Csináld magad fapados Autorun féreg

2011. november 07. 13:05 - Csizmazia Darab István [Rambo]

Éppen most tettük közzé az október havi vírusstatisztikát, és ebben elmélkedtünk arról is, miért vezethet már hetedik hónapja az Autorun. Ha a választ nem is fejtettük meg, megint találtunk valamit, ami még rákapaszkodhatott a mérleg serpenyőjére, és talán növelte valamicskét az ezzel kapcsolatos fertőzések számát.

Az ESET víruslaborjában figyeltek fel egy PHP nyelven készült kártevőre, amely a megtévesztés többféle eszközével felvértezve próbál meg adatokat eltulajdonítani az áldozatok gépéről. Kezdjük azzal, hogy szokatlan, hogy egy kártevőt ne alacsony szintű, hanem "mezei" szkript nyelven írjanak, erre maximum pár darab PoC, azaz Proof of Concept kód készült: lám, na ugye, hát ilyet is lehet, megmutattuk, nesze. Esetünkben a PHP kódot a Bambalam PHP Exe Compiler segítségével hozták EXE, azaz Windows alatti bináris futtatható formátumúra.

A megtévesztésre nem véletlenül célozgattunk, ugyanis abból több kilónyi található benne, kezdésnek mindjárt a kiechozótt üzenet, amely cseh nyelven írja az alábbiakat: "(C) Copyright 1985-2001 Microsoft Corp. Inicializálás... Ez a művelet néhány percet vesz igénybe. Kérem várjon ... ". Egy rejtőzködő és adatlopó kártevő nyilván nem azt fogja kiírni, én egy vírus vagyok, egy MS üzenet pedig ártatlannak és hivatalosnak látszik.

Vegyük észre, hogy egy vadonatúj kártevőben milyen okosan és rafináltan használnak "Copyright 1985-2001" szöveget, erősítve az ártatlanság látszatát, ez már régóta a Windows része, nem egy friss kód. A fertőzés folyamán létrehozott Autorun.inf pedig többek közt olyan neveket is alkalmaz, mint setup.exe vagy például install.exe.


A fapados jelzőt pedig az magyarázza, hogy különösebb programozói kunsztok helyett az olyan alapparancsok kimeneteinek fájlba irányításával nyerik ki a kikémlelt információt, mint net user, ipconfig, netstat, arp, tasklist vagy regedit. A begyűjtött információk elég széles kört ölelnek fel, többek közt ICQ és egyéb IM kliens adatok és üzenetek, böngészőkliensek (IE, Mozilla Firefox, Opera, Chrome) mentett jelszavai, levelezőkliensek (Outlook, Outlook Express, Mozilla Thunderbird) mentett jelszavai, Total Commander régi változatiban clear textben mentett FTP jelszavai, Windows hitelesítési információk, a Windows Address Book címjegyzék tartalma, a Windows User Account részletei, hálózati címek, nyitott kapcsolatok, a futó processzek és szervizek listája, a környezeti változók, a felhasználó összes könyvtára és állománya, a legutóbb megnyitott dokumentumok listája, a Registry teljes tartalma, valamint a Windows és MS Office termékkulcsok adatai.

Az összeharácsolt adatokat aztán a 80-as porton HTTP POST módon küldözgetik ki egy .gz típusú tömörített állományban. A NOD32 és ESS detektálja a PHP férget, Win32/AutoRun.PSW.Agent.E néven érkezik rá a riasztás. Látható, hogy kifinomult és különösen szofisztikált víruskód nélkül is lehet LEGO elemek mintájára összeállítani működőképes kártevőt. Emellett tanulság lehet még, hogy nem csak zoknit és alsónadrágot kell több-kevesebb rendszerességgel cserélni, hanem jelszót is ;-) Jelszólopás gyanú esetén pedig nem a meglévő account begépelése szükséges esetleg további ismeretlen indíttatású "lopásellenőrző" weboldalon, hanem valóban erős, egyedi új jelszó választása Speedy Gonzalest meghazudtoló gyorsasággal.

Szólj hozzá!

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása