Znowu naiwności na FB: Mówię „Hi”, daję link, ty klikaj

0

Raz na jakiś czas wchodzę na Facebook’a, standardowy motyw: kupa bezsensownego śmiecia, same filmiki, zero ciekawej treści, głupie łańcuszki, ale nie dzisiaj.. dziś dostaję wiadomość.. a nawet jej zwielokrotnienie od kilku (nieznanych mi) osób – już wiem, nowy syf atakujący naiwniaków się rozprzestrzenia ;-)

No to dostajemy wiadomość o treści:

hi
http://www.daacco.com/images/homepage.html

No to najszybsza prosta analiza

Bierzemy dowolny edytor tekstowy, w moim przypadku Notepad++, otwieramy podesłany link, pierwszy wynik?

<html>
<script type="text/javascript" src="http://stn0002.com/url.js"></script>
<script type="text/javascript">
if(url === undefined)
 window.location = document.location = url2
else
 window.location = document.location = url
</script>
</html>

A zawartość dołączanego skryptu:

url = 'http://photoalbumfvb.serveblog.net'

No to lecimy dalej za następnymi łączami (chociaż ciekawi mnie zastosowanie warunku i sama obecność zmiennej url2, za chwilę spróbujemy znaleźć jakieś zmiany na stronie zależnie od innego UserAgenta)

<html>
<head>
<title>Photoalbum</title>
<style type="text/css">
<!--
.style2 {
 font-size: 26px;
 font-family: Verdana, Arial, Helvetica, sans-serif;
 font-weight: bold;
}
-->
</style>
</head>
<body>
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>&nbsp;</p>
<p align="center" class="style2"><a href="album.exe">Download photoalbum </a></p>
</body>
</html>

Co wygląda tak:

Download photoalbum

Już teraz nie wygląda to dość podejrzanie? No nic, naiwna owieczka klika.

Próba na partyzanta

Miałem sprawdzić zależnie od różnych UA zachowanie strony, a nóż znajdzie się zastosowanie do zmiennej url2. Postanowiłem odwiedzić link najlepszym przykładem partyzanckim – IE6 z brakiem najnowszych łatek :-)

Niestety. Trafiłem na wyżej pokazany „Download photoalbum” – ktoś słabo się postarał, czyli jednak czat na master naiwność ludzi, którzy chętnie zainfekują się ręcznie.

A co słychać w exe?

Waży 998KB, ikonką programu jest ikonka domyślnej przeglądarki obrazów z Windows XP, na tą chwilę w VirusTotal wykrywa trojana 16/43 skanerów.

Po uruchomieniu

Do %TEMP% wypakowują się dwa exeki: cn.exe i cn1.exe. Jest również nasz obrazek (” photo.JPG”), który będzie otworzony przez windowsową przeglądarkę obrazów. Owe exe’ki pakują się do pamięci i zostają na liście procesów, nie bronią się wzajemnie przed zabiciem. Również nie zaobserwowałem tworzenia kluczy w /Run w rejestrze, ani autostart z Menu Start, brak nowych usług.

W międzyczasie odpala się również pewien soft.exe, coś mieli w cmd.exe. Nie mam siły już szukać i przeglądać tych binarek ze względu na mozolnego kompa. Efekt końcowy uruchomienia jest taki:

Jak się wyleczyć?

Zabijasz wyżej podane procesy w menedżerze zadań (CTRL + SHIFT + ESC, zakładka procesy). Teraz pliki: Menu Start, uruchom, %TEMP%, OK. Odnajdujesz i usuwasz te dwa pliki – cn.exe i cn1.exe. Więcej rzeczy nie zdołałem zaobserwować, oczywiście puszczasz porządny skaner antywirusowy, najlepiej odpalony z osobnego systemu, patrz niezbędniki informatyka itp. Usuwasz wszystko, o co program poprosi, więcej nie klikasz w głupoty ;-)

Tagi: , , ,

Skomentuj