Skip to content

Instantly share code, notes, and snippets.

@Raykza

Raykza/TLauncher.md

Last active December 29, 2024 23:04
Show Gist options

  • Select an option

    Learn more about clone URLs
  • Save Raykza/f90f8fc347693fd17a6b9e4594ba4896 to your computer and use it in GitHub Desktop.

Select an option

Learn more about clone URLs
Save Raykza/f90f8fc347693fd17a6b9e4594ba4896 to your computer and use it in GitHub Desktop.
Download ZIP
¿Es TLauncher un virus?
Raw
TLauncher.md

Ir directamente a la conclusión

Investigación

TLauncher es un instalador y launcher de Minecraft pirata ("No premium"). Según algunas personas en Twitter hay sospechas de que pueda contener algún tipo de malware (En particular, spyware). El análisis referenciado fue hecho a través de Triage, una plataforma de sandboxing para subir ejecutables que sean potencialmente malware y analizarlos en un entorno controlado y aislado.

En dicho análisis, destacan los siguientes puntos como acciones maliciosas:

(1)  El proceso bloqueado hace una solicitud de red
(2)  Descarga archivos MZ/PE
(3)  [Droppea y] Ejecuta EXE droppeado
(4)  Registra el servidor COM para la ejecución automática
(5)  Archivo empaquetado UPX
(6)  Comprueba la configuración de ubicación de la computadora
(7)  Carga archivos DLLs
(8)  Lee los datos de usuario/perfil de los navegadores web
(9)  Comprueba el software instalado en el sistema
(10) Enumera las unidades conectadas
(11) Instala/modifica el BHO. (Objeto Ayudante del Navegador)

Como también se comentó en Twitter varios de los puntos anteriores (En particular, 1,2,3,5,6,7) no son directamente implicaciones de que el Launcher sea o contenga malware. Sin embargo otros como el (11) donde cambia el BHO son algo más sospechosos, analicemos más rigurosamente su comportamiento. En la sección que analiza su comportamiento, podemos mirar qué acciones realizó en la máquina, hagamos énfasis en sus acciones con las claves del Registro de Windows. Que las lea en sí no es nada negativo, pero la reescritura puede ser algo más delicado. Veamos qué claves sobreescribe y comparémoslo después con otros procesos. En general, escribe varios valores para las claves alojadas en \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TLauncher lo cuál es común y veremos que muchos programas crean sus propias claves para almacenar información importante de funcionamiento. Sin embargo, las que son un poco más extrañas son:

  • \REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings
  • Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable.

Vamos a tener en cuenta estas claves para compararlas más adelante. Por ahora, analicemos el mismo archivo (O, cómo se identifican en estas plataformas, el mismo hash, que es un código único que se genera para cada archivo). El hash en MD5 del archivo que estamos analizando es f643be370cc9763a17f7746b1b6a0243.

Miremos el mismo hash en otras plataformas de análisis, como Virustotal y Intezer. Empezando por VirusTotal, vemos que los antivirus no lo detectan como malware, sin embargo según su signatura, se detectan comportamientos sospechosos y maliciosos. Además, VirusTotal nos da un gráfico de sus interacciones, veámoslo:

En general, contacta con algunas IPs y dominios particulares, de éstos aunque algunos no son del todo confiables según VirusTotal, eso puede ser porque el Launcher TIENE que descargar archivos de sus servidores y teniendo en cuenta que es una versión pirateada de Minecraft, los servidores a donde estén subidos esos archivos, pueden tener direcciones o IPs poco confiables. Por otro lado, también crea varios archivos: Muchos son imágenes que usa para la interfaz del instalador. Pero otros son otro tipo de archivo, y hay dos ejecutables .exe que VirusTotal marca como maliciosos. Sus hashes MD5 son:

  • 1313bb5df6c6e0d5c358735044fbebef
  • f8996d2158a69a12b4bc99edd28100bc

También notemos que droppea tres archivos más, que en el gráfico aparecen con la extensión .dll, junto con un archivo .zip. Parecería que VirusTotal detectó correctamente que el archivo TLauncher.exe es un packer (Es decir, que tiene varios archivos que descomprime al ejecutarse), y estos archivos nos dan un indicio de por qué el lanzador se ve sospechoso.

Por otro lado, Intezer registra también correctamente que es un archivo empaquetado con UPX, y en la pestaña de comportamiento vemos nuevamente la lectura y escritura sobre las claves de Registro.

Como no conocemos exactamente qué hacen los archivos droppeados, queda ver qué son, así que bajé el instalador y lo ejecuté en un ambiente aislado. Mientras se muestra la pestaña de instalación (La cuál no se puede minimizar...), en %TEMP% crea una carpeta _ir_sf_temp_0 donde extrae los archivos vistos previamente. Ahora podemos conocer el nombre y la extensión que les da, obviando todo el contenido gráfico del instalador:

Comencemos por los previamente identificados .dll:

  • Wow64.lmd Es un plugin que permite acceder, leer y escribir a claves de Registro.
  • IRZip.lmd Es un plugin que permite interactuar con archivos .zip.
  • lua5.1.dll Es una compilación de Lua para Windows, encapsulado como un DLL para ser utilizado en conjunto con las APIs de Windows.

Ninguno de estos archivos es malicioso en sí mismo. Sin embargo, son sospechosos teniendo en cuenta lo visto anteriormente.

Veamos qué es el .zip que también crea. Como vimos en la imágen, se llama downloader.zip y contiene un sólo archivo downloader.exe. Originalmente este archivo comprimido tiene contraseña, pero encontré que la contraseña es simplemente 1. Descomprimiéndolo, obtenemos el ejecutable. Primero que nada, miremos su hash para ver los análisis de las plataformas vistas previamente.

Su hash MD5 es: 7df933c48f70841613a9f0092b5e4a31

Buscándolo en VirusTotal nos da un resultado bastante peor que lo que vimos anteriormente. Varios antivirus lo detectan como Win32/Yandex.K o alguna de sus variantes. Yandex es un motor de búsqueda y portal web ruso, producto de una empresa con el mismo nombre, con algunas controversias de espionaje a sus usuarios. Teniendo esto en cuenta, hay múltiples asociaciones entre Yandex y el spyware. Primero, como PUP (Potentially Unwanted Program, ó Aplicación Potencialmente no Deseada), instalándose junto con otras aplicaciones y colocándose como buscador predeterminado en los exploradores instalados de la máquina. Quizá el hecho de que instale un buscador no es alarmante, pero recordemos que partimos investigando un Instalador de Minecraft, y ahora vemos que efectivamente descargó archivos que no están relacionados con su función original, lo cuál sí puede ser más preocupante.

Investiguemos más a fondo downloader.exe. Al ejecutarlo, parecería que no hace nada, pero nuevamente en %TEMP% crea una carpeta donde deja archivos .log que muestran su funcionamiento. Ejecutarlo simplemente dándole doble click genera el siguiente log:

cmd: "downloader.exe"
ver: 0.1.0.32
os: 10.0.19045
elevated: no
For using type: downloader.exe --partner <name> [--distr <params>] [--try] <download try count> [--sync]
Please specify partner name.
stat res: -1

Sin embargo, si especificamos un parámetro para partner como lo indica, obtenemos un comportamiento distinto. Descarga un archivo XML con una dirección web para descargar YandexPackSetup.exe, luego intenta descargar dicho archivo.

Finalmente, veamos qué eran los otros dos .exe que VirusTotal marca como maliciosos. Uno es irsetup.exe, registrado por un antivirus como una variante enpaquetada del troyano Win32/Convagent. Sin embargo, también vemos que es un archivo de Indigo Rose, la misma empresa que produce el plugin visto previamente (IRZip), y teniendo el nombre irsetup ("Indigo Rose Setup") puede ser que sea lo necesario para ejecutar el mismo plugin. Por otro lado tenemos a AdditionalExecuteTL.exe, el cual VirusTotal también detecta como malicioso. Si bien no tanta información de este ejecutable, pues parece ser propio de TLauncher, en el gráfico extendido de VirusTotal vemos que droppea variantes de los archivos vistos previamente.

Uno de esos archivos es otro irsetup.exe, con distinto hash (e7bbc7b426cee4b8027a00b11f06ef34), que VirusTotal lo detecta igual que su versión vista previamente. También droppea nuevamente a lua5.1.dll, pues se ve que irsetup.exe lo necesita para funcionar.

Por otro lado, en el gráfico también vemos que irsetup.exe contacta con distintas URLs: una de ellas marcada sospechosa por VirusTotal, la misma baja instantáneamente un archivo (MD5: a87a48ab15ee15b391e726f892f6b916), que analizándolo con un hex editor es un certificado digital, lo cual concuerda con lo que describe VirusTotal sobre ese archivo (DER encoded X509 Certificate).

Nuevamente, un certificado aislado no es malicioso en sí mismo, pero los certificados suelen descargarse e instalarse para validar que las aplicaciones son confiables, y en éste caso no es claro qué aplicación se está validando.

Una parte curiosa de los todos los archivos .exe que vimos, es que son de tipo PE32 (Portable Executable) creados con Setup Factory, por lo que son desempaquetables (Lo cual tiene sentido, pues todo el tiempo hablamos de instaladores empaquetados). Al desempaquetarlos, se obtienen los siguientes archivos:

Cada uno de los archivos, corresponden a la secciones del ejecutable (Ver Formato PE32). Si miramos los datos en crudo y los interpretamos como ASCII, podemos extraer líneas de texto. Por ejemplo, destaco las siguientes:

Los datos vienen de las secciones .data y .rdata de downloader.exe, y muestran como claramente cosas como el link de descarga de YandexPackSetup.exe están predefinidos dentro del ejecutable.

Comparación con otros lanzadores

Instalador oficial

Empecemos por el instalador oficial. Descargado de:

https://launcher.mojang.com/download/MinecraftInstaller.exe

Con Hash MD5: 24c96f96660bcedbf8648c8e43c3630c

Si vemos su comportamiento, las únicas claves de registro que modifica son las propias. En particular, las que estén en:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\MinecraftInstaller_RASAPI32\

El análisis en Triage muestra el mismo puntaje de amenaza: 8/10, con los algunos de los mismos puntos vistos al principio para TLauncher:

Descarga archivos MZ/PE
[Droppea y] Ejecuta EXE droppeado
Carga archivos DLLs
Agrega un botón de Ejecutar para iniciar la aplicación
Comprueba el software instalado en el sistema

Otro lanzador pirata

Miremos ahora a otro lanzador para Minecraft pirata, LauncherFenix. Existe en dos formatos distintos: .jar y .exe.

Empezando por el .jar (MD5: fea39379db50e2a8feee8bac75ab769d) para el cual VirusTotal no detecta nada. Si bajamos el archivo, y lo descomprimimos (Pues, es un .jar) sólo hay un lanzador en Java obfuscado.

Por otro lado, el .exe en Intezer resulta en el siguiente análisis genético:

Desempaquetar el .exe da las siguientes carpetas:

Obviando archivos como MANIFEST.MF y algunos .properties en la carpeta principal, en /net/minecraft/bootstrap se encuentran cada uno de los archivos .class, que son el bytecode compilado de Java. Cada uno de esos se puede decompilar, pero de todas formas el código está obfuscado. Por ejemplo, en AA.class:

final class AA extends Kc
{
    protected void a(final OU ou, final SQ sq, final PK pk) {
        ou.c(sq.a(), sq, pk);
    }
}

Sin embargo, según Intezer, el comportamiento no muestra reescrituras de las claves de Registro:

Conclusión — ¿Es TLauncher malware?

Según lo visto en la Investigación, TLauncher.exe descarga partes legítimas del juego pirata, sin embargo también descarga herramientas para descargar otros archivos, que no están relacionados. No sólo eso, pero esconde su propósito colocando ejecutables detrás de carpetas .zip con contraseña, para abrirlas mientras se ejecuta y borrar todo más tarde. Una vez el Launcher está instalado, el instalador probablemente ejecutó lo que necesitaba y descargó lo que quería. Además, puede descargar certificados, por lo que algunas aplicaciones pueden luego ser confiables por más que no lo sean, realmente. También tiene la capacidad de ejecutar scripts escritos en Lua, por lo que podría ejecutar todo otro tipo de código. Adicionalmente, vimos que cambia claves de Registro que no están relacionadas con el Lanzador en sí, sino que en general se centran en la conexión a internet. Según otros análisis, puede desactivar el Firewall de Windows a través de las claves de Registro, o monitorear la actividad del equipo a través de Computer-Based Training Hooks, es decir, notifica cuando una ventana es creada, destruida, activada, redimensionada, movida, minimizada, etc.

Teniendo esto en cuenta, y viendo el comportamiento del Launcher oficial y de otros Launcher, las acciones de TLauncher son sospechosas. Como mínimo, es adware, y es potencialmente spyware.

Recomendaciones

  • Formatear como mínimo, teniendo en cuenta que puede cambiar las claves de Registro, y cuáles cambia varía de máquina a máquina.
  • No descargar contenido pirata. De hacerlo, corroborar con Antivirus y plataformas de reconocimiento de malware con inteligencia artificial que los archivos sospechosos se ejecuten correctamente. Aún así, descargar contenido pirata siempre conlleva un riesgo.
@Vorterixz
Copy link

Vorterixz commented Dec 17, 2022

AGUANTE EL LAUNCHER FENIXX

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment