Bezpečnosť > Virusy
Mariposa BotNet - opäť na vzostupe
V apríli 2011 výrazne stúpol počet infikovaných počítačov botnetom Mariposa (Motýľ). To by nebolo nič zvláštne keby tu daný botnet neexistoval od decembra 2008. čím je špecifický? Nuž je to hlavne tým, že vo svojej podobe s drobnými úpravami existuje od 2008 roku. V súčasnosti sa prioritne šíri 2mi spôsobmi - cez vírus W32 Virut (INF/Autorun (ESET) alebo W32/Autorun.worm (McAffe)) a cez p2p červa Win32.Palevo.
Botnet Mariposa alebo Butterfly Bot Kit vytvorili pôvodne ľudia z DDP Team (Días de Pesadilla Team - Nightmare Days Team), ktorých zatkla španielska polícia vo februári 2010. Členmi boli Florencio Carro Ruiz alias Netkairo (31), Jonathan Pazos Rivera alias jonyloleante (30) a Juan Jose Bellido Rios alias Ostiator (25) predpoklad, keďže činnosť Mariposy sa nezastavila, však je že korene botnetu sú v Rusku alebo na Ukrajine.
Prečo sa niečím tak starým zaoberať?
Nuž je to jednoduché v apríli 2011 vzrástol počet zombie PC (počítačov zapojených do botnetu) zapojených do Mariposy na 2 milióny infikovaných počítačov.
V marci 2010 bol botnet skoro zničený, oproti decembru 2009, keď počet zombie PC bol niečo okolo 13 miliónov v 190 krajinách sveta, klesol počet pc v botnete na niečo okolo 230 000.
V súčasnosti sa primárne šíri varianta cez Palevo P2P alebo cez novú variantu Win32/Virut.
Detekujú ich skoro všetky antivírové programy, horšie to však je z odstraňovaním. Najviac problémov je so serverovými verziami OS Windows 2000 - 2008.
Obr. Dump stringu Palevo
Automaticky si dokážu s niektorými variantami infektorov Mariposy, P2P Palevo aj Virut, poradiť programy Malwarebytes a SpyHunter. Niektoré varianty treba vyriešiť manuálne s právami administrátora.
Takže stručný návod ako to vyriešiť pri infektore Palevo.
1.) zastavte proces antispy.exe (%UserProfile%\Application Data\antispy.exe) cez Task manager alebo cez Process Explorer (Sysinternals) 2.) vymažte daný súbor - %UserProfile%\Application Data\antispy.exe 3.) vymažte z registrov všetky záznamy k danej infiltrácií HKEY_CURRENT_USER\Software\Malware Defense HKEY_CLASSES_ROOT\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000} HKEY_CLASSES_ROOT\Folder\shellex\ContextMenuHandlers\SimpleShlExt HKEY_LOCAL_MACHINE\SOFTWARE\Paladin Antivirus HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System 'DisableTaskMgr' = '1' HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce 'SelfdelNT' 4.) vymažte zostávajúce odkazy a súbory %Documents and Settings%\[UserName]\Start Menu\ About.lnk %UserProfile%\Application Data\antispy.exe
Po reštarte Windows odporúčam pustiť kontrolu antivírovým programom, najlepšie z live CD.
Obr. Whireshark dump stringu Palevo
Proces ako sa manuálne zbaviť infektora Virut alebo INF/Autorun:
1.) Nastavte zobrazenie skrytých a systémových súborov (poprípade ak máte, použite TotalComander)
2.) Nájdite súbor autorun.inf a editujte ho.
3.) podľa zadanej cesty vymažte priečinok a následne aj daný autorun.inf
4.) reštartujte PC
Po reštarte Windows odporúčam pustiť kontrolu antivírovým programom, najlepšie z live CD.
Obr. Autorun.inf
Charakteristika Mariposy:
1. Polymorfia kódu 2. Inštalácia ako skrytý - v koreňovom adresári vytvorí súbor autorun.inf, a adresár s rootkitom 3. Direct code injection do explorer.exe (DCI)spravý infiltráciu súboru explorer.exe čo je vlastne GUI Windows(nie Internet Explorer) čím si zabezpečí štartovanie a beh 4. Spúšťanie cez registre (Windows s UAC) 5. Kontrola executable file aby sa predišlo zmazaniu súborov botnetu antivírom alebo užívateľom 6. Kontrola bežiacich procesov. 7. Obrana Anti-x - proti vmware, virtualpc, debugger 1 & 2, anubis, TE, sandbox, norman sandbox, sunbelt sandbox 8. Kontrola komunikačných protokolov 9. Aktualizuje sa a bráni aktualizácií OS a antivíru 10. TCP (SYN) a UDP flood 11. kradne heslá z Firefox 2.x, Firefox 3.x, Internet Explorer 6, Internet Explorer 7, Chrome, Opera 9.x, 10.x 12. Reverse Socks4, Socks5, HTTP socks
Pre záujemcov odporúčam prácu Matta Thompsona -Mariposa Botnet Analysis z februára 2010 kde je popísaný celý botnet.
|