วิเคราะห์ malware จาก file Extratos-Debitos.exe

Siamhelpจากข้อมูลใน siamhelp.org พบว่ามีเว็บหลายเว็บในประเทศไทยมีการติดเชื้อโดยไม่รู้ตัว ซึ่งอาจส่งผลให้คนที่เข้าเยี่ยมชมเว็บเหล่านั้นจะมีการติดเชื้อและแพร่ต่อๆกันไป กลายเป็นส่วนหนึ่งของปริมาณ botnet ที่เกิดขึ้นในปัจจุบัน

จากข้อมูล http://www.siamhelp.org/reports/infect
เว็บที่ติดเชื้อ คือ http://daycare.kku.ac.th/media/system/images/Extratos-Debitos.exe  (หากไม่มีระบบป้องกันห้ามเข้า path ดังกล่าว)

เมื่อทำการวิเคราะห์
Step 1  ทำการ whois ที่ http://checkip.me/whomap.php?domain=daycare.kku.ac.th

  • delegation information (beta) for daycare.kku.ac.th
    +-ams.sns-pb.isc.org ams.sns-pb.isc.org (199.6.1.30)
    | +-dns1.thnic.co.th dns1.thnic.co.th (202.28.1.22)
    | | +-ns-a.thnic.co.th ns-a.thnic.co.th (61.19.242.38)
    | | | +-ns-e.thnic.co.th ns-e.thnic.co.th (194.0.1.28)
    | | | | +-sfba.sns-pb.isc.org sfba.sns-pb.isc.org (149.20.64.3)
    | | | | | +-th.cctld.authdns.ripe.net th.cctld.authdns.ripe.net (193.0.9.116)
    | | | | | | +-kknt.kku.ac.th (202.12.97.21)
    | | | | | | | +-kku1.kku.ac.th (202.12.97.1)
    | | | | | | | | +-ns.thnic.net ns.thnic.net ns.thnic.net (202.28.0.1)
    | | | | | | | | | +-ns2.kku.ac.th (202.12.97.44)
    | | | | | | | | | |

    Step 2  ค้นหาความเกี่ยวข้อง DNS และการ routing 

    • ค้นหาจาก http://sran.org/dns/   หรือ http://dns.robtex.com/daycare.kku.ac.th.html#records
    ผลลัพธ์คือ
    Step 3 ตรวจสอบในระดับ Web Application

    Overview
    URL http://daycare.kku.ac.th/media/system/images/Extratos-Debitos.exe
    IP 202.12.97.32
    ASN Unknown
    Location  Thailand

    โดยปรับ User agent ผ่าน http://urlquery.net

    Settings
    UserAgent Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13
    Referer
    Adobe Reader 8.0
    Java 1.6.0_26
    Intrusion Detection Systems
    Suricata /w Emerging Threats Pro
    Timestamp Source IP Destination IP Severity Alert
    2012-11-15 07:04:32  202.12.97.32 urlQuery Client 3 FILEMAGIC windows executable
    Snort /w Sourcefire VRT
    Timestamp Source IP Destination IP Severity Alert
    2012-11-15 07:04:32  202.12.97.32 urlQuery Client 3 FILE-IDENTIFY Portable Executable binary file magic detected
    ตรวจสอบโดยใช้ http://wepawet.iseclab.org

    Malware

    Additional (potential) malware:

    URL Type Hash Analysis
    http://daycare.kku.ac.th/media/system/images/Extratos-Debitos.exe PE32 executable for MS Windows (GUI) Intel 80386 32-bit Mono/.Net assembly 320ba22fa9b47a135c235786e850f157
    รายละเอียด อ่าน http://wepawet.iseclab.org/view.php?type=js&hash=12a654aded391a575b177607f80ef00d&t=1351079337#sec_network
    สิ่งที่เห็นคือมีการ Redirect  ไปที่โดแมน arjunkarki.org  

    Network Activity

    URL Status Content Type
    http://daycare.kku.ac.th/media/system/images/Debitos-pendentes.php 302 text/html
     http://www.arjunkarki.org/media/Debitos-Extrato.jar 200 application/zip

