Der SeeQ Systems Bot wird einigen von einem Crack der Beta bekannt vorkommen. Allerdings wurde daran gearbeitet und so habe ich beschlossen mir eine Binary der aktuellen Version zu holen.
Als ich W!cked a.k.a. Chrystal um eine Binary zum Analysieren bat, gab er sie mir mit einer korrekten Selbstverständlichkeit. Er fragte mich sogar ob es ok ist wenn sie “gecryptet” ist. Das ist schon mal für ein Punkt für den Coder, auf sozialer Ebene.
Nach einem Start wird dann ein 2. gleichnamiger Prozess erstellt, welcher sicher vom Crypter kommt. Ein paar Momente später sieht man schon den laufenden Bot als wscntfy.exe im Taskmanager. Eine UAC-Meldung oder ähnliches gab es übrigens nicht. Nur eine Frage der Firewall. OK, das heißt die Installation geht. Ist nicht so häufig bei .Net Bots ^^. Bei einem Versuch sich mit dem Debugger in den Prozess zu hängen kommt korrekter Weise die Meldung, dass es keine Win32-Anwendung ist.
Wenn man nun den Dateipfad öffnet gelangt man nach “C:\Users\user\AppData\Local”, doch es ist keine wscntfy.exe zu sehen. Da kein Rootkit in der Funktions-Liste aufgelistet ist, schalte ich einfach mal die Anzeige für unsichtbare Dateien ein und hier haben wir eine 37kb große wscntfy.exe.
Wenn man sie in ILSpy öffnet, dann sieht man dass es sich wohl um eine obfuscated Datei handelt. Brav.
Netter Weise hat mir W!cked auch gesagt, dass er sie zusätzlich mit einem .Net-Crypter gecryptet hat, was mir vieles erleichtert bzw. Zeit erspart.
Auch hat man einen Prozess namens lsmass.exe. Die dazugehörige Datei befindet sich in “C:\Users\user\AppData\Roaming”, welche ebenfalls obfuscated ist. Also auf im Deobfuscater und wundern warum man mit gedrückter STRG-Taste nichts anklicken kann. Nach erfolgreichem Klicken erhalte ich aber doch noch die lesbare Source.
Die schaut der Vorherigen doch sehr ähnlich. Daher wird es wohl eine Kopie sein. Nach wirklich professionellen Probieren, stellt sich heraus, dass diese von der wscntfy.exe gedroppt wird.
Naja es wird Zeit die Registry zu beobachten. Also dann schmeißen wir mal den ProcessMonitor an. Als erstes wird der Wer 1 in “HKCU\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9A02ED82-AD8F-6118-DEAE-C26FB04E2EE1}\IsInstalled” gesetzt. Das aktiviert das ActiveX Startup.
Gleich danach wird der Wert “C:\Users\user\AppData\Local\wscntfy.exe -r ” in “HKCU\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9A02ED82-AD8F-6118-DEAE-C26FB04E2EE1}\StubPath ” gesetzt.
Und zu guter Letzt wird der Wert “C:\Users\user\AppData\Local\wscntfy.exe” in ” HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Windows-Audio Driver” gesetzt. Wir haben also einen Audio-Treiber von Windows als Trojaner am PC . Außerdem wird versucht auf “HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run” zuzugreifen, was allerdings aus fehlender Existenz des Pfades fehlschlägt. Hier wird wahrscheinlich der 3. Autostart-Key liegen.
Das heißt um den Bot zu entfernen muss man die “C:\Users\user\AppData\Local\wscntfy.exe” und die “C:\Users\user\AppData\Roaming\lsmass.exe” entfernen. Außerdem sollte man die Registry-Keys “HKCU\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9A02ED82-AD8F-6118-DEAE-C26FB04E2EE1}\StubPath”, ” HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Windows-Audio Driver” und ggf. “HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run” und “HKCU\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9A02ED82-AD8F-6118-DEAE-C26FB04E2EE1}\IsInstalled” entfernen.
Verbinden tut er wie alle .Net Bots der deutschen “Scene” in einem bestimmten Intervall zu einem Webpanel. Traffic wird auch verschlüsselt. Da gibt’s also nichts Aufregendes zu sagen. Webpanel schaut übrigens so aus:
http://blog.yakuza112.org/wp-content/uploads/panel.png
Das war’s erstmals. Ich hoffe die Analyse hat gefallen .
PS: Manche stört es vielleicht, dass ich den Coder wegen allen Kleinigkeiten lobe, die eigentlich selbstverständlich sind, doch ihr solltet wissen, dass ich von .Net-Malware-Codern recht wenig halte. Die Meisten kenne ich nämlich als arrogant, dumm und wirklich unwissend.