Изучаем зловреда NSIS.BitMin.d или Trojan.CoinMine и т.д.

На самом деле эта история началась спонтанно. Достаточно в большую сеть попал зловред который начал везде распихивать файл DOC001.exe , на который начал ругаться антивирь. Но как всегда бывает, антивирь был не везде, пользователи тыкают на все подряд и лечить в ручную стало проблематично.Собственно я решил исследовать что же делает этот паразит )))

Для начало нам нужен тестовый стенд, думаю вы не захотите запускать любую опасную программу на своем компе. Я просто сделал виртуальную машину (песочницу) на VirtualBox . Вы можете использовать любую виртуализацию или просто чистый компьютер. Еще удобно использовать контрольные точки виртуальной машины что бы откатить на чистую систему после экспериментов.

Идея моя простая. Я просто создал виртуальную машину на винде, отключил ей сеть и т.д. Что бы отслеживать что делает вирус я установил программу Process Monitor . Это конечно не reverse engineering но до этого мы тоже дорастем )))

Process Monitor — бесплатная утилита для 32-битных и 64-разрядных операционных систем Microsoft Windows, разработанная Sysinternals, и затем приобретённая Microsoft Corporation.

Отличная программа для мониторинга операционной системы, отслеживает изменения реестра, файловой системы, сетевую активность , процессы. Пишет логи, показывает дерево процессов , есть фильтры и поиск. Вообщем огонь ))))

Поееехалиии….

Запускаем и исследуем. Если вам хочется тоже покопаться — вы можете скачать данного индивида с нашего сайта, пароль от архива «1234» . Вся ответственность на вас, сайт не несет ответственности за порчу данных на ПК, утечку персональных данных и любой другой возможный ущерб )))

Открываем диспетчер задач, видим что клиент запустился и работает :

Дальше будет много фоток и всякой ерунды. Теперь переходим к Process Monitor и ищем начало запуска программы :

По началу вам наверное будет тяжело с этим разобраться , но освоившись с интерфейсом программы и полазив пару часов в логах все будет Ок )))

Дальше он там что то делает , туда сюда , реестр и танцы с бубном. Следующий интересный момент : он копирует себя в c:\Users\test\AppData\Roaming\Temps\DOC001.exe и запускает. На этом история запущенного файла заканчиваться и работает уже скопированный экземпляр. Собственно по дереву процессов видно что PID разный и хронологию событий.

Дальше он распаковывает c:\Users\test\AppData\Roaming\Temps\ сам майнер , а в Local/Temp — inetc.dll . Дальше он создает ярлык в автозагрузке пользователя explorer.lnk

Теперь пришла стадия , е***сь и плодись ))) Троян запускает cmd.exe с чертовски длинной командной строкой, там и циклы и условия. Я вообще не знал что так можно в терминале Винды. Краткий смысл : скопировать себя во все доступные сетевые шары, диски и т.д.

Вообщем без Инета живется зловреду очень скучно. Он так по кругу и сканирует сеть, пытается размножаться и даже не может запустить майнер.

Покопаемся немного еще . Если он достает майнер , библиотеке, значит он запакован или типа того. Берем хорошую программку CFF Explorer и смотрим что это вообще за исполняемый файл .

Тут мы видим какие dll использует файл , манифест , всякая служебная информация. Но самое главное понятно что это Nullsoft Scriptable Install System . По сути установочник под Винду с использование скриптов и т.д.

Nullsoft Scriptable Install System (NSIS) — система создания установочных программ для Microsoft Windows с открытым исходным кодом, разработанная компанией Nullsoft — автором плеера Winamp. NSIS и был задуман как альтернатива InstallShield .

С пакетом NSIS поставляются несколько плагинов, позволяющих добавлять новые страницы, заменять фоновые изображения, скачивать файлы из Интернета, выполнять математические вычисления, обновлять файлы и др.

Еще отлична программка Detect It Easy, юзаем ее тоже.

Можно его распаковать Universal Extractor , если вам хочется. На этом первая часть исследования закончена, во второй (которой еще нету) подкинем бедняге инет, БУДЕТ ВЕСЕЛО )))

P.S. К стати с сетью все хорошо ) Написали скриптик убивающий процесс, подчищает файлы и запустили его доменной политикой на компьютерах. Благо в этой сети инета нету )))

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.