    Redirects

    From To
    http://daycare.kku.ac.th/media/system/images/Debitos-pendentes.php http://www.arjunkarki.org/media/Debitos-Extrato.jar
    เมื่อทำการ whois  โดเมนที่ต้องสงสัย ผลที่ได้คือ
    Domain ID:D153928453-LROR
Domain Name:ARJUNKARKI.ORG
Created On:25-Aug-2008 16:18:46 UTC
Last Updated On:27-Oct-2012 02:21:26 UTC
Expiration Date:25-Aug-2013 16:18:46 UTC
Sponsoring Registrar:Click Registrar, Inc. d/b/a publicdomainregistry.com (R1935-LROR)
Status:OK
Registrant ID:DI_9323685
Registrant Name:Som Rai
Registrant Organization:Rural Reconstruction Nepal (RRN)
Registrant Street1:P.O.Box: 8130
Registrant Street2:Gairidhara
Registrant Street3:
Registrant City:Kathmandu
Registrant State/Province:Bagmati
Registrant Postal Code:n/a
Registrant Country:NP
Registrant Phone:+977.14427823
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant Email:som@rrn.org.np
Admin ID:DI_9323686
Admin Name:Anup Manandhar
Admin Organization:Vianet Communications
Admin Street1:Pulchowk
Admin Street2:
Admin Street3:
Admin City:Kathmandu
Admin State/Province:Bagmati
Admin Postal Code:n/a
Admin Country:NP
Admin Phone:+977.15546410
Admin Phone Ext.:
Admin FAX:
Admin FAX Ext.:
Admin Email:anup@vianet.com.np
Tech ID:DI_9323686
Tech Name:Anup Manandhar
Tech Organization:Vianet Communications
Tech Street1:Pulchowk
Tech Street2:
Tech Street3:
Tech City:Kathmandu
Tech State/Province:Bagmati
Tech Postal Code:n/a
Tech Country:NP
Tech Phone:+977.15546410
Tech Phone Ext.:
Tech FAX:
Tech FAX Ext.:
Tech Email:anup@vianet.com.np
Name Server:DNS1.ARJUNKARKI.ORG
Name Server:DNS2.ARJUNKARKI.ORG
    

    รายละเอียดที่ http://checkip.me/whomap.php?domain=arjunkarki.org
    

    Link ไปที่เนปาลได้อย่างไร  ...
    มีความเป็นไปได้ว่าเว็บไซต์ที่นำเสนอมีการโดนเจาะระบบแล้วมีการฝั่ง file ที่มี malware อยู่โดย malware ชนิดนี้ถูกควบคุมจากอีกที่หนึ่ง
    Step 4 วิเคราะห์ file malware
    ทำการ download file ผ่าน sandbox Anubis iseclab 
    Request: GET /media/system/images/Extratos-Debitos.exe
    Response: 200 “OK”


    – Files Created:
    C:Documents and SettingsAdministratorLocal SettingsTemporary Internet FilesContent.IE5WDUF49ANExtratos-Debitos[1].exe


    – Files Read:
    C:WINDOWSsystem32shell32.dll
    C:lsarpc, Flags: Named pipe
    c:autoexec.bat


    – Files Modified:
    C:Documents and SettingsAdministratorLocal SettingsTemporary Internet FilesContent.IE5WDUF49ANExtratos-Debitos[1].exe
    C:lsarpc, Flags: Named pipeinfo
    DeviceAfdAsyncConnectHlpinfo
    DeviceAfdEndpointinfo
    DeviceRasAcdinfo


    – File System Control Communication:
    File Control Code Times
    C:lsarpc, Flags: Named pipe  0x0011C017  16 


    – Device Control Communication:
    File Control Code Times
    DeviceAfdEndpoint  AFD_GET_INFO (0x0001207B) 
    DeviceAfdEndpoint  AFD_SET_CONTEXT (0x00012047)  10 
    DeviceAfdEndpoint  AFD_BIND (0x00012003) 
    DeviceAfdEndpoint  AFD_GET_TDI_HANDLES (0x00012037) 
    DeviceAfdEndpoint  AFD_GET_SOCK_NAME (0x0001202F) 
    DeviceAfdEndpoint  AFD_CONNECT (0x00012007) 
    DeviceAfdEndpoint  AFD_SELECT (0x00012024) 
    DeviceAfdEndpoint  AFD_SET_INFO (0x0001203B) 
    DeviceAfdAsyncConnectHlp  AFD_CONNECT (0x00012007) 
    DeviceAfdEndpoint  AFD_RECV (0x00012017) 
    DeviceAfdEndpoint  AFD_SEND (0x0001201F) 
    unnamed file  0x00120028 


