06.11.2012 | 20:38

Adam Haertle

Gdzie wirus zapisuje skradzione pliki, czyli analiza obrazkowa

Kilka dni temu firma Trend Micro zidentyfikowała i opisała nowego wirusa, który kradnie z komputerów swoich ofiar pliki graficzne i wysyła je na serwer FTP. Dane serwera zostały na zrzutach ekranu ukryte, ale chcieliśmy pokazać, że to, co ukryte, można odkryć.

Sam wirus, nazwany TSPY_PIXSTEAL.A, nie jest wart głębszej analizy. Zbiera pliki JPG, JPEG oraz DMP (może autorom chodziło o BMP?) i wysyła je na serwer FTP, korzystając z danych zaszytych na stałe w swoim kodzie. Ciekawe zachowanie, wskazujące raczej na niewielkie umiejętności autora. Spróbujmy zatem poszukać tego serwera. Co pokazują zrzuty ekranu, opublikowane przez Trend Micro?

Zrzut ekranu z kodem wirusa (źródło: Tend Micro)

Osoby z dobrym wzrokiem lub dużymi ekranami zauważą, że znamy już login (wasitnew) oraz fragmenty adresu IP (176.?.?.90). To na razie niewiele, ale nie możemy się od razu poddawać. Poszukajmy dalej. Analizę wirusa opublikował także serwis Xylibox. Zobaczmy ich zrzut ekranu.

Zrzut ekranu kodu wirusa (źródło: XyliBox)

Jak widać udało się nam już poznać hasło do konta (q1w2e3r4t5y6) oraz kolejną część adresu IP serwera (znamy już 176.?.208.90). Czy będziemy teraz skanować 256 adresów pod kątem usługi FTP? Może nie będzie to konieczne, jeśli poszukamy dalej. Analizę wirusa opublikował także McAfee. Jak tam wygląda adres?

Zrzut ekranu kodu wirusa (źródło: McAfee)

Dzięki profesjonalnemu ukryciu danych widzimy wyraźnie, że liczba w drugim oktecie jest jednocyfrowa. Co więcej, z kształtu jej górnej, widocznej części, wynika, że jest to 0, 2, 8 lub 9. Tak więc dzięki kolejnym obrazkom przeszliśmy z początkowych 4,294,967,296 możliwości kolejno do 65,536, 256 i 4 adresów. Na koniec dodamy tylko, że wpisanie w Google loginu i hasła do konta pozwoli zredukować 4 adresy do 1 bez konieczności sprawdzania wszystkich 4…

Powrót

Komentarze

  • 2012.11.06 20:48 Misiek

    176.?.280.90

    Chyba nie 280, a 208 :)

    Odpowiedz
    • 2012.11.06 20:51 Adam

      Taka zmyłka ;) Dzięki :)

      Odpowiedz
  • 2012.11.07 00:38 he

    Nawet troszkę ciekawych informacji o autorze można znaleźć na tym ftpie :)

    Odpowiedz
  • 2012.11.07 07:55 ppp

    Jak sie nazywaja te 3 programy ktorymi analizowano virusa ?

    Odpowiedz
    • 2012.11.07 11:02 Pomocny

      Pierwszy to IDA.

      Odpowiedz
    • 2012.11.07 11:58 Adam

      Drugi wygląda jak OllyDbg

      Odpowiedz
  • 2012.11.07 14:15 marcin

    Oba programy to softice.

    Odpowiedz
  • 2012.11.07 14:35 Andrzej

    Nawet sporo ip można znaleźć w logach :).

    Odpowiedz
  • 2012.11.07 16:27 bartek

    wszystko to ollydbg

    Odpowiedz
  • 2012.11.17 23:17 Daniel

    Chyba zmienił hasło :(
    Nie mogę się zalogować..

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Gdzie wirus zapisuje skradzione pliki, czyli analiza obrazkowa

Komentarze