toch behoorlijk tot zeer interessant uit en bied enig inzicht in hoe zo'n worm nou te werk gaat. Als je niet uitkijkt word je dus binnen notime volgezogen met de meest verschrikkelijke virii ;)

Eind van het verhaal is dat de masterserver in het bovenste plaatje hier een IRC server is op een dedicated server gehost in Duitsland bij het bedrijf webtropia.com. Een mailtje naar deze mensen zou dus genoeg moeten zijn om de hele handel uit de lucht te halen.

Tot zover mijn eerste en hopelijk enigzins interessante blogpost ;)

Edit: bij het blokkeren van de server bij webtropia.com werd er verbinding gemaakt met een nieuwe server, wederom in Duitsland maar dit keer bij het bedrijf Strato. Heb ze een mailtje gestuurd, hopelijk gaat die dus ook down :)

Reacties


Door Tweakers user Roytoch, zondag 15 februari 2009 23:59

Tof speurwerk! Als je dus webtropia zover krijgt de IRC server down te halen, klapt heel het netwerk in? En kunnen er geen nieuwe mensen meer geinfecteerd raken? Aangezien bij de 'oude' geinfecteerden de 'meest verschrikkelijke virii' al binnen zijn?

Door Tweakers user Smiley, maandag 16 februari 2009 00:04

Interessante post, ik ga er vanuit dat je deze vm in een ander netwerk / subnet hebt laten lopen dan je eigen machines? ;). Je kan natuurlijk ook kijken wat de worm doet wanneer de masterserver niet meer bereikbaar is. Zelf denk ik dat de worm wel eens verbinding zou kunnen gaan maken met een secundaire masterserver.

Door Tweakers user MikeN, maandag 16 februari 2009 00:07

De vraag is vooral, heb je het mailtje naar webtropia ook gestuurd? ;-)

Door Tweakers user woutertje, maandag 16 februari 2009 00:08

Die kans zit er inderdaad dik in, je zult dan op de een of andere manier alle hosts uit het het
bestand moeten vissen en deze tegelijkertijd uitschakelen. Echter zijn mijn skills met een disassembler niet dusdanig hoog dat ik dat voor elkaar krijg.

Door Tweakers user Slapstick, maandag 16 februari 2009 00:11

wow:O, goed uitgezocht, ik doe het je zeker niet na!, hoewel ik wel hoop dat die vm niet z'n sporen heeft kunnen achterlaten op een eventueel aanwezig netwerk.

Door Tweakers user woutertje, maandag 16 februari 2009 00:16

Ik heb de boel gedurende de test in de gaten gehouden met wireshark, er is geen verkeer geweest tussen de vm en de rest van het netwerk. De worm verspreid zich dus puur via MSN. Als het zich wel via het netwerk zou hebben verspeid zou dat op zich al weer heel interessant zijn om uit te zoeken ;)

edit: de mail naar webtropia is inmiddels verstuurd, we wachten geduldig af...

[Reactie gewijzigd op maandag 16 februari 2009 00:17]


Door Tweakers user Xoindotnler, maandag 16 februari 2009 00:18

Mischien moet je even veder zoeken in de exe.
Daar moet als het goed is een wachtwoord van het botje staan, soms ondersteund de zooi .remove met als gevlog dat de botjes imploderen :P .

Door Tweakers user AndriesLouw, maandag 16 februari 2009 00:40

Gewoon even een software firewall er tussen zetten die de pakketten naar de door jouw gevonden master server "blokkeert", en dan kijken of het virus dan ineens naar andere servers probeert te connecten.

Door Tweakers user woutertje, maandag 16 februari 2009 01:07

Dat is inderdaad een goed idee!
Edit: de volgende was strato :)

[Reactie gewijzigd op maandag 16 februari 2009 01:50]


Door Tweakers user painkill, maandag 16 februari 2009 02:16

Ganz geil :)

Maar een firewall moet toch genoeg zijn om dit te stoppen?

Door Tweakers user Sebazzz, maandag 16 februari 2009 07:36

Netjes. Laten we maar flink een p**n in the *ss zijn voor die virusschrijvers :p

Door Tweakers user Silver7, maandag 16 februari 2009 09:12

Interessant weblog!

Echt leuk om te weten hoe die precies werkt, maar vooral uitzoekwerk!

Door Tweakers user Roelant, maandag 16 februari 2009 10:01

Leuk speurwerk hoor woutertje, vooral de screenshots maken het smeu´g. :P

En ipv. te wachten tot de provider de host down haalt of de firewall te misbruiken, kun je ook nog de betr. (gevonden) host in je hostfile naar localhost verwijzen - dan is de host effectief ook niet bereikbaar. ;)

Door Tweakers user Patriot, maandag 16 februari 2009 12:10

Uiteraard Roelant, alleen kun je er zonder meer van uitgaan dat het virus het host-bestand niet zelf aanpast?

Overigens, is het mogelijk om zelf wat berichten te spammen in dat kanaal? Probeer eens zo'n ".p karikar" berichtje te veranderen? Lijkt me iig leuk om een beetje te kloten in dat kanaal.

