Win32/KanKan - čínský malware plný překvapení

A co že je na něm tak zvláštního? KanKan se registruje jako plugin pro Office, ale nemá žádnou Office funkcionalitu. V tichosti instaluje aplikace do telefonů s Androidem, připojených k počítači pomocí USB. A konečně - je podepsán v Číně velmi populární společností Xunlei Networking Technologies. Ta stojí za vznikem nejpopulárnějšího torrentového klienta na světě.

Vše začalo již před rokem, kdy se na několika čínských fórech objevily stížnosti na podezřelý program podepsaný společností Xunlei Networking Technologies. Vše skončilo několika palcovými titulky na čínských zpravodajských webech. Zmíněná společnost totiž není pro místní nikým neznámým - jejich program Xunlei, který umožňuje zvýšení rychlosti stahování torrentů, je extrémně populární. Je velmi propracovaný - byl pro něj vytvořen vlastní vyhledávací engine, multiprotokolní torrent klient, vlastní peer-to-peer protokol a mnoho dalšího. Funguje zjednodušeně tak, že si u každého souboru pamatuje lokaci, kde je uložen, a když pak o něj nějaký klient zažádá, je mu „předhozeno“ to nejlepší úložiště (rozumějte s nejrychlejším downloadem). Více o tom, jak to funguje najdete třeba na webu polytechnické univerzity v New Yorku. Podle TorrentFreaku ho využívalo v roce 2009 nejvíce uživatelů na světě (s více než 100 miliony peer IDs), druhý byl uTorrent (s 92 miliony). A to i přesto (či právě proto), že je oficiální verze programu pouze v čínštině.

Teď již něco k samotnému programu. K uživatelům je doručen jako instalátor pro Windows, který je propojený s instalačním skriptem (pomocí NSIS). Po spuštění informuje server kkyouxi.stat.kankan.com o započetí instalace. O tomto serveru bude ještě mnohokrát řeč. Program dále uloží mimojiné 3 soubory do systému - INPEn.dll, INPEnhUD.exe a INPEnhSvc.exe. První jmenovaný je načten do paměti a je zavolána jedna z jeho funkcí. Znovu je kontaktován server, aby program informoval o svém stavu.

INPEn.dll dále vytváří svojí kopii vypadající jako plugin pro Word, Excel a PowerPoint - InputEnhance. Nastaví se tak, že kdykoliv je později spuštěn jeden ze tří Microsoftích programů, je tento „plugin“ nahrán do paměti a jsou vykonány některé další kroky:

• Spustí soubor conf.kklm.n0808.com/tools.ini. Na jeho výpis se můžete podívat na obrázku:





• Kontroluje, zda neběží jeden z následujících programů - pokud ano, je „pluginem“ okamžitě ukončen:
  taskmgr.exe|procexp.exe|procmon.exe|devenv.exe|windbg.exe|filemon.exe| ollyice.exe|ollydbg.exe|processspy.exe|spyxx.exe|cv.exe|wireshark.exe
• Zkouší se připojit na Internet (ke známým serverům jako třeba baidu.com), pokud se mu nedaří, prostě ve smyčce zkouší dál.
• Pokud úspěšně projde předchozími body, spustí „plugin“ svého kolegu - soubor INPEnhUD.exe

INPEnhUD.exe by mohl být trefně nazván jako updater. Stáhne soubor update.kklm.n0808.com/officeaddinupdate.xml, jehož obsah si můžete prohlédnout na obrázku:

Jak vidíte, jedná se o XML soubor obsahující URL s příslušnými MD5 součty. Updater tedy stáhne příslušné soubory, zkontroluje jejich hashe a při úspěchu je spustí. Updater pak dále spustí soubor INPEnhSvc.exe.

INPEnhSvc.exe, který analytici z ESETu pracovně nazvali jako „service“ je jádrem celého programu. Tvůrcům programu možňuje zadávat příkazy, jež se dělí na 2 typy:

• lokální - scanreg, scandesktop, scanfavorites
• externí - installpcapp, installphoneapp, setdesktopshortcut, addfavorites, setiestartpage

Jak už z názvu příkazů vyplývá - lokální příkazy umí třeba skenovat registry a výsledky odesílat StatServeru. Když část „service“ obdrží externí příkaz, komunikuje poté s „pluginy“, jejichž úkolem je činnost vykonat. Celá komunikace je přehledně znázorněná na následujícím obrázku, podrobnější popis naleznou zájemci ve zdroji aktuality.

Jedním z posledních příkazů části nazvané „service“ je příkaz „installphoneapp“. Po připojení mobilního zařízení je nejdříve stažen tzv. Android Debug Bridge. Naštěstí pro většinu uživatelů - (velmi pravděpodobně) škodlivé aplikace, které se snaží software pomocí již známých „pluginů“ nainstalovat, se setkají s úspěchem jen tehdy, pokud má uživatel mobilního zařízení povolenou funkci USB debugging. To mají většinou jen vývojáři. Aby vše nebylo tak světlé - pokud se již podaří aplikace nainstalovat, uživatel si toho jistě nevšimne. Touto metodou totiž vše probíhá na pozadí, uživatel není vyzván k potvrzení toho, s čím aplikace bude pracovat. A o jaké aplikace vlastně jde?

Všechny mají společné rysy - napadeným uživatelům vždy nabízejí i slíbenou funkcionalitu - jsou prostě i k něčemu dobré. 3 z nich se našly na Google Play. Analytikům z ESETu se však zatím nepodařilo prokázat jejich škodlivé vedlejší funkce - kód aplikací je totiž silně obfuskovaný. V době psaní této aktuality je stále jedna z aplikací dostupná. Uživatelům údajně umožňuje zvýhodněné telefonní volání. Je ESETem detekována jako varianta Android/SMSreg.BT a je prý potenciálně nebezpečná (má určité podezřelé funkce, distribuje adware atp.)

A jak se k celé věci staví Xunlei Networking Technologies? Nejen, že byly soubory podepsány jejich jménem, ale i doména kankan.com, kterou využíval StatServer koresponduje se serverem jedné ze služeb společnosti. Po mnoha dalších intervencích od veřejnosti se tedy rozhodla firma zahájit vyšetřování, na jehož konci údajně vyhodila několik zaměstnanců, kteří za celou kauzou stáli. Také se veřejně omluvili.