Анализ G-Bot 2.0 Разгребая скопившуюся за полтора месяца почту, я заглянул в папку со спамом и обнаружил письмецо, присланное еще в марте, с сэмплом g-bot’а. Жаль, что не видел его раньше, но лучше поздно, чем никогда. G-bot 2.0 — это очередной DDoS-бот от отечественных вирьмейкеров, написанный на делфи. Synapse не используется. О предыдущих версиях я уже писал, они попадали в публичный доступ с билдером и панелью управления, эта же версия пока остается приватной. И так, сэмпл: Code: File Name: g-bot 2.exe File Size: 72192 bytes Compiler: Delphi 7 MD5: fc58d2c2b25a50af5f9dae265a37310a SHA1: 4e6ce5abe0da98dc9071a13efaeb65958f876dfd File entropy: 6.34260 (79.2825%) PE Time: 0x2A425E19 [Fri Jun 19 22:22:17 1992 UTC] Sections (8): Name Entropy MD5 CODE 6.49 677e1c1e65a1c027e8967880ebb57ffa DATA 3.53 703576fb90f55261c095903ab0a03ce6 BSS 0.0 d41d8cd98f00b204e9800998ecf8427e .idata 4.49 83de8fdb212d92b558bb1cb11eda0881 .tls 0.0 d41d8cd98f00b204e9800998ecf8427e .rdata 0.21 01d0b567afca29fa45cee33227996208 .reloc 6.51 31556166af237bcf7c488bd3f61e2f30 .rsrc 3.41 8c34631a7d8708c4a4c860772298260f На вирустотале файл был засвечен еще в начале марта (2012-03-04) Детект антивирусами: Code: VirusTotal detections: nProtect: Trojan/W32.FirewallBypass.72192 CAT-QuickHeal: Trojan.Jorik.Gbod.t McAfee: Generic Malware.dh!pec TheHacker: Trojan/Jorik.Gbod.t K7AntiVirus: Riskware VirusBuster: Trojan.Seleya!+P/fcdlVjuI NOD32: probably a variant of Win32/Seleya.A F-Prot: W32/Heuristic-257!Eldorado Symantec: Trojan.Gen Norman: W32/Suspicious_Gen2.RQGXS TrendMicro-HouseCall: TROJ_SPNR.15KL11 Avast: Win32:Malware-gen Kaspersky: Trojan.Win32.Jorik.Gbod.t BitDefender: Gen:Trojan.FirewallBypass.eG0@auCXTqoc Emsisoft: Trojan.Win32.Malex!IK Comodo: TrojWare.Win32.TrojanDownloader.Delf.gen F-Secure: Gen:Trojan.FirewallBypass.eG0@auCXTqoc DrWeb: BackDoor.Gbot.59 VIPRE: BehavesLike.Win32.Malware.eah (mx-v) AntiVir: TR/Dldr.Delphi.Gen TrendMicro: TROJ_SPNR.15KL11 McAfee-GW-Edition: Heuristic.BehavesLike.Win32.Keylogger.J Sophos: Mal/DelpDldr-B Jiangmin: Trojan/Jorik.iyj Microsoft: Trojan:Win32/Malex.gen!E ViRobot: Trojan.Win32.Jorik.72192 GData: Gen:Trojan.FirewallBypass.eG0@auCXTqoc Commtouch: W32/Heuristic-257!Eldorado AhnLab-V3: Trojan/Win32.Jorik VBA32: Trojan.Jorik.Gbod.t PCTools: Trojan.Gen Rising: Trojan.Win32.Generic.128A9FD8 Ikarus: Trojan.Win32.Malex Fortinet: W32/Jorik_Gbod.B!tr AVG: unknown virus Win32/DH.00000000{00008000-00000000-00000010} Антивирусы оперативно добавили в свои базы этого зловреда, т.к. никаких механизмов анти-эмуляции и т.д. и т.п нету, а таблица импортов говорит сама за себя: Code: ICMP.DLL IcmpSendEcho, IcmpCloseHandle, IcmpCreateFile URLMON.DLL URLDownloadToFileA shell32.dll ShellExecuteA kernel32.dll Sleep, DeleteFileA, CopyFileA oleaut32.dll SysFreeString advapi32.dll RegSetValueExA, RegOpenKeyExA, RegCreateKeyA, RegCloseKey user32.dll MessageBoxA, LoadStringA, GetSystemMetrics, CharNextA, CharUpperBuffA, CharToOemA wsock32.dll WSACleanup, WSAStartup, gethostbyname, socket, sendto, send, recv, inet_ntoa, inet_addr, htons, connect, closesocket Поглядим на строки. Все интересное прикрыто Base64, ниже мы видим строки, отвечающие за автозагрузку, исключения штатного фаерволла и т.