Door Tweakers user Patriot, maandag 16 februari 2009 12:14

Overigens klopt het schema in je eerste post volgens mij net helemaal Woutifier. Nu is het net alsof ge´nfecteerde clients zelf ook hosts vormen waarvan anderen het virus downloaden.

Het gaat natuurlijk anders. Een ge´nfecteerde client communiceert met de IRC-server, hij haalt daar een link op naar het virus op een externe host. Vervolgens stuurt het die link door naar andere clients, welke op zich weer contact opnemen met de IRC-server (mits ze ge´nfecteerd raken): alles begint opnieuw.

Door Tweakers user 63996, maandag 16 februari 2009 12:30

Top post. Ben je hier nog lang mee bezig geweest om het uit te zoeken hoe en wat?

en die mail naar yahoo. Verwacht je enig response? Heb zelf zeer slechte ervaringen wat Yahoo betreft.

Door Flipull, maandag 16 februari 2009 13:14

Goede post, desondanks:
Ondanks dat je al gemeld hebt Yahoo ingelicht te hebben, kan je de "gespamde" domeinen met virus-executables ook op de juiste plek melden. Er zijn er vast meer dan 2 geweest op irc. En de desbetreffende irc server-admins zijn vast wel geinteresseerd in het misbruik. VMware pwnt zeker als honeypot. Helaas heb ik wireshark nooit werkend gehad.
Ach, keep up the good work.

Mark.

Door Tweakers user woutertje, maandag 16 februari 2009 13:25

Flipull: De irc server die draait is een pure botnet server. De admins hiervan zijn zeer waarschijnlijk degenen die de worm hebben geschreven. Vandaar ook dat ik een mailtje heb gestuurd
naar zowel webtropia als strato waar in elk geval 2 van deze irc servers draaien.

Patriot: Ik zal even een nieuw schema in elkaar zetten, bedankt voor het commentaar. Overigens is het niet mogelijk om zelf berichten te versturen naar de server.

[Reactie gewijzigd op maandag 16 februari 2009 13:27]


Door Tweakers user LuckY, maandag 16 februari 2009 14:31

:+
altijd jammer dat mijn MSN lijst zo een netjes klikgedrag heb dat ik dit nooit heb kunnen onderzoeken.

Zeker leuke info.
Hoe ben je trouwens naar de server verbonden ?
Met proxy of zonder? ik weet namelijk nooit of ze dit als een aanval zien.
en of er eventuele represailles zijn :9

iig goodwork.

Door Tweakers user LuckY, maandag 16 februari 2009 14:33

Jammer van dat er geen edit is, Heb je trouwens gewoon via je normale pc gedownload of gelijk via de VM ?

Door Tweakers user SKiLLa, maandag 16 februari 2009 15:25

Als je die .exe ergens upload, dan wil ik 'm best eens door de disassembler en/of eventueel debugger halen om te kijken of er nog meer urls in verstopt zitten ...

Door Tweakers user woutertje, maandag 16 februari 2009 16:04

LuckyY: Verbonden via een proxy, ook geen idee of ze dat als aanval zien maar beter het zekere voor het onzekere nemen. Heb het virus van iemand gekregen via de e-mail om een beetje mee te stoeien. Wel op m'n gewone pc gedownload dus maar geopend in een VM.

SKiLLa: het virus is te vinden op: http://www.wouter-web.nl/virus/virus.rar uitpakken met
wachtwoord: "opletten" (zonder de aanhalingstekens).

Door Tweakers user LuckY, maandag 16 februari 2009 16:58

Net er ook op geweest alleen zat ik alleen in een channel.
Normaal is het toch 1 groot globaal iets?
Maar client was 87xx Dus aardig wat slachtoffers

Door Tweakers user woutertje, maandag 16 februari 2009 17:12

Ja, maar je zoals je ook al in het screenshot ziet zie je alleen jezelf in de userlist. Ook al
zijn er wel anderen. Dit zal ongetwijfeld zijn om te voorkomen dat mensen zoals jij en ik
iets te veel informatie kunnen krijgen ;)

Door Tweakers user Blokker_1999, maandag 16 februari 2009 17:58

LuckyY, IRC kanalen hebben vele schakelopties. Je moet eens kijken welke modes actief zijn. 1 ervan verbergd alle gewone gebruikers en laat alleen +v en hoger zien. Ik neem aan dat de ge´nfecteerde computers hun info halen uit het topic, iets wat dan weer ingesteld kan worden door een oper die niet eens in het kanaal zelf aanwezig hoeft te zijn.

Door Tweakers user LuckY, maandag 16 februari 2009 18:56

Ja je kreegt echt een shitload aan schakelopties over je heen.
Gelukkig houd ik van hyper-v met snapshots :+
Dus ik ga het niet nogmaals doen, ook zag ik dat er enkele exe's gedownload werden die ik niet kon terug vinden.

