Tracking Down Bifrose Infection Attempt (part 1) - Joachim De Zutter
Wanneer bifrose de PC heeft besmet zal hij om de zoveel seconden proberen een verbinding te maken met een TCP poort bvb. default 81 (hosts2-ns) van een ip adres van de aanvaller (bvb. 188.48.151.248, 14/10/2009) via code injectie in IEXPLORE.EXE of andere internetprogramma's. Afsluiten van bvb. het IEXPLORE.EXE proces zorgt er automatisch voor dat SERVER.EXE in de task manager verschijnt en het proces automatisch terug opstart. (de onverklaarbare connecties zelf en het persistente karakter van het proces zijn verdachte activiteit door SERVER.EXE in TCP View, want normaal gezien wanneer IEXPLORE.EXE wordt afgesloten zouden alle instanties moeten afgesloten (kunnen) worden)

http://www.utrace.de/ip-adresse/188.48.151.248
Provider: SaudiNet, Saudi Telecom Company
Region: Jiddah (Saudi Arabia)


Starten we nu Process Monitor met de filter op "process name is SERVER.EXE" of "process name is IEXPLORE.EXE" dan bekomen we:

0:48:10,8265685 iexplore.exe 3308 TCP Reconnect gebruiker-PC.mshome.net:50736 -> 188.48.151.248:hosts2-ns SUCCESS Length: 0, seqnum: 0, connid: 0
0:48:20,4774574 iexplore.exe 3308 WriteFile %HOMEDRIVE%%HOMEPATH%\AppData\Roaming\Bifrost\logg.dat SUCCESS Offset: 15.050, Length: 41
0:48:20,4774822 iexplore.exe 3308 QueryStandardInformationFile %HOMEDRIVE%%HOMEPATH%\AppData\Roaming\Bifrost\logg.dat SUCCESS AllocationSize: 16.384, EndOfFile: 15.091, NumberOfLinks: 1, DeletePending: False, Directory: False

logg.dat is een "keylogger" bestand dat stiekem de toetsaanslagen van de gebruiker registreert, we hebben nu ook de naam gevonden door de karakteristieken van deze trojan horse, die we via google kunnen opzoeken.

We vinden nu ook de locatie van ons verdachte SERVER.EXE process:

0:48:34,9002612 server.exe 6432 Process Start SUCCESS Parent PID: 7924
0:48:34,9002632 server.exe 6432 Thread Create SUCCESS Thread ID: 7968
0:48:34,9459885 server.exe 6432 Load Image %HOMEDRIVE%%HOMEPATH%\AppData\Roaming\Bifrost\server.exe SUCCESS Image Base: 0x400000, Image Size: 0xf000

In dit geval is de locatie van SERVER.EXE %HOMEDRIVE%%HOMEPATH% \AppData\Roaming\Bifrost\, dit kan ook C:\Windows\System32\ of C:\Program Files\Bifrost\ zijn, afhankelijk van waar het zichzelf heeft geinstalleerd.

Het SERVER.EXE proces gebruikt code injectietechnieken om via MSN messenger, Internet Explorer, Firefox e.d.m. op het internet te kunnen komen. De acties die hierboven door het IEXPLORE.EXE proces worden uitgevoerd betreffen code die geinjecteerd zijn in het programma in het geheugen, met internet explorer is op zich niks mis.

Veel antivirusprogramma's (bijvoorbeeld AVG, http://free.avg.com/) waren ten tijde van dit schrijven niet in staat om deze Trojan Horse/RAT te herkennen. Prevx (http://www.prevx.com/) kan de bestandslocatie wel vinden maar niet verwijderen.

Manueel uitschakelen (Windows Vista) is nogthans eenvoudig:

-> Herstart de computer
-> Bij het opstarten van Windows duw op F8 zodat het menu wordt getoond
-> Kies voor veilige modus met opdrachtprompt zonder netwerkmogelijkheden
-> Vervang hieronder %HOMEDRIVE% en %HOMEPATH%:

CD %HOMEDRIVE%%HOMEPATH%\AppData\Roaming\

Of

CD C:\Windows\System32\

(afhankelijk van de juiste locatie gevonden met bvb. Prevx)
En dan:

REN Bifrost Bitoast

(nu zou het probleem opgelost moeten zijn)

-> Verwijder eventueel ook de startup key voor SERVER.EXE onder

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

En verwijder ook:

HKCU\Software\Bifrost

(met daaronder bvb. de keys klg, nck)

Wikipedia: Bifrost (trojan horse)