jeudi 19 novembre 2009

GibMedia's programms : Hijacker ?

Yop =)

Un article sur un type d'infection maintenant courante, les détournement de page d'accueil avec un moteur de recherche bidon à la clef.
Un exemple parmi tant d'autre : les programmes tagués GibMedia .
Ces programmes sont en téléchargement sur des sites vitrines. Ex : pages annuaire, résultat du Bac.


Analyse statique, dynamique & Conclusion





Prenons l'exemple de :

hxxp://www.pages-annuaire.net/exe/ff/pages-annuaire.exe

Le programme pages-annuaires.exe est téléchargé puis désassemblé.


I - Etude statique de pages-annuaires.exe

Scan sur virus total :




ClamAV
0.94.1
2009.11.17
Trojan.Agent-123523
DrWeb
5.0.0.12182
2009.11.17
Adware.Gibmedia



Les résultats aux scans ne sont pas très concluants ...

Observons les routines intéressantes :


Figure-1 : Fonction GETPassword.

Hypothèse 1 : Les différents composant de l'infection sont contenues dans une archive compressée.
Hypothèse 2 : La fonction GetPassword serait une fonction permettant à l'exécutable de décompresser une partie de son contenu, grâce à un mot de passe.




Figure-2 : Strings suspectes

L'hypothèse 1 semble être confirmée par quelques strings contenus dans le code de l'exécutable.
Je précise qu'il y a plusieurs traces dans l'exécutable de Winrar, notamment, le bidouillage de certaines clefs de registre le concernant.




Grâce à un debogueur, on peut voir se qui se passe :




L'hypothèse 2 fait donc parti du domaine du probable.



Figure-3 : Création d'un raccourci

Fichier .ink crée sur le Bureau (voir partie dynamique)



Création de 3 executables :
                                                                  
.text:0040281D   mov     edx, offset a_exe ;".exe"                                                         .text:004028E0   mov      edx, offset a_exe ; ".exe"                                                         .text:00406646    mov     edx, offset aExe ; "exe"

Installation de tout ce petit monde grâce à un fichier .inf, un des exécutables sera surement chargé en service donc :



Figure-4 : Installation de l'infection grâce à un fichier .inf.




II - Etude dynamique de pages-annuaires.exe

1°) Introduction

Plusieurs clefs de registres sont modifiés afin de démarrer un service (valeur=gibsvc.exe)




  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSvc
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSvc




    • Les trois fichiers crée précédemment sont bien là :



     Répertoire de C:\Program Files\Winsudate

    17/11/2009  22:06            73 968   gibcom.dll
    17/11/2009  22:06            65 776   gibidl.dll
    17/11/2009  22:06            70 896   gibsvc.exe <--- *Exe de mise à jour *

    17/11/2009  22:06            57 072   gibupt.exe 
    17/11/2009  22:32           133 638  gibusr.exe <--- *Main exe*




    Le fichier est démarré à partir d'une clef RUN :



    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run  
    "WinUsr"Type: REG_SZ                                                                               
    Data: C:\Program Files\Winsudate\gibusr.exe




    2°) Charge Infectieuse

    Enfin, le plus intéressant, la charge véritablement infectieuse de l'infection, l'hijack de la HomePage (pas grand chose à se mettre sous la dent, sinon  :



    %internet_explorer%\SearchScopes\{c3d07853-c240-4565-a805-7f7f4f84315f}    
    "URL" Type: REG_SZ                                                 
    Data: http://www.yougoo.fr/annuaire?search&q={searchTerms}



     
     
     
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main                      
    "Start Page"type: REG_SZ
    Old data: http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    New data: http://www.yougoo.fr/annuaire    
    Fonction lié à la charge malicieuse du programme gibusr.exe appliqué sur Firefox installé :



    Figure-5 : Fonctions de la Section .rdata modifiant les fichiers de configuration  de firefox

    On peut observer les changements au niveau prefs.js avec modifications des attributs clefs comme keyword.URL et la startup homepage.
    Enfin, gibusr va ajouter le search plugin yoogoo pour modifier le moteur de recherche par défaut





    Figure-6 : Fonctions de la Section .rdata modifiant des clefs de registre sensible concernant Internet Explorer


    Modification de la page homepage ainsi que d'autre fonctions de IE.


