Κυκλοφορεί ΤΩΡΑ Eπιθετικό malware στο Facebook

Ένας νέος ιος κυκλοφορεί αυτή τη στιγμή στο Facebook. Το malware, μας προώθησε για ανάλυση η φιλική ιστοσελίδα www.safer-internet.gr.. O νέος ιός είναι κρυπτογραφημένος για να δυσκολέψει την ανάλυση και να αποφύγει τον εντοπισμό από τα antivirus, αλλά η τεχνική ομάδα του iGuRu.gr κατάφερε να “δει” την λειτουργία του κακόβουλου προγράμματος.

malware
malware

Ας πάρουμε όμως τα πράγματα από την αρχή.

Ο ιός έρχεται μέσα σε ένα .zip αρχείο όπως φαίνεται στην παρακάτω φωτογραφία – κλικ για μεγέθυνση. Το όνομα του μπορεί να είναι τυχαίο και να έρχεται με διαφορετικό κάθε φορά. Ο ιός για να τρέξει θα πρέπει να υπάρχει εγκατεστημένη η java στον υπολογιστή σας,

malware zip

Το συγκεκριμένο αρχείο που εξετάσαμε ονομάζεται Form_0910.zip.To zip περιέχει ένα εκτελέσιμο αρχείο .jar (αρχείο Java) το οποίο δεν το αναγνωρίζουν τα antivirus (το σκανάραμε με δύο διαφορετικά και δεν “χτύπησε”). Το αρχείο jar περιέχει τα ακόλουθα αρχεία

Φάκελος .settings

Φάκελος META-INF

.classpath

.project

και το κακόβουλο αρχείο (κρυπτογραφημένο) DOYUMGEOGFVKNBO.class

1jar

Αν κάποιος τρέξει το αρχείο,jar, το malware θα δημιουργήσει ένα φάκελο στο C:\ με το όνομα temp. Με το που δημιουργήσει τον φάκελο (δεν είναι και τόσο γρήγορο) αρχίζει να κατεβάζει ένα μεγάλο εκτελέσιμο αρχείο των Windows (.exe). (Τρέξαμε το jar σε ένα virtual machine με Windows 7).

Στη δική μας περίπτωση το όνομα του αρχείου ήταν QNIDSUE.VZZ, αλλά αυτό δεν παίζει καμία σημασία καθώς το όνομα ήταν τυχαίο (την δεύτερη φορά που το τρέξαμε ονομαζόταν VEKDGH.CXV). Το μέγεθος του αρχείου μας έκανε εντύπωση καθώς ήταν 3.8MB, αρκετά μεγάλο για κακόβουλο πρόγραμμα.

Το κακόβουλο exe αναγνωρίστηκε από το ESET σαν Win32/Injector.AZFL trojan,  ένα αρκετά νέο κακόβουλο λογισμικό για την ESET που το κατέγραψε για πρώτη φόρα 7 Μαρτίου του 2014.

Detection created 2014-03-07

Το exe περιέχει περιέχει πολλά υποπρογράμματα (είναι ένα είδους wrapper), άρα μπορεί να εκτελέσει και πολλές λειτουργίες.  Μπορεί να στείλει emails, να συνδεθεί με ftps, περιέχει πολλά σημεία με username και passwords, κάτι που μας δείχνει ότι μπορεί να συνδεθεί σε απομακρυσμένους υπολογιστές και να κατεβάσει και άλλα αρχεία.

Ένα από τα πιο επικίνδυνα χαρακτηριστικά του είναι ότι μπορεί να διαβάσει τα cookies του υπολογιστή του θύματος. Αυτό σημαίνει ότι μπορεί να κλέψει όλους τους κωδικούς που είναι αποθηκευμένοι στον υπολογιστή.

Όμως δεν τελειώνει εδώ.

Υπάρχει άλλο ένα αρχείο, το pthreads.dll. Το συγκεκριμένο .dll, χρησιμοποιείται για να δει κάποιος τι τρέχουν τα Windows. Ο task manager των Windows τρέχει το ίδιο dll. Αυτό μπορεί να χρησιμέψει στον κακόβουλο χρήστη για διαφορετικά πράγματα.

1. να δει τι τρέχει ο υπολογιστής του θύματος και αναλόγως να προσαρμόσει την επίθεση,  ή

2. να κρύψει το κακόβουλο πρόγραμμα από τις διεργασίες των Windows.

Αν έχετε τρέξει το jar, αναζητήστε στον δίσκο που είναι εγκατεστημένα τα Windows για ένα φάκελο temp. Διαγράψτε το φάκελο και σκανάρετε όλο το σύστημα σας, με ένα αξιόπιστο και ενημερωμένο antivirus. Μετά το σκανάρισμα, αλλάξτε τους κωδικούς πρόσβασης σε ιστοσελίδες και υπηρεσίες που χρησιμοποιείτε.

Προσοχή σε αυτόν τον ιό καθώς είναι πολύ επιθετικός και σκοπεύει στην κλοπή των διαπιστευτηρίων σας.  O ιός αν και έρχεται σε αρχείο που μπορεί να εκτελεστεί σε όλες της πλατφόρμες, προσβάλει μηχανήματα με Windows.

Να ευχαριστήσουμε την φιλική ιστοσελίδα www.safer-internet.gr. για την άμεση ενημέρωση και τον τεχνικό και φίλο μας Paul Delia, για την “εξερεύνηση” του ιού.

Ο έλεγχος που κάναμε με την VirusTotal είναι εδώ. (last) και Real εδώ

Και η ανάλυση από το Malwr

* Ευχαριστούμε και τους φίλους μας από το SecNews για την περαιτέρω εξέταση του ιού. Η γνώμη των φίλων μας από το SecNews είναι ότι ο συγγραφέας του ιού, απλά δεν γνωρίζει προγραμματισμό.

 

 

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).