Ένας νέος ιός κυκλοφορεί αυτή τη στιγμή στο Facebook. Είναι κρυμμένος πίσω από μια διεύθυνση του hidemyass.com (μια υπηρεσία απόκρυψης IP και domain) και οδηγεί σε ιστοσελίδα του blogspot.gr. Ο ιός δεν μπορούμε να πούμε ότι έρχεται από Ελληνικό blog καθώς η blogspot αλλάζει την κατάληξη των domains ανάλογα με την γεωγραφική θέση του επισκέπτη. Με μια καλύτερη ματιά όμως τα πράγματα αλλάζουν.
Παρακάτω μπορείτε να δείτε το μήνυμα που διακινείται μέσω του Facebook. (Την εικόνα μας την έστειλε φίλος μας από το safer-internet.gr)
Αν κάποιος κάνει κλικ πάνω στο “ασφαλές Youtube Video” που έρχεται με το μήνυμα του Facebook, οδηγείται στην παρακάτω διεύθυνση.
Η σελίδα που θα ανοίξει παριστάνει το Youtube αλλά το βίντεο (κλασικά) δεν θα παίξει, αν δεν εγκαταστήσετε το “adobe flash player.”
Στο screenshot του blog που υπάρχει παρακάτω μπορείτε να διακρίνετε το Ελληνικό όνομα που χρησιμοποιεί ο κακόβουλος χρήστης: Προσέξτε το URL της σελίδας. Ο τίτλος της δημοσίευσης είναι ζαχαριας μπισμπιρουλας (Η σελίδα αυτή εμφανίζεται με Firefox)
Αν χρησιμοποιείτε Firefox θα πρέπει να κατεβάσετε το αρχείο (βίντεο) που στην πραγματικότητα είναι εκτελέσιμο αρχείο των Windows (.exe).
Αν κάποιος χρησιμοποιεί Chrome και ανοίξει το URL του hidemyass το εκτελέσιμο αρχείο θα κατέβει μόνο του.
Δείτε την σελίδα που εμφανίζεται στο Chrome
Το κακόβουλο αρχείο κατεβαίνει κάθε φορά με διαφορετικό όνομα, αφού κάθε φορά αλλάζουν οι αριθμοί που περιέχει. Έτσι το “Private_Video_23429.mp4.exe” την επόμενη φορά που θα κατέβει αλλάζει σε “Private_Video_xxxxx.mp4.exe.”
Τι συμβαίνει με τον ιό τώρα:
Ανεβάσαμε το κακόβουλο αρχείο στην jotti.org, τη virustotal και την virscan. Μπορείτε να δείτε τα αποτελέσματα και ποια antivirus τον αναγνωρίζουν.
Περισσότερα στοιχεία για τον ιό και τα αρχεία που εισάγει στο μολυσμένο σύστημα παρακάτω:
Compilation timestamp 2014-06-06 11:29:14
Link date 12:29 PM 6/6/2014
Entry Point 0x0001D41B
Number of sections 4
PE sections
Name Virtual address Virtual size Raw size EntropyMD5
.text 4096 165203 165376 6.72 0d2680623ee21ef164d1e5badd4a9069
.rdata 172032 20307 20480 5.35 3b2a89ea65c257eec0c12a06de2a115a
.data 192512 137468 5632 3.47 599cdae4e964b67335324e67538c2a9c
.rsrc 331776 245516 245760 6.88 f046331948dcc96236d87dc27f09e0cd
PE imports
RegCreateKeyExW
RegCloseKey
OpenProcessToken
RegSetValueExW
RegOpenKeyExW
SetFileSecurityW
AdjustTokenPrivileges
LookupPrivilegeValueW
RegQueryValueExW
GetSaveFileNameW
GetOpenFileNameW
CommDlgExtendedError
GetDeviceCaps
CreateDIBSection
DeleteObject
GetObjectW
GetStdHandle
GetConsoleOutputCP
FileTimeToSystemTime
WaitForSingleObject
GetFileAttributesW
SystemTimeToTzSpecificLocalTime
FreeEnvironmentStringsA
DeleteCriticalSection
GetCurrentProcess
OpenFileMappingW