    3°) Des protections contre le reverse ?

    Je n'ai pas pu m'empêcher, en étudiant les composants de l'infections de trouver des détails permettant de penser que l'infection chiffre à la fois son trafic mais se protège aussi du deboggage.




    Figure-7 : Image des dll chargées en mémoire

    On peut remarquer la présence de secur32.dll (msdn) permettant entre autre de manipuler les certificats SSL.

    Verifions en mémoire si quelquechose dans le genre apparait.




    Figure-8 : Infrastructure lié au certificat SSL

    Passons maintenant à la protection (légère) contre le debogage mais qui mérite d'être souligné, l'utilisation à l'adress &004032C8 de la fonction IsDebuggerPresent dans gibsvc.exe . Elle va renvoyé une valeur booléenne à l'executable qui saura si un debugeur est attaché à son processus et ainsi modifier son comportement.




    4°) Conclusion

    Deux dossiers crées :


    c:\Documents and Settings\Mister_M@sk\Local Settings\temp\RarSFX0
    c:\Program Files\Winsudate
     
    Le dossier dans %tmp% me rappelle un peu la méthode de uncompress à la MSN WORMS, un peu artisanal ...
      
     
     
    Au final :
    - Deux repertoires crées
    - 3 exe et 2 dll crées
    - Plusieurs dizaines de clefs de registres sensibles ont été modifiées

    Symtomes :
    - HomePage modifiée (Firefox & IE)
    - Moteur de recherche modifié (yoogoo)
    - 2 processus sont lancés au démarrage (gibusr.exe et gibusvc.exe via services.exe)



    Quel conclusion peut-on faire face à tout ces éléments :

    L'étude statique a ici était simplifiée par le fait que l'exécutable (dropper) n'était aucunement chiffré ou offusqué, ce type d'analyse nous a permit de comprendre et d'appréhender les effets produits sur la machine.
    Ici, la charge infectieuse n'est qu'un Hijack de la HomePage, mais on peut suspecter un comportement de spyware, notamment sur gibusvc.exe. Le serveur de mise à jour où il va chercher ses ordres ici :



    hxxp://gibupdate(dot)hook-network(dot)com//gib.ashx(?)c=%s&gfx=ZGJY


    Vous pourrez à loisir télécharger les exécutables et librairy pour les étudier, si vous le souhaitez.
    Pour moi, ce genre de "petites" infections, que touts utilisateurs lambda peut installer, sont lucratives pour leurs auteurs. Les anciens Malware du genre, Navipromo et Lop se font obsolète et doivent laisser la place à un nouveau genre de Malware, les Hijacker et Toolbar infectieuses, plus discrètes et bien moins détectable par les logiciel antivirus (cf rapport VT).

    Publié par Mister_M@sk à l'adresse 12:58:00

    4 commentaires:

    1. Aucun commentaire ?
      Les Internautes sont des ingrats :(
      En tout cas je trouve cette dissection tres interessante et t'encourage vivement a partager tes futures recherches.
      Merci,
      TWash

      RépondreSupprimer

    2. Yop,

      Merci pour les encouragements ;)

      J'ai mis l'étude au format PDF (voir plus haut dans les posts du blogs). Le plan a été revu et des éléments ont été ajoutés.
      @+

      RépondreSupprimer

    3. Tres interessant en effet,
      merci pour toutes ces informations,

      RépondreSupprimer

    4. Une analyse claire, même pour un profane infecté qui n'y connait pas grand chose: rarissime dans ce domaine!!! Félicitations.
      Mais pour les pauvres qui sont piégés, ne pourriez-vous pas, par pure charité, leur donner quelques indications curatives, ou par exemple sur quel site sérieux trouver aide et réconfort? Merci d'avance pour eux!

      RépondreSupprimer

    Inscription à : Publier les commentaires (Atom)