trojan blue

Updated – Τώρα: Κυκλοφορεί Trojan μέσω μηνυμάτων του Facebook

Ένα μήνυμα από έναν φίλο μας, μας ενημέρωσε για μια νέα απειλή (Trojan) κυκλοφορεί στο Facebook. Χρησιμοποιώντας την υπηρεσία προσωπικών μηνυμάτων του κοινωνικού δικτύου, οι απατεώνες προσπαθούν να πλασάρουν trοjans στους ανυποψίαστους χρήστες.

Ο φίλος μας από το safer-internet.gr, μας έστειλε δύο διαφορετικές εικόνες από μηνύματα του Facebook. Τα μηνύματα αναφέρουν κάτι σαν “δες το και μην το πεις σε κανέναν” και περιέχουν δύο αρχεία .rar με διαφορετικό όνομα:

foto2Ζητήσαμε τα αρχεία για να τα αναλύσουμε και φυσικά δεν περιείχε κάτι να δούμε. Αν και τα δύο rar είχαν διαφορετικό όνομα το εκτελέσιμο αρχείο που περιείχαν ήταν ακριβώς το ίδιο (ίδιο CRC .)

trojan

και το όνομα αυτού: Watch This!!!.vbs

Τα εκτελέσιμα αρχεία ήταν μορφής .vbs. Η vbscript είναι μια γλώσσα scripting (σεναρίου όπως το μεταφράζουν) και έρχεται μαζί με τα Windows. Με αυτή μπορείς να κάνεις διάφορα χρήσιμα πράγματα, όπως έχετε διαπιστώσει και από την κατηγορία Tweaks του iGuRu.gr, αλλά μπορείς να γράψεις και trοjans.

To script που περιείχαν τα 2 rar είχαν το TrοjanDownloader.Agent.NJV trοjan που έχει ευρετηριαστεί από την ESET στις 11 Φεβρουαρίου του 2012.

Τι κάνει ένα Trοjan Downloader;

Ένα Trοjan downloader με το που τρέξει στον υπολογιστή του θύματος, αναζητά πρόσβαση σε έναν απομακρυσμένο υπολογιστή για να κατεβάσει αρχεία που στη συνέχεια εγκαθιστά στον υπολογιστή που έχει μολυνθεί.

Το συγκεκριμένο Trοjan, TrοjanDownloader.Agent.NJV trojan,είναι παλιό και έτσι είναι άμεσα αναγνωρίσιμο από τα antivirus, αν φυσικά τα έχετε ενημερώσει.

Περιττό να σας πούμε ότι δεν ανοίγετε αρχεία zip, rar που δεν τα περιμένετε και σας έρχονται σε μηνύματα, ακόμα και αν γνωρίζετε αυτόν που σας το έστειλε.

Αν έχετε τρέχει ήδη το αρχείο και δεν το έχει “χτυπήσει” to antivirus που χρησιμοποιείτε αλλάξτε ή ενημερώστε την εφαρμογή ασφαλείας σας.

Update:

Ενώ τα κακόβουλα μηνύματα συνεχίζονται να έρχονται στο Facebook. αποφασίσαμε να ανοίξουμε το script για μια περαιτέρω ανάλυση.

Όλα τα κακόβουλα links φαίνεται να οδηγούν στον ίδιο ο οποίος προφανώς έχει παραβιαστεί.

Δείτε 3 από τα

hack

hack 2

hack 1

Η του iGuRu.gr ενημέρωσε τον ιδιοκτήτη του server για να πάρει τα απαραίτητα μέτρα.

Όλες οι κακόβουλες διευθύνσεις συμπεριλαμβάνονται στην παρακάτω φωτογραφία όπως αναγράφονται στο script

hack scriptΠιστεύουμε ότι ο κακόβουλος χρήστης είναι Έλληνας καθώς υπάρχουν κακόβουλα αρχεία με Ελληνικά ονόματα, όπως πχ το . /vasika/kalisperasas.zip. Επίσης ο φάκελος που κάνει για να κατεβάσει τα κακόβουλα αρχεία ονομάζεται από τον κακόβουλο χρήστη “\MyFolderakis.”

