Ένας νέος ιος κυκλοφορεί αυτή τη στιγμή στο Facebook. Το malware, μας προώθησε για ανάλυση η φιλική ιστοσελίδα www.safer-internet.gr.. O νέος ιός είναι κρυπτογραφημένος για να δυσκολέψει την ανάλυση και να αποφύγει τον εντοπισμό από τα antivirus, αλλά η τεχνική ομάδα του iGuRu.gr κατάφερε να “δει” την λειτουργία του κακόβουλου προγράμματος.
Ας πάρουμε όμως τα πράγματα από την αρχή.
Ο ιός έρχεται μέσα σε ένα .zip αρχείο όπως φαίνεται στην παρακάτω φωτογραφία – κλικ για μεγέθυνση. Το όνομα του μπορεί να είναι τυχαίο και να έρχεται με διαφορετικό κάθε φορά. Ο ιός για να τρέξει θα πρέπει να υπάρχει εγκατεστημένη η java στον υπολογιστή σας,
Το συγκεκριμένο αρχείο που εξετάσαμε ονομάζεται Form_0910.zip.To zip περιέχει ένα εκτελέσιμο αρχείο .jar (αρχείο Java) το οποίο δεν το αναγνωρίζουν τα antivirus (το σκανάραμε με δύο διαφορετικά και δεν “χτύπησε”). Το αρχείο jar περιέχει τα ακόλουθα αρχεία
Φάκελος .settings
Φάκελος META-INF
.classpath
.project
και το κακόβουλο αρχείο (κρυπτογραφημένο) DOYUMGEOGFVKNBO.class
Αν κάποιος τρέξει το αρχείο,jar, το malware θα δημιουργήσει ένα φάκελο στο C:\ με το όνομα temp. Με το που δημιουργήσει τον φάκελο (δεν είναι και τόσο γρήγορο) αρχίζει να κατεβάζει ένα μεγάλο εκτελέσιμο αρχείο των Windows (.exe). (Τρέξαμε το jar σε ένα virtual machine με Windows 7).
Στη δική μας περίπτωση το όνομα του αρχείου ήταν QNIDSUE.VZZ, αλλά αυτό δεν παίζει καμία σημασία καθώς το όνομα ήταν τυχαίο (την δεύτερη φορά που το τρέξαμε ονομαζόταν VEKDGH.CXV). Το μέγεθος του αρχείου μας έκανε εντύπωση καθώς ήταν 3.8MB, αρκετά μεγάλο για κακόβουλο πρόγραμμα.
Το κακόβουλο exe αναγνωρίστηκε από το ESET σαν Win32/Injector.AZFL trojan, ένα αρκετά νέο κακόβουλο λογισμικό για την ESET που το κατέγραψε για πρώτη φόρα 7 Μαρτίου του 2014.
Detection created | 2014-03-07 |
Το exe περιέχει περιέχει πολλά υποπρογράμματα (είναι ένα είδους wrapper), άρα μπορεί να εκτελέσει και πολλές λειτουργίες. Μπορεί να στείλει emails, να συνδεθεί με ftps, περιέχει πολλά σημεία με username και passwords, κάτι που μας δείχνει ότι μπορεί να συνδεθεί σε απομακρυσμένους υπολογιστές και να κατεβάσει και άλλα αρχεία.
Ένα από τα πιο επικίνδυνα χαρακτηριστικά του είναι ότι μπορεί να διαβάσει τα cookies του υπολογιστή του θύματος. Αυτό σημαίνει ότι μπορεί να κλέψει όλους τους κωδικούς που είναι αποθηκευμένοι στον υπολογιστή.
Όμως δεν τελειώνει εδώ.
Υπάρχει άλλο ένα αρχείο, το pthreads.dll. Το συγκεκριμένο .dll, χρησιμοποιείται για να δει κάποιος τι τρέχουν τα Windows. Ο task manager των Windows τρέχει το ίδιο dll. Αυτό μπορεί να χρησιμέψει στον κακόβουλο χρήστη για διαφορετικά πράγματα.
1. να δει τι τρέχει ο υπολογιστής του θύματος και αναλόγως να προσαρμόσει την επίθεση, ή
2. να κρύψει το κακόβουλο πρόγραμμα από τις διεργασίες των Windows.
Αν έχετε τρέξει το jar, αναζητήστε στον δίσκο που είναι εγκατεστημένα τα Windows για ένα φάκελο temp. Διαγράψτε το φάκελο και σκανάρετε όλο το σύστημα σας, με ένα αξιόπιστο και ενημερωμένο antivirus. Μετά το σκανάρισμα, αλλάξτε τους κωδικούς πρόσβασης σε ιστοσελίδες και υπηρεσίες που χρησιμοποιείτε.
Προσοχή σε αυτόν τον ιό καθώς είναι πολύ επιθετικός και σκοπεύει στην κλοπή των διαπιστευτηρίων σας. O ιός αν και έρχεται σε αρχείο που μπορεί να εκτελεστεί σε όλες της πλατφόρμες, προσβάλει μηχανήματα με Windows.
Να ευχαριστήσουμε την φιλική ιστοσελίδα www.safer-internet.gr. για την άμεση ενημέρωση και τον τεχνικό και φίλο μας Paul Delia, για την “εξερεύνηση” του ιού.
Ο έλεγχος που κάναμε με την VirusTotal είναι εδώ. (last) και Real εδώ
Και η ανάλυση από το Malwr
* Ευχαριστούμε και τους φίλους μας από το SecNews για την περαιτέρω εξέταση του ιού. Η γνώμη των φίλων μας από το SecNews είναι ότι ο συγγραφέας του ιού, απλά δεν γνωρίζει προγραμματισμό.