Thursday, November 15

วิเคราะห์ Malware จาก file bin.exe

เมื่อวาน (14/11/2555) จากระบบ siamhelp.org ได้ตรวจพบ



Hostname122.155.18.90
IP122.155.18.90
ASAS9931
CAT-AP The Communication Authoity of Thailand, CAT
Web serverApache/2
OSUnknown
ISPCAT Telecom public company Ltd
CityBangkok
CountryThailand
Local timeThu Nov 15 15:53:26 ICT 2012

http://checkip.me/whomap.php?domain=122.155.18.90

มีการติดเชื้อ หรือ แพร่เชื้อไวรัสคอมพิวเตอร์  เมื่อดูจากประวัติใน siamhelp.org แล้ว พบการติดเชื้อมา 3 ครั้ง คือ
วันแรกที่พบคือ วันที่ 26 กรกฏาคม 2555  มี file ที่ติดเชื้อที่ 122.155.18.90/roudcubemail-0.5.2/program/biti.exe
วันที่สองที่พบคือ วันที่ 1 ตุลาคม 2555 มี file ที่ติดเชื้อที่ 122.155.18.90/1.exe
วันที่สามที่พบคือ วันที่ 14 พฤศจิกายน 2555 มี file ที่ติดเชื้อที่ 122.155.18.90/bin.exe
(file เหล่านี้ติดไวรัส อันตรายห้ามดาวโหลดไปลองหากไม่มีระบบป้องกันพอ เครื่องคอมพิวเตอร์ของท่านอาจเสียหายได้)

ข้อมูลทั้งหมดที่พบจาก http://www.scumware.org/report/122.155.18.90

URLMD5IPThreat
2012-10-17 16:36:56http://122.155.18.90/Done.exe...312B9857A2476F7516BCB287CB404940122.155.18.90THTrojan-Dropper.Win32.Dapato.btlt
2012-10-04 23:21:16http://122.155.18.90/1.exe...D648F3D2E177DFAC4EC34B154A2575D2122.155.18.90THWin32/Injector.XFC trojan
2012-07-26 09:46:27http://122.155.18.90/roundcubemail-0.5.2/bitfud.exe...537E450713251692F260E7722D5BBF3D122.155.18.90THWin32/Packed.Themida application
2012-07-26 06:59:06http://122.155.18.90/roundcubemail-0.5.2/program/biti.exe...E9A63A6AA767986F9A502A0ECF178A61122.155.18.90THWin32/Packed.Themida application
2012-07-22 16:03:33http://122.155.18.90/roundcubemail-0.5.2/program/bitfud.exe...482B9368AFBF39AC162BD0338AC30840122.155.18.90THWin32/Packed.Themida application


ลองมาทำการผ่าพิสูจน์ไวรัสกัน !!
เอาตัวล่าสุดคือ bin.exe  


Scan date2012-11-14 19:33:31 +00:00
File name4200663
MD5 hash5402d50803d892edfb8878a2ccbab0de
File typeWin32 EXE
File Size (Byte)2118144
Detection ratio27 / 44