    – Memory Mapped Files:
    File Name
    C:WINDOWSSystem32wshtcpip.dll
    C:WINDOWSsystem32DNSAPI.dll
    C:WINDOWSsystem32RASAPI32.DLL
    C:WINDOWSsystem32TAPI32.dll
    C:WINDOWSsystem32WINMM.dll
    C:WINDOWSsystem32WS2HELP.dll
    C:WINDOWSsystem32WS2_32.dll
    C:WINDOWSsystem32hnetcfg.dll
    C:WINDOWSsystem32mswsock.dll
    C:WINDOWSsystem32rasadhlp.dll
    C:WINDOWSsystem32rasman.dll
    C:WINDOWSsystem32rtutils.dll
    C:WINDOWSsystem32sensapi.dll
    C:WINDOWSsystem32shell32.dll
    C:WINDOWSsystem32wsock32.dll

    – DNS Queries:
    Name Query Type Query Result Successful Protocol
    daycare.kku.ac.th  DNS_TYPE_A  202.12.97.32  YES  udp 


    –  HTTP Conversations:
    From ANUBIS:1029 to 202.12.97.32:80 – [daycare.kku.ac.th]
    Request: GET /media/system/images/Extratos-Debitos.exe
    Response: 200 “OK”

    – Mutexes Created:
    CritOpMutex
    MSCTF.Shared.MUTEX.IFG
    _SHuassist.mtx
    จากการใช้ virustotal ผลคือ
    File detail
    แสดงรายละเอียดพื้นฐานของไฟล์
    File detail of smona_524c8edb06461ebafd113be10053cc684ec3fba02c3662933bbe081af119c66c.bin
    Scan date 2012-11-15 01:41:05 +00:00
    File name smona_524c8edb06461ebafd113be10053cc684ec3fba02c3662933bbe081af119c66c.bin
    MD5 hash b07609c11d52d6eaa75c368e414bb025
    File type Win32 EXE
    File Size (Byte) 12800
    Detection ratio 23 / 44
    Scan result
    แสดงผลลัพธ์การสแกน
    Scan result of smona_524c8edb06461ebafd113be10053cc684ec3fba02c3662933bbe081af119c66c.bin
    Vendor Version Result Virus Name Database Date
    TotalDefense 37.0.10163 Virus not found 20121115
    MicroWorld-eScan 12.0.250.0 Virus found Trojan.MSIL.Crypt.wvu (ES) 20121114
    nProtect 2012-11-14.02 Virus not found 20121114
    CAT-QuickHeal 12.00 Virus not found 20121114
    McAfee 5.400.0.1158 Virus found Artemis!B07609C11D52 20121115
    K7AntiVirus 9.154.7858 Virus found Riskware 20121114
    TheHacker None Virus not found 20121113
    F-Prot 4.6.5.141 Virus not found 20121114
    Symantec 20121.2.1.2 Virus found Downloader 20121115
    Norman 6.08.06 Virus found W32/Troj_Generic.FJBCF 20121114
    ByteHero 1.0.0.1 Virus not found 20121110
    TrendMicro-HouseCall 9.700.0.1001 Virus found TROJ_BANLOAD.GQU 20121115
    Avast 6.0.1289.0 Virus found Win32:Malware-gen 20121115
    eSafe 7.0.17.0 Virus not found 20121112
    ClamAV 0.97.3.0 Virus not found 20121115
    Kaspersky 9.0.0.837 Virus found Trojan.MSIL.Crypt.wvu 20121114
    BitDefender 7.2 Virus not found 20121114
    Agnitum 5.5.1.3 Virus not found 20121114
    ViRobot 2011.4.7.4223 Virus not found 20121114
    Sophos 4.83.0 Virus not found 20121115
    Comodo 14205 Virus not found 20121115
    F-Secure 9.0.17090.0 Virus not found 20121115
    DrWeb 7.0.4.09250 Virus not found 20121115
    VIPRE 13982 Virus found Trojan.Win32.Generic!BT 20121115
    AntiVir 7.11.50.38 Virus found TR/MSIL.Crypt.wvu 20121115
    TrendMicro 9.561.0.1028 Virus found TROJ_BANLOAD.GQU 20121115
    McAfee-GW-Edition 2012.1 Virus found Artemis!B07609C11D52 20121115
    Emsisoft 3.0.0.569 Virus found Trojan.MSIL.Crypt.AMN (A) 20121115
    Jiangmin 13.0.900 Virus not found 20121114
    Antiy-AVL 2.0.3.7 Virus not found 20121115
    Kingsoft 2012.9.22.155 Virus found Win32.Troj.Crypt.(kcloud) 20121112
    Microsoft 1.8904 Virus not found 20121114
    SUPERAntiSpyware 5.6.0.1008 Virus found Trojan.Agent/Gen-Frauder 20121115
    GData 22 Virus found Win32:Malware-gen 20121115
    Commtouch 5.3.2.6 Virus not found 20121114
    AhnLab-V3 2012.11.15.00 Virus found Spyware/Win32.ArchSMS 20121114
    VBA32 3.12.18.3 Virus not found 20121114
    PCTools 8.0.0.5 Virus found Downloader.Generic 20121115
    ESET-NOD32 7693 Virus found MSIL/TrojanDownloader.Banload.K 20121114
    Rising 24.36.01.05 Virus not found 20121114
    Ikarus T3.1.1.122.0 Virus found Trojan.Msil 20121115
    Fortinet 5.0.26.0 Virus found MSIL/Banload.K!tr 20121115
    AVG 10.0.0.1190 Virus found Agent3.CKIJ 20121115
    Panda 10.0.3.5 Virus found Trj/CI.A 20121114




