Tweakblogs.net

Worm

Turdie — Sat, 28 Feb 2009 18:16:39 GMT

Je kan ook om te kijken wel server de secundaire masterserver is, in je lokale host file het ip adres van de eerste masterserver zetten en dat laten verwijzen naar 127.0.0.1 (localhost), een trucje om te doen alsof die server niet bereikbaar is.

Worm

woutertje — Fri, 20 Feb 2009 23:00:48 GMT

Dat is hier inderdaad ook het geval. De nameservers hiervan worden verzorgd door EveryDNS zal daar ook eens een mailtje naar toesturen. Het domein is geregistreerd bij http://www.npsis.com/.

Worm

keejoz — Wed, 18 Feb 2009 23:37:13 GMT

Meestal (ik denk bijna altijd?) wordt gebruik gemaakt van een hostname ipv een vast ip adres. Als ik de bots laat verbinden naar die hostname kan ik simpelweg de host naar een nieuwe server leiden en komen de bots daar terug samen.

Worm

SKiLLa — Mon, 16 Feb 2009 22:54:32 GMT

Die IRC server software is volgens mij ook "gekocht", waarschijnlijk van dezelfde malware-ontwikkelaar als kant-en-klaar-botnet infrastructre software. Aan het taalgebruik in de .exe lijkt trouwens af te leiden dat de ontwikkelaar ergens < 30 is ... (F00KY0Z / GEEZERSZ / Lamers / etc. De IRC server noemt zich b.t.w. "5.fatalz.net" en een beetje googlen levert steeds die "crim" (auteur/aanbieder van verschillende botnet-gerelateerde software) in associatie met "FatalZ" en botnets op. www.fatalz.com is inmiddels van een domeinbeunhaas, maar zie b.v. de onschuldige pagina: http://fatalz.angelfire.com ... Lijkt niets aan de hand toch ? Totdat je naar de volgende url gaat: http://fatalz.angelfire.com/php??? ... Wat je de source van een gemodificeerde "pbot" / "pbel" bot oplevert ... Meer info hierover is b.v. weer te vinden - inc. NL posters, zie de code maar ! - op: http://74.125.77.132/sear...&hl=nl&ct=clnk&cd=5&gl=nl Misschien dus voor de zekerheid ook een mailtje naar abuse@angelfire ? De naam fatalz + botcode kan niet veel goed betekenen ...

Worm

LuckY — Mon, 16 Feb 2009 22:44:11 GMT

Jullie moeten ook eens in het B&V komen kijken, die willen ze actiever maken op security gebied dus ook het onderzoeken hierop, SKiLLa , leuke site vooral het dutch gedeelte

Worm

woutertje — Mon, 16 Feb 2009 21:56:43 GMT

Netjes, zover was ik zelf niet gekomen. Klinkt allemaal behoorlijk interessant en er zal ongetwijfeld een hoop werk in die bot gezeten hebben.

Worm

SKiLLa — Mon, 16 Feb 2009 21:40:16 GMT

Die IRC server is 93.186.192.xxx:4244 in mijn geval ... En dat het virus nog niet gedetecteerd wordt, komt omdat ie zich heel slim verpakt heeft; hij copieert zich naar c:\windows\fxstaller.exe, start die file - suspended - op, en copieert vervolgens z'n eigen overlay (zeg maar: data achter de .exe geplakt) in het process van die nieuwe executable en 'resumed' het proces, waardoor de payload runt (die met de IRC server contact maakt en zodanig van nieuwe malware wordt verzien). Voor die overlay wordt een simpel doch effectief eigen 'xor-like' algo gebruikt en ook de 'code-injection' techniek is heel sneaky, waarbij de .API calls on-the-fly resolved worden zonder de betreffende dlls te importeren. Duidelijk geschreven door iemand met flinke virus/AV ervaring, zeer waarschijnlijk betreft het een speciale ontwikkelde bot-crypt die je tegen betaling kunt kopen; zie b.v. dit inmiddels verwijderde topic: http://74.125.77.132/sear...&hl=nl&ct=clnk&cd=1&gl=nl Waarschijnlijk een gouden business als je van zwart geld houd en geen scrupules hebt ... Die botnet-exploiters hoeven alleen maar enkele IRC servers in de lucht te houden en vervolgens "bots"-reclameruimte verhuren aan payload-adverteerders. Zag trouwens ook een auto-shutdown methode erin zitten, dus i.p.v. het channel te blocken zouden ze die server gewoon moeten gaan sniffen en tracen; misschien kunnen ze de verspreiders zo traceren en/of het botnet ontmantelen (ookal blijven payloads wel actief) ...

