Реверсим Вебмоней троян в месте

Инструменты
Виртуальная машина (строго обязательно если не хотите стать частью ботнета)
Sysinternals Process Explorer
Sysinternals Autoruns
OLLYDEBUGER
PETools
Resource Hacker
FSG v2.0 static unpacker by Slip[tPORt]
ребилдер ресурсов либо прокаченые прямые руки...
хэкс редактор и снифер интр0нета но пример разный...(не понадобиться)

  Файлы для опытов (только в ознакомительных целях) 300 кб (пароль: virus)

Навыки и спецспособности
Умение использовать вышеперечисленный софт
Знание мест автозагрузки
Понимание психологии юзера и троянописателя
Опыт отлалдки малвары
Умение ксорить дворды в уме и кампелировать со скоростью 512бит в секунду (не понадобиться)

Бредистория
Давным давно в очень далекой галактике на форуме Злой.Орк была тема по продаже "унекального вебмоней трояна" плавно перешедшая в блек...

GO GO GO!

открываем вормани.экзе в пеид и видим PE Win32 DLL (0 EntryPoint) уже говорит о том что это джойнер :\ смотрим названия секций и видим coban2k! аж с восклицательным знаком.... о бедный Леха я знал его... хотя был ли это он и был ли это я хз. ладно продолжим, откроем в дизассемблере и глянем ипорт... импорт пуст! если посли этого до кого-то не дошло что файл склеен то пусть он сделает в отношении сибя выводы сам... (а ведь такие были которые запустили билдер на основной машине... да что там говорить даже "гаранты" проверявшие софт и то не сразу поняли что файл склеен)
с билд.exe таже самая история...



итак расклеем эти файлы в динамике...
для этого откроем Sysinternals Process Explorer и запустим файл. видим что во временной папке создалось 3 файла.



ну а также в в ShellServiceObjectDelayLoad появилось "нечто новое"... особо гадать незачем это шелл... сталобыть вы вскоре станете частью ботнета!

но темнемнение у нас не попыталесь спереть немного этих вмз... это радует. (хотя незнаю как у этих жирных крысс а у нас их всеравно нет.) но на сайт по идее отстучались судя по taker.opt в котором содержаться следующие строки z727446964578 % 0           !  
  
  
    hpscool.elemelot.com          kfaf      sdfasfg   sdf.php

теперь исследуем файл vm.exe PEID сказало FSG 2.0 -> bart/xt... заюзаем статиканпакер by Slip[tPORt] либо распакуем в ручную...
и почитаем манифест в слух %)... (манифест хэкера :))

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0"><assemblyIdentity    version="0.0.0.1"    processorArchitecture="X86"    name="Edit.exe"    type="win32"/><description>Editor For Taker [WMtroj]</description><dependency>    <dependentAssembly>        <assemblyIdentity            type="win32"            name="Microsoft.Windows.Common-Controls"            version="6.0.0.0"            processorArchitecture="X86"            publicKeyToken="6595b64144ccf1df"            language="*"        />    </dependentAssembly></dependency></assembly>

что мы тут заметели спросите вы? а вот что Editor For Taker [WMtroj] и name="Edit.exe
а теперь откроем ресурсы диалога...и что мы там видем? Персональная версия,для Laki... здаецо мне этот Тейкер жалкое кедало и трейдер чужих сплоентов! вопервых троян тупо называецо не VorMany а WMtroj во вторых тейкер просто поменял корпорайты и ресурсы Фу! жалкое кедало!

ладно распакуем ка мы билд.exe... тем же способом хотя можно и недать запустицо файлам имхо но это не входит в наши интересы нам ведь интересно как там все работает...
опять таже история в темпе у нас сейчас bild.exe result.exe taker.opt в процессах bild.exe result.exe + svchost.exe в автозагрузке winlogon\shell\ появился taker.exe вероятно это и есть опция "намертво заразить кампег"


чтож припарируем этот файл если глянуть в hiew то можно увидить кошелек сразу под заголовком PE...
поищим строчки...

