Ο Ανδρέας Βενιέρης, εξέχων Έλληνας ερευνητής ασφάλειας συστημάτων και εξωτερικός συνεργάτης των φίλων μας από το SecNews, είναι από τους πρώτους στην Ελλάδα που ανέλυσαν τον γνωστό σε όλους μας Police Virus ή “ιός της Αστυνομίας”.
Το κακόβουλο λογισμικό έγινε ιδιαίτερα γνωστό και στην Ελλάδα, ιδιαιτέρως το τελευταίο έτος, μιας και πραγματοποιούσε εγκατάσταση σε τερματικούς σταθμούς ανυποψίαστων χρηστών με μηνύματα υποτιθέμενων εγκληματικών ενεργειών μέσω Η/Υ, ζητώντας από τους χρήστες να πληρώσουν ποσό για να επαναφέρουν τα συστήματά τους. Η Δίωξη Ηλεκτρονικού εγκλήματος έχει δημιουργήσει μάλιστα σχετική υποσελίδα, που προσδιορίζει τον τρόπο επαναφοράς σε περίπτωση που πέσετε θύμα και αναλυτικές οδηγίες αναφορικά με τον “ιο”.
Την αρχική ανάλυση του κ. Βενιέρη μπορείτε να διαβάσετε αναλυτικά [εδώ]. Ο κ. Βενιέρης επανήλθε τις τελευταίες ημέρες με μια νέα,πρόσθετη ανάλυση του κακόβουλου λογισμικού που δημοσιοποιεί ΑΠΟΚΛΕΙΣΤΙΚΑ σήμερα το SecNws.
Η έρευνα αποδεικνύει σαφώς ότι το λογισμικό συνεχίζει να διαδίδεται ακόμα στην Ελλάδα αλλά και στο εξωτερικό (με πολύ χαμηλότερα βέβαια συνολικά ποσοστά μολύνσεων μιας και ήδη εντοπίζεται από τα περισσότερα κοινά antivirus/antimalware).
Πως γίνεται η απάτη
Η απάτη πραγματοποιείται ως εξής: Μετά την εγκατάσταση του κακόβουλου λογισμικού εμφανίζεται popup, οπου ορίζεται η οικονομική απαίτηση. Το ποσό του υποτιθέμενου προστίμου είναι €100. Ο ανυποψίαστος χρήστης-θύμα καλείτε να πληρώσει το “υποτιθέμενο πρόστιμο” με κουπόνια Paysafe ή Ukash. Μόλις η κάρτα εισαχθεί στο popup που αναφέρετε, το πρόγραμμα περιήγησης,όπως αναφέρει το μήνυμα, ξεμπλοκάρει και όλες οι πληροφορίες θα αποκρυπτογραφηθούν εντός 24 ωρών.
![Capture01 gr 1024x753 [ΑΠΟΚΛΕΙΣΤΙΚΟ] Πρόσθετα στοιχεία για τον ίο της αστυνομίας απo τον Ανδρέα Βενιέρη](https://cdn.iguru.gr/wp-content/uploads/http://cdn.iguru.gr//2014/10/Capture01_gr-1024x753.jpg)
Αν ο κωδικός της κάρτας που θα εισαχθεί είναι λανθασμένος εμφανίζει το παρακάτω μήνυμα:
Η φόρμα εισαγωγής της Paysafe κάρτας ή της κάρτας Ukash.
Τα στοιχεία της ανάλυσης
Ο ερευνητής, εντόπισε τα 3 νέα domains που διασπείρουν το σχετικό κακόβουλο λογισμικό. Τα domains είναι:
- seniorreversemortgagedfw.com
- fiatalfadealer.com
- fiatalfaofwinterhaven.com
Domain Name: SENIORREVERSEMORTGAGEDFW.COM
Registrar URL: http://www.godaddy.com
Registrant Name: Anthony Adams
Registrant Organization:
Name Server: NS69.DOMAINCONTROL.COM
Name Server: NS70.DOMAINCONTROL.COM
DNSSEC: unsigned
Ο ερευνητής δοκίμασε να επισκεφτεί την ιστοσελίδα hxxp://tvv.seniorreversemortgagedfw.com (σ.σ έχουμε αλλάξει το url με xx ώστε να μην γίνει ανακατεύθυνση από χρήστες). Το πρόγραμμα πραγματοποιεί ανακατεύθυνση στο msn.com (!)
Μετά το πρώτο GET request όπως αναφέρει ο ερευνητής, κάνει redirection σε διαφορετική ιστοσελίδα όπου πραγματοποιείται η διασπορά του κακόβουλου λογισμικού (ιού της αστυνομίας). Τα urls που γίνεται η ανακατεύθυνση είναι τα κάτωθι:
hxxp://mfdy.fiatalfadealer.com/reasonable-doubt/V6VtXawbKAwnRWpkHuVYGWwqUlcNZehSb3IKjsK8kV4Y4DncCfxpcgE7DjDf3ZjiYB/3WUsmZz9KLU_/Jb8MEIQg~~/NmMyN2RkYzJlZjRiZGRjYjM3MGE5OWQxOTJmOGZ/abuse-of-right.maff
ή στο
hxxp://htds.fiatalfaofwinterhaven.com/reasonable-doubt/V6VtXawbKAwnRWpkHuVYGWwqUlcNZehSb3IKjsK8kV4Y4DncCfxpcgE7DjDf3ZjiYB/3WUsmZz9KLU_/Jb8MEIQg~~/NmMyN2RkYzJlZjRiZGRjYjM3MGE5OWQxOTJmOGZ/abuse-of-right.maff
Και τα δύο, όπως εντοπίζει ο ερευνητής στην δικτυακή του ανάλυση, είναι hosted στην ίδια IP διεύθυνση και συγκεκριμένα στην 217.172.185.150. O εξυπηρετητής βρίσκεται στην Γερμανία στον κάτωθι ISP
Με αντιστροφή έρευνα IP των domains που αντιστοιχούν στην εν λόγω IP διαπιστώνετε ότι εξυπηρετεί τα κάτωθι domains:
- mfdy.fiatalfadealer.com
- naistekas.delfi.ee
- www.lebanonfiles.com
- www.tweetprocesor.com
Ο ερευνητής διαπίστωσε ότι αν χρησιμοποιήσει Proxy server άλλης χώρας το πρόγραμμα αναπροσαρμόζεται ανάλογα. Έτσι αν επισκεφτεί την ιστοσελίδα χρήστης από Ιταλία, εμφανίζει Ιταλική έκδοση της ιστοσελίδας κακόβουλου λογισμικού. Αν επισκεφτεί την ιστοσελίδα χρήστης από τις Η.Π.Α εμφανίζει αγγλική έκδοση της ιστοσελίδας. Το παράδοξο όμως είναι ότι αν επισκεφτεί την σελίδα χρήστης με IP διεύθυνση Κίνας εμφανίζει την ιστοσελίδα της Microsoft (www.msn.com)!!!!.
Πραγματοποιώντας μια εικασία, μπορούμε να εκφράσουμε την εκτίμηση, ότι ΠΙΘΑΝΟΝ ΑΥΤΟ να αποτελεί και ένδειξη για την προέλευση των δραστών, που πιθανόν δεν επιθυμούν να διασπείρουν το λογισμικό σε IP της χώρας τους (σ.σ Κίνα). Φυσικά κάτι τέτοιο είναι εικασία, μιας και δεν μπορεί να αποδειχτεί από τα δεδομένα που παρέθεσε ο ερευνητής και έθεσε στην διάθεσή μας.
Άμεσος περιορισμός των IP διευθύνσεων σε πανελλαδικό επίπεδο
Προτείνουμε στους Ελληνικούς παρόχους υπηρεσιών Internet (ISP's) να πραγματοποιήσουν ΑΜΕΣΟ μπλοκάρισμα στις IP διευθύνσεις που κοινοποίησε ο ερευνητής και αναγράφουμε στο παρόν άρθρο. Αυτές χρησιμοποιούνται αποκλειστικά για την διασπορά κακόβουλων λογισμικών. Εκτιμούμε ότι αυτό θα πρέπει να πραγματοποιηθεί ΑΜΕΣΑ ώστε να περιοριστεί δραστικά η περαιτέρω η διάδοση του κακόβουλου λογισμικού που έχει χτυπήσει χιλιάδες Έλληνες χρήστες στο παρελθόν. Εν προκειμένω και με τις σχετικές διαρκείς ενέργειες της ΔΗΕ αναφορικά με το φαινόμενο, η διάδοση έχει περιοριστεί στο ελάχιστο. Οι κακόβουλοι δημιουργοί, όμως προσπαθούν να χρησιμοποιούν κάθε φορά διαφορετικούς εξυπηρετητές για να συνεχίζουν την διάδοσή του.
Το SecNews προωθεί, στηρίζει και δημοσιοποιεί σε ΑΠΟΚΛΕΙΣΤΙΚΟΤΗΤΑ, προσπάθειες/έρευνες/μελέτες Ελλήνων ερευνητών (ανώνυμα ή επώνυμα) στον τομέα της ασφάλειας πληροφοριακών συστημάτων. Επιπλέον,όπως θα δείτε σε έρευνες που θα δημοσιοποιηθούν τις επόμενες εβδομάδες, ιδιαίτερο ενδιαφέρον δείχνουμε σε εξειδικευμένες περιπτώσεις εντοπισμού περιστατικών ηλεκτρονικού εγκλήματος, καταγγελίες αλλά και αναλύσεις/έρευνες που οδηγούν στον προσδιορισμό κακόβουλων χρηστών με απώτερο στόχο την προστασία του ευρύτερου κοινωνικού συνόλου και των Ελλήνων χρηστών διαδικτύου.
Ελπίζουμε και σε άλλες αντίστοιχες προσπάθειες ερευνητών, τις οποίες με χαρά θα δημοσιοποιήσουμε.
Ευχαριστούμε θερμά τον κ. Ανδρέα Βενιέρη για την έγκαιρη, έγκυρη και λεπτομερή ενημέρωση.
