Analyse des "Verschlüsselungs-Tojaners" 2. Gen (Dateinamen ohne Endung) Version 1.902.2

sebber

Hi alle,

habe mich heute angemeldet, um mal meine Erfahrungen mit dem Verschlüsselungstrojaner mit euch zu teilen.

Ich arbeite in einer kleinen Firma die sich mit IT-Dienstleistungen befasst. Diese Woche hatten verhältnismäßig viele Kunden den Verschlüsselungstrojaner auf dem PC, den sie zum Service gebrachten. Dummerweise immer die neue Version ohne Dateiendungen an den verschlüsselten Dateien. Wie Privatkunden so sind natürlich keine Backups ...

Einige Geschichten über die Wichtigkeit der verschlüsselten Dateien haben mein Mitgefühl geweckt. ;D

Von einem Rechner konnte ich eine E-Mail ziehen, die die Version 1.902.2 enthielt. Am Montag habe ich angefangen das Okolyt zu reversen. Ich habe nun nicht gerade täglich mit Assembler zu tun. Darum bin ich heute nach etwa 20 Stunden Arbeit noch nicht fertig, möchte aber schon mal den Zwischenstand mit euch teilen.

Analyse:
- Der Dropper heißt "Mahnung.exe" und hat ein WinRAR-Icon
- Nach dem Start entpackt er aus seinen Resourcen das Hauptprogramm in den RAM und startet das UPX-gepackte Teil per CreateProcess
- Mahnung.exe wird gelöscht
- Das Hauptprogramm kopiert sich nach C:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Temp\zufällige-buchstaben-kombination.pre unter XP bzw. C:\Users\Benutzername\AppData\Local\Temp\ unter Vista/Win7 möglich wäre auch C:\Windows\Temp\zufällige-buchstaben-kombination.pre
- Es wird die *.pre-Datei per WinExec gestatet und der Prozess beendet sich selbst
- die *.pre-Datei erstellt einen ctfmon.exe-Prozess mit einigen WriteProcessMemory-Aufrufen und startet ihn dann per CreateRemoteThread bei Offset 0x7FF90000
- cftmon.exe beginnt mit der Hauptarbeit
- Rechner-ID wird erstellt (Benutzername, Rechnername, evtl. weitere Daten)
- Fehlermeldung wird angezeigt "Microsoft Word" falsches Dateiformat oder etwas in der Richtung
- System-Restore-Point wird erstellt
- *.pre-Datei wird noch ein paar mal unter anderem Namen im Dateisystem angelegt
- Erzeugte Dateien werden in die Registry eingetragen, z. B. "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"
- TaskMgr und Regedit werden durch Registry-Einträge deaktiviert
- Bitmaps (falls vorhanden) mit dem Erpressertext von der Festplatte laden z. B. von C:\Windows\system32\winsh32x - das x steht für die Zahlen 0 bis 5
- Verschlüsselte Kommunikation mit einem C&C-Server (Bitmaps und ACHTUNG-LESEN.txt herunterladen), "hxxp://horad-fo.com/images/a.php?id=A3CB9B4F106519220000&cmd=msg&ver=1.902.2" läd z. B. die ACHTUNG-LESEN.txt
- Es werden alle Laufwerke nach Datei durchsucht und in eine Liste aufgenommen
- Zu jeder Datei wird ein neue Dateiname festgelegt, zufällige Länge Groß- und Kleinbuchstaben, keine Dateiendung
- Zu jeder Datei wird ein zufälliger Schlüssel erstellt
- Diese drei Arbeitsschritte werden zu einer Datenbank zusammengefasst, die im Klartext etwas so aussieht:
C:\\Dokumente und Einstellungen\Admin\Anwendungsdaten\Apple Computer\iTunes\iPod Updater Logs\iPodUpdater 1.log
C:\\Dokumente u nd Einstellungen\Admin\Anwendungsdaten\Apple Computer\iTunes\iPod Updater Logs\VGjfjqtqEGsfoVyqyys
fyfsnoUfjftqVVssosqAVtGEGEtqtGVnynqLqLydyAnjLsGEAVj

C:\\Dokumente und Einstellungen\Admin\Anwendungsdaten\Apple Computer\iTunes\iPod Updater Logs\iPodUpdater 10.log
C:\\Dokumente und Einstellungen\Admin\Anwendungsdaten\Apple Computer\iTunes\iPod Updater Logs\tLULUUjdsdodoA
nxjdfUGUVjyGGnGnxddddAGtnsLojoAVtGVnfnGdGjxtUo

...

- Diese Datenbank wird 2 mal verschlüsselt und anschließend auf der Festplatte abgelegt - Bei mir unter A3CB9B4F10651922.$02 also Rechner-ID + .$02
- Die Dateien werden der Reihe nach mit dem dazugehörigen Schlüssel + einer immer gleichen Zeichenfolge verschlüsselt, er weden nur die ersten 12kb gelesen, verschlüsselt, geschrieben
- nach dem verschlüsseln wird die Erstellungszeit der Datei auf 13. Februar 1601, 10:28:18 gesetzt

Bis hier hin bin ich bis jetzt. Fazit ist bis hier hin, dass die .$02-Datei der Kern jedes Entschlüsselungsversuchs sein wird. Ich konzentriere mich jetzt darauf herauszufinden, wie diese Datei-Datenbank entschlüsselt werden kann.

Noch ein paar interesante Fakten:
- Es werden nur Dateien auf Partionen von fest eingebauten Festplatten verschlüsselt. Das bedeutet keine Verschlüsselung auf Netzlaufwerken und Wechseldatenträgern
- Dateien werden nicht verschlüsselt wenn sie im Jahr 1601 erstellt wurden
- Dateien, die (oder deren Ordner) folgende Zeichenketten enthalten werden nicht verschlüsselt:
Program, Application, temp, tmp, Recycled, $, cache, Cookies, Desk.$00, .sys, .lnk, .com, .bin, .ini, .sys, .dat, .bat, .pif, .inf, ntldr, ntdetect, bootmgr, osloader, winload, pagefile, winsh, .$0
- Folgende Command&Control-Server sind hardcoded:
hxxp://horad-fo.com/images/a.php
hxxp://bojan-dns.com/images/a.php
hxxp://lickes-shops.com/images/a.php
hxxp://manno-admin.com/images/a.php
hxxp://johen-kapel.com/images/a.php
hxxp://networkers-group.com/images/a.php
hxxp://robertos-group.com/images/a.php

Im Anhang sind noch die Daten, die vom C&C-Server geladen werden.

Wenn jemand mit analysieren möchte, denn stelle ich gerne den Dropper und die Offsets der wichtigsten Funktionen bereit.