no hizo parte 2 porque uso inctrl (algo como sandiebox y fue muy claro pillar los datos)
antes de:
Ahí va recién salido del horno.
Ya llevaba la idea desde hace tiempo y de momento sale la parte 1... el archivo adjunto contiene.
"Bifrost_core.dll" -> .DLL con cabecera reparada y descomprimida (de UPX), y tabla IAT arreglada que contiene el núcleo del troyano.
"PE_Header.Bifrost_core.txt" -> Copia de la Información del PE Header de la librería que se crea en memoria.
"Server.exe_INFECTED" -> Servidor que se ha analizado (Infectado, aunque no conecta a ningún lado).
En ésta parte se ve solamente hasta lo que es extraer la .dll de la memoria, en la segunda parte haré el análisis Estático con IDA (que tengo casi terminado) y escribiré el funcionamiento sobre como se Instala en el SO, Protocolos de comunicación, Desinstalación y Contra-Ataques que se puedan hacer...
Si hay alguien que le interese saber como reparé la .dll una vez volcada que me escriba al privado y haré una Parte III o un Anexo.
Un saludo.
Shaddy.
2. Pues si os llegáis a infectar, habría que mirar...
Installation Report: server
Generated by InCtrl5, version 1.0.0.0
Install program: C:\Documents and Settings\Admin\Escritorio\Bifrost v1.2\server.exe
6/13/2009 11:02 PM
------------------------------------------------------------
Registry
********
Keys ignored: 0
---------------
* (none)
Keys added: 5
-------------
HKEY_CURRENT_USER\Software\Bifrost
HKEY_LOCAL_MACHINE\SOFTWARE\Bifrost
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\MediaResources\msvideo
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\MediaResources\msvideo
Values added: 4
---------------
HKEY_CURRENT_USER\Software\Bifrost "klg"
Type: REG_BINARY
Data:
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache "C:\Documents and Settings\Admin\Escritorio\Bifrost v1.2\server.exe"
Type: REG_SZ
Data: server
HKEY_LOCAL_MACHINE\SOFTWARE\Bifrost "nck"
Type: REG_BINARY
Data: ED, 1B, E6, 27, B9, 28, D6, 32, 74, C3, CD, 74, FA, 93, 5B, 67
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836} "stubpath"
Type: REG_EXPAND_SZ
Data: C:\Archivos de programa\Bifrost\server.exe s
Values deleted: 2
-----------------
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kmixer\Enum "0"
Type: REG_SZ
Data: SW\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}\{9B365890-165F-11D0-A195-0020AFD156E4}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kmixer\Enum "0"
Type: REG_SZ
Data: SW\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}\{9B365890-165F-11D0-A195-0020AFD156E4}
Values changed: 5
-----------------
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG "Seed"
Old type: REG_BINARY
New type: REG_BINARY
Old data: EA, 91, EB, 59, D0, 7B, 42, 9D, 7E, 74, D6, 3A, 4F, FE, 8B, 98, BE, 41, 20, 27, 79, 90, F6, 07, EA, E3, 1B, 18, 10, 27, 0B, DB, B6, CE, 9A, F8, 6F, C5, BC, 51, 9D, 2F, 31, F5, 3B, 01, BB, 7C, 4A, 4E, F3, E0, 5B, B4, 60, 23, B1, 92, 81, 69, 06, 1B, BB, B6, A5, F0, 27, 6A, 4B, 3F, 02, A4, 28, 36, 65, 2B, 02, B9, 55, B1
New data: 25, EB, 9A, 4B, 8C, A8, 16, EE, CC, AA, 04, 54, 97, 6D, 02, 3D, FA, BE, 72, 21, AA, 56, 2E, 8A, C1, 30, EA, 02, 43, E0, 61, AD, B1, 6F, E2, 27, 5A, AA, D5, E9, AB, A5, 8E, D7, 24, 3B, 93, FC, BB, C2, 27, 7B, 18, 6F, BC, CD, D6, 51, 70, 3B, 11, D6, 3E, F4, D3, D6, 60, 9C, 34, D4, 89, B1, 76, F5, E2, CE, C9, AB, B9, 4A
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kmixer\Enum "Count"
Old type: REG_DWORD
New type: REG_DWORD
Old data: 01, 00, 00, 00
New data: 00, 00, 00, 00
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kmixer\Enum "NextInstance"
Old type: REG_DWORD
New type: REG_DWORD
Old data: 01, 00, 00, 00
New data: 00, 00, 00, 00
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kmixer\Enum "Count"
Old type: REG_DWORD
New type: REG_DWORD
Old data: 01, 00, 00, 00
New data: 00, 00, 00, 00
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kmixer\Enum "NextInstance"
Old type: REG_DWORD
New type: REG_DWORD
Old data: 01, 00, 00, 00
New data: 00, 00, 00, 00
------------------------------------------------------------
Disk contents
*************
Drives tracked: 1
-----------------
* c:\
Folders added: 1
----------------
c:\Archivos de programa\Bifrost
Files added: 1
--------------
c:\Archivos de programa\Bifrost\server.exe
Date: 8/19/2004 5:42 PM
Size: 27.517 bytes
----
Eso es lo que hace x)..
Pero vamos, que es un bicho muy suavecito, además no conecta a ningún sitio.
Un saludo.
Shaddy.
joer, quería ponerla en negrita y no se ha puesto... otra vez.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836} "stubpath"
Type: REG_EXPAND_SZ
Data: C:\Archivos de programa\Bifrost\server.exe s
Ahí es donde se instala, mediante clave ActiveX, si cierras IEXPLORE.EXE y borras esa clave y el server.exe ya no hay bicho ni nada.
Un saludo.
Shaddy.
Lo que he hecho hasta ahora, es ir sacando pieles de la "cebolla" que tiene por encima, hasta dar con la .dll, de ésta forma se puede analizar en IDA con comidad y hacer un análisis más completo y general... eso irá en la segunda parte
.
Un saludo.
Shaddy.
16/09/09
si.. todavía tengo la parte II del bifrost ahí en el pendrive a medias xD