KernelBot: è arrivato il worm per la falla MS08-067

November 4th, 2008 by Marco Leave a reply »

Era questione di tempo, un arco di tempo più o meno breve, per vedere un vero e proprio worm che sfruttasse la vulnerabilità MS08-067.

In queste ore è stato isolato un nuovo malware, denominato KernelBot, di origine molto probabilmente asiatica. Il malware sfrutta la vulnerabilità della quale si parla spesso in questi giorni e alla quale avevo dedicato un articolo precedentemente. I primi sample di questo malware risalgono allo scorso 28 Ottobre.

Il worm arriva sottoforma del file 6767.exe o, in alternativa, KernekDbg.exe. Una volta eseguito nel sistema, controlla la presenza dei processi in esecuzione

  • safeboxtray.exe
  • avp.exe
  • RSTray.exe

e modifica alla chiave di registro HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon i valori

  • [UDiskAccess] = “0″
  • [ExecAccess] = “0″
  • [IEProtAccess] = “0″
  • [LeakAccess] = “0″
  • [MonAccess] = “0″
  • [SiteAccess] = “0″

per disattivare le protezione del software di sicurezza 360Safe.

KernelBot strings

Termina i seguenti processi – e relativi thread:

  • 360rpt.exe
  • 360Safe.exe
  • 360Tray.exe
  • safeboxTray.exe
  • Iparmor.exe
  • USBSAFE.exe
  • ast.exe

e tenta di eliminare alla chiave di registro HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run le seguenti voci:

  • 360Safetray
  • 360Safebox
  • 360Antiarp
  • runeip
  • Iparmor

Crea i seguenti file con attributo hidden e data e ora presi dal file winlogon.exe:

  • compbatc.sys
  • compbatc.exe
  • compbatc.zip
  • compbatc.dll
  • compbatc.ocx
  • compbatc.ini

I file protrebbero chiamarsi anche:

  • vvebc1nt.sys
  • vvebc1nt.exe
  • vvebc1nt.zip
  • vvebc1nt.dll
  • vvebc1nt.ocx
  • vvebc1nt.ini

Crea i seguenti servizi in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:

  • [8 numeri]
  • compbatc
  • compbatcDrv

Cancella le chiavi di registro:

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal

Dopo di che, il worm inizia la propria routine di payload. Per fare ciò, inietta il proprio codice all’interno dei processi svchost.exe, creandone anche alcuni nuovi.

Il malware è un BOT che riceve comandi da un server remoto, scarica infatti la lista di comandi dal sito web www.ushealthmart.com, grazie alla quale l’attacker remoto può istruire il malware ad eseguire i seguenti comandi:

[+] Autoaggiornarsi
[+] Scaricare ed eseguire nuovi file
[+] Lanciare attacchi di tipo DDoS verso target specificati di volta in volta

DDoS code
2nd DDoS Code

Al momento il worm scarica ed esegue il file NetGuy5.exe, che è la componente del malware che sfrutta la vulnerabilità MS08-067 per diffondersi attraverso LAN locali.

Inoltre viene scaricata ed eseguita una versione di eMule appositamente configurata per condividere falsi file apparentemente innocui ma che in realtà contengono la copia del malware.

Il malware modifica inoltre il file di HOSTS, aggiungendo le seguenti voci:

127.0.0.1 www.360Safe.com
127.0.0.1 www.360.cn
127.0.0.1 bbs.360safe.com
127.0.0.1 baike.360.cn
127.0.0.1 kaba.360.cn
127.0.0.1 bbs.360.cn
127.0.0.1 360.cn
127.0.0.1 forum.ikaka.com
127.0.0.1 tool.ikaka.com
127.0.0.1 file.ikaka.com
127.0.0.1 update.ikaka.com
127.0.0.1 bbs.ikaka.com
127.0.0.1 bbs.janmeng.com
127.0.0.1 www.ikaka.com
127.0.0.1 forum.jiangmin.com
127.0.0.1 update.rising.com.cn
127.0.0.1 online.rising.com.cn
127.0.0.1 center.rising.com.cn
127.0.0.1 www.rising.com.cn
127.0.0.1 fw.rising.com.cn
127.0.0.1 csc.rising.com.cn
127.0.0.1 buy.rising.com.cn
127.0.0.1 sos.rising.com.cn
127.0.0.1 download.rising.com.cn
127.0.0.1 help.rising.com.cn
127.0.0.1 go.rising.com.cn
127.0.0.1 up.duba.net
127.0.0.1 bbs.duba.net
127.0.0.1 shadu.baidu.com
127.0.0.1 www.kztechs.com
127.0.0.1 security.symantec.com
127.0.0.1 shadu.duba.net
127.0.0.1 online.jiangmin.com
127.0.0.1 cn.mcafee.com
127.0.0.1 bbs.mcafeefans.com
127.0.0.1 mcafeefans.com
127.0.0.1 www.ahn.com.cn
127.0.0.1 www.kaspersky.com.cn
127.0.0.1 www.kaspersky.com
127.0.0.1 www.pcav.cn
127.0.0.1 www.vrv.com.cn
127.0.0.1 bbs.sucop.com
127.0.0.1 www.sucop.com
127.0.0.1 sucop.com
127.0.0.1 bbs.cpcw.com
127.0.0.1 www.shudoo.com
127.0.0.1 alert.rising.com.cn
127.0.0.1 www.dswlab.com
127.0.0.1 dswlab.com
127.0.0.1 bbs.dswlab.com
127.0.0.1 zhidao.ikaka.com
127.0.0.1 bbs.kafan.cn
127.0.0.1 bbs.kaspersky.com.cn
127.0.0.1 www.trendmicro.com.cn
127.0.0.1 bbs.trendmicro.com.cn
127.0.0.1 cn.trendmicro.com
127.0.0.1 www.kpfans.com
127.0.0.1 kpfans.com
127.0.0.1 www.mcafee.com
127.0.0.1 dnl-cn1.kaspersky-labs.com
127.0.0.1 dnl-cn2.kaspersky-labs.com
127.0.0.1 dnl-cn3.kaspersky-labs.com
127.0.0.1 dnl-cn4.kaspersky-labs.com
127.0.0.1 dnl-cn5.kaspersky-labs.com
127.0.0.1 dnl-cn6.kaspersky-labs.com
127.0.0.1 dnl-cn7.kaspersky-labs.com
127.0.0.1 dnl-cn8.kaspersky-labs.com
127.0.0.1 dnl-cn9.kaspersky-labs.com
127.0.0.1 dnl-cn10.kaspersky-labs.com
127.0.0.1 dnl-cn11.kaspersky-labs.com
127.0.0.1 dnl-cn12.kaspersky-labs.com
127.0.0.1 dnl-cn13.kaspersky-labs.com
127.0.0.1 dnl-cn14.kaspersky-labs.com
127.0.0.1 dnl-cn15.kaspersky-labs.com
127.0.0.1 dnl-cd1.kaspersky-labs.com
127.0.0.1 dnl-cd2.kaspersky-labs.com
127.0.0.1 dnl-cd3.kaspersky-labs.com
127.0.0.1 dnl-cd4.kaspersky-labs.com
127.0.0.1 dnl-cd5.kaspersky-labs.com
127.0.0.1 dnl-cd6.kaspersky-labs.com
127.0.0.1 dnl-cd7.kaspersky-labs.com
127.0.0.1 dnl-cd8.kaspersky-labs.com
127.0.0.1 dnl-cd9.kaspersky-labs.com
127.0.0.1 dnl-cd10.kaspersky-labs.com
127.0.0.1 dnl-cd11.kaspersky-labs.com
127.0.0.1 dnl-cd12.kaspersky-labs.com
127.0.0.1 dnl-cd13.kaspersky-labs.com
127.0.0.1 dnl-cd14.kaspersky-labs.com
127.0.0.1 dnl-eu1.kaspersky-labs.com
127.0.0.1 dnl-eu2.kaspersky-labs.com
127.0.0.1 dnl-eu3.kaspersky-labs.com
127.0.0.1 dnl-eu4.kaspersky-labs.com
127.0.0.1 dnl-eu5.kaspersky-labs.com
127.0.0.1 dnl-eu6.kaspersky-labs.com
127.0.0.1 dnl-eu7.kaspersky-labs.com
127.0.0.1 dnl-eu8.kaspersky-labs.com
127.0.0.1 dnl-eu9.kaspersky-labs.com
127.0.0.1 dnl-eu10.kaspersky-labs.com
127.0.0.1 dnl-eu11.kaspersky-labs.com
127.0.0.1 dnl-eu12.kaspersky-labs.com
127.0.0.1 dnl-eu13.kaspersky-labs.com
127.0.0.1 dnl-eu14.kaspersky-labs.com
127.0.0.1 dnl-eu15.kaspersky-labs.com
127.0.0.1 dnl-us1.kaspersky-labs.com
127.0.0.1 dnl-us2.kaspersky-labs.com
127.0.0.1 dnl-us3.kaspersky-labs.com
127.0.0.1 dnl-us4.kaspersky-labs.com
127.0.0.1 dnl-us5.kaspersky-labs.com
127.0.0.1 dnl-us6.kaspersky-labs.com
127.0.0.1 dnl-us7.kaspersky-labs.com
127.0.0.1 dnl-us8.kaspersky-labs.com
127.0.0.1 dnl-us9.kaspersky-labs.com
127.0.0.1 dnl-us10.kaspersky-labs.com
127.0.0.1 dnl-us11.kaspersky-labs.com
127.0.0.1 dnl-us12.kaspersky-labs.com
127.0.0.1 dnl-us13.kaspersky-labs.com
127.0.0.1 dnl-us14.kaspersky-labs.com
127.0.0.1 dnl-us15.kaspersky-labs.com
127.0.0.1 dnl-ru1.kaspersky-labs.com
127.0.0.1 dnl-ru2.kaspersky-labs.com
127.0.0.1 dnl-ru3.kaspersky-labs.com
127.0.0.1 dnl-ru4.kaspersky-labs.com
127.0.0.1 dnl-ru5.kaspersky-labs.com
127.0.0.1 dnl-ru6.kaspersky-labs.com
127.0.0.1 dnl-ru7.kaspersky-labs.com
127.0.0.1 dnl-ru8.kaspersky-labs.com
127.0.0.1 dnl-ru9.kaspersky-labs.com
127.0.0.1 dnl-ru10.kaspersky-labs.com
127.0.0.1 dnl-ru11.kaspersky-labs.com
127.0.0.1 dnl-ru12.kaspersky-labs.com
127.0.0.1 dnl-ru13.kaspersky-labs.com
127.0.0.1 dnl-ru14.kaspersky-labs.com
127.0.0.1 dnl-ru15.kaspersky-labs.com
127.0.0.1 dnl-jp1.kaspersky-labs.com
127.0.0.1 dnl-jp2.kaspersky-labs.com
127.0.0.1 dnl-jp3.kaspersky-labs.com
127.0.0.1 dnl-jp4.kaspersky-labs.com
127.0.0.1 dnl-jp5.kaspersky-labs.com
127.0.0.1 dnl-jp6.kaspersky-labs.com
127.0.0.1 dnl-jp7.kaspersky-labs.com
127.0.0.1 dnl-jp8.kaspersky-labs.com
127.0.0.1 dnl-jp9.kaspersky-labs.com
127.0.0.1 dnl-jp10.kaspersky-labs.com
127.0.0.1 dnl-jp11.kaspersky-labs.com
127.0.0.1 dnl-jp12.kaspersky-labs.com
127.0.0.1 dnl-jp13.kaspersky-labs.com
127.0.0.1 dnl-jp14.kaspersky-labs.com
127.0.0.1 dnl-jp15.kaspersky-labs.com
127.0.0.1 dnl-kr1.kaspersky-labs.com
127.0.0.1 dnl-kr2.kaspersky-labs.com
127.0.0.1 dnl-kr3.kaspersky-labs.com
127.0.0.1 dnl-kr4.kaspersky-labs.com
127.0.0.1 dnl-kr5.kaspersky-labs.com
127.0.0.1 dnl-kr6.kaspersky-labs.com
127.0.0.1 dnl-kr7.kaspersky-labs.com
127.0.0.1 dnl-kr8.kaspersky-labs.com
127.0.0.1 dnl-kr9.kaspersky-labs.com
127.0.0.1 dnl-kr10.kaspersky-labs.com
127.0.0.1 dnl-kr11.kaspersky-labs.com
127.0.0.1 dnl-kr12.kaspersky-labs.com
127.0.0.1 dnl-kr13.kaspersky-labs.com
127.0.0.1 dnl-kr14.kaspersky-labs.com
127.0.0.1 dnl-kr15.kaspersky-labs.com

