1. Предварительная информация.
Троянская программа распространяется неизвестным злоумышленником в сети Интернет под видом "утилиты" для (де-)криптования файлов. Троянец был обнаружен "в недетектируемом виде" и передан мне для изучения нашим вэб-дизайнером.
По некоторым предположениям троянец был создан в России или на Украине примерно во второй половине июня 2005 года. Включает в себя 2 файла:
l2decrypt.exe - троянская программа, написанная на языке Microsoft Visual C+. Имеет размер 63488 байт (ничем не сжата). Непосредственно код троянца в данном файле составляет 23019 байт, а остальные 40469 байт имеет встроенная в тело троянца безобидная (де-)крипт-утилита (далее по тексту - просто "утилита") для расшифровки конфигурационного файла от сетевой игры "LineAgeII";
temp.exe - сама утилита размером 40469 байт (файл ничем не сжат). Имеет графический интерфейс, поддерживаемый в окне эмуляции MS-DOS и содержащий командную строку.
Утилита была встроена в код троянца с целью скрытной расшифровки конфигурационного файла игры "LineAgeII" с последующим выуживанием из него некоторой конфиденциальной информации о текущем игроке.
2. Инсталляция троянца в систему.
При запуске пользователем файла l2decrypt.exe троянец извлекает из своего тела утилиту и копирует ее под названием temp.exe в корневой каталог системы:
C:\WINDOWS\temp.exe
После этого запускает ее на выполнение.
Интерфейс утилиты содержит координаты ее автора, а также инструкцию по опциональному функционалу при работе с файлами и командную строку. Рабочее окно утилиты выглядит следующим образом:
При закрытии данного окна утилита (программа temp.exe) завершает свою работу. Что же касается троянского файла l2decrypt.exe, то он продолжает скрытно работать и остается в памяти системы вплоть до завершения ее работы (примечание: количество копий троянца в оперативной памяти зависит от того, сколько раз пользователь запустил файл l2decrypt.exe).
Троянец создает в системе собственный раздел ключей реестра со следующей записью:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell NoRoam\MUICache]
"%windir%\\temp.exe"="temp"
, где %windir% - название каталога с установленной ОС Windows. Смысл этого ключа непонятен, т.к. он не является ключом автозапуска компонента temp.exe (использует его для служебных целей?). Кроме того, под Windows 9X/ME троянец вообще не создает данный ключ.
Также троянец создает еще один ключ реестра:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\S haredAccess\Parameters\FirewallPolicy\StandardProf ile\AuthorizedApplications\List]
"%path%\\l2decrypt.exe"="%path%\\l2decrypt.exe:*:E nabled:l2decrypt"
, где %path% - путь к местоположению запущенного пользователем файла l2decrypt.exe. Данный ключ создается лишь под системами Windows 2K/XP и то только в том случае, если на них установлены системные обновления (SP4 и SP2 соответственно), и дает троянцу возможность работать как внутренний системный сервис с определенными привилегиями, а также скрывать некоторые из своих процедур от определенных системных вызовов. При этом, независимо от версии ОС Windows, троянец может активизироваться после перезапуска компьютера только в том случае, если пользователь собственноручно запустит файл l2decrypt.exe.
3. Похищение конфиденциальных данных.
Сразу после своего запуска троянец пытается соединиться со следующей Интернет-страницей (часть адреса заменена символами "%" по соображениям безопасности):
http://www.%-%.de/mail.php
Для вызова страницы троянец запускает системное приложение "iexplore.exe" (вэб-броузер Internet Explorer), указывая в строке "Адрес" данную ссылку. При этом использует для сокрытия окна данного процесса специальную процедуру, благодаря которой оно невидимо для глаз пользователя.
Вызов адреса в окне вэб-броузера троянец производит через 1025-й порт сетевого протокола TCP/IP. Если же по каким-либо причинам отослать запрос не удается (например, машина отключена от Интернета или данный порт используется др. программой), то троянец увеличивает значение порта на 1 (т.е. 1026, 1027 и т.д.) и повторяет попытку соединения. Попытки соединения в случаях неудачи троянец возобновляет с временными промежутками, равными 17 секунд (для машин с ОС Windows 9X/ME/2K/XP) или 22 секунды (для машин с ОС Windows 2K/XP с установленными обновлениями SP ?). Продолжительность каждой неудавшейся попытки составляет примерно до 1 секунды, после чего троянец закрывает невидимое окно и "засыпает" еще на 17 (22) секунд(-ы).
При удачном соединении троянец считывает с указанной страницы находящуюся на ней логическую метку - на момент изучения троянца таковой была
_ret_ok_1
и сравнивает с меткой, содержащейся в его собственном коде. Если метки совпадают (в изучаемом мной образце содержится точно такая же), то троянец активизирует процедуру парольного шпионажа, которая заключается в поиске и расшифровке определенных программных и системных файлов, а также ключей реестра с целью выявления в них логинов и паролей, серийных номеров и некоторой др. конфиденциальной информации. При обнаружении таких файлов троянец расшифровывает их содержимое при помощи встроенной в его код процедуры декриптации (исключением, как уже было сказано, является игра "LineAgeII", где для извлечения ее секретных данных используется файл-утилита temp.exe). Затем выявляет в таких файлах определенные строки и считывает из них следующие данные (ниже приведены названия программ, которые обрабатываются троянцем; конкретные имена файлов, из которых извлекаются секретные данные, не приводятся по соображениям безопасности):
1. Почтовая программа The Bat!: логины и пароли пользователей;
2. Интернет-пейджер ICQ: пароль пользователя;
3. Интернет-пейджер Miranda ICQ: серийный номер программы, пароль пользователя, имя каталога установки;
4. Интернет-пейджер &RQ: пароль пользователя;
5. Настройки подключения к сети Интернет и локальных соединений: логины и пароли пользователей, IP-адреса, DNS- и WINS-сервера и т.п., сетевое имя компьютера;
6. Интернет-пейджер Trillian: регистрационные имя и номер, пользовательский пароль, программная конфигурация и тип установки;
7. Редакторы для работы с файлами Windows Commander и Total Commander: имя каталога установки, сетевое имя для входа в FTP-сеть, адрес FTP-ресурса, имя и пароль пользователя для входа в сеть и некоторые др. данные;
8. Почтовая программа RimArts Becky Internet Mail: логин и пароль пользователя, почтовый домен, уникальный номер ID, адрес почтового ящика;
9. Вэб-броузер Internet Explorer: логин и пароль пользователя, IP-адрес провайдера, пользовательские логин и пароль, настройки подключения;
10. Почтовые программы MS Outlook Express и MS Outlook: сервера входящей (POP3) и исходящей (SMTP) почты, логины и пароли пользователей, адреса почтовых ящиков, код шифра криптования посланий (если используется);
11. Системные ключи к расшифровке пользовательской информации (из кода троянца не совсем понятно какие именно);
12. FTP-клиент CuteFTP (Pro): данные для доступа, изменения/удаления ресурса;
13. Программа автодозвона E-Type Dialer: логин и пароль пользователя для подключения к сети Интернет;
14. Редактор для работы с файлами FAR Manager: имя каталога c базовыми настройками, адреса подключенных FTP-ресурсов, регистрационные данные и некоторая др. информация;
15. FTP-клиент Home FTP: извлечение регистрационных данных и каких-то настроек программной конфигурации;
16. Почтовая программа вэб-броузера Opera: расположение подкаталогов программы, почтовые адреса пользователей, логины и пароли пользователей, домен сервера почтового подключения;
17. Вэб-броузер Mozilla: какие-то данные по конфигурациям программы.
Также троянец пытается искать на диске какие-то DAT-файлы.
Похищение адресов электронной почты пользователей осуществляется, очевидно, с целью создания базы данных для последующей рассылки спама.