Μετά την εγκατάσταση φτιάχνει το παραπάνω φάκελο στον υπολογιστή του θύματος, κατεβάζει το .zip που περιέχει ένα . jar αρχείο.

download(csPATH)
Unzip csPATH &”\content.zip“, csPATH
Loop While ReportFileStatus(csPATH &”\sapsalo.jar

Εφόσον κατεβάσει το content.zip και τρέξει το jar (ενώ το vbs script τρέχει μόνο σε Windows, το jar τρέχει σε Windows. Mac και Linux) αρχίζει να κατεβάζει όλα τα άλλα κακόβουλα αρχεία, από τα links που δώσαμε παραπάνω.

Προσοχή, καθώς δεν κατεβάσαμε τα παραπάνω αρχεία και δεν γνωρίζουμε τι περιέχουν.

Get the best viral stories straight into your inbox!















giorgos

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

19 Comments

Leave a Reply
  1. και εμενα μου ηρθε ! πατησα πανω του αλλα μετα δεν πατησα το watch this κυνδινευω

  2. iGuru_gr dimitrios1988  Το plugin για chrome βρίσκεται στον φάκελο olmpkfnhkfomcmnodekbphlkkejkealf όπου βρίσκονται τα extensions οπότε αν για οποιονδήποτε λόγο δεν γίνεται η αφαίρεση του από μέσα από τον chrome σβήνουμε τον φάκελο χειροκίνητα.
    Για firefox το όνομα αρχείου του plugin είναι [email protected]
    Αυτά τα βρήκα διαβάζοντας τον κώδικα.. Δεν έχω κολλήσει (και δε σκοπεύω!) για να τα επιβεβαιώσω.

  3. iGuru_gr dimitrios1988  
    Από windows registry είμαι άσχετος οπότε δεν μπορώ να βοηθήσω.. Όσο αναφορά τα plugins: Το μολυσμένο plugin πρέπει να έχει όνομα: Flash player και description: Cross-platform plugin plays animations, videos and sound files. Μετά την αφαίρεση του καλό θα ήταν να αφαιρέσουμε και το zip από το οποίο μας ήρθε το οποίο βρίσκεται <φάκελος του χρήστη>AppDataLocalGoogleChromeUser DataDefaultExtensionsext.zip
    Για firefox
    <φάκελος του χρήστη>AppDataRoamingMozillaFirefoxProfilesextensionsext.zip

  4. dimitrios1988Μπορείς να γράψεις αν θέλεις ποια κλειδιά προσθέτει στη registry και τι scripts χρειάζονται αφαίρεση από τους browsers. Ευχαριστούμε για το σχόλιο

  5. Έκανα reverse engineering τον ιο.. Όποις θέλει του στέλνω τον κώδικα. όπως φαίνεται γράφει στη registry των Windows ενώ χρησιμοποιεί κάποια scriptακια για chrome και firefox

  6. Αποψε μου ηρθε και μενα ενα τετοιο μηνυμα με ενα αρχειο rar. το οποιο και πηγα να ανοιξω απο το κινητο(ios 7),ωστοσο μου εβγαλε το κλασσικο "o safari δεν μπορει να το ανοιξει κτλ".ξερει κανεις αν μπορει να υπαρξει καποιο προβλημα και σε κινητες συσκευες απο τετοιου ειδους trojan?

  7. iGuru_gr  Ξέρουμε κάποιο που να μας καλύπτει (δοκιμασμένα) απο το συγκεκριμένο trojan;

  8. @Thodoris αν το τρέξατε και έχει κατεβάσει όλα αυτά που περιγράφουμε στο ενημερωμένο άρθρο καλό θα ήταν ενημερώσετε ένα αξιόπιστο antivirus, να αποσυνδεθείτε από το internet και να σκανάρετε όλο σας το σύστημα και τους δίσκους που είναι πάνω του.

  9. Καλησπέρα. Το εφαγα και εγώ, αλλα ούτε το AVIRA ούτε το MallwareBytes το αναγνωρίζει…
    το TrοjanDownloader.Agent.NJV trοjan το έχει ήδη το avira στα αναγνωρισμένα και για να μη μου το βρίσκει σκέφτομαι μήπως είναι κάτι άλλο…
    Υπάρχει κάποιος τρόπος για manual removal???

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).