Backdoor Mevade

green_creatureBir önceki yazımızda InstallBrain isimli zararlı reklam yazılımının zararsız gibi görünse de Mevade zararlısına kod yönünden benzerlik gösterdiğinden bahsetmiştik. Peki bulaştığı sistemlerde arka kapı bırakarak sistemin ele geçirilmesini sağlayan Mevade ne kadar tehlikeli bir zararlı? Öncelikle bulaştığı sistemin sanal bir işletim sistemi olup olmadığını kontrol edecek kadar akıllı. Sistemin Vmware, Virtualbox ya da Sandboxie olup olmadığını sorguluyor. Kendisini %System%\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\wins.exe dosyası içine yerleştirerek işlemlerine başlıyor.

  • Adı : Mevade
  • Keşif tarihi : 09.09.2013
  • Diğer isimleri : TrojWare.Win32.Kryptik.BIPP, Trojan.Win32.Sefnit.as,Trojan-Downloader.Win32.AVDisguise.a
  • Tipi: Backdoor
  • Seviye : Orta
  • Platform : W32,

Sisteme bulaşarak wins.exe ye yerleşmesinden sonra aşağıdaki dosyaları oluşturur.

  • %ProgramFiles%\Tor\tor.exe
  • %System%\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service49e7fb749be2cdf169e28bb0a27254f\181084e525a65ef540c63d60ce07f836.ct
  • %System%\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service49e7fb749be2cdf169e28bb0a27254f\181084e525a65ef540c63d60ce07f836.ph
  • %System%\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\cache.00
  • %System%\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\queries-02.cache
  • %SystemDrive%\Documents and Settings\LocalService\Application Data\tor\lock
  • %SystemDrive%\Documents and Settings\LocalService\Application Data\tor\state

Windows Kayıt Defterinde aşağıdaki girdileri yapar ve sistem üzerinde Windows servisi gibi çalışmaya başlar:

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Internet Name Service\”Description” = “Provides Internet Name Service”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Internet Name Service\”DisplayName” = “Windows Internet Name Service”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Internet Name Service\”ErrorControl” = “1”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Internet Name Service\”FailureActions” = “[BINARY DATA]”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Internet Name Service\”Group” = “netsvcs”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Internet Name Service\”ImagePath” = “%System%\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\wins.exe”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Internet Name Service\”ObjectName” = “LocalSystem”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Internet Name Service\”Start” = “2”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Internet Name Service\”Type” = “16”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Internet Name Service\Security\”Security” = “[BINARY DATA]”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tor\”Description” = “Provides an anonymous Internet communication system”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tor\”DisplayName” = “Tor Win32 Service”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tor\”ErrorControl” = “0”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tor\”ImagePath” = “”%ProgramFiles%\Tor\tor.exe\” –nt-service \”-ControlPort\” \”9051″”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tor\”ObjectName” = “NT AUTHORITY\LocalService”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tor\”Start” = “2”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tor\”Type” = “16”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tor\Security\”Security” = “[BINARY DATA]”

 

Tüm servisler aynı karakteristik özellikte çalışır:
Startup Type: Automatic
Image Path: %ProgramFiles%\Tor\tor.exe\” –nt-service \”-ControlPort\” \”9051″
Display Name: Tor Win32 Service

Startup Type: Automatic
Image Path: %System%\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\wins.exe
Display Name: Windows Internet Name Service

Daha sonra Windows kökünde Legacy sürücü özelliği edinir:

 

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TOR\”NextInstance” = “1”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TOR000\”Class” = “LegacyDriver”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TOR000\”ClassGUID” = “{8ECC055D-047F-11D1-A537-0000F8753ED1}”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TOR000\”ConfigFlags” = “0”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TOR000\”DeviceDesc” = “Tor Win32 Service”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TOR000\”Legacy” = “1”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TOR000\”Service” = “tor”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_INTERNET_NAME_SERVICE\”NextInstance” = “1”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_INTERNET_NAME_SERVICE000\”Class” = “LegacyDriver”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_INTERNET_NAME_SERVICE000\”ClassGUID” = “{8ECC055D-047F-11D1-A537-0000F8753ED1}”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_INTERNET_NAME_SERVICE000\”ConfigFlags” = “0”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_INTERNET_NAME_SERVICE000\”DeviceDesc” = “Windows Internet Name Service”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_INTERNET_NAME_SERVICE000\”Legacy” = “1”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_INTERNET_NAME_SERVICE000\”Service” = “Windows Internet Name Service”

Ardından kayıt defterinde aşağıdaki girdileri gerçekleştirir:

  • HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\_SC_tor\”(Default)” = “4”
  • HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\_SC_tor\SecDesc\”(Default)” = “[BINARY DATA]”

Aşağıdaki Explorer değişikliklerini yaparak sistemde kalıcı olmak için çabalar:

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\”Local AppData” = “%SystemDrive%\Documents and Settings\LocalService\Local Settings\Application Data”

Son olarak aşağıdaki TOR yönetim sunucularına bağlanarak işlemini tamamlar:

 

  • pomyeasfnmtn544p.onion
  • ijqqxydixp4qbzce.onion
  • 7fyipi6vxyhpeouy.onion
  • onhiimfoqy4acjv4.onion
  • 6tlpoektcb3gudt3.onion
  • qxc7mc24mj7m4e2o.onion
  • lqqciuwa5yzxewc3.onion
  • wsytsa2omakx655w.onion
  • lqqth7gagyod22sc.onion
  • lorpzyxqxscsmscx.onion
  • mdyxc4g64gi6fk7b.onion
  • ye63peqbnm6vctar.onion
  • 7sc6xyn3rrxtknu6.onion
  • l77ukkijtdca2tsy.onion

 

 

 

 

Reklamlar

Backdoor Mevade” üzerine bir yorum

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Connecting to %s