วิเคราะห์ Malware จาก file bin.exe

เมื่อวาน (14/11/2555) จากระบบ siamhelp.org ได้ตรวจพบ

Hostname 122.155.18.90
IP 122.155.18.90
AS AS9931
CAT-AP The Communication Authoity of Thailand, CAT
Web server Apache/2
OS Unknown
ISP CAT Telecom public company Ltd
City Bangkok
Country Thailand
Local time Thu Nov 15 15:53:26 ICT 2012

http://checkip.me/whomap.php?domain=122.155.18.90

มีการติดเชื้อ หรือ แพร่เชื้อไวรัสคอมพิวเตอร์  เมื่อดูจากประวัติใน siamhelp.org แล้ว พบการติดเชื้อมา 3 ครั้ง คือ
วันแรกที่พบคือ วันที่ 26 กรกฏาคม 2555  มี file ที่ติดเชื้อที่ 122.155.18.90/roudcubemail-0.5.2/program/biti.exe
วันที่สองที่พบคือ วันที่ 1 ตุลาคม 2555 มี file ที่ติดเชื้อที่ 122.155.18.90/1.exe
วันที่สามที่พบคือ วันที่ 14 พฤศจิกายน 2555 มี file ที่ติดเชื้อที่ 122.155.18.90/bin.exe
(file เหล่านี้ติดไวรัส อันตรายห้ามดาวโหลดไปลองหากไม่มีระบบป้องกันพอ เครื่องคอมพิวเตอร์ของท่านอาจเสียหายได้)

ข้อมูลทั้งหมดที่พบจาก http://www.scumware.org/report/122.155.18.90

URL MD5 IP Threat
2012-10-17 16:36:56 http://122.155.18.90/Done.exe… 312B9857A2476F7516BCB287CB404940 122.155.18.90 TH Trojan-Dropper.Win32.Dapato.btlt
2012-10-04 23:21:16 http://122.155.18.90/1.exe… D648F3D2E177DFAC4EC34B154A2575D2 122.155.18.90 TH Win32/Injector.XFC trojan
2012-07-26 09:46:27 http://122.155.18.90/roundcubemail-0.5.2/bitfud.exe… 537E450713251692F260E7722D5BBF3D 122.155.18.90 TH Win32/Packed.Themida application
2012-07-26 06:59:06 http://122.155.18.90/roundcubemail-0.5.2/program/biti.exe… E9A63A6AA767986F9A502A0ECF178A61 122.155.18.90 TH Win32/Packed.Themida application
2012-07-22 16:03:33 http://122.155.18.90/roundcubemail-0.5.2/program/bitfud.exe… 482B9368AFBF39AC162BD0338AC30840 122.155.18.90 TH Win32/Packed.Themida application

ลองมาทำการผ่าพิสูจน์ไวรัสกัน !!
เอาตัวล่าสุดคือ bin.exe

Scan date 2012-11-14 19:33:31 +00:00
File name 4200663
MD5 hash 5402d50803d892edfb8878a2ccbab0de
File type Win32 EXE
File Size (Byte) 2118144
Detection ratio 27 / 44

