Mariposa BotNet – opäť na vzostupe


V apríli 2011 výrazne stúpol počet infikovaných počítačov botnetom Mariposa (Motýľ). To by nebolo nič zvláštne keby tu daný botnet neexistoval od decembra 2008. čím je špecifický?

Nuž je to hlavne tým, že vo svojej podobe s drobnými úpravami existuje od 2008 roku. V súčasnosti sa prioritne šíri 2mi spôsobmi – cez vírus W32 Virut (INF/Autorun (ESET) alebo W32/Autorun.worm (McAffe)) a cez p2p červa Win32.Palevo.

Botnet Mariposa alebo Butterfly Bot Kit vytvorili pôvodne ľudia z DDP Team (Días de Pesadilla Team – Nightmare Days Team), ktorých zatkla španielska polícia vo februári 2010. Členmi boli Florencio Carro Ruiz alias Netkairo (31), Jonathan Pazos Rivera alias jonyloleante (30) a Juan Jose Bellido Rios alias (25) predpoklad, keďže činnosť Mariposy sa nezastavila, však je že korene botnetu sú v Rusku alebo na Ukrajine.

Prečo sa niečím tak starým zaoberať?

Nuž je to jednoduché v apríli 2011 vzrástol počet zombie PC (počítačov zapojených do botnetu) zapojených do Mariposy na 2 milióny infikovaných počítačov.

V marci 2010 bol botnet skoro zničený, oproti decembru 2009, keď počet zombie PC bol niečo okolo 13 miliónov v 190 krajinách sveta, klesol počet pc v botnete na niečo okolo 230 000.

V súčasnosti sa primárne šíri varianta cez Palevo P2P alebo cez novú variantu Win32/Virut.

Detekujú ich skoro všetky antivírové programy, horšie to však je z odstraňovaním. Najviac problémov je so serverovými verziami OS Windows 2000 – 2008.

palevo-stringdump-usb_110708.jpg

Obr. Dump stringu Palevo

Automaticky si dokážu s niektorými variantami infektorov Mariposy, P2P Palevo aj Virut, poradiť programy Malwarebytes a SpyHunter. Niektoré varianty treba vyriešiť manuálne s právami administrátora.

Takže stručný návod ako to vyriešiť pri infektore Palevo.

1.) zastavte proces antispy.exe (%UserProfile%\Application Data\antispy.exe) cez Task manager alebo cez Process Explorer (Sysinternals)
2.) vymažte daný súbor%UserProfile%\Application Data\antispy.exe
3.) vymažte z registrov všetky záznamy k danej infiltrácií
HKEY_CURRENT_USER\Software\Malware Defense
HKEY_CLASSES_ROOT\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}
HKEY_CLASSES_ROOT\Folder\shellex\ContextMenuHandlers\SimpleShlExt
HKEY_LOCAL_MACHINE\SOFTWARE\Paladin Antivirus
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System ‘DisableTaskMgr’ = ‘1’
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce ‘SelfdelNT’

4.) vymažte zostávajúce odkazy a súbory
%Documents and Settings%\[UserName]\Start Menu\ About.lnk
%UserProfile%\Application Data\antispy.exe

Po reštarte Windows odporúčam pustiť kontrolu antivírovým programom, najlepšie z live CD.

palevo18_110708.jpg

Obr. Whireshark dump stringu Palevo

Proces ako sa manuálne zbaviť infektora Virut alebo INF/Autorun:

1.) Nastavte zobrazenie skrytých a systémových súborov (poprípade ak máte, použite TotalComander)

2.) Nájdite súbor autorun.inf a editujte ho.

3.) podľa zadanej cesty vymažte priečinok a následne aj daný autorun.inf

4.) reštartujte PC

Po reštarte Windows odporúčam pustiť kontrolu antivírovým programom, najlepšie z live CD.

autorun_110708.jpg

Obr. Autorun.inf

Charakteristika Mariposy:

1. Polymorfia kódu
2. Inštalácia ako skrytý – v koreňovom adresári vytvorí súbor autorun.inf, a adresár s rootkitom
3. Direct code injection do explorer.exe (DCI)spravý infiltráciu súboru explorer.exe čo je vlastne GUI Windows(nie Internet Explorer) čím si zabezpečí štartovanie a beh
4. Spúšťanie cez registre (Windows s UAC)
5. Kontrola executable file aby sa predišlo zmazaniu súborov botnetu antivírom alebo užívateľom
6. Kontrola bežiacich procesov.
7. Obrana Anti-x – proti vmware, virtualpc, debugger 1 & 2, anubis, TE, sandbox, norman sandbox, sunbelt sandbox
8. Kontrola komunikačných protokolov
9. Aktualizuje sa a bráni aktualizácií OS a antivíru
10. TCP (SYN) a UDP flood
11. kradne heslá z Firefox 2.x, Firefox 3.x, Internet Explorer 6, Internet Explorer 7, Chrome, Opera 9.x, 10.x
12. Reverse Socks4, Socks5, HTTP socks

Pre záujemcov odporúčam prácu Matta Thompsona –Mariposa Botnet Analysis z februára 2010 kde je popísaný celý botnet.

Reklamy
This entry was posted in Nezaradené. Bookmark the permalink.

Pridaj komentár

Zadajte svoje údaje, alebo kliknite na ikonu pre prihlásenie:

WordPress.com Logo

Na komentovanie používate váš WordPress.com účet. Odhlásiť sa / Zmeniť )

Twitter picture

Na komentovanie používate váš Twitter účet. Odhlásiť sa / Zmeniť )

Facebook photo

Na komentovanie používate váš Facebook účet. Odhlásiť sa / Zmeniť )

Google+ photo

Na komentovanie používate váš Google+ účet. Odhlásiť sa / Zmeniť )

Connecting to %s