Door Tweakers user LuckY, maandag 16 februari 2009 19:08

Oook wel grappig dat:
- Arcavir
-Avg Antivirus
- Clamav
- CP secure
- Fprot
-Gdata
- Ikarus
- Norman virus control
- Panda
- Sohpos
- VBA32

ze allemaal niet detecteren :/

bron : virusscan.jotti.org

Door Tweakers user MeneerG, maandag 16 februari 2009 21:47

Waarschuwing: het bezoeken van deze site kan uw computer beschadigen.
De website op 72.10.169.26 lijkt malware te hosten.


*//(zegt chrome)*//

Door Tweakers user SKiLLa, maandag 16 februari 2009 22:40

Die IRC server is 93.186.192.xxx:4244 in mijn geval ...

En dat het virus nog niet gedetecteerd wordt, komt omdat ie zich heel slim verpakt heeft; hij copieert zich naar c:\windows\fxstaller.exe, start die file - suspended - op, en copieert vervolgens z'n eigen overlay (zeg maar: data achter de .exe geplakt) in het process van die nieuwe executable en 'resumed' het proces, waardoor de payload runt (die met de IRC server contact maakt en zodanig van nieuwe malware wordt verzien).

Voor die overlay wordt een simpel doch effectief eigen 'xor-like' algo gebruikt en ook de 'code-injection' techniek is heel sneaky, waarbij de .API calls on-the-fly resolved worden zonder de betreffende dlls te importeren. Duidelijk geschreven door iemand met flinke virus/AV ervaring, zeer waarschijnlijk betreft het een speciale ontwikkelde bot-crypt die je tegen betaling kunt kopen; zie b.v. dit inmiddels verwijderde topic:

http://74.125.77.132/sear...&hl=nl&ct=clnk&cd=1&gl=nl

Waarschijnlijk een gouden business als je van zwart geld houd en geen scrupules hebt ... Die botnet-exploiters hoeven alleen maar enkele IRC servers in de lucht te houden en vervolgens "bots"-reclameruimte verhuren aan payload-adverteerders.

Zag trouwens ook een auto-shutdown methode erin zitten, dus i.p.v. het channel te blocken zouden ze die server gewoon moeten gaan sniffen en tracen; misschien kunnen ze de verspreiders zo traceren en/of het botnet ontmantelen (ookal blijven payloads wel actief) ...

Door Tweakers user woutertje, maandag 16 februari 2009 22:56

Netjes, zover was ik zelf niet gekomen. Klinkt allemaal behoorlijk interessant en er zal ongetwijfeld een hoop werk in die bot gezeten hebben.

Door Tweakers user LuckY, maandag 16 februari 2009 23:44

Jullie moeten ook eens in het B&V komen kijken, die willen ze actiever maken op security gebied dus ook het onderzoeken hierop, SKiLLa , leuke site vooral het dutch gedeelte ;)

Door Tweakers user SKiLLa, maandag 16 februari 2009 23:54

Die IRC server software is volgens mij ook "gekocht", waarschijnlijk van dezelfde malware-ontwikkelaar als kant-en-klaar-botnet infrastructre software. Aan het taalgebruik in de .exe lijkt trouwens af te leiden dat de ontwikkelaar ergens < 30 is ... (F00KY0Z / GEEZERSZ / Lamers / etc.

De IRC server noemt zich b.t.w. "5.fatalz.net" en een beetje googlen levert steeds die "crim" (auteur/aanbieder van verschillende botnet-gerelateerde software) in associatie met "FatalZ" en botnets op. www.fatalz.com is inmiddels van een domeinbeunhaas, maar zie b.v. de onschuldige pagina: http://fatalz.angelfire.com ... Lijkt niets aan de hand toch ? Totdat je naar de volgende url gaat: http://fatalz.angelfire.com/php???

... Wat je de source van een gemodificeerde "pbot" / "pbel" bot oplevert ... Meer info hierover is b.v. weer te vinden - inc. NL posters, zie de code maar ! - op: http://74.125.77.132/sear...&hl=nl&ct=clnk&cd=5&gl=nl

Misschien dus voor de zekerheid ook een mailtje naar abuse@angelfire ? De naam fatalz + botcode kan niet veel goed betekenen ...

Door Tweakers user keejoz, donderdag 19 februari 2009 00:37

Meestal (ik denk bijna altijd?) wordt gebruik gemaakt van een hostname ipv een vast ip adres.

Als ik de bots laat verbinden naar die hostname kan ik simpelweg de host naar een nieuwe server leiden en komen de bots daar terug samen.

Door Tweakers user woutertje, zaterdag 21 februari 2009 00:00

Dat is hier inderdaad ook het geval. De nameservers hiervan worden verzorgd door EveryDNS zal daar ook eens een mailtje naar toesturen. Het domein is geregistreerd bij http://www.npsis.com/.

[Reactie gewijzigd op zaterdag 21 februari 2009 00:00]


Door Tweakers user shadowman12, zaterdag 28 februari 2009 19:16

Je kan ook om te kijken wel server de secundaire masterserver is, in je lokale host file het ip adres van de eerste masterserver zetten en dat laten verwijzen naar 127.0.0.1 (localhost), een trucje om te doen alsof die server niet bereikbaar is.

Reageren is niet meer mogelijk