Monday, April 1, 2013

Suspicious icon file containing signs of shellcode decoder

Icon file containing suspicious CPU instructions

Quttera's Online Website Malware Scanner detected file that serves as favicon.ico and that contain sensible CPU instructions. Malicious Content Detection System(PDF file), developed by Quttera, is the core technology that is used by all its products and services. Its Heuristic layer identified sensible CPU instructions similar to known shell-code decoder. 

Website Malware Scanner report summary

Website malware scan report: http://goo.gl/ydYZg
Size of URL response content scanned: 20MBs

Quttera's Website Malware Scanner


Malicious favicon



Heuristic exploit detection engine report




  1. ; Scanning favicon.ico
  2. ; favicon.ico is suspicious.
  3. ; Detection offset: 0
  5. Investigation counters:
  7. REFERENCES_TO_PROCESS_INTERNALS 0
  8. REFERENCES_TO_PROCESS_IMPORTS   2
  9. REFERENCES_TO_PROCESS_EXPORTS   0
  10. CORRECTLY_PARSED_INSTRUCTIONS   100
  11. CORRECTLY_EXECUTED_INSTRUCTIONS 95
  12. UNRECOGNIZED_CALL_TARGETS       3
  13. UNDEFINED_DIRECT_CALLS  1
  14. UNRECOGNIZED_JUMP_TARGETS       0
  15. SYSTEM_CALLS_COUNT      0
  16. PROC_CALLS_INSIDE_INV_BUFFER    0
  17. JUMPS_INSIDE_INV_BUFFER 3
  18. JUMPS_TO_PROCESS_INTERNALS      0
  19. CALLS_TARGETED_IMPORTS_SECTION  3
  20. CALLS_TARGETED_EXPORTS_SECTION  0
  21. CORRECT_PROCEDURES_CALLS        0
  22. FAR_JUMPS_COUNT 0
  23. BUFFER_OUTSIDE_WRITES_COUNT     6
  24. BUFFER_INSIDE_WRITES_COUNT      0
  25. BUFFER_OUTSIDE_READS_COUNT      6
  26. BUFFER_INSIDE_READS_COUNT       0
  27. FULLY_INITIALIZED_INSTRUCTIONS  56
  28. CONSEQUENT_SINGLE_BYTE_INSTRUCTIONS     3
  29. PROVIDED_ABSOLUTE_MEMORY_ADDRESSES      0
  30. INDIRECT_BUFFER_REFERENCES      2
  31. READS_FROM_PROCESS_STACK_MEMORY 5
  32. WRITES_TO_PROCESS_STACK_MEMORY  2
  33. EXECUTED_ARITHMETIC_INSTRUCTIONS        6
  34. EXECUTES_BITS_OPERATING_INSTRUCTIONS    0
  35. EIP_RETRIEVAL_INSTRUCTIONS      0
  36. IMMEDIATE_OPERANDS_INSTRUCTIONS 0
  37. MEMORY_MODIFYING_MATH_INSTRUCTIONS      0
  38. MAX_WRITTEN_MEMORY_BLOCK        0
  41. Payload disassembly:
  42. ADD     DS:[EAX]        (0x00000000),AL (0x00)
  43. ADD     DS:[EAX]        (0x00000000),EAX (0x00000000)
  44. ADD     DS:[EAX]        (0x00000000),EAX (0x00000000)
  45. ADC     DS:[EAX]        (0x00000000),DL (0x00)
  46. ADD     DS:[EAX]        (0x00000000),AL (0x00)
  47. ADD     DS:[EAX]        (0x00000000),EAX (0x00000000)
  48. AND     DS:[EAX]        (0x00000000),AL (0x00)
  49. PUSH    0x16000004
  50. ADD     DS:[EAX]        (0x00000000),AL (0x00)
  51. ADD     DS:[EAX]        (0x00000000),CH (0x00)
  52. ADD     DS:[EAX]        (0x00000000),AL (0x00)
  53. ADD     DS:[EAX]        (0x00000000),DL (0x00)
  54. ADD     DS:[EAX]        (0x00000000),AL (0x00)
  55. ADD     DS:[EAX]        (0x00000000),AH (0x00)
  56. ADD     DS:[EAX]        (0x00000000),AL (0x00)
  57. ADD     DS:[ECX]        (0x00000000),AL (0x00)
  58. ADD     DS:[EAX]        (0x00000000),AH (0x00)