д.: А так же список комманд, принимаемых и обрабатываемых ботом: По порядку: getcmd.php?id=?&traff= — характерный для G-bot запрос в панель управления для получения команд. .httpflood — флуд http-запросами (get) .ahttpflood — асинхронный флуд http-запросами (get) .simplehttpflood — еще какой-то флуд http-запросами .posthttpflood — флуд post-запросами .slowposthttpflood — флуд slow-post запросами, на данный момент самая мощная атака .synflood — флуд syn-пакетами .udpflood — флуд udp-пакетами .icmpflood — флуд icmp-пакетами .stop — отмена предыдущих команд .update — обновление бота, то есть замена установленного в системе вредоноса новым экземпляром .download — скрытое скачивание и запуск указанного файла в системе Hello! My name is G-Bot or G_Bot or GBot, my version 2.0! — характерная для g-bot фраза приветствия. Поддельные реферерры: Code: http://www.wannabrowser.ru/ http://www.opera.com/ http://www.1tv.ru/ http://upyachka.ru/ http://www.youtube.com/ http://www.f-1.ru/ http://www.fc-zenit.ru/ http://www.rambler.ru/ http://2ip.ru/ http://www.lenta.ru/ http://www.nigma.ru/ http://wikipedia.org/ http://pentagon.afis.osd.mil/ http://www.mail.ru/ http://www.vkontakte.ru/ http://www.google.com/ http://www.yahoo.com/ http://www.hardcoreporn.com/ http://www.sexymama.com/ http://www.live.com/ http://vkontakte.ru/ http://www.mozilla-europe.org/ http://www.webmoney.ru/ http://whois.domaintools.com/ http://www.nysite.com/ http://www.westwestsidemusic.com/ http://www.westside-barbell.com/ http://www.mywestside.com/ http://www.westsidestory.com/ http://www.2012-konec-sveta.ru/ http://news.rambler.ru/9971848/ http://www.kp.ru/ http://www.westsiderentals.com/ http://www.pravda.ru/news/science/16-05-2011/1077026-apokalipsis-0/ http://2012god.net/ И юзерагенты: Code: Mozilla/5.0 (Linux; U; Android 1.6; en-us; eeepc Build/Donut) AppleWebKit/528.5+ (KHTML, like Gecko) Version/3.1.2 Mobile Safari/525.20.1 Mozilla/5.0 (Linux; U; Android 2.1-update1; ru-ru; GT-I9000 Build/ECLAIR) AppleWebKit/530.17 (KHTML, like Gecko) Version/4.0 Mobile Safari/530.17 Mozilla/5.0 (Linux; U; Android 2.2; ru-ru; GT-I9000 Build/FROYO) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 Mobile Safari/533.1 Mozilla/4.0 (compatible; MSIE 6.0; America Online Browser 1.1; rev1.1; Windows NT 5.1;) Mozilla/4.0 (compatible; MSIE 6.0; America Online Browser 1.1; rev1.2; Windows NT 5.1;) Mozilla/4.0 (compatible; MSIE 6.0; America Online Browser 1.1; rev1.3; Windows NT 5.1;) Mozilla/4.0 (compatible; MSIE 6.0; America Online Browser 1.1; rev1.4; Windows NT 5.1;) Mozilla/4.0 (compatible; MSIE 6.0; America Online Browser 1.1; rev1.5; Windows NT 5.1;) Opera/9.80 (X11; Linux i686; U; ru) Presto/2.6.30 Version/10.61 Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.6.30 Version/10.63 Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.7.62 Version/11.00 Mozilla/5.0 (compatible; MSIE 7.0; Windows NT 5.0) Mozilla/5.0 (compatible; MSIE 