Scan result
แสดงผลลัพธ์การสแกนจากแอนตี้ไวรัส 44 ค่าย มีผลดังนี้
Scan result of virustotals
Vendor Version Result Virus Name Database Date
1. TotalDefense 37.0.10162 Virus not found 20121114
2. MicroWorld-eScan 12.0.250.0 Virus not found 20121114
3. nProtect 2012-11-14.02 Virus found Trojan.Generic.7962842 20121114
4. CAT-QuickHeal 12.00 Virus not found 20121114
5. McAfee 5.400.0.1158 Virus found Artemis!5402D50803D8 20121114
6. K7AntiVirus 9.154.7858 Virus found Riskware 20121114
7. TheHacker None Virus not found 20121113
8. F-Prot 4.6.5.141 Virus found W32/Themida_Packed!Eldorado 20121114
9. Symantec 20121.2.1.2 Virus found WS.Reputation.1 20121114
10. Norman 6.08.06 Virus found W32/Troj_Generic.EWJYW 20121114
11. ByteHero 1.0.0.1 Virus not found 20121110
12. TrendMicro-HouseCall 9.700.0.1001 Virus found TROJ_GEN.R47CGJP 20121114
13. Avast 6.0.1289.0 Virus found Win32:Malware-gen 20121114
14. eSafe 7.0.17.0 Virus not found 20121112
15.ClamAV 0.97.3.0 Virus not found 20121114
16. Kaspersky 9.0.0.837 Virus found Trojan-Downloader.Win32.Dapato.mpc 20121114
17. BitDefender 7.2 Virus found Trojan.Generic.7962842 20121114
18. Agnitum 5.5.1.3 Virus found Suspicious!SA 20121114
19. ViRobot 2011.4.7.4223 Virus not found 20121114
20. Sophos 4.83.0 Virus found Mal/Behav-374 20121114
21. Comodo 14201 Virus found UnclassifiedMalware 20121114
22. F-Secure 9.0.17090.0 Virus found Trojan.Generic.7962842 20121114
23. DrWeb 7.0.4.09250 Virus found Trojan.DownLoader7.21460 20121114
24. VIPRE 13976 Virus found Trojan.Win32.Generic!BT 20121114
25. AntiVir 7.11.50.24 Virus found TR/Crypt.XPACK.Gen 20121114
26. TrendMicro 9.561.0.1028 Virus found TROJ_GEN.R47CGJP 20121114
27. McAfee-GW-Edition 2012.1 Virus found Heuristic.BehavesLike.Win32.Suspicious-BAY.O 20121114
28. Emsisoft 3.0.0.569 Virus not found 20121114
29. Jiangmin 13.0.900 Virus found Trojan/Miner.bd 20121114
30. Antiy-AVL 2.0.3.7 Virus not found 20121113
31. Kingsoft 2012.9.22.155 Virus not found 20121112
32. Microsoft 1.8904 Virus not found 20121114
33. SUPERAntiSpyware 5.6.0.1008 Virus not found 20121114
34. GData 22 Virus found Trojan.Generic.7962842 20121114
35. Commtouch 5.3.2.6 Virus not found 20121114
36. AhnLab-V3 2012.11.15.00 Virus found Downloader/Win32.Dapato 20121114
37. VBA32 3.12.18.3 Virus not found 20121114
38. PCTools 8.0.0.5 Virus not found 20121114
39. ESET-NOD32 7693 Virus found probably a variant of Win32/BitCoinMiner.H 20121114
40. Rising 24.36.01.05 Virus not found 20121114
41. Ikarus T3.1.1.122.0 Virus found Trojan.Win32.Miner 20121114
42. Fortinet 5.0.26.0 Virus found W32/BitCoinMiner.H 20121114
43. AVG 10.0.0.1190 Virus found Generic6_c.BDXE 20121114
44. Panda 10.0.3.5 Virus found Trj/Thed.A 20121114

File fuzzy hashing
Context Triggered Piecewise Hashing ของไฟล์
File ssdeep of 4200663
49152:wx08+tkrW4K8G/i4wVQyPAetraEaNAZZGGxb:VqrYZiR1asHGGx

File metadata
แสดงรายละเอียดและคุณลักษณะของไฟล์
File exif of 4200663
Property Value
mimetype application/octet-stream
subsystem Windows command line
machinetype Intel 386 or later, and compatibles
timestamp 2012:07:05 13:47:47+01:00
filetype Win32 EXE
petype PE32
codesize 0
linkerversion 10.0
entrypoint 0x6e014
initializeddatasize 2114048
subsystemversion 5.1
imageversion 0.0
osversion 5.1
uninitializeddatasize 0
Portable Executable structural information
Compilation timedatestamp.....: 2012-07-05 12:47:47
Target machine................: 0x14C (Intel 386 or later processors and compatible processors)
Entry point address...........: 0x0006E014

PE Sections...................:

Name        Virtual Address  Virtual Size  Raw Size  Entropy  MD5
                       4096        438272    438272     7.19  d1deeaa0eb791825a85a8e1647060a68
.rsrc                442368          1328      1536     4.91  5db9c0afa277e657781a7042386629cd
.idata               446464          4096       512     1.38  72003d358d654906aeb64ef8dce8c16c
...                  450560       1679360   1673728     7.81  9bbc6c53ef7c2afc1d8990d901779fee

PE Imports....................:

[[KERNEL32.dll]]
CreateFileA, lstrcpy

[[COMCTL32.dll]]
InitCommonControls

PE Resources..................:

Resource type            Number of resources
RT_MANIFEST              2

Resource language        Number of resources
NEUTRAL                  1
ENGLISH US               1

ไวรัสชนิดนี้ พบว่ายังมีหลายชื่อ file ดังนี้
1. 4200663
2. output.4200663.txt
3. bin.exe
ตรวจสอบเส้นทางการเชื่อมต่อค่า DNS ทางระบบเครือข่าย
122.155.18.90
ปัจจุบัน domain denichsoiltest.com ไม่ได้อยู่ที่ IP อันตรายนี้แล้ว แต่ค่าที่เห็นเกิดนำมาจาก http://ip.robtex.com/122.155.18.90.html#graph
วันที่ทำการตรวจสอบการเชื่อมต่อค่า DNS วันที่ 15 /11/ 2555
ผลการทดสอบเส้น Query DNS จาก http://sran.org/dns พบค่าดังนี้