Scan result
แสดงผลลัพธ์การสแกนจากแอนตี้ไวรัส 44 ค่าย มีผลดังนี้
Scan result of virustotals
VendorVersionResultVirus NameDatabase Date
1. TotalDefense37.0.10162Virus not found20121114
2. MicroWorld-eScan12.0.250.0Virus not found20121114
3. nProtect2012-11-14.02Virus foundTrojan.Generic.796284220121114
4. CAT-QuickHeal12.00Virus not found20121114
5. McAfee5.400.0.1158Virus foundArtemis!5402D50803D820121114
6. K7AntiVirus9.154.7858Virus foundRiskware20121114
7. TheHackerNoneVirus not found20121113
8. F-Prot4.6.5.141Virus foundW32/Themida_Packed!Eldorado20121114
9. Symantec20121.2.1.2Virus foundWS.Reputation.120121114
10. Norman6.08.06Virus foundW32/Troj_Generic.EWJYW20121114
11. ByteHero1.0.0.1Virus not found20121110
12. TrendMicro-HouseCall9.700.0.1001Virus foundTROJ_GEN.R47CGJP20121114
13. Avast6.0.1289.0Virus foundWin32:Malware-gen20121114
14. eSafe7.0.17.0Virus not found20121112
15.ClamAV0.97.3.0Virus not found20121114
16. Kaspersky9.0.0.837Virus foundTrojan-Downloader.Win32.Dapato.mpc20121114
17. BitDefender7.2Virus foundTrojan.Generic.796284220121114
18. Agnitum5.5.1.3Virus foundSuspicious!SA20121114
19. ViRobot2011.4.7.4223Virus not found20121114
20. Sophos4.83.0Virus foundMal/Behav-37420121114
21. Comodo14201Virus foundUnclassifiedMalware20121114
22. F-Secure9.0.17090.0Virus foundTrojan.Generic.796284220121114
23. DrWeb7.0.4.09250Virus foundTrojan.DownLoader7.2146020121114
24. VIPRE13976Virus foundTrojan.Win32.Generic!BT20121114
25. AntiVir7.11.50.24Virus foundTR/Crypt.XPACK.Gen20121114
26. TrendMicro9.561.0.1028Virus foundTROJ_GEN.R47CGJP20121114
27. McAfee-GW-Edition2012.1Virus foundHeuristic.BehavesLike.Win32.Suspicious-BAY.O20121114
28. Emsisoft3.0.0.569Virus not found20121114
29. Jiangmin13.0.900Virus foundTrojan/Miner.bd20121114
30. Antiy-AVL2.0.3.7Virus not found20121113
31. Kingsoft2012.9.22.155Virus not found20121112
32. Microsoft1.8904Virus not found20121114
33. SUPERAntiSpyware5.6.0.1008Virus not found20121114
34. GData22Virus foundTrojan.Generic.796284220121114
35. Commtouch5.3.2.6Virus not found20121114
36. AhnLab-V32012.11.15.00Virus foundDownloader/Win32.Dapato20121114
37. VBA323.12.18.3Virus not found20121114
38. PCTools8.0.0.5Virus not found20121114
39. ESET-NOD327693Virus foundprobably a variant of Win32/BitCoinMiner.H20121114
40. Rising24.36.01.05Virus not found20121114
41. IkarusT3.1.1.122.0Virus foundTrojan.Win32.Miner20121114
42. Fortinet5.0.26.0Virus foundW32/BitCoinMiner.H20121114
43. AVG10.0.0.1190Virus foundGeneric6_c.BDXE20121114
44. Panda10.0.3.5Virus foundTrj/Thed.A20121114

File fuzzy hashing
Context Triggered Piecewise Hashing ของไฟล์
File ssdeep of 4200663
49152:wx08+tkrW4K8G/i4wVQyPAetraEaNAZZGGxb:VqrYZiR1asHGGx

File metadata
แสดงรายละเอียดและคุณลักษณะของไฟล์
File exif of 4200663
PropertyValue
mimetypeapplication/octet-stream
subsystemWindows command line
machinetypeIntel 386 or later, and compatibles
timestamp2012:07:05 13:47:47+01:00
filetypeWin32 EXE
petypePE32
codesize0
linkerversion10.0
entrypoint0x6e014
initializeddatasize2114048
subsystemversion5.1
imageversion0.0
osversion5.1
uninitializeddatasize0
Portable Executable structural information
Compilation timedatestamp.....: 2012-07-05 12:47:47
Target machine................: 0x14C (Intel 386 or later processors and compatible processors)
Entry point address...........: 0x0006E014

PE Sections...................:

Name        Virtual Address  Virtual Size  Raw Size  Entropy  MD5
                       4096        438272    438272     7.19  d1deeaa0eb791825a85a8e1647060a68
.rsrc                442368          1328      1536     4.91  5db9c0afa277e657781a7042386629cd
.idata               446464          4096       512     1.38  72003d358d654906aeb64ef8dce8c16c
...                  450560       1679360   1673728     7.81  9bbc6c53ef7c2afc1d8990d901779fee

PE Imports....................:

[[KERNEL32.dll]]
CreateFileA, lstrcpy

[[COMCTL32.dll]]
InitCommonControls

PE Resources..................:

Resource type            Number of resources
RT_MANIFEST              2

Resource language        Number of resources
NEUTRAL                  1
ENGLISH US               1

ไวรัสชนิดนี้ พบว่ายังมีหลายชื่อ file ดังนี้
1. 4200663
2. output.4200663.txt
3. bin.exe
ตรวจสอบเส้นทางการเชื่อมต่อค่า DNS ทางระบบเครือข่าย
122.155.18.90
ปัจจุบัน domain denichsoiltest.com ไม่ได้อยู่ที่ IP อันตรายนี้แล้ว แต่ค่าที่เห็นเกิดนำมาจาก http://ip.robtex.com/122.155.18.90.html#graph
วันที่ทำการตรวจสอบการเชื่อมต่อค่า DNS วันที่ 15 /11/ 2555
ผลการทดสอบเส้น Query DNS จาก http://sran.org/dns พบค่าดังนี้

No comments: