Nel fine mattinata ho ricevuto un sample particolarmente interessante che molti software antivirus non riconoscono.

Il Trojan.Lexob è di mano italiana e presenta più componenti che caratterizzano l’infezione. La diffusione via e-mail utilizza la tecnica che più volte abbiamo visto durante la fine del 2006 e inizio di questo 2007.

Il file che arriva in allegato con l’e-mail è un file .asx, che si spaccia per un file video. Il sample che mi è stato inviato si chiama cnn_news.asx. Come visto più volte, una volta lanciato viene scritto all’utente di dover scaricare i codec aggiornati.

In realtà viene scaricato un file, denominato codecs_update.exe (ma esistono varianti che si camuffano per software antivirus, denominate AVP_Freeinstall.exe).

Una volta eseguito, il trojan comunica con il server centrale assegnando un ID alla macchina. Subito dopo il trojan si connette via FTP, utilizzando il client di Windows, ad un server da dove scarica tre componenti del trojan e due file leciti – vbsendmail.dll (un server smtp free) e mswinsck.ocx (componente di Visual Basic).

I tre componenti vengono scritti in:

C:WINDOWSwinmsgr.exe
C:WINDOWSRouter.exe
C:WINDOWSDispatcher.exe

e vengono create le seguenti chiavi di registro:

HKEY_LOCAL_MACHINESOFTWAREValentina

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun “Dispatcher”=”C:WINDOWSDispatcher.exe”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun “WinMsg”=”C:WINDOWSwinmsgr.exe”

Viene scaricato inoltre un file inutilizzato, ABox.bup, per verificare che il trasferimento FTP sia terminato. Infatti il downloader iniziale, codecs_update.exe, entra in loop fino a quando non trova il file in questione sotto la directory di Windows – che è l’ultimo dei file nell’elenco da scaricare. Trovato, il downloader esegue i tre file e cancella il file utilizzato da controllo.

WINMSGR.EXE, anch’esso scritto in Visual Basic come tutti i componenti dell’infezione, è un dialer particolare. Infatti non contiene al suo interno i tratti tipici di un dialer, ma ottiene il numero di telefono da chiamare da uno dei server utilizzati dal trojan. Una volta ottenuto tenta la connessione. Questa caratteristica permette al dialer di poter cambiare dinamicamente il numero di telefono – basta modificare da server – e di entrare in funzione quando c’è la certezza che sia attiva una connessione. Il dialer può anche scaricare una versione aggiornata di sé stesso, attraverso il file update.exe. Si nota una certa leggerezza nella scrittura di alcune parti di questa componente. Infatti la chiave di registro “Valentina” – sopra indicata – è fondamentale per la richiesta del numero telefonico al server ma, evidentemente, l’autore non ha ritenuto importante inserire una routine di gestione degli errori. Se viene cancellata la chiave il malware tenterà lo stesso una lettura del registro non trovando niente e, non avendo una gestione degli errori, ci si imbatterà in questo:


ROUTER.EXE
scansiona l’hard disk alla ricerca di indirizzi e-mail contenuti nei file .dbx, i database di Outlook Express. Cerca all’interno dei database gli indirizzi presenti nei campi From: To: e Cc: e li spedisce ad un server remoto, preimpostando il mittente e il ricevente di future e-mail. Presumibilmente quindi è il server remoto che si occupa di spedire le e-mail che arriveranno poi alle vittime. Conclusa la scansione dell’hard disk il processo viene terminato.

DISPATCHER.EXE è un file innocuo.

Il numero di telefono utilizzato è un 899 (8994747**), assegnato a Teleunit S.p.A. Il trojan è di mano italiana, lo si riconosce – oltre che dal numero – dal testo dell’e-mail – in lingua italiana che recita

Oggetto: Non male…
Testo: Cosa pensano di noi negli Stati Uniti…

Lo si riconosce anche dal nome del progetto – la form è infatti chiamata Progetto1; lo si riconosce da una frase scritta in italiano (come mostrato nell’immagine qua sotto)

ma soprattutto lo si riconosce dal presunto nome utilizzato per il progetto, Valentina. Si può ipotizzare, ma la cosa non è ovviamente certa, che l’autore possa essere una ragazza.

Come già detto, tutti i componenti sono scritti in Visual Basic e non sono compressi con nessun runtime packer.

Per chi ha possibilità di bloccare indirizzi IP, è consigliabile il blocco dei seguenti IP:

125.212.47.243
125.212.47.244
125.212.47.5

I server sono localizzati nelle Filippine. Il trojan è anche conosciuto come Trojan-Downloader.Win32.VB.ft