Worm

MeneerG — Mon, 16 Feb 2009 20:47:03 GMT

Waarschuwing: het bezoeken van deze site kan uw computer beschadigen. De website op 72.10.169.26 lijkt malware te hosten. *//(zegt chrome)*//

Worm

LuckY — Mon, 16 Feb 2009 18:08:22 GMT

Oook wel grappig dat: - Arcavir -Avg Antivirus - Clamav - CP secure - Fprot -Gdata - Ikarus - Norman virus control - Panda - Sohpos - VBA32 ze allemaal niet detecteren bron : virusscan.jotti.org

Worm

LuckY — Mon, 16 Feb 2009 17:56:52 GMT

Ja je kreegt echt een shitload aan schakelopties over je heen. Gelukkig houd ik van hyper-v met snapshots Dus ik ga het niet nogmaals doen, ook zag ik dat er enkele exe's gedownload werden die ik niet kon terug vinden.

Worm

Blokker_1999 — Mon, 16 Feb 2009 16:58:26 GMT

LuckyY, IRC kanalen hebben vele schakelopties. Je moet eens kijken welke modes actief zijn. 1 ervan verbergd alle gewone gebruikers en laat alleen +v en hoger zien. Ik neem aan dat de geïnfecteerde computers hun info halen uit het topic, iets wat dan weer ingesteld kan worden door een oper die niet eens in het kanaal zelf aanwezig hoeft te zijn.

Worm

woutertje — Mon, 16 Feb 2009 16:12:10 GMT

Ja, maar je zoals je ook al in het screenshot ziet zie je alleen jezelf in de userlist. Ook al zijn er wel anderen. Dit zal ongetwijfeld zijn om te voorkomen dat mensen zoals jij en ik iets te veel informatie kunnen krijgen

Worm

LuckY — Mon, 16 Feb 2009 15:58:36 GMT

Net er ook op geweest alleen zat ik alleen in een channel. Normaal is het toch 1 groot globaal iets? Maar client was 87xx Dus aardig wat slachtoffers

Worm

woutertje — Mon, 16 Feb 2009 15:04:02 GMT

LuckyY: Verbonden via een proxy, ook geen idee of ze dat als aanval zien maar beter het zekere voor het onzekere nemen. Heb het virus van iemand gekregen via de e-mail om een beetje mee te stoeien. Wel op m'n gewone pc gedownload dus maar geopend in een VM. SKiLLa: het virus is te vinden op: http://www.wouter-web.nl/virus/virus.rar uitpakken met wachtwoord: "opletten" (zonder de aanhalingstekens).

Worm

SKiLLa — Mon, 16 Feb 2009 14:25:55 GMT

Als je die .exe ergens upload, dan wil ik 'm best eens door de disassembler en/of eventueel debugger halen om te kijken of er nog meer urls in verstopt zitten ...

Worm

LuckY — Mon, 16 Feb 2009 13:33:08 GMT

Jammer van dat er geen edit is, Heb je trouwens gewoon via je normale pc gedownload of gelijk via de VM ?

Worm

LuckY — Mon, 16 Feb 2009 13:31:32 GMT

altijd jammer dat mijn MSN lijst zo een netjes klikgedrag heb dat ik dit nooit heb kunnen onderzoeken. Zeker leuke info. Hoe ben je trouwens naar de server verbonden ? Met proxy of zonder? ik weet namelijk nooit of ze dit als een aanval zien. en of er eventuele represailles zijn iig goodwork.

Worm

woutertje — Mon, 16 Feb 2009 12:25:36 GMT

Flipull: De irc server die draait is een pure botnet server. De admins hiervan zijn zeer waarschijnlijk degenen die de worm hebben geschreven. Vandaar ook dat ik een mailtje heb gestuurd naar zowel webtropia als strato waar in elk geval 2 van deze irc servers draaien. Patriot: Ik zal even een nieuw schema in elkaar zetten, bedankt voor het commentaar. Overigens is het niet mogelijk om zelf berichten te versturen naar de server.

Worm

Flipull — Mon, 16 Feb 2009 12:14:51 GMT

Goede post, desondanks: Ondanks dat je al gemeld hebt Yahoo ingelicht te hebben, kan je de "gespamde" domeinen met virus-executables ook op de juiste plek melden. Er zijn er vast meer dan 2 geweest op irc. En de desbetreffende irc server-admins zijn vast wel geinteresseerd in het misbruik. VMware pwnt zeker als honeypot. Helaas heb ik wireshark nooit werkend gehad. Ach, keep up the good work. Mark.

Worm

Anoniem: 63996 — Mon, 16 Feb 2009 11:30:02 GMT

Top post. Ben je hier nog lang mee bezig geweest om het uit te zoeken hoe en wat? en die mail naar yahoo. Verwacht je enig response? Heb zelf zeer slechte ervaringen wat Yahoo betreft.