Все выуженные данные троянец сохраняет в создаваемом им файле C:\WINDOWS\report.bin, после чего шифрует его собственным крипт-алгоритмом. Затем генерирует "на лету" почтовое послание, которое отсылает своему автору.
Письмо с вложением имеет следующие параметры:
Тема послания: Passes from %
Отправитель:
zzlib@mail.ru
Получатель:
zzlib@mail.ru
Вложение: файл report.bin
Символ "%" в теме обозначает какую-то переменную, в зависимости от которой троянец может дописывать к теме еще какие-то фрагменты.
Для отправки письма троянец использует собственные возможности.
Повторная отсылка послания производится только через определенные промежутки времени; однако, если пользователь перезагрузит систему, то троянец совершит попытку отсылки письма снова, независимо от прошедшего промежутка времени, т.к. соответствующий счетчик в системной памяти троянец сохраняет только на время работы Windows.
4. Загрузка других вредоносных программ через сеть Интернет.
Перед отправкой своего послания троянец пытается скачать через вышеуказанную страницу какой-то файл Builder.exe - из кода троянца понятно лишь то, что это какой-то дополнительный модульный компонент, но непонятно при каких условиях троянец может вызвать его на закачку. Также троянец скачивает какой-то троянский файл по следующей ссылке:
http://%.%/xinch.exe
Если обнаруживает данный файл по указанному пути, то загружает его в машину, устанавливает в систему как
C:\WINDOWS\taskmgr.exe
и запускает на выполнение. При запуске данного файла в систему устанавливается еще один файл, который затем используется троянцем:
C:\WINDOWS\taskmgr.dll
При обнаружении и удачной загрузке файла xinch.exe письмо с украденной информацией отсылается под темой "Passes from Xinch". Однако на данный момент, вышеуказанная ссылка на этот файл не работает - очевидно, ее прописали в коде троянца с видами на будущее.
5. Проявления троянца во время работы с системой.
Учитывая тот факт, что в активном состоянии троянец практически постоянно пытается выйти в сеть Интернет, перебирая порты и открывая/закрывая окно вэб-броузера, а также через каждые 17-22 сек. переводит на 1 сек. управление на свой процесс, пользователи пораженных троянцем машин могут испытывать дискомфорт из-за немало заметного уменьшения быстродействия системы, а также перескакивания из рабочего программного окна "неизвестно куда", что существенно мешает нормальной работе и, в частности, набиранию текста.
6. Прочее.
В коде троянца содержатся следующие строки-комментарии на русском языке:
Диспетчер консольных программ
Windows будет работать некорректно при отключении этого сервиса
7. Детектирование и удаление троянской программы.
Троянец Trojan-PSW.InvisibleThief.23019 (файл l2decrypt.exe) был отослан инженерам Антивирусной Лаборатории Евгения Касперского и на момент создания данного описания детектируется под такими идентификационными названиями:
Антивирус Kaspersky AntiVirus: Trojan-PSW.Win32.LdPinch.qv (включен в антивирусную базу 10.07.2005)
Антивирус BitDefender Professional: Generic.PWStealer.DC1030C3 (включен в антивирусную базу 13.07.2005)
Антивирус DrWeb: Trojan.PWS.LDPinch.462 (включен в антивирусную базу 28.07.2005)
При обнаружении в машине данной троянской программы необходимо перезагрузить компьютер, после чего удалить файл l2decrypt.exe с диска. Ключи, прописанные троянцем в системном реестре, удалять не обязательно.
После этого рекомендуется сменить пароли на подключение к сети Интернет, к почтовым ящикам и т.п.
На данный момент разработаны и выложены на нашем сайте описания следующих вариантов данного вируса:
Trojan-PSW.InvisibleThief.32768
Trojan-PSW.InvisibleThief.SafetyHater
23.09.2012, 18:45
l2decrypt.exe
Re: l2decrypt.exe