00000212 | 727446964578
00005045 | Передать
0000505A | Невозможно выполнить операцию
00005078 | Передать
00005084 | Передать
0000508D | Ошибка при задании параметров операции
000050B4 | Передача
000050BF |  клиенту
000050D4 | Передача
000050E7 | Подтвердите передачу запроса
00005104 | Название
0000A3FD | Закрыть
0000A529 | Диспетчер задач
0000BF22 | 727446964578

0000004F | This program cannot be run in DOS mode.
00000211 | z727446964578
0000023E | hpscool.elemelot.com
00000266 | sdfasfg
00000270 | sdf.php
0000043C | =\575S=/
0000049E | uwusqoM
00000514 | f=jhntb
00000521 | trpNLJHFDB@
угу ясно этот файл тоже отстукивает на сайт hpscool.elemelot.com и также пытаеться отослать бабки на z727446964578 в вебмани клиенте... (кстате неуверен что этот способ прокатит в 3 клиенте да даже в 2.9 наврятли хотя хз дайте нам вебмани и мы потестим :))))
вот дамп что он пытаеться сделать думаю ясно...
00405000  ,.......TYPE I......PORT ...RETR ...PASS ...USER ...WebMoney Kee
00405040  per.Передать WebMoney....Невозможно выполнить операцию.Передать
00405080  WM.Передать.Ошибка при задании параметров операции.Передача WM к
004050C0  лиенту WebMoney.Да.Передача WM.Сумма:.Подтвердите передачу запро
00405100  са.Название:....4P@.DP@.YP@.wP@.ѓP@.ЊP@.іP@.РP@.УP@.ЯP@.жP@.Q@.
00405140  WebMoney Keeper.Send WebMoney....Transaction impossible.Send Web
00405180  Money.Send.Error, while defining parameters for procedure.WM tra
004051C0  nsfer to WebMoney client.Yes.WM transfer.Amount:.Confirm request
00405200   transfer.Name:.....@Q@.PQ@.aQ@.xQ@.†Q@.‹Q@.єQ@.ЩQ@.ЭQ@.йQ@.сQ@.
00405240  .R@.taker.opt

а вот довольно веселое место в трое ;) детект софтайса через IsDebuggerPresent...и прятки от диспечера задач %) (аффтор явно нооркоман какой-то но пример разный)(наверное у него давольно извращенное понятие о крякерах... ибо софтайс это всесокрушающая дубина которая обычно не применяеться для реверсенга такого г. :))
0040A3C0                                         .Edit....Z...Close...Закр
0040A400  ыть.taker.exe...IsDebuggerPresent...kernel32.dll....\\.\NTICE...
0040A440  \\.\SICE....\....exe....*.*..text...Unhadled exception at adress
0040A480   0x00401074: 0xC0000005 Access Violation....Error...taker.exe ..
0040A4C0  Shell...FzsabtgpIX|vgzfzsaIB|{qzbf5[AIV`ggp{aCpgf|z{IB|{Yzrz{...
0040A500  SysListView32...Windows Task Manager....Диспетчер задач Windows.
0040A540   ....bat....:l ..del  %1..if  exist %1 goto l..del  %0......
0040AA40  ................................................xЄ@.....z7274469
0040AA80  64578.%.0........... ...........
....hpscool.elemelot.com.......
0040AAC0  ...kfaf......sdfasfg...sdf.php

кстати я тут вспомнил одну фишку которая катит еще со времен LD Team :) если открыть в конфигураторе троя сервер то можно прочитать настройки что мы успешно и совершили...

теперь немного о том как это все работает... к сожалению потестить подробнее не могу ибо интр0нет кончелся еще вчера а тоб мне было влом писать это все :))
result.exe открывает доверительный процесс svchost.exe и создает 2 файла, wldap.dll и wldap32.exe.
пытаеться обойти Касперский Интернет Секюрити. 
wldap.dll  после перезапуска кампега вызывает svchost.exe и тупо ждет команд...
дамп
13146500                                      \...wldap32.exe.\...wldap.dl
13146540  l...tDllFunc....ghjhj...DLL.svchost.exe.DLL.\...wldap.dll...\...
13146580  wldap32.exe.wldap32.exe.WLDAP32.EXE.%d:%d:%d ...out.out. --- ...
131465C0  ....роактивная защита : Внимание....%d:%d:%d ...внимание....вним
13146600  ание.... --- .......роактивная защита : Информация..%d:%d:%d ...
13146640  информация..информация.. --- .......Kaspersky Internet Sec..%d:%
13146680  d:%d ...kis.kis. ---

оба файла пытаються замаскироваться под системные с помощью нехитрого приема с ресурсами (добавлением производителя и версии файла но отсутствие цифровой подписи микрософт палит их с головой) вобщем то зачетный трюк хоть и баян...  но другие троянописатили не всегда об этом вспоминают чем и паляться.... но тут вобщемто мелкий но прокол, дата создания файлов остаеться настоящей а не меняеться на системную! видать для аффтора это было слишком сложно...

