Szép dolog a P2P, bár a lelkesedést valószínűleg nem minden piaci szereplő osztja. Az bizonyos, hogy valamilyen formában mindenki hallott róla, találkozott vele, alkalmi vagy akár rendszeres fogyasztóként. Vagyis tökéletes csali lehet egy új fájlmegosztó lehetőség, könnyű keresés és telepítés, azonnali élvezet ígérete csábítóan hangzik. Pontosan ezért lendültek akcióba a rosszfiúk a Vihar Vírus (StormWorm) új változataival "Krackin - The Global Sharing Network" néven. A képen gondtalan fiatalok, csinos lányok önfeledten zenét hallgatnak, táncolnak; a feltűnő lila hátterű reklám pedig az sugallja felénk: Gyere és fogyassz, van itt minden: zene, tánc, képek, video, chat és blog. Ugorjunk hát fejest és nézzük meg közelről!


Az oldal már a legelső pillanatban próbálkozik - ha nem védjük magunkat például Firefox alatt NoScripttel - és automatikusan lefuttat egy XOR és unescape segítségével kódolt  JavaScript programot, egy olyan preparált médiaállományra mutat, amivel QuickTime és más sebezhetőségeket igyekeznek távolról kihasználni.



Az XOR kódot szépen vissza is fordítottam, de az unescape-pel kevesebb szerencsém volt, ez valószínűleg a speciális kínai karakterek miatt lehetett.


Ez akkor is igyekszik fogást találni a gépünkön, ha magát a "krackin.exe" fájlt nem is  próbáljuk meg letölteni vagy futtatni.


Mi a Google segítségével tíz ilyen URL címet találtunk, ezek főleg Egyesült Államokbeli gépek voltak, de volt közte már lekapcsolt marókkoi és spanyol országi oldal is. Érdekes megemlíteni, hogy a Netcraft Toolbar már most egy nap után szépen jelezte néhány oldalnál, hogy csaló siteról van szó.


Maga kártevő egy WIN32 PE típus exefájl, többféle mérettel is előfordul, nekünk egy 85,804 bájt méretű példányhoz volt szerencsénk. Megvizsgálva a VirusTotal oldallal, az alábbi értékelést kaptuk.