Dropper & Payload : Explications

Dans cette partie vous trouverez des papiers, articles sur l'informatique/sécurité.
Malekal_morte
Messages : 116486
Inscription : 10 sept. 2005 13:57

Dropper & Payload : Explications

par Malekal_morte »

Suite à la question posée sur cette page Que sont les droppers?... Voici un nouvel article qui tente d'expliquer ce que sont les droppers.

Dropper & Payload

Le dropper est le programme chargé d'installer l'infection sur le système (payload).
La partie malicieuce est contenue dans le dropper, à l'exécution du dropper ce dernier "libère" le malware sur le système.

Le payload est la partie active de l'infection sur le système qui effectue les opérations pour lesquelles l'infection a été conçue. Par exemple : envoyer de mails de spammer, attaquer des sites WEB (DoS), donner le contrôle de l'ordinateur aux pirates etc.

Par analogie et pour faire simple, il faut voir le dropper comme le programme d'installation du malware et le payload comme le programme proprement dit.

Les deux parties de l'infection utilisent en général des familles de malwares/virus différents par exemple, le dropper est en général sous forme de Trojan, Trojan-Downloader (pour télécharger le payload).
Le dropper est en général un fichier .exe d'une taille de 30k à 160k. Un nom générique lui est alors donné Trojan-Downloader.Small (Small pour petite taille) ou Trojan-Downloader.Tiny (Tiny encore plus petite taille).
Mais il peut atteindre le méga octet, selon le type de packers (Themida par exemple) souvent le cas des Rbots/Sdbot.

Le payload peut avoir divers fonctions et chargés de manière différentes sur le système : Backdoor, keylogger, Rootkits, paylod qui peut être sous forme de services, drivers, BHO sur le système etc.


Quelques explication et étude d'une infection

Un exemple simple sont les infections MSN.
Ces dernières se propagent via des fichiers zip envoyés aux contacts. A l'intérieur de ces fichiers zip nous avons en général des fichiers du type myspace-photo.scr, myalbum-photo.scr etc..
Ces fichiers sont des droppers, ils sont chargés lors de leur exécution d'installer l'infection sur le système qui sont en général de type Backdoor.IRC.
La machine est transformée en PC Zombis / botnets et est sous le contrôle du pirate.


Mais les choses sont parfois beaucoup plus compliquées avec des mélanges de Trojan-Downloader, Dropper etc.


Prenons l'exemple d'une infection Tibs/Vxgames qui est un peu plus compliqué.
Les noms des fichiers peut changer d'une semaine à l'autre puisque celle-ci est régulièrement mis à jour afin d'assurer une non détection par les antivirus.
Mais le mécanisme de fonctionnent et les composants installés (surtout rootkit) est assez similaire depuis des années : Rustock, Storm, Srizbi etc.

NOTE : je mettrai des copies de l'historique d'Online Armor, ces dernières se lisent de BAS vers le HAUT[/b]

Etape 1 - Exploit, iexplore.exe/updater3r.exe

Au départ, la visite d'un site WEB piégé nous redirige vers des exploits, l'exploit exécute deux fichiers iexplore.exe (icone ordinateur) et ie_updater3r.exe. On voit bien que les deux processus sont bien des processus enfants d'Internet Explorer (IEXPLORER.EXE acec l'icône bleu), c'est donc bien IEXPLORER.EXE qui a lancé l'exécution de ces deux malwares/virus via l'exploit.


L'IDS Online Armor nous apprends qu'iexplore.exe tente de démarrer winsock.exe
iexplore.exe a téléchargé le fichier winsock.exe (qui est une Backdoor.IRC connexion port 6667) :
Firewall: Automatic decision,21/03/2008 04:40:51,Allowed,"C:\Documents and Settings\Malekal_morte\Desktop\winsock.exe, Outgoing access allowed, Port: 6667"
iexplore.exe est donc un Trojan.Downloader et winsock.exe est une Backdoor.IRC qui fait partie du payload de cette infection.

Image

Image

Winsock.exe est bien un processus enfant d'iexplorer.exe avec l'icône ordinateur.

Image

Etape 2 - winlast.exe et bsklXXX.exe time
Par la suite, un processus winlast.exe fait son apparition. Ce dernier est installé en tant que service :
O23 - Service: Google Online Search Service - 2nd - Unknown owner - C:\WINDOWS\system32\winlast.exe

Ce dernier est aussi un Trojan-Downloader qui est chargé d'installer le payload de l'infection, quelques détection VirusTotal :
F-Prot 4.4.2.54 2008.03.20 W32/OnlineGames.W.gen!Eldorado
F-Secure 6.70.13260.0 2008.03.21 Suspicious:W32/Malware!Gemini
Ikarus T3.1.1.20 2008.03.22 Win32.SuspectCrc
Kaspersky 7.0.0.125 2008.03.22 Trojan-Downloader.Win32.Winlagons.aq
McAfee 5257 2008.03.21 -
Microsoft 1.3301 2008.03.22 TrojanDownloader:Win32/Tipikit.B
NOD32v2 2967 2008.03.21 a variant of Win32/TrojanDownloader.Tiny.NJ
Norman 5.80.02 2008.03.20 Suspicious_F.gen
winlast.exe commence son travail en téléchargeant d'autres malwares et en lançant leur exécution.
Des fichiers bsklXXX.exe commencent à poindre le bout du nez.
Image

Ces fichiers bsklXXX.exe sont des droppers qui installent des rootkits qui composent le payload de cette infection:

bskl387.exe droppe le rootkit Srizbi/Rookit.Agent.xx.
Autorun Detected,21/03/2008 04:41:54,Allowed,C:\WINDOWS\system32\drivers\grande48.sys
Program Guard,21/03/2008 04:41:44,Allowed,C:\WINDOWS\system32\bskl387.exe(2176) wants to start C:\WINDOWS\Temp\BN3.tmp(0)
Program Guard,21/03/2008 04:41:25,Allowed,C:\WINDOWS\system32\bskl452.exe
Firewall: User decision,21/03/2008 04:41:24,Allowed,"C:\WINDOWS\system32\bskl387.exe, Outgoing access allowed, Port: 80"
Image

au tour de bskl427.exe
Autorun Detected,21/03/2008 04:42:17,Allowed,C:\WINDOWS\System32\drivers\Sen76.sys
Program Guard,21/03/2008 04:41:58,Allowed,C:\WINDOWS\Temp\BN3.tmp
Program Guard,21/03/2008 04:41:55,Allowed,C:\WINDOWS\system32\bskl427.exe
Image

Un Rootkit Rustock via bskl230.exe
Autorun Detected,21/03/2008 04:42:41,Allowed,C:\WINDOWS\Help\oqtxde.chm
Program Guard,21/03/2008 04:42:35,Allowed,C:\WINDOWS\Temp\BN3.tmp(2948) wants to start C:\WINDOWS\system32\cmd.exe(0)
Program Guard,21/03/2008 04:42:30,Allowed,C:\WINDOWS\TEMP\_it.bat
Program Guard,21/03/2008 04:42:29,Allowed,C:\WINDOWS\system32\bskl230.exe
Image


bskl230.exe droppe de nouvelles BHO avec des noms aléatoires.
Program Guard,21/03/2008 04:43:08,Allowed,C:\WINDOWS\Temp\281779304.exe
New Browser Helper Object Detected,21/03/2008 04:43:07,Allowed,C:\WINDOWS\system32\Kf9467g.dll<br>C:\WINDOWS\system32\Kf9467g.dll
New Browser Helper Object Detected,21/03/2008 04:43:00,Allowed,C:\WINDOWS\system32\H4dj24g.dll<br>C:\WINDOWS\system32\H4dj24g.dll
Program Guard,21/03/2008 04:42:44,Allowed,C:\WINDOWS\system32\bskl230.exe(3680) wants to start C:\WINDOWS\system32\regsvr32.exe(0)
Image
Image

bskl406.exe créé un fichier C:\WINDOWS\Temp\winlogan.exe qui exécute des fichiers avec des chiffres aléatoires (C:\WINDOWS\Temp\818685228.exe)
Program Guard,21/03/2008 04:44:11,Allowed,C:\WINDOWS\Temp\winlogan.exe(2648) wants to start C:\WINDOWS\Temp\818685228.exe(0)
Program Guard,21/03/2008 04:43:45,Allowed,C:\WINDOWS\TEMP\_it.bat
Firewall: User decision,21/03/2008 04:43:44,Allowed,"C:\WINDOWS\Temp\winlogan.exe, Outgoing access allowed, Port: 53"
Program Guard,21/03/2008 04:43:41,Allowed,C:\WINDOWS\system32\bskl406.exe(2860) wants to start C:\WINDOWS\system32\cmd.exe(0)
Firewall: Automatic decision,21/03/2008 04:43:37,Allowed,"C:\WINDOWS\Explorer.EXE, Outgoing access allowed, Port: 80"
Autorun Detected,21/03/2008 04:43:37,Allowed,C:\WINDOWS\Temp\winlogan.exe
Program Guard,21/03/2008 04:43:36,Allowed,C:\WINDOWS\system32\bskl406.exe
et c'est reparti pour un tour winlogan.exe s'occupe de télécharger d'autres malwares/virus et ainsi de suite.
Le reste du mécanisme de l'infection ne sera pas détaillé car ça n'a aucun interêt en soi.

Je pense que vous avez compris qu'il y a bien une partie qui s'occupe d'installer l'infection proprement dite sur le système.
Vous noterez que tout commence avec un/des exploit(s) qui lancent deux trojans-downloader qui lancent à leurs tours d'autres trojan-downloader et ainsi de suite.
Il y a plusieurs arborescences et niveaux dans cette infection d'où sa complexité.

Encore quelques petits mots sur cette infection, pour que vous voyiez comment elle est horrible.
Cette infection installe en fait plusieurs infections différents : En autre, cette infection fait spammer la machine, soit via des serveurs SMTP mais plus récemment via hotmail et gmail, on voit plein de connexion vers ces sites.
Le formatage est conseillé si vous avez cette infection.

Pour ceux que cela intéresse : Les antivirus dans tout ça..

Pour en revenir à la page Un point sur les antivirus et plus particulièrement à ce paragraphe :
Si l'antivirus détecte le dropper, c'est gagné car le fichier sera bloqué avant que l'infection ne soit installée sur le système.
Si l'antivirus ne le détecte pas, c'est fini pour vous car :
  • l'infection est installée sur le système et en règle générale, l'antivirus ne parvient pas à supprimer l'infection (si déjà, il arrive à détecter la totalité de l'infection), votre seul réflexe dans ces cas là, est de scanner votre ordinateur avec toute une panoplie de logiciels afin de supprimer la/les infection(s), le résultat n'est souvent pas très satisfaisant.
  • à l'heure d'aujourd'hui, les infections installent quasi systématiquement des rootkits. Pour résumer, un rootkit est un programme qui est capable de se cacher dans le système de l'utilisateur (impossible de le voir dans le gestionnaire de tâches, sur le disque etc..), mais aussi des autres programmes, les antivirus y compris. Pour détecter ces rootkits, il faut un scanner rootkit et encore, il n'est pas dit que celui-ci détecte le rootkit, en effet plusieurs techniques de rootkits existent (quelques rootkits rootkit Pe386, Gromozon/LinkOptimizer, Trojan/DNS et le plus courant Magic.Control.
    Voir Le danger et fonctionnement des rootkits
Si on reprend l'infection précédente, le top du top reste de bloquer l'exploit avant que les deux trojan-downloader soit lancé et/ou bloquer les deux trojan-downloader initiales : iexplore.exe/updater3r.exe avant leur exécution. (AVG8 semble bon dans ce domaine : http://forum.malekal.com/avg8-grisoft-t9348.html)
Une fois ces derniers lancés et surtout les fichiers bsklXXX.exe, au vu du nombre de malwares présents... l'antivirus ne détecte qu'une partie, on est alors sûr qu'une partie de l'infection ne sera pas éradiquée par l'antivirus.
De plus, si le trojan-downloader n'est pas détecté mais le malware télécharge oui, on peut arriver à des alertes successives de l'antivirus sur le malware téléchargé puisque le trojan-downloader continuant a tenté d'installer le malware.
ex avec Vipre Antivirus : http://forum.malekal.com/vipre-antiviru ... t9142.html
ou Avast! VS Antivir : http://forum.malekal.com/avast-antivir- ... t3528.html


illustration avec la dernière grosse infection MSN est aussi un exemple, voir : viewtopic.php?f=57&t=8742
Si vous regardez les scans VirusTotal, les dropper (fichier photo en .com) ne sont jamais détectés par Avast!, donc les internautes ayant Avast! était vulnérables.
L'infection MSN téléchargeait un fichier addz.exe qui lui par contre était bien détecté par les antivirus (voir : http://secubox.aldria.com/topic-post3147.html).
Avast! le détectait sous le nom Win32:Small-JMH.

Dès lors l'internaute qui avait l'infection MSN active et Avast! recevait des popups d'alerte Win32:Small-JMH qui revenait incessamment puisque le payload lui n'était pas détecté.
66k cas sur Google : Résultats 1 - 10 sur un total d'environ 66 100

ex : https://www.surlatoile.org/discussion/1 ... 2Small-JMH
Bonjour à tous,
Je pense que j'ai récupéré ce virus sur MSN. Je n'arrive pas à m'en débarraser. Avast le détecte tous les jours dans plusieurs fichiers que je mets en quarantaine, mais ça recommence à chaque démarrage du PC.
ex : http://www.presence-pc.com/forum/ppc/Lo ... 4672-1.htm
Depuis hier j'ai Avast (à jour) qui me lance une fénêtre d'alerte concernant le cheval de Troie suivant: Win32:Small-JMH qu'il aurait soit disant bloqué. (suppression ou mise en quarantaine ne donne rien et cette alerte revient au redémarrage de l'ordi.)
etc..

Exemple de détection : TR/Dropper chez Antivir :

Image

ou

Win32:Dropper-Gen chez Avast! :
Image

D'où l'importance de détecter les droppers à l'origine de l'infection car une fois l'infection installée, en général, la majorité des antivirus sont dépassés.
Bien entendu les auteurs de malwares/virus font tout pour s'assurer que les antivirus ne détectent pas ces derniers. Par exemple, sorti de nouvelles variantes règulièrement, le WE quand les labos des AV sont fermés etc.
A ce jeu là, ils semblent que ces derniers ont une longueur d'avance.

Plus globalement en matière de sécurité, vous pouvez lire les pages :
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Revenir à « Papiers / Articles »