Tamagotchi XII: ostatnie starcie

Ostatnie starci z moim Tamagotchi zostanie opisane tutaj, ponieważ jest to analiza tego, co zapisał Procmon.

Spis Treści

  1. Tamagotchi XII: ostatnie starcie
    1. Drzewo procesów
    2. Co zrobił proces...
      1. Proces c1ab3a6d0df4667de52dac0c7b4a1595.exe
      2. Proces cmd /c ""C:\Documents and Settings\Administrator\Desktop\yhxdrg.bat" "
      3. Proces C:\WINDOWS\system32\explorer.exe
      4. Proces C:\WINDOWS\system32\wgwsafhn.exe
      5. Proces C:\WINDOWS\system32\gsxsrdx.exe
      6. Proces C:\WINDOWS\system32\fzdsv.exe
      7. Proces cmd /c ""C:\WINDOWS\system32\hvhje.bat" "
      8. Proces C:\WINDOWS\system32\iexplore.exe
      9. Proces C:\WINDOWS\system32\qbqwov.exe
      10. Proces C:\WINDOWS\system32\hheyjo.exe
      11. Proces C:\WINDOWS\system32\pwpveix.exe

Drzewo procesów

Na początku drzewo procesów. W zaznaczonym fragmencie zawarte jest drzewo procesów, które uczestniczyły w infekcji.


1.png

Na liście tej znajdują się następujące procesy:

Przy czym do końca przeżyły tylko te, które zostały pogrubione.

Powyższe informacje można porównać z informacjami, które udało wydobyć się z logów systemu Tamagotchi X: logi. Dodatkowo informacje o uruchamianych procesach można było uzyskać z Prefetch (o czym pisałem przy analizie danych z FS: Tamagotchi VII: wróżby z FuSów) oraz klucza MUICache, co opisałem w Tamagotchi VIII: rejestr. Informacje z rejestru były szczególnie przydatne w przypadku plików *.bat, ponieważ w logach został odnotowany wyłącznie fakt uruchomienia procesu cmd.exe.

Teraz po kolei można przyjrzeć się aktywności poszczególnych procesów.

Co zrobił proces...

Proces c1ab3a6d0df4667de52dac0c7b4a1595.exe

Utworzenie pliku explorer.exe

Pierwszą ciekawą akcją tego procesu jest utworzenie pliku C:\WINDOWS\system32\explorer.exe, co widać na poniższym fragmencie.


2.png

Ciekawe jest kilkukrotne wywołanie funkcji SetBasicInformationFile, przy czym ostatnie z nich ustawia poniższe parametry dla utworzonego pliku:


3.png

Mając na uwadze fakt, że wszystko działo się 17 maja, to chodziło prawdopodobnie o ukrycie rzeczywistej daty utworzenia tego pliku. Potwierdza to moje domysły związane z datę tego pliku, które przedstawiłem w Tamagotchi VII: wróżby z FuSów.

Utworzenie pliku yhxdrg.bat

Drugą akcją jest utworzenie pliku yhxdrg.bat.


4.png

Jedyna operacja zapisu do tego pliku to 200 bajtów. Nie jest to zbyt wiele.


5.png

Pliku tego nie udało się odzyskać, ale informację o jego rozmiarze udało się uzyskać z nieużywanego fragmentu indeksu: $I30, czyli pliki, których (już) nie ma

Utworzenie procesu cmd.exe


7.png

Utworzenie procesu explorer.exe


8.png

Proces cmd /c ""C:\Documents and Settings\Administrator\Desktop\yhxdrg.bat" "

Było to uruchomienie skryptu. Niestety, nie udało się na dysku odnaleźć pozostałości po tym pliku, tak więc może za pomocą tych logów uda się odtworzyć to, co ten proces zrobił. Wygląda na to, że jego jedynym zadaniem było usunięcie dwóch plików:

Usunięcie pliku c1ab3a6d0df4667de52dac0c7b4a1595.exe


9.png

Usunięcie pliku yhxdrg.bat


10.png

Wygląda więc na to, że yhxdrg.bat miał zadanie czysto porządkowe.

Proces C:\WINDOWS\system32\explorer.exe

Dopisanie się do klucza HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Podstawowe działanie - zapewnienie sobie ponownego uruchomienia po restarcie maszyny.
11.png
Dopisanie się dodatkowych procesów do tego klucza zostało zauważone przy analizie rejestru: Tamagotchi VIII: rejestr, jak i z analizy "na żywo": Tamagotchi VI: co widać na żywo

Pobranie dodatkowych plików


12.png

Uruchomienie procesu C:\WINDOWS\system32\wgwsafhn.exe


13.png

Uruchomienie procesu C:\WINDOWS\system32\gsxsrdx.exe


14.png

Uruchomienie procesu C:\WINDOWS\system32\fzdsv.exe


15.png

Wygląda na to, że głównym zadaniem procesu explorer.exe jest pobieranie plików z internetu i uruchamianie ich...

Proces C:\WINDOWS\system32\wgwsafhn.exe

Dodanie wpisów do pliku hosts


16.png

Proces C:\WINDOWS\system32\gsxsrdx.exe

Z logów nie wynika, by proces ten zrobił cokolwiek, poza tym, że się uruchomił, a następnie - wyłączył.

Proces C:\WINDOWS\system32\fzdsv.exe

Stworzenie pliku C:\WINDOWS\system32\iexplore.exe


17.png

Stworzenie pliku C:\WINDOWS\system32\hvhje.bat

Podobnie jak w przypadku poprzedniego pliku *.bat, tak i w tym przypadku jego rozmiar nie jest zbyt duży. Prawdopodobnie też służyć będzie jedynie sprzątaniu.
18.png

Uruchomienie procesu cmd /c ""C:\WINDOWS\system32\hvhje.bat" "


19.png

Uruchomienie procesu C:\WINDOWS\system32\iexplore.exe


20.png

Proces cmd /c ""C:\WINDOWS\system32\hvhje.bat" "

Tak jak i poprzedni plik *.bat po prostu wykonywał sprzątanie.

Usunięcie pliku C:\WINDOWS\system32\fzdsv.exe


21.png

Usunięcie pliku C:\WINDOWS\system32\hvhje.bat


22.png

Proces C:\WINDOWS\system32\iexplore.exe

Dopisanie się do klucza HKLM\Software\Microsoft\Windows\CurrentVersion\Run


23.png

Pobranie i utworzenie kolejnych plików


24.png

Utworzenie procesu C:\WINDOWS\system32\qbqwov.exe


25.png

Utworzenie procesu C:\WINDOWS\system32\hheyjo.exe


26.png

Utworzenie procesu C:\WINDOWS\system32\pwpveix.exe


27.png

Wydaje się więc, że zadanie procesu iexplore.exe jest analogiczne do zadania explorer.exe, czyli po prostu pobieranie i uruchamianie nowych plików.

Proces C:\WINDOWS\system32\qbqwov.exe

Nadpisanie pliku hosts


28.png
O modyfikacji pliku hosts pisałem w Tamagotchi IX: zmienione pliki

Proces C:\WINDOWS\system32\hheyjo.exe

Podobnie jak proces C:\WINDOWS\system32\gsxsrdx.exe, proces ten nie zrobił nic ciekawego...

Proces C:\WINDOWS\system32\pwpveix.exe

Dopisanie się do HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run


29.png
Proces ten nie wykonał więcej akcji, ale pozostał aktywny.

Tamagotchi_XII (ostatnio edytowane 2008-12-19 20:42:35 przez PawelGolen)