Olá pessoas. Esta semana o membro *MaLaGueTa me enviou um arquivo suspeito para que eu o analisasse, porém, o arquivo é meio estranho, e não consegui muitas informações. Deixarei abaixo tudo que consegui sobre o arquivo, e desafio vocês a descobrir a finalidade para qual esse arquivo foi desenvolvido e o que ele faz, exatamente, no sistema em que é executado.
Boa sorte!
O nome original do arquivo é HSILlzCw.exe, e foi feito em Visual Basic.net, mas tá criptografado com Morphine v1.2, que é um packer não muito usado, e processo de descompactação é bem longo e chato.
Quanto ao registro, encontrei algumas modificações suspeitas:
Valores relacionados à função RegOpenKey:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ins taller\Managed\S-1-5-21-3605902739-3415621230-353122165-1000\Installer\Assemblies\C:|Users|AnaMalw|Desktop |image4124_46247.scr
HKCU\Software\Microsoft\Installer\Assemblies\C:|Us ers|AnaMalw|Desktop|image4124_46247.scr
HKCR\Installer\Assemblies\C:|Users|AnaMalw|Desktop |image4124_46247.scr
HKCU\Software\Microsoft\Installer\Assemblies\C:|Us ers|AnaMalw|Desktop|image4124_46247.scr
HKCR\Installer\Assemblies\C:|Users|AnaMalw|Desktop |image4124_46247.scr
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\image4124_46247.scr
HKLM\System\CurrentControlSet\Control\ComputerName
HKCR\AppID\image4124_46247.scr
Porém, nenhuma delas foi concluída, todas retornaram o erro "NAME NOT FOUND". Talvez por ter sido executado em uma VM.
Também notei que o arquivo usa a função "RegSetInfoKey" na chave abaixo. Pelo nome eu imagino que seja uma função para modificar o conteúdo da chave, mas não encontrei nenhuma documentação sobre ela.
HKLM\System\CurrentControlSet\Control\ComputerName
Logo em seguida o arquivo retorna o valor desta chave, e após isso ela é deletada.
Não encontrei nada além disso na análise dinâmica. Tentei usar o Process Monitor pra ver as strings dele na memória, mas ao abrir o arquivo, ele fecha quase que instantaneamente, e não consigo fazer nada. Tentei também enviar o arquivo ao Olly pra tentar fazer a mesma coisa, mas ele é fechado assim que tento rodar. Talvez - e muito provável - ele use alguma forma de anti-debugger.
Por fim eu mandei ele pra sandbox analisar e confirmar o que eu havia encontrado, e ela detectou que o arquivo interage com alguns arquivos, tais como:
C:\WINDOWS\system32\smss.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\alg.exe
C:\Python27\pythonw.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\msco rsvw.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
Não sei se é um falso positivo, afinal, não encontrei nada disso na análise.
A sandbox retornou também que o arquivo mexe na chave "CurrentVersion/Run", mas também não encontrei nada lá.
Quanto ao registro, encontrei algumas modificações suspeitas:
Valores relacionados à função RegOpenKey:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ins taller\Managed\S-1-5-21-3605902739-3415621230-353122165-1000\Installer\Assemblies\C:|Users|AnaMalw|Desktop |image4124_46247.scr
HKCU\Software\Microsoft\Installer\Assemblies\C:|Us ers|AnaMalw|Desktop|image4124_46247.scr
HKCR\Installer\Assemblies\C:|Users|AnaMalw|Desktop |image4124_46247.scr
HKCU\Software\Microsoft\Installer\Assemblies\C:|Us ers|AnaMalw|Desktop|image4124_46247.scr
HKCR\Installer\Assemblies\C:|Users|AnaMalw|Desktop |image4124_46247.scr
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\image4124_46247.scr
HKLM\System\CurrentControlSet\Control\ComputerName
HKCR\AppID\image4124_46247.scr
Porém, nenhuma delas foi concluída, todas retornaram o erro "NAME NOT FOUND". Talvez por ter sido executado em uma VM.
Também notei que o arquivo usa a função "RegSetInfoKey" na chave abaixo. Pelo nome eu imagino que seja uma função para modificar o conteúdo da chave, mas não encontrei nenhuma documentação sobre ela.
HKLM\System\CurrentControlSet\Control\ComputerName
Logo em seguida o arquivo retorna o valor desta chave, e após isso ela é deletada.
Não encontrei nada além disso na análise dinâmica. Tentei usar o Process Monitor pra ver as strings dele na memória, mas ao abrir o arquivo, ele fecha quase que instantaneamente, e não consigo fazer nada. Tentei também enviar o arquivo ao Olly pra tentar fazer a mesma coisa, mas ele é fechado assim que tento rodar. Talvez - e muito provável - ele use alguma forma de anti-debugger.
Por fim eu mandei ele pra sandbox analisar e confirmar o que eu havia encontrado, e ela detectou que o arquivo interage com alguns arquivos, tais como:
C:\WINDOWS\system32\smss.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\alg.exe
C:\Python27\pythonw.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\msco rsvw.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
Não sei se é um falso positivo, afinal, não encontrei nada disso na análise.
A sandbox retornou também que o arquivo mexe na chave "CurrentVersion/Run", mas também não encontrei nada lá.
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Comment