Worm

Patriot — Mon, 16 Feb 2009 11:14:32 GMT

Overigens klopt het schema in je eerste post volgens mij net helemaal Woutifier. Nu is het net alsof geïnfecteerde clients zelf ook hosts vormen waarvan anderen het virus downloaden. Het gaat natuurlijk anders. Een geïnfecteerde client communiceert met de IRC-server, hij haalt daar een link op naar het virus op een externe host. Vervolgens stuurt het die link door naar andere clients, welke op zich weer contact opnemen met de IRC-server (mits ze geïnfecteerd raken): alles begint opnieuw.

Worm

Patriot — Mon, 16 Feb 2009 11:10:54 GMT

Uiteraard Roelant, alleen kun je er zonder meer van uitgaan dat het virus het host-bestand niet zelf aanpast? Overigens, is het mogelijk om zelf wat berichten te spammen in dat kanaal? Probeer eens zo'n ".p karikar" berichtje te veranderen? Lijkt me iig leuk om een beetje te kloten in dat kanaal.

Worm

Roelant — Mon, 16 Feb 2009 09:01:36 GMT

Leuk speurwerk hoor woutertje, vooral de screenshots maken het smeuïg. En ipv. te wachten tot de provider de host down haalt of de firewall te misbruiken, kun je ook nog de betr. (gevonden) host in je hostfile naar localhost verwijzen - dan is de host effectief ook niet bereikbaar.

Worm

Silver7 — Mon, 16 Feb 2009 08:12:20 GMT

Interessant weblog! Echt leuk om te weten hoe die precies werkt, maar vooral uitzoekwerk!

Worm

Sebazzz — Mon, 16 Feb 2009 06:36:10 GMT

Netjes. Laten we maar flink een p**n in the *ss zijn voor die virusschrijvers

Worm

painkill — Mon, 16 Feb 2009 01:16:58 GMT

Ganz geil Maar een firewall moet toch genoeg zijn om dit te stoppen?

Worm

woutertje — Mon, 16 Feb 2009 00:07:59 GMT

Dat is inderdaad een goed idee! Edit: de volgende was strato

Worm

AndriesLouw — Sun, 15 Feb 2009 23:40:08 GMT

Gewoon even een software firewall er tussen zetten die de pakketten naar de door jouw gevonden master server "blokkeert", en dan kijken of het virus dan ineens naar andere servers probeert te connecten.

Worm

Anoniem: 210390 — Sun, 15 Feb 2009 23:18:04 GMT

Mischien moet je even veder zoeken in de exe. Daar moet als het goed is een wachtwoord van het botje staan, soms ondersteund de zooi .remove met als gevlog dat de botjes imploderen .

Worm

woutertje — Sun, 15 Feb 2009 23:16:40 GMT

Ik heb de boel gedurende de test in de gaten gehouden met wireshark, er is geen verkeer geweest tussen de vm en de rest van het netwerk. De worm verspreid zich dus puur via MSN. Als het zich wel via het netwerk zou hebben verspeid zou dat op zich al weer heel interessant zijn om uit te zoeken edit: de mail naar webtropia is inmiddels verstuurd, we wachten geduldig af...

Worm

Slapstick — Sun, 15 Feb 2009 23:11:52 GMT

wow:O, goed uitgezocht, ik doe het je zeker niet na!, hoewel ik wel hoop dat die vm niet z'n sporen heeft kunnen achterlaten op een eventueel aanwezig netwerk.

Worm

woutertje — Sun, 15 Feb 2009 23:08:38 GMT

Die kans zit er inderdaad dik in, je zult dan op de een of andere manier alle hosts uit het het bestand moeten vissen en deze tegelijkertijd uitschakelen. Echter zijn mijn skills met een disassembler niet dusdanig hoog dat ik dat voor elkaar krijg.

Worm

MikeN — Sun, 15 Feb 2009 23:07:43 GMT

De vraag is vooral, heb je het mailtje naar webtropia ook gestuurd? ;-)

Worm

Anoniem: 187361 — Sun, 15 Feb 2009 23:04:41 GMT

Interessante post, ik ga er vanuit dat je deze vm in een ander netwerk / subnet hebt laten lopen dan je eigen machines? . Je kan natuurlijk ook kijken wat de worm doet wanneer de masterserver niet meer bereikbaar is. Zelf denk ik dat de worm wel eens verbinding zou kunnen gaan maken met een secundaire masterserver.

Worm

Roytoch — Sun, 15 Feb 2009 22:59:34 GMT

Tof speurwerk! Als je dus webtropia zover krijgt de IRC server down te halen, klapt heel het netwerk in? En kunnen er geen nieuwe mensen meer geinfecteerd raken? Aangezien bij de 'oude' geinfecteerden de 'meest verschrikkelijke virii' al binnen zijn?