AccueilAccueil  ­FAQFAQ  ­RechercherRechercher  ­MembresMembres  ­GroupesGroupes  ­S'enregistrerS'enregistrer  ­ConnexionConnexion  
Poster un nouveau sujet   Répondre au sujetAide-Malware ! :: A lire, avant d'utiliser le forum ! :: **** A lire ! ****Partager | 
 

 Étude d'une infection : msb.exe (Win32.FraudPack)

Voir le sujet précédent Voir le sujet suivant Aller en bas 
AuteurMessage
Admin
Admin


Messages: 32
Date d'inscription: 13/09/2008

MessageSujet: Étude d'une infection : msb.exe (Win32.FraudPack)   Sam 26 Sep - 14:41
Étude d'une infection : msb.exe (Win32.FraudPack).



Introduction :

Nous verrons dans ce document, le comportement et les composés d'une l'infection FraudPack (dénomination des antivirus). Nous nous proposons tout d'abord d'étudier statiquement le dropper de l'infection, puis dans un second temps, son action au sein du système d'exploitation.

Synthèse du comportement de l'infection :

  • Exécution du dropper/dowloader : msb.exe
  • Installation du fichier porteur de la charge infectieuse : msa.exe
  • Création d'une tache planifié (tasks) permettant de démarrer l'infection.
  • Les symptômes de l'infection


I - Analyse statique de msb.exe

  • A l'aide de hexedit nous allons procédé à l'édition du droper msb.exe


Observons tout d'abord les fonctions lisibles :



Tableau-1 : Fonctions intéressantes de msb.exe


Étudions et tentons d'établir des hypothèses pour ces 4 fonctions.
La fonction WriteFile(), permet d'écrire un fichier, étant donné qu'aucune clef de registre permettant de lancer le Malware au démarrage n'a été crée, on peut supposer que le dropper écrit un fichier permettant de démarrer le Malware : une Task Scheduler par exemple.
Les fonctions CopyFile() et OpenFile() peuvent laisser penser par leur place dans le programme, qu'un programme sera copié, puis exécuter, le processus parent sera ensuite tué.
Le dropper ne sera plus utilisé.


II - Analyse dynamique de msb.exe et de ses produits

  • Nous allons exécuter le malware sur une machine virtuel propulsé par VirtualBox. Le système d'exploitation est Windows XP SP3, sans aucun système de protection, le but étant d'étudier le comportement du programme après son exécution.


1°) Installation de l'infection.


Chargeons msb.exe en mémoire et observons son comportement ainsi que ses actions :




Le fichier chargé en mémoire va écrire puis crée et enfin démarrer un processus enfant : msa.exe, si ce nom est déjà utilisé le file's name prendra la forme suivante :
ms'%lettre_l'alphabet++%'.exe.




Le dropper après avoir exécuter le fichier infectieux, va se tuer et laisser la place à msa.exe :





2°) Création de la tache planifiée


Msb.exe a écrit le fichier msa.exe et l'a copié dans %windir%, variable récupérer grâce à une fonction GET().
Le dropper a ensuite écrit une tache planifiée dans le répertoire %windir%\tasks avec un attribut +H, pour pouvoir se démarrer en même temps que le système d'exploitation.




Pourquoi avoir choisi ce mode de démarrage ?

C'est en effet une question que l'on peut se poser, car ce comportement est quelque peu atypique.
On peut émettre cependant des hypothèses afin de comprendre ce choix, qui apparaît judicieux, en effet à part dans Running process, le malware est invisible sur un rapport HijackThis, sans utiliser des méthodes de rootkit, ce qui retarde la désinfection, ou une quelconque action de l'internaute (Msconfig ou Regedit).




Figure-1: Contenu de la tache planifiée.




Le fichier se charge dans un processus svchost.exe au redémarrage grâce à la tache planifiée:





3°) Les symptômes de l'infection : un comportement de Trojan/clicker

Les dégât provoqués par cette infection ne sont pas très importants, en effet :

  • Aucun clef de registre n'a été ajouté
  • Seulement 2 fichiers présentant une charge infectieuses ont été crées ainsi qu'une tache planifiée
  • Il faut moins de 30 secondes pour en venir à bout avec cmd.exe et process explorer.




Quelles sont les conséquences de cette infection ?

On peut observé en premier lieu le nombre grandissant des fichiers temporaire : %useprofile%\Local Settings\Temporary Files\.
Le graphique montre bien que le nombre de fichier augmente de façon croissante, l'observation a été faite sans utilisation d'un navigateur.



Figure-2 : Le nombre de fichiers temporaire, anormal, non ?


Le fichier msa.exe entretient également des connexions HTTP pour visiter les sites :

Citation:
80.15.236.224 HTTP ESTABLISHED
[msa.exe]

81.52.140.58 HTTP ESTABLISHED
[msa.exe]

81.52.160.155 HTTP ESTABLISHED
[msa.exe]







Figure-3 : Échantillon des fichiers présents dans le répertoire.





Conclusion :

Nous avions donc à faire à un Trojan/clicker qui visite des sites à votre place, afin de faire gagner de l'argent aux webmasters.
Cette étude avait donc deux utilités : Présenter un mode de démarrage atypique : les taches planifiés mais également de montrer comment détecter ce genre d'infection peu banal.

Je peux également donner les chiffres de la détection des Antivirus :
  • Le 23/09, la détection était de 35% (14/40)
  • Le 26/09, la détection est passé à 46.35% (19/40)


Cette infection est donc généralement bien détectée par les antivirus.

Enfin, on peut montrer un exemple de pop-up ouverte par l'infection, elles sont multiples :


Modèle-1: Exemple de pop-up



Les infections sont ici et souvent utilisé pour gagner de l'argent, comme toujours sur le dos de l'utilisateur ou plutôt de sa connexion.

Citation:
Auteur: Mister_M@sk
Revenir en haut Aller en bas
Voir le profil de l'utilisateur http://aide-malware.forumactif.net
 

Étude d'une infection : msb.exe (Win32.FraudPack)

Voir le sujet précédent Voir le sujet suivant Revenir en haut 
Page 1 sur 1

Permission de ce forum:Vous ne pouvez pas répondre aux sujets dans ce forum
Aide-Malware ! :: A lire, avant d'utiliser le forum ! :: **** A lire ! ****-
Poster un nouveau sujet   Répondre au sujet