szukaj
open search

06.11.2012 | 20:38

avatar

Adam Haertle

Gdzie wirus zapisuje skradzione pliki, czyli analiza obrazkowa

Kilka dni temu firma Trend Micro zidentyfikowała i opisała nowego wirusa, który kradnie z komputerów swoich ofiar pliki graficzne i wysyła je na serwer FTP. Dane serwera zostały na zrzutach ekranu ukryte, ale chcieliśmy pokazać, że to, co ukryte, można odkryć.

Sam wirus, nazwany TSPY_PIXSTEAL.A, nie jest wart głębszej analizy. Zbiera pliki JPG, JPEG oraz DMP (może autorom chodziło o BMP?) i wysyła je na serwer FTP, korzystając z danych zaszytych na stałe w swoim kodzie. Ciekawe zachowanie, wskazujące raczej na niewielkie umiejętności autora. Spróbujmy zatem poszukać tego serwera. Co pokazują zrzuty ekranu, opublikowane przez Trend Micro?

Zrzut ekranu z kodem wirusa (źródło: Tend Micro)

Osoby z dobrym wzrokiem lub dużymi ekranami zauważą, że znamy już login (wasitnew) oraz fragmenty adresu IP (176.?.?.90). To na razie niewiele, ale nie możemy się od razu poddawać. Poszukajmy dalej. Analizę wirusa opublikował także serwis Xylibox. Zobaczmy ich zrzut ekranu.

Zrzut ekranu kodu wirusa (źródło: XyliBox)

Jak widać udało się nam już poznać hasło do konta (q1w2e3r4t5y6) oraz kolejną część adresu IP serwera (znamy już 176.?.208.90). Czy będziemy teraz skanować 256 adresów pod kątem usługi FTP? Może nie będzie to konieczne, jeśli poszukamy dalej. Analizę wirusa opublikował także McAfee. Jak tam wygląda adres?

Zrzut ekranu kodu wirusa (źródło: McAfee)

Dzięki profesjonalnemu ukryciu danych widzimy wyraźnie, że liczba w drugim oktecie jest jednocyfrowa. Co więcej, z kształtu jej górnej, widocznej części, wynika, że jest to 0, 2, 8 lub 9. Tak więc dzięki kolejnym obrazkom przeszliśmy z początkowych 4,294,967,296 możliwości kolejno do 65,536, 256 i 4 adresów. Na koniec dodamy tylko, że wpisanie w Google loginu i hasła do konta pozwoli zredukować 4 adresy do 1 bez konieczności sprawdzania wszystkich 4…

Powrót

Podobne tematy

Komentarze

  • avatar
    2012.11.06 20:48 Misiek

    176.?.280.90

    Chyba nie 280, a 208 :)

    Odpowiedz
    • avatar
      2012.11.06 20:51 Adam

      Taka zmyłka ;) Dzięki :)

      Odpowiedz
  • avatar
    2012.11.07 00:38 he

    Nawet troszkę ciekawych informacji o autorze można znaleźć na tym ftpie :)

    Odpowiedz
  • avatar
    2012.11.07 07:55 ppp

    Jak sie nazywaja te 3 programy ktorymi analizowano virusa ?

    Odpowiedz
    • avatar
      2012.11.07 11:02 Pomocny

      Pierwszy to IDA.

      Odpowiedz
    • avatar
      2012.11.07 11:58 Adam

      Drugi wygląda jak OllyDbg

      Odpowiedz
  • avatar
    2012.11.07 14:15 marcin

    Oba programy to softice.

    Odpowiedz
  • avatar
    2012.11.07 14:35 Andrzej

    Nawet sporo ip można znaleźć w logach :).

    Odpowiedz
  • avatar
    2012.11.07 16:27 bartek

    wszystko to ollydbg

    Odpowiedz
  • avatar
    2012.11.17 23:17 Daniel

    Chyba zmienił hasło :(
    Nie mogę się zalogować..

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Gdzie wirus zapisuje skradzione pliki, czyli analiza obrazkowa

Komentarze

Weekendowa Lektura

Najciekawsze treści w zasięgu ręki!