Backdoor Mevade

Written by codeluux

green_creatureBir önceki yazımızda InstallBrain isimli zararlı reklam yazılımının zararsız gibi görünse de Mevade zararlısına kod yönünden benzerlik gösterdiğinden bahsetmiştik. Peki bulaştığı sistemlerde arka kapı bırakarak sistemin ele geçirilmesini sağlayan Mevade ne kadar tehlikeli bir zararlı? Öncelikle bulaştığı sistemin sanal bir işletim sistemi olup olmadığını kontrol edecek kadar akıllı. Sistemin Vmware, Virtualbox ya da Sandboxie olup olmadığını sorguluyor. Kendisini %System%\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\wins.exe dosyası içine yerleştirerek işlemlerine başlıyor.

  • Adı : Mevade
  • Keşif tarihi : 09.09.2013
  • Diğer isimleri : TrojWare.Win32.Kryptik.BIPP, Trojan.Win32.Sefnit.as,Trojan-Downloader.Win32.AVDisguise.a
  • Tipi: Backdoor
  • Seviye : Orta
  • Platform : W32,

Sisteme bulaşarak wins.exe ye yerleşmesinden sonra aşağıdaki dosyaları oluşturur.

  • %ProgramFiles%\Tor\tor.exe
  • %System%\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service49e7fb749be2cdf169e28bb0a27254f\181084e525a65ef540c63d60ce07f836.ct
  • %System%\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service49e7fb749be2cdf169e28bb0a27254f\181084e525a65ef540c63d60ce07f836.ph
  • %System%\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\cache.00
  • %System%\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\queries-02.cache
  • %SystemDrive%\Documents and Settings\LocalService\Application Data\tor\lock
  • %SystemDrive%\Documents and Settings\LocalService\Application Data\tor\state

Windows Kayıt Defterinde aşağıdaki girdileri yapar ve sistem üzerinde Windows servisi gibi çalışmaya başlar:

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Internet Name Service\”Description” = “Provides Internet Name Service”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Internet Name Service\”DisplayName” = “Windows Internet Name Service”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Internet Name Service\”ErrorControl” = “1”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Internet Name Service\”FailureActions” = “[BINARY DATA]”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Internet Name Service\”Group” = “netsvcs”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Internet Name Service\”ImagePath” = “%System%\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\wins.exe”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Internet Name Service\”ObjectName” = “LocalSystem”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Internet Name Service\”Start” = “2”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Internet Name Service\”Type” = “16”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Internet Name Service\Security\”Security” = “[BINARY DATA]”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tor\”Description” = “Provides an anonymous Internet communication system”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tor\”DisplayName” = “Tor Win32 Service”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tor\”ErrorControl” = “0”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tor\”ImagePath” = “”%ProgramFiles%\Tor\tor.exe\” –nt-service \”-ControlPort\” \”9051″”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tor\”ObjectName” = “NT AUTHORITY\LocalService”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tor\”Start” = “2”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tor\”Type” = “16”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tor\Security\”Security” = “[BINARY DATA]”

 

Tüm servisler aynı karakteristik özellikte çalışır:
Startup Type: Automatic
Image Path: %ProgramFiles%\Tor\tor.exe\” –nt-service \”-ControlPort\” \”9051″
Display Name: Tor Win32 Service

Startup Type: Automatic
Image Path: %System%\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\wins.exe
Display Name: Windows Internet Name Service

Daha sonra Windows kökünde Legacy sürücü özelliği edinir:

 

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TOR\”NextInstance” = “1”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TOR000\”Class” = “LegacyDriver”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TOR000\”ClassGUID” = “{8ECC055D-047F-11D1-A537-0000F8753ED1}”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TOR000\”ConfigFlags” = “0”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TOR000\”DeviceDesc” = “Tor Win32 Service”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TOR000\”Legacy” = “1”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TOR000\”Service” = “tor”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_INTERNET_NAME_SERVICE\”NextInstance” = “1”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_INTERNET_NAME_SERVICE000\”Class” = “LegacyDriver”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_INTERNET_NAME_SERVICE000\”ClassGUID” = “{8ECC055D-047F-11D1-A537-0000F8753ED1}”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_INTERNET_NAME_SERVICE000\”ConfigFlags” = “0”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_INTERNET_NAME_SERVICE000\”DeviceDesc” = “Windows Internet Name Service”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_INTERNET_NAME_SERVICE000\”Legacy” = “1”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_INTERNET_NAME_SERVICE000\”Service” = “Windows Internet Name Service”

Ardından kayıt defterinde aşağıdaki girdileri gerçekleştirir:

  • HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\_SC_tor\”(Default)” = “4”
  • HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\_SC_tor\SecDesc\”(Default)” = “[BINARY DATA]”

Aşağıdaki Explorer değişikliklerini yaparak sistemde kalıcı olmak için çabalar:

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\”Local AppData” = “%SystemDrive%\Documents and Settings\LocalService\Local Settings\Application Data”

Son olarak aşağıdaki TOR yönetim sunucularına bağlanarak işlemini tamamlar:

 

  • pomyeasfnmtn544p.onion
  • ijqqxydixp4qbzce.onion
  • 7fyipi6vxyhpeouy.onion
  • onhiimfoqy4acjv4.onion
  • 6tlpoektcb3gudt3.onion
  • qxc7mc24mj7m4e2o.onion
  • lqqciuwa5yzxewc3.onion
  • wsytsa2omakx655w.onion
  • lqqth7gagyod22sc.onion
  • lorpzyxqxscsmscx.onion
  • mdyxc4g64gi6fk7b.onion
  • ye63peqbnm6vctar.onion
  • 7sc6xyn3rrxtknu6.onion
  • l77ukkijtdca2tsy.onion

 

 

 

 

Backdoor Mevade” üzerine bir yorum

  1. Geri bildirim: Adware InstallBrain | Code 0 day

Yorum bırakın