Gdzie wirus zapisuje skradzione pliki, czyli analiza obrazkowa

Kilka dni temu firma Trend Micro zidentyfikowała i opisała nowego wirusa, który kradnie z komputerów swoich ofiar pliki graficzne i wysyła je na serwer FTP. Dane serwera zostały na zrzutach ekranu ukryte, ale chcieliśmy pokazać, że to, co ukryte, można odkryć.

Sam wirus, nazwany TSPY_PIXSTEAL.A, nie jest wart głębszej analizy. Zbiera pliki JPG, JPEG oraz DMP (może autorom chodziło o BMP?) i wysyła je na serwer FTP, korzystając z danych zaszytych na stałe w swoim kodzie. Ciekawe zachowanie, wskazujące raczej na niewielkie umiejętności autora. Spróbujmy zatem poszukać tego serwera. Co pokazują zrzuty ekranu, opublikowane przez Trend Micro?

Zrzut ekranu z kodem wirusa (źródło: Tend Micro)

Osoby z dobrym wzrokiem lub dużymi ekranami zauważą, że znamy już login (wasitnew) oraz fragmenty adresu IP (176.?.?.90). To na razie niewiele, ale nie możemy się od razu poddawać. Poszukajmy dalej. Analizę wirusa opublikował także serwis Xylibox. Zobaczmy ich zrzut ekranu.

Zrzut ekranu kodu wirusa (źródło: XyliBox)

Jak widać udało się nam już poznać hasło do konta (q1w2e3r4t5y6) oraz kolejną część adresu IP serwera (znamy już 176.?.208.90). Czy będziemy teraz skanować 256 adresów pod kątem usługi FTP? Może nie będzie to konieczne, jeśli poszukamy dalej. Analizę wirusa opublikował także McAfee. Jak tam wygląda adres?

Zrzut ekranu kodu wirusa (źródło: McAfee)

Dzięki profesjonalnemu ukryciu danych widzimy wyraźnie, że liczba w drugim oktecie jest jednocyfrowa. Co więcej, z kształtu jej górnej, widocznej części, wynika, że jest to 0, 2, 8 lub 9. Tak więc dzięki kolejnym obrazkom przeszliśmy z początkowych 4,294,967,296 możliwości kolejno do 65,536, 256 i 4 adresów. Na koniec dodamy tylko, że wpisanie w Google loginu i hasła do konta pozwoli zredukować 4 adresy do 1 bez konieczności sprawdzania wszystkich 4…