Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

torsdag 5. juni 2008

MSN-orm

Idag har vi sett en del aktivitet rundt en orm som forsøker å spre seg gjennom blant annet MSN-meldinger. Denne ormen sendte ut meldinger til samtlige på kontaktlisten i MSN Messenger, med en link til en side på video.stream.idoo.com (som i realiteten er en eksekverbar fil).

Hva skjer hvis man trykker på linken?
Dersom man velger å trykke på linken og kjøre den eksekverbare filen som blir lastet ned, så vil maskinen bli koblet opp mot et IRC-basert botnet, hvor den vil få videre beskjed om å starte å sende den samme typen meldinger til alle i kontaktlisten. I tillegg vil den også legge seg til i registeret under HKLM\Software\Microsoft\Windows\CurrentVersion\Run med nøkkelen "Windows Messanger Control Center", slik at den vil starte automatisk ved neste reboot.



IRC C&C kontaktes på love.mydyn.net, port 9500/tcp.



love.mydyn.net har tidligere idag resolvet til 83.150.32.6, og har ut mot kvelden blitt tatt ned. I skrivende stund resolver dette domenet til 62.75.222.198, som fremdeles mottar oppkoblinger på port 9500/tcp.

Anbefalinger
Det anbefales å blokkere tilgang til video.stream.idoo.com, samt de to IP-adressene love.mydyn.net har resolvet til idag.
Det kan nok også vært lurt å følge litt med på love.mydyn.net da denne DNS-recorden har en veldig lav TTL, og kan derfor plutselig bytte IP-adresse.

Populær kodebase
Denne typen IRC-bot'er har vært rundt en god stund, og er forholdsvis enkle å oppdage i et nettverk. Til tross for det ser det ut til at ganske mange holder seg til denne typen bot'er - sannsynligvis på grunn av at kildekoden er forholdsvis lett tilgjengelig, og den er relativt enkel å tilpasse. Det ser også ut til at det er en aktiv utvikling på denne koden (nye exploits legges til, flere spredningsvektorer, som f.eks IM, osv).

Vi har sett litt nærmere på denne ormen, for å se om vi kunne finne noe interessant.

For det første er denne ormen pakket i en packer som er skrevet i Visual Basic, og har noen enkle anti-debug-triks som å sjekke om typiske analyse-verktøy som ollydbg, procmon, regmon og filemon kjører. I tillegg sjekker den for typiske skjermkort-drivere som brukes i virtuelle miljøer som VMware og VirtualBox.

Når det kommer til selve bot-koden, så var det litt interessant å se hvordan den sendte MSN-meldinger i praksis. Her viser det seg at meldinger som skal sendes kopieres først til clipboard, for deretter å sende Ctrl-V (paste) og Enter til de riktige vinduene i etterkant.



En annen interessant sak med denne, er at den har mulighet til å spre seg gjennom USB-minnepinner og andre eksterne diskenheter. Måten den gjør dette på er å sjekke, hvert 10. sekund, etter disker som er identifisert som "removable drive" (untatt A: og B:). For hver disk opprettes det en spesiell systemmappe, "Recycler", hvor filen autorunme.exe legges. Deretter opprettes det autorun.inf, som gjør at denne filen vil bli automatisk eksekvert når disken/minnepinnen settes i PC'en (med standard konfigurert Windows XP).


2 kommentarer:

Rogers sa...

Artig den detaljen med spredning via flyttbare disker. :) Skulle ønske folk kunne slutte å trykke på denne typen linker. I det minste la være å hente ned og kjøre exe-fila etterpå..

Tore Terjesen sa...

Ja, det var en artig detalj. Tok den med i nyhetsbrevet. Men hvorfor må folk på død og liv trykke "kjør" etter at de har lastet ned fila??

 
>