    File fuzzy hashing
    Context Triggered Piecewise Hashing ของไฟล์
    File ssdeep of smona_524c8edb06461ebafd113be10053cc684ec3fba02c3662933bbe081af119c66c.bin
    192:sxwuKTS5DJ+z2LdY1GQk7b1AURjsNyHRW+iBMWO7h7urmpvL2IYRR2:huKTS5MsYoKLYHR2MDyrmpD2s
    File metadata
    แสดงรายละเอียดและคุณลักษณะของไฟล์
    File exif of smona_524c8edb06461ebafd113be10053cc684ec3fba02c3662933bbe081af119c66c.bin
    Property Value
    subsystemversion 4.0
    linkerversion 8.0
    imageversion 0.0
    fileversionnumber 0.0.0.0
    uninitializeddatasize 0
    languagecode Neutral
    fileflagsmask 0x003f
    characterset Unicode
    initializeddatasize 1536
    originalfilename loader.exe
    mimetype application/octet-stream
    legalcopyright
    fileversion 0.0.0.0
    timestamp 2012:11:08 19:35:04+00:00
    filetype Win32 EXE
    petype PE32
    internalname loader.exe
    productversion 0.0.0.0
    filedescription
    osversion 4.0
    fileos Win32
    subsystem Windows GUI
    machinetype Intel 386 or later, and compatibles
    codesize 10752
    filesubtype 0
    productversionnumber 0.0.0.0
    entrypoint 0x48ee
    objectfiletype Executable application
    assemblyversion 0.0.0.0
    รายละเอียดดูจาก http://www.siamhelp.org/scan/result/file/b07609c11d52d6eaa75c368e414bb025
    เมื่อเอาค่า MD5 จาก file ไวรัสมาตรวจสอบพบว่า มี File name ที่เป็นไวรัสเดียวกันดังนี้
    File names 
    1. Extratos-Debitos.exe
    2. file-4758613_exe
    3. loader.exe
    4. output.3545948.txt
    5. b2c920576cebc4cde06f22763d9bf116f0a3e9cb.exe
    6. 3545948
    7. smona_524c8edb06461ebafd113be10053cc684ec3fba02c3662933bbe081af119c66c.bin
    แล้วพบกันตอนหน้า …