  59. ADD     DS:[EAX]        (0x00000000),AL (0x00)
  60. ADD     DS:[EAX]        (0x00000000),AL (0x00)
  61. ADD     DS:[EAX]        (0x00000000),AL (0x00)
  62. ADD     AL (0x00),0x00
  63. ADD     DS:[EDX]        (0x00000000),DL (0x00)
  64. OR      EAX (0x00000000),DS:[EAX]       (0x00000000)
  65. ADD     DS:[EDX]        (0x00000000),DL (0x00)
  66. OR      EAX (0x00000000),DS:[EAX]       (0x00000000)
  67. ADD     DS:[EAX]        (0x00000000),AL (0x00)
  68. ADD     DS:[EAX]        (0x00000000),AL (0x00)
  69. ADD     DS:[EAX]        (0x00000000),AL (0x00)
  70. ADD     DS:[EAX]        (0x00000000),AL (0x00)
  71. ADD     DS:[ECX]        (0x00000000),AL (0x00)
  72. PUSH    SS (0x0000)
  73. AND     DS:[EBP + 0x6]  (0x00000006),CH (0x00)  ==random write instruction
  74. INC     EBX (0x00000000)
  75. IMUL    EAX (0x00000000),EDI (0x00000000),0xEB94550C
  76. CMOVPO  EDX (0x00000000),DS:[ECX + 0x6C340DED]  (0x6C340DED)    ==random read instruction
  77. JCXZ    0x07    ==random read instruction
  78. ADD     ECX (0x00000000),DS:[EDX]       (0x00000000)
  79. POP     SS (0x0000)
  80. SAHF   
  81. ADD     DS:[EAX]        (0x00000000),AL (0x00)
  82. ADD     DS:[EBX - 0x6D000000]   (0x93000001),CL (0x00)  ==random write instruction
  83. ADD     EAX (0x00000000),DS:[EBX]       (0x00000001)    ==random read instruction
  84. ADD     ESP (0x0872D633),DS:[EAX - 0x4EEBEBEC]  (0xB2141414)    ==random read instruction
  85. POP     DS (0x0000)
  86. POP     DS (0x0000)
  87. POP     DS (0x0000)
  88. MOV     BL (0x01),0x0C
  89. OR      AL (0x00),0x0C
  90. JP      0x00
  91. ADD     DS:[EAX]        (0x0100000C),AL (0x0C)  ==random write instruction      suspicious memory writeinstruction
  92. INC     EAX (0x0100000C)
  93. ADD     DS:[EAX]        (0x0100000D),AL (0x0D)  suspicious memory write instruction
  94. ADD     [0xD2B48C02]    (0xD2B48C02),AH (0x00)  ==random write instruction
  95. POP     ES (0x0000)
  96. MOV     AL (0x0D),0xF4
  97. DEC     [EBP*0x4 + EAX] (0x010000F4)
  98. STD    
  99. CALL    DS:[EAX]        (0x010000F4)
  100. CWDE   
  101. STC    
  102. CALL    [0x16FFF186]    (0x16FFF186)
  103. ADD     DS:[EAX]        (0x000000F4),AL (0xF4)  ==random write instruction      suspicious memory writeinstruction
  104. ADD     DS:[EAX]        (0x000000F4),AL (0xF4)  ==random write instruction      suspicious memory writeinstruction
  105. ADD     DS:[EAX]        (0x000000F4),EAX (0x000000F4)   ==random write instruction
  106. ADD     DS:[EAX]        (0x000000F4),AL (0xF4)  ==random write instruction      suspicious memory writeinstruction
  107. ADD     DS:[EAX]        (0x000000F4),AL (0xF4)  ==random write instruction      suspicious memory writeinstruction
  108. ADD     DS:[EAX]        (0x000000F4),EAX (0x000000F4)   ==random write instruction
  109. AND     DS:[EAX]        (0x000000F4),AL (0xF4)  ==random write instruction      suspicious memory writeinstruction
  110. PUSH    0x16000004
  111. ADD     DS:[EAX]        (0x000000F4),AL (0xF4)  ==random write instruction      suspicious memory writeinstruction
  112. ADD     DS:[EAX]        (0x000000F4),CH (0x00)  ==random write instruction
  113. ADD     DS:[EAX]        (0x000000F4),AL (0xF4)  ==random write instruction      suspicious memory writeinstruction
  114. ADD     DS:[EAX]        (0x000000F4),DL (0x00)  ==random write instruction
  115. ADD     DS:[EAX]        (0x000000F4),AL (0xF4)  ==random write instruction      suspicious memory writeinstruction
  116. ADD     DS:[EAX]        (0x000000F4),AH (0x00)  ==random write instruction
  117. ADD     DS:[EAX]        (0x000000F4),AL (0xF4)  ==random write instruction      suspicious memory writeinstruction
  118. ADD     DS:[ECX]        (0x00000000),AL (0xF4)  suspicious memory write instruction
  119. ADD     DS:[EAX]        (0x000000F4),AH (0x00)  ==random write instruction
  120. ADD     DS:[EAX]        (0x000000F4),AL (0xF4)  ==random write instruction      suspicious memory writeinstruction
  121. ADD     DS:[EAX]        (0x000000F4),AL (0xF4)  ==random write instruction      suspicious memory writeinstruction
  122. ADD     DS:[EAX]        (0x000000F4),AL (0xF4)  ==random write instruction      suspicious memory writeinstruction
  123. ADD     AL (0xF4),0x00
  124. ADD     DS:[EDX]        (0x00000000),DL (0x00)
  125. OR      EAX (0x000000F4),DS:[EAX]       (0x000000F4)    ==random read instruction
  126. ADD     DS:[EDX]        (0x00000000),DL (0x00)
  127. OR      EAX (0x000007FC),DS:[EAX]       (0x000007FC)    ==random read instruction
  128. ADD     DS:[EAX]        (0x000007FC),AL (0xFC)  ==random write instruction      suspicious memory writeinstruction
  129. ADD     DS:[EAX]        (0x000007FC),AL (0xFC)  ==random write instruction      suspicious memory writeinstruction
  130. ADD     DS:[EAX]        (0x000007FC),AL (0xFC)  ==random write instruction      suspicious memory writeinstruction
  131. ADD     DS:[EAX]        (0x000007FC),AL (0xFC)  ==random write instruction      suspicious memory writeinstruction
  132. ADD     DS:[ECX]        (0x00000000),AL (0xFC)  suspicious memory write instruction
  133. PUSH    SS (0x0000)
  134. AND     DS:[EBP + 0x6]  (0x00000006),CH (0x00)  ==random write instruction
  135. INC     EBX (0x0000000C)
  136. IMUL    EAX (0x000007FC),EDI (0x00000000),0xEB94550C
  137. CMOVPO  EDX (0x00000000),DS:[ECX + 0x6C340DED]  (0x6C340DED)    ==random read instruction
  138. JCXZ    0x07    ==random read instruction
  139. AAM     0xD4
  140. CALL    EAX (0x00000000)
  141. LOCK ADD        DS:[EAX]        (0x00000000),EAX (0x00000000)



Malware clean-up


Such malware is often targets specific software security vulnerability inside the attacked process or application. In order to make the final decision whether such detection is false-positive or part of a working vulnerability exploit in depth investigation of all website's files required. If you suspect your site has been compromised in this way sign up for Website Anti-malware Monitoring and receive malware remediation assessment for these and other kinds of malware.
Posted by at
Labels:

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)