Κυκλοφορεί ΤΩΡΑ Eπιθετικό malware στο Facebook

Ένας νέος ιος κυκλοφορεί αυτή τη στιγμή στο Facebook. Το malware, μας προώθησε για ανάλυση η φιλική ιστοσελίδα www.safer-internet.gr.. O νέος ιός είναι κρυπτογραφημένος για να δυσκολέψει την ανάλυση και να αποφύγει τον εντοπισμό από τα antivirus, αλλά η τεχνική ομάδα του iGuRu.gr κατάφερε να “δει” την λειτουργία του κακόβουλου προγράμματος.

malware
malware

Ας πάρουμε όμως τα πράγματα από την αρχή.

Ο ιός έρχεται μέσα σε ένα .zip αρχείο όπως φαίνεται στην παρακάτω φωτογραφία – κλικ για μεγέθυνση. Το όνομα του μπορεί να είναι τυχαίο και να έρχεται με διαφορετικό κάθε φορά. Ο ιός για να τρέξει θα πρέπει να υπάρχει εγκατεστημένη η java στον υπολογιστή σας,

malware zipΤο συγκεκριμένο αρχείο που εξετάσαμε ονομάζεται Form_0910.zip.To zip περιέχει ένα εκτελέσιμο αρχείο .jar (αρχείο Java) το οποίο δεν το αναγνωρίζουν τα antivirus (το σκανάραμε με δύο διαφορετικά και δεν “χτύπησε”). Το αρχείο jar περιέχει τα ακόλουθα αρχεία

Φάκελος .

Φάκελος META-INF

.classpath

.

και το κακόβουλο αρχείο (κρυπτογραφημένο) DOYUMGEOGFVKNBO.class

1jar

Αν κάποιος τρέξει το αρχείο,jar, το malware θα δημιουργήσει ένα φάκελο στο C:\ με το όνομα temp. Με το που δημιουργήσει τον φάκελο (δεν είναι και τόσο γρήγορο) αρχίζει να κατεβάζει ένα μεγάλο εκτελέσιμο αρχείο των Windows (.exe). (Τρέξαμε το jar σε ένα virtual machine με Windows 7).

Στη δική μας περίπτωση το όνομα του αρχείου ήταν QNIDSUE.VZZ, αλλά αυτό δεν παίζει καμία σημασία καθώς το όνομα ήταν τυχαίο (την δεύτερη φορά που το τρέξαμε ονομαζόταν VEKDGH.CXV). Το μέγεθος του αρχείου μας έκανε εντύπωση καθώς ήταν 3.8MB, αρκετά μεγάλο για κακόβουλο πρόγραμμα.

Το κακόβουλο exe αναγνωρίστηκε από το ESET σαν Win32/Injector.AZFL trojan,  ένα αρκετά νέο κακόβουλο λογισμικό για την ESET που το κατέγραψε για πρώτη φόρα 7 Μαρτίου του 2014.

Detection created 2014-03-07

Το exe περιέχει περιέχει πολλά υποπρογράμματα (είναι ένα είδους wrapper), άρα μπορεί να εκτελέσει και πολλές .  Μπορεί να στείλει emails, να συνδεθεί με ftps, περιέχει πολλά σημεία με username και , κάτι που μας δείχνει ότι μπορεί να συνδεθεί σε απομακρυσμένους υπολογιστές και να κατεβάσει και άλλα αρχεία.

Ένα από τα πιο επικίνδυνα χαρακτηριστικά του είναι ότι μπορεί να διαβάσει τα cookies του υπολογιστή του θύματος. Αυτό σημαίνει ότι μπορεί να κλέψει όλους τους κωδικούς που είναι αποθηκευμένοι στον υπολογιστή.

Όμως δεν τελειώνει εδώ.

Υπάρχει άλλο ένα αρχείο, το pthreads.dll. Το συγκεκριμένο .dll, ται για να δει κάποιος τι τρέχουν τα Windows. Ο task manager των Windows τρέχει το ίδιο dll. Αυτό μπορεί να χρησιμέψει στον κακόβουλο χρήστη για διαφορετικά πράγματα.

1. να δει τι τρέχει ο υπολογιστής του θύματος και αναλόγως να προσαρμόσει την επίθεση,  ή

2. να κρύψει το κακόβουλο πρόγραμμα από τις διεργασίες των Windows.

Αν έχετε τρέξει το jar, αναζητήστε στον δίσκο που είναι εγκατεστημένα τα Windows για ένα φάκελο temp. Διαγράψτε το φάκελο και σκανάρετε όλο το σύστημα σας, με ένα αξιόπιστο και ενημερωμένο antivirus. Μετά το σκανάρισμα, αλλάξτε τους κωδικούς ς σε ιστοσελίδες και υπηρεσίες που χρησιμοποιείτε.

Προσοχή σε αυτόν τον ιό καθώς είναι πολύ επιθετικός και σκοπεύει στην κλοπή των διαπιστευτηρίων σας.  O ιός αν και έρχεται σε αρχείο που μπορεί να εκτελεστεί σε όλες της , προσβάλει μηχανήματα με Windows.

Να ευχαριστήσουμε την φιλική ιστοσελίδα www.safer-internet.gr. για την άμεση ενημέρωση και τον τεχνικό και φίλο μας Paul Delia, για την “εξερεύνηση” του ιού.

Ο έλεγχος που κάναμε με την VirusTotal είναι εδώ. (last) και Real εδώ

Και η ανάλυση από το Malwr

* Ευχαριστούμε και τους φίλους μας από το SecNews για την περαιτέρω εξέταση του ιού. Η γνώμη των φίλων μας από το SecNews είναι ότι ο συγγραφέας του ιού, απλά δεν γνωρίζει προγραμματισμό.

 

 

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.100 εγγεγραμμένους.

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).