mercoledì 4 aprile 2012

'Shakespeare' ed il fake AV. Ingegnoso sistema per eludere le verifiche degli Av sui files malware (4 Marzo)

AVVISO ! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! Si tratta di links ad eseguibile spesso poco riconosciuto dai reali softwares AV.

Come noto i falsi softwares AV occupano i primi posti tra il malware distribuito in rete e la tendenza dei codici proposti e' sempre di piu' quella di essere applicazioni invasive rispetto a quanto succedeva sino qualche tempo fa.
Attualmente, infatti, molti dei fake AV in circolazione, oltre a presentare i 'soliti' messaggi 'fasulli' di allerta, bloccano il funzionamento dei browser installati e di altri software anche di sistema come ad esempio il task manager, rendendo spesso difficoltosa la bonifica del PC.
Ovviamente il contrasto alla diffusione di queste 'rogue apllications' viene fatto da parte dei reali software AV impiegando diverse tecniche di riconoscimento dei codici pericolosi, ed una di queste si basa sulla 'firma digitale' dei contenuti del file eseguibile da scansionare.
Evidentemente piu' il codice cambia nel tempo, piu' difficoltoso sara' il riconoscimento del falso AV da parte del reale software antivirus.

Tornando al titolo del post vediamo come si spiega il fatto odi mettere in relazione Shakespeare' e la distribuzione del falso Av che esamineremo oggi.

Questo un whois di sito tedesco

che fa da hosting al file eseguibile che andremo ad analizzare in dettaglio
Gia' dal whois notiamo che i nomi di alcuni siti ospitati su questo IP sono attribuibili a fake programma AV.

Questo un dettaglio dell'eseguibile

che mostra una icona abbastanza particolare in quanto ricorda quella dei files compressi in formato RAR

Un breve verifica ci permette di confermare detta ipotesi ottenendo questo risultato con

la sorpresa e' di trovare sia un file eseguibile che appare ulteriormente criptato, che del testo relativo al noto scritto di William Shakespeare e cioe' Romeo e Giulietta (The Most Excellent and Lamentable Tragedy of Romeo and Juliet)
Proseguendo nell'analisi vediamo che, tra le righe di testo, possiamo isolare anche del codice che non ha niente a che fare con lo scritto di Shakespeare e precisamente

Si tratta delle istruzioni e la password necessaria ad estrarre dal file che vediamo un ulteriore eseguibile che sara' poi il nostro fake AV

In pratica si tratta di istruzioni che permettono l'estrazione in maniera automatica del file contenuto in quello criptato e la sua esecuzione e tutto questo allo scopo evidentemente di ridurre le possibilita' di riconoscimento del contenuto malware.

Lo scritto di Shakespeare serve invece probabilmente come supporto per creare differenti codici di checksum dei contenuti visto che , come vediamo da questo confronto tra due files scaricati in tempi diversi il testo e' costantemente cambiato

Automatizzando tutto il processo di creazione del file RAR con in piu' l'inclusione di sempre diverso testo, chi vuole distribuire il malware, puo' generare centinaia di file diversi e con buone possibilita' di ridurre il riconoscimento da parte dei softwares AV

Ricapitolando abbiamo


Vediamo ora il comportamento dei reali softwares AV davanti ai files generati nei differenti passaggi dell'estrazione del malware dal file RAR originale

Ecco la risposta Av al file RAR scaricato

con

Come si vede al momento ben pochi softwares evidenziano la minaccia

Passiamo ora al primo file estratto che, come avevamo visto e' in realta' un nuovo file RAR eseguibile e dai contenuti criptati

con

anche in questo caso basso riconoscimento

Veniamo ora al file ottenuto decriptando il secondo file (RAR) e cioe' all'eseguibile finale

con

Decisamente un numero piu' alto di riconoscimento dei contenuti cosa che dimostra che l'uso di un file RAR specialmente se criptato (ma ovviamente con password disponibile in chiaro) puo' aumentare le difficolta' di riconoscimento del malware.
Questo potrebbe voler dire che alcuni softwares AV, tra quelli visti ora e che comunque evidenziano il contenuto pericoloso, non riescono ad estrarre e/o a riconoscere il codice malevolo quando nel formato RAR eventualmente criptato, a meno di non passargli l'eseguibile gia' 'scompattato' (vedi il file finale analizzato)

Da quanto si legge in rete ci potrebbero essere quindi maggiori difficolta' per alcuni softwares AV ad analizzare file dai contenuti 'compressi' piu' volte e con l'utilizzo di passwords, anche se naturalmente le stesse sono presenti in chiaro nel contenuto del file originale.

Basso riconoscimento significa anche che se i files sono hostati su siti compromessi od allegati in mail potranno essere distribuiti senza che ci si accorga della loro pericolosita'
Evidentemente al momento del run sul PC di chi avesse scaricato ed eseguisse il file, e' sperabile che, essendo scompattato, il malware sia maggiormente rilevato dai reali softwares AV.

A questo punto, visto che si tratta in ogni caso di possibile AV, andiamo a confermarne i contenuti eseguendo il file in Virtual Box

Ecco lo screenshot al momento del run

che ci conferma trattarsi di fake AV della famiglia Rogue FakeVimes denominato questa volta "Windows Shielding Utility"

Proseguendo nell'analisi troviamo un layout gia' noto riconducibile al fake AV “Windows Process Director”

e descritto tempo fa in questo post.

Come detto in premessa si tratta di softwares che sono molto invasivi e che, anche nell'attuale caso, tentano di bloccare sia il browser

che altri softwares legittimi (es.task manager,ecc....)

QUI trovate alcune recenti (data di ieri) istruzioni su come bonificare il PC ricordando che si tratta comunque di operazioni spesso complesse con l'uso in alcuni casi di un diverso PC per poter scaricare dalla rete il software utile alla bonifica.

Edgar

Nessun commento: