Botnet Dorkbot lubi serwisy społecznościowe i wszystkie Twoje hasła

Data publikacji: 11/10/2012, Łukasz Siewierski

ransomeware

W ostatnich dniach zaczęły się pojawiać informacje o nowym robaku rozprzestrzeniającym się za pomocą komunikatora Skype. Od kilku dni CERT Polska również uczestniczy w działaniach operacyjnych mających na celu unieszkodliwienie robaka. Serwis Niebezpiecznik.pl napisał artykuł na temat rozprzestrzeniania się Dorkbota w Polsce. Do laboratorium CERT Polska trafiła próbka tego właśnie malware’u. Próbka ta była wykrywana przez 28 z 44 antywirusów dostępnych na stronie VirusTotal:

Wektor ataku nie jest z pewnością nowy. Zaledwie kilka miesięcy temu donosiliśmy o podobnym ataku, który rozprzestrzeniał się głównie przez Facebook’a, ale też Skype’a i komunikator MSN – wtedy mieliśmy do czynienia z oprogramowaniem, które firmy antywirusowe nazwały „Pushbot”. Jednak, o ile Pushbot nie posiadał zbyt wielu funkcji – pozwalał na ściągnięcie i uruchomienie inne oprogramowania, ale sam nie wyrządzał szkody użytkownikowi, o tyle to złośliwe oprogramowanie jest bardzo złożone i może rozprzestrzeniać się na wiele różnych sposobów. Najczęściej wymienianym sposobem infekcji jest kliknięcie w link wiadomości, którą wysłała nam osoba z listy kontaktów na komunikatorze Skype, na przykład:

hej to jest twój nowy obraz profil?
http://goo.gl/f8p21?profile=TWOJA-NAZWA-SKYPE

Znowu zauważamy podobieństwo do opisywanego wcześniej Pushbota. On także rozprzestrzeniał się za pomocą skracacza adresów URL od firmy Google. Sam plik, jak wynika z raportów, znajduje się na przeważnie serwerach hotfile.com – podobnie jak pliki, które ściągał i uruchamiał Pushbot.

Co dokładnie robi?

Po uruchomieniu pliku o nazwie skype_08102012_image.exe oprogramowanie tworzy nowy proces z rozpakowanym Dorkbotem. Warto zauważyć, że dołożono wszelkich starań, aby aplikacja wyglądała jak prawdziwy komunikator Skype (ikona, dodatkowe informacje):

Dropper

Sam rozpakowany malware zajmuje jedynie 94 kilobajty, ale zawiera bardzo dużo różnych funkcji. Po pierwsze, po uruchomieniu sprawdza czy nie został uruchomiony z dysku USB – jeśli tak, to otwiera ten dysk, aby skorzystać z mechanizmu autoodtwarzania systemu Windows. Następnie infekuje wszystkie procesy znajdujące się na naszej maszynie. Pozwala to na wytworzenie naturalnie wyglądających drzew procesów. I tak, na przykład, zainfekowany proces explorer.exe tworzy proces przeglądarki – iexplore.exe (niezależnie od tego jaka jest domyślna przeglądarka systemu) i za jego pomocą komunikuje się z Internetem. Co więcej, proces ten tworzony jest bez widocznego okna, co zdecydowanie oznacza złośliwą aktywność – użytkownik nie jest świadomy tego, że z Internetu zostaną pobrane dane. Zapora ogniowa opierająca się na powstrzymywaniu nieznanych aplikacji przed dostępem do sieci nie zaklasyfikuje zatem tego zachowania jako podejrzanej aktywności. Za pomocą tego połączenia pobierane są dane z serwera C&C.

Pipe

Po przeprowadzeniu infekcji tworzony jest nazwany potok (jak widać powyżej), którego nazwa rozpoczyna się od ośmiocyfrowej liczby (wyrażonej w systemie heksadecymalnym) a kończy się na _xxx. Potok ten służy do komunikacji między wszystkimi wstrzykniętymi kodami na maszynie.

Jakie ma możliwości?

Okno z ostrzeżeniem prezentowane na początku artykułu jest jednym z przykładów możliwości Darkbota. Niemniej jednak są one naprawdę imponujące. Poza, spotykanym również w innych aplikacjach tego typu, infekowaniem dysków USB czy ściąganiem i uruchamianiem dodatkowego oprogramowania, potrafi również wykradać hasła z imponującej liczby serwisów. Wśród nich znajdują się między innymi serwisy finansowe, strony pornograficzne, serwisy hostingowe, serwisy e-mail takie jak:

iknowthatgirl.com
youporn.com
brazzers.com
whmcs.com
webnames.ru
dotster.com
enom.com
1and1.com
moniker.com
namecheap.com
godaddy.com
alertpay.com
netflix.com
thepiratebay.org
torrentleech.org
vip-file.com
sms4file.com
letitbit.net
what.cd
oron.com
filesonic.com
speedyshare.com
uploaded.to
uploading.com
fileserv.com
hotfile.com
4shared.com
netload.in
freakshare.com
mediafire.com
sendspace.com
megaupload.com
depositfiles.com
eBay
officebanking.cl
twitter.com
secure.logmein.com
moneybookers.com
runescape.com
dyndns.com
no-ip.com
Steam
hackforums.*
Facebook
Yahoo
Hotmail
Gmail
FastMail
BigString
AOL
Google / YouTube
PayPal

Wśród tej listy szczególnie dziwi obecność serwisu MegaUpload – może to świadczyć o tym, że robak ten przygotowywany był przed jego zamknięciem czyli przed styczniem tego roku. Wiemy też, że to złośliwe oprogramowanie próbuje zdobyć hasła do generycznych paneli zarządzania stroną – jak na przykład cPanel. Dorkbot ma również możliwość rozprzestrzeniania się przez popularne komunikatory oraz serwisy społecznościowe: Skype, MSN, Facebook, Bebo, Friendster, vkontakte czy Twittera. Jak już zauważono w innych artykułach, Dorkbot ściąga dodatkowo oprogramowanie i uruchamia je na zainfekowanym komputerze – plik z tym programem, w zauważonych przez nas przypadkach, znajdował się na serwerze hotfile.com.
Oprócz tych wszystkich społecznościowych aspektów, Dorkbot ma również rozbudowaną stronę zarządzającą. Jest w stanie komunikować się poprzez serwer IRC z przestępcą i wykonywać wydane polecenia. Może przeprowadzić atak typu UDP flood, lub ataki z wykorzystaniem narzędzia Ruskill czy Slowloris.
Większości z tych zachowań nie zaobserwowaliśmy w naszym laboratorium, póki co są to tylko ukryte możliwości tej aplikacji. Poniżej prezentujemy fragment kodu odpowiedzialny za wykonanie ataku typu flood na dowolny adres za pomocą protokołu UDP:

UDP flood

Wątek polski

Malware ten ma również związki z Polską i polskim internetem. Wspomniane już wcześniej tłumaczenie wiadomości wysyłanych na komunikator Skype na język polski świadczy o tym, że Polska jest rozważanym przez przestępców celem ataku. Jednak istnieje również inny aspekt. Malware po uruchomieniu kontaktuje się z serwerem C&C używając do tego (w niektórych przypadkach) polskich domen. Domeny .pl, o których wiemy, że są wykorzystywane przez Dorkbota to:

timeinfo.pl
dothome.pl
iziger.pl

Jak można się chronić?

Przede wszystkim nie należy klikać w linki, które przesyłają nasi znajomi, a które wydają nam się podejrzane. Pamiętajmy o tym, że każdy z naszych znajomych mógł stać się częścią botnetu. Wiadomości wysyłane przez akurat to złośliwe oprogramowanie nie są napisane poprawną polszczyzną – co już może budzić nasze podejrzenia. Pamiętajmy też, aby zawsze mieć aktualne oprogramowanie antywirusowe oraz aktualny system operacyjny. Więcej informacji na temat botnetów oraz inżynierii społecznej można znaleźć w naszym artykule na temat kradzieży tożsamości.

Dane próbek

Próbka, która trafiła do naszego laboratorium nazywała się skype_08102012_image.exe. W wyniku analizy powstały dwa pliki: pierwszy to rozpakowany plik Dorkbota (unpacked.exe) oraz plik downloaded.exe, który został pobrany przez Dorkbota. Wyliczone wartości funkcji skrótu dla tych plików znajdują się poniżej.

e3af8159d2f1af293bb43cd41d4171db skype_08102012_image.exe
67777ccbbb4dc60243cbb04a640741d2 unpacked.exe
30e594f768d7c2d4fca4546dd3c57f2e downloaded.exe