GetConsoleMode
GetLocaleInfoA
FreeEnvironmentStringsW
GetLocaleInfoW
SetStdHandle
GetCPInfo
GetStringTypeA
GetTempPathW
GetSystemTimeAsFileTime
HeapReAlloc
GetStringTypeW
GetOEMCP
GetExitCodeProcess
InitializeCriticalSection
FindClose
InterlockedDecrement
MoveFileW
SetFileAttributesW
SetLastError
GetSystemTime
DeviceIoControl
GetModuleFileNameW
IsDebuggerPresent
ExitProcess
GetModuleFileNameA
SetThreadPriority
UnhandledExceptionFilter
TlsGetValue
MultiByteToWideChar
SetFilePointer
GetFullPathNameW
CreateThread
SetEnvironmentVariableW
MoveFileExW
SetUnhandledExceptionFilter
TzSpecificLocalTimeToSystemTime
TerminateProcess
CreateSemaphoreW
WriteConsoleA
SetCurrentDirectoryW
GlobalAlloc
SetEndOfFile
GetCurrentThreadId
InterlockedIncrement
GetNumberFormatW
WriteConsoleW
InitializeCriticalSectionAndSpinCount
HeapFree
EnterCriticalSection
SetHandleCount
LoadLibraryW
FreeLibrary
QueryPerformanceCounter
GetTickCount
TlsAlloc
FlushFileBuffers
LoadLibraryA
RtlUnwind
GetStartupInfoA
GetDateFormatW
SetEvent
DeleteFileW
GetProcAddress
CreateFileMappingW
GetTimeFormatW
WriteFile
RemoveDirectoryW
ExpandEnvironmentStringsW
FindNextFileW
CreateDirectoryW
ResetEvent
FindFirstFileW
GetProcessAffinityMask
CreateEventW
CreateFileW
GetFileType
TlsSetValue
CreateFileA
HeapAlloc
LeaveCriticalSection
GetLastError
SystemTimeToFileTime
LCMapStringW
GetShortPathNameW
HeapCreate
GetConsoleCP
LCMapStringA
CompareStringW
GetEnvironmentStringsW
IsDBCSLeadByte
FileTimeToLocalFileTime
GetEnvironmentStrings
GetCurrentDirectoryW
GetCurrentProcessId
SetFileTime
GetCommandLineW
WideCharToMultiByte
HeapSize
GetCommandLineA
RaiseException
ReleaseSemaphore
MapViewOfFile
TlsFree
GetModuleHandleA
ReadFile
CloseHandle
GetACP
GetModuleHandleW
GetLongPathNameW
IsValidCodePage
UnmapViewOfFile
FindResourceW
VirtualFree
Sleep
VirtualAlloc
CreateHardLinkW
SHBrowseForFolderW
SHChangeNotify
SHFileOperationW
SHGetPathFromIDListW
SHGetSpecialFolderLocation
ShellExecuteExW
SHGetFileInfoW
SHGetMalloc
MapWindowPoints
SetFocus
GetParent
UpdateWindow
EndDialog
LoadBitmapW
SetWindowTextW
DefWindowProcW
GetWindowTextW
GetMessageW
ShowWindow
SetWindowPos
wvsprintfW
GetSystemMetrics
SetWindowLongW
IsWindow
SendMessageW
GetWindowRect
RegisterClassExW
DialogBoxParamW
SendDlgItemMessageW
GetDlgItemTextW
PostMessageW
MessageBoxW
SetDlgItemTextW
GetDC
GetWindowLongW
ReleaseDC
DestroyIcon
TranslateMessage
IsWindowVisible
LoadStringW
GetClientRect
GetDlgItem
GetWindow
OemToCharBuffA
DispatchMessageW
PeekMessageW
GetSysColor
GetClassNameW
CopyRect
WaitForInputIdle
LoadCursorW
LoadIconW
FindWindowExW
CreateWindowExW
EnableWindow
SetForegroundWindow
DestroyWindow
CreateStreamOnHGlobal
CoCreateInstance
CLSIDFromString
OleInitialize
OleUninitialize