Il worm, come detto ad inizio articolo, era prevedibile arrivasse in un lasso di tempo relativamente breve. Chiaramente un PC infetto da KernelBot è totalmente in mano agli attacker, che possono installare nel PC qualunque malware vogliano e possono, in aggiunta, comandare il PC per farlo partecipare ad attacchi DDoS atti a saturare e a bloccare specifici siti web.

Come era stato già caldamente consigliato precedentemente, se non si è aggiornato ancora Windows è necessario installare immediatamente le patch. È consigliabile, inoltre, per chi ne ha la possibilità, bloccare l’accesso al dominio ushealthmart.com.

Prevx 2.0 e Prevx CSI sono in grado di individuare e rimuovere l’infezione.

-------------

Post correlati:

  1. MS08-067: Gimmiv.A all’arrembaggio!
  2. MS08-067: Ma il DEP non dovrebbe…?

Posted in Sicurezza

You can follow any responses to this entry through the RSS 2.0 Feed. You can leave a response , or trackback from your own site.

Advertisement

5 comments

Add your comment
  1. Ste_95 says:
    4 November 2008 at 18:35

    Ciao, complimenti!

    Dove posso trovarne il sample?
    E come viene rilevato dagli antivirus?

  2. GmG says:
    4 November 2008 at 23:54

    http://www.virustotal.com/it/analisis/e6d3b224884d322476dd8dc58dc8d101

  3. Ste_95 says:
    5 November 2008 at 15:32

    Sono registrato nel forum, puoi cortesemente spedirmi il sample in privato?

    Grazie.

  4. Ste_95 says:
    6 November 2008 at 17:34

    Ho trovato, grazie.

Leave a Reply