7.0; Windows NT 5.1) Mozilla/5.0 (compatible; MSIE 7.0; Windows NT 5.2) Mozilla/5.0 (compatible; MSIE 7.0; Windows NT 6.0) Mozilla/5.0 (compatible; MSIE 7.0; Windows NT 6.1) Opera/7.51 (Windows NT 5.0; U) [en] Opera/7.51 (Windows NT 5.1; U) [en] Opera/7.51 (Windows NT 5.2; U) [en] Opera/7.51 (Windows NT 6.0; U) [en] Opera/7.51 (Windows NT 6.1; U) [en] Opera/7.50 (Windows XP; U) Googlebot Slurp MSNBot Teoma Scooter ia_archiver Lycos Yandex StackRambler The Armageddon v1.0 The Armageddon Armageddon the best Optima shit Optima bullshit Dirt Jumper shit Dirt Jumper bullshit DeDaL shit DeDaL bullshit rulez by a by b by c Vasya syka verni dolg Vasya verni dolg Mail.Ru Последние строки невольно заставляют улыбнуться. Перечень заголовков, с которыми работает бот: Code: text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/webp, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1 text/x-dvi; q=.8; mxb=100000; mxt=5.0, text/x-c text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 application/x-ms-application, image/jpeg, application/xaml+xml, image/gif, image/pjpeg, application/x-ms-xbap, */* text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,*/*;q=0.5 image/png,*/* text/x-dvi, text/x-c, application/xml, text/html application/xml, image/png, text/html text/html, */* application/xml, */* ru-RU,ru;q=0.9,en;q=0.8 ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4 zh, en-us; q=0.8, en; q=0.6 en-en,en;q=0.8,en-us;q=0.5,en;q=0.3 en-us,en;q=0.5 en-us kz-ua az-ua us-en az-us x-compress ,deflate, gzip, x-gzip, identity, *;q=0 gzip,deflate,sdch compress, gzip gzip, x-gzip x-compress, x-zip x-gzip, identity deflate, gzip, x-gzip compress ,deflate, gzip gzip, x-gzip, identity gzip, compress, deflate close keep-alive Путь до веб-панели управления шифруется аж тремя алгоритмами, в итоге из этого безобразия: Получается в несколько этапов это: Домен и папка шифруются отдельно, но одними алгоритмами. Установка в системе: C:\WINDOWS\Microsoft.NET\svchost.exe Запись в реестр: HKLM\software\microsoft\Windows\CurrentVersion\policies\Explorer\Run\winszervice Защиты зловред не имеет, по этому элементарно удаляется руками. Для ленивых скрипт к AVZ: Code: begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; TerminateProcessByName('c:\windows\microsoft.net\svchost.exe'); QuarantineFile('c:\windows\microsoft.net\svchost.exe',''); DeleteFile('c:\windows\microsoft.net\svchost.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','winszervice'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW',2,3,true); RebootWindows(true); end. http://onthar.in/ http://onthar.in/articles/g-bot-2-analysis/
Порадовал список юзерагентов, особенно два последних А вообще - еще одно подтверждение, что гбот и армагеддон - одного поля ягоды.
В версии Г-бота 2.0.0 он писал заголовки, наподобие - "Оптима гавно", без всяких переводов) Была куплена часть Арма, но не переделана. Версия 2.1 на фтп висит у меня уже очень долго. Очень улыбнула строчка про - На вирустотале файл был засвечен еще в начале марта (2012-03-04) Ибо я заливал билд на Анубис задолго до этой даты.