1 VERSIONINFO
FILEVERSION 2,5,0,0
PRODUCTVERSION 2,5,0,0
FILEOS 0x4
FILETYPE 0x1
{
BLOCK "StringFileInfo"
{
    BLOCK "040904b0"
    {
        VALUE "CompanyName", "Microsoft Corporation"
        VALUE "FileDescription", "OLE Label Utility (Export version)"
        VALUE "FileVersion", "2.5.0.0"
        VALUE "InternalName", "wldap32"
        VALUE "LegalCopyright", "© Microsoft Corporation. All rights reserved."
        VALUE "OriginalFilename", "wldap32.exe"
        VALUE "ProductName", "Microsoft® Windows® Operating System"
        VALUE "ProductVersion", "2.5.0.0"
    }
}

BLOCK "VarFileInfo"
{
    VALUE "Translation", 0x0409 0x04B0
}


1 VERSIONINFO
FILEVERSION 2,5,0,0
PRODUCTVERSION 2,5,0,0
FILEOS 0x40004
FILETYPE 0x2
{
BLOCK "StringFileInfo"
{
    BLOCK "040904b0"
    {
        VALUE "Comments", ""
        VALUE "CompanyName", "Microsoft Corporation"
        VALUE "FileDescription", "OLE Label Utility (Export version)"
        VALUE "FileVersion", "2, 5, 0, 0"
        VALUE "InternalName", "wldap"
        VALUE "LegalCopyright", "© Microsoft Corporation. All rights reserved."
        VALUE "LegalTrademarks", ""
        VALUE "OriginalFilename", "wldap.dll"
        VALUE "PrivateBuild", ""
        VALUE "ProductName", "Microsoft® Windows® Operating System"
        VALUE "ProductVersion", "2, 5, 0, 0"
        VALUE "SpecialBuild", ""
    }
}

BLOCK "VarFileInfo"
{
    VALUE "Translation", 0x0409 0x04B0
}
}
так же файл wldap.dll помещаеться в автозагрузку в ShellServiceObjectDelayLoad с именем new :\ такое ощущение что автор скопипастил чейто сырец без понимания сути... хотя вобщем и целом идея с шелом получает оценку отлично! хотя реализация на 4... в отличее от самого вебмоней трояна реализация которого 3-...

Итоги: сам троян весьма старый... билдер не функционален до конца (хотя возможно есть полнофункциональный билдер) деньги должны отсылаться на z727446964578 (кто нибуть из тех у кого есть персанальный аттестат напишите притензию в арбитраж пусть залочат кидалу на жидовмз) остальные поля и опции для дикорации... что означает 0% я ниасилел наверное фсе бабки на кошельке или вообще ничего %) тестить неначем :)
шел единственное что представляет интерес тут... сайт на который он стучиться будет исследован от... и до...
Кстате файлы result.exe resultbilder.exe (файл result.exe из билдера троя) и wldap32.exe паляться касперчегом как:
Type_Win32 (модификация) result.exe
Trojan-Spy.Win32.Spykis.a resultbilder.exe
Trojan-Spy.Win32.Spykis.a wldap32.exe
остальные пока не паляться (сталобыть я первыйнах который исследовал этого троя) :( глупый антивирь... порой удивляюсь криворукости програмистов кода антивирусов которые пишут еще хуже чем некоторые троянмейкеры...

Заключение: эта стотья написана для того чтобы показать жалкую сущность кедал на вмз, и попутно на раскрытие темы реверсенга малвар (мановар) хэк! а также и по тому что у мну кончался трафег и я решил ноконец то зоняцо делом но пример разным.... я запрещаю использование трояна описаного в стотье для протроянивания других людей!
Данная ст0тья написана спецально для проектов BioCyborG  и Hell Knights Crew размещение на других сайтах возможно только с согласия аффтора данной стотьи которого можно найти на IRC.

сервер: irc.street-creed.com
порт: 6667
канал: tport

the Power Of Reversing team открывает новую отрасль дейтельности реверсенг вредоносного и прочего самоходного програмного обеспечения. если у вас есть реквест обращайтесь в IRC или на почту tport[с0бако]list.ru только ненадо нам тупо слать пинчи и червяков сначало узнайте есть ли у нас свободное время на них %)
Red Bar0n[tPORt]