Antivírus blog

vírusok, férgek, botnetek, kártevők

A nagy Krackin Networks átverés

2007. október 19. 18:13 - Csizmazia Darab István [Rambo]

Szép dolog a P2P, bár a lelkesedést valószínűleg nem minden piaci szereplő osztja. Az bizonyos, hogy valamilyen formában mindenki hallott róla, találkozott vele, alkalmi vagy akár rendszeres fogyasztóként. Vagyis tökéletes csali lehet egy új fájlmegosztó lehetőség, könnyű keresés és telepítés, azonnali élvezet ígérete csábítóan hangzik. Pontosan ezért lendültek akcióba a rosszfiúk a Vihar Vírus (StormWorm) új változataival "Krackin - The Global Sharing Network" néven. A képen gondtalan fiatalok, csinos lányok önfeledten zenét hallgatnak, táncolnak; a feltűnő lila hátterű reklám pedig az sugallja felénk: Gyere és fogyassz, van itt minden: zene, tánc, képek, video, chat és blog. Ugorjunk hát fejest és nézzük meg közelről!



Az oldal már a legelső pillanatban próbálkozik - ha nem védjük magunkat például Firefox alatt NoScripttel - és automatikusan lefuttat egy XOR és unescape segítségével kódolt  JavaScript programot, egy olyan preparált médiaállományra mutat, amivel QuickTime és más sebezhetőségeket igyekeznek távolról kihasználni.







Az XOR kódot szépen vissza is fordítottam, de az unescape-pel kevesebb szerencsém volt, ez valószínűleg a speciális kínai karakterek miatt lehetett.



Ez akkor is igyekszik fogást találni a gépünkön, ha magát a "krackin.exe" fájlt nem is  próbáljuk meg letölteni vagy futtatni.



Mi a Google segítségével tíz ilyen URL címet találtunk, ezek főleg Egyesült Államokbeli gépek voltak, de volt közte már lekapcsolt marókkoi és spanyol országi oldal is. Érdekes megemlíteni, hogy a Netcraft Toolbar már most egy nap után szépen jelezte néhány oldalnál, hogy csaló siteról van szó.



Maga kártevő egy WIN32 PE típus exefájl, többféle mérettel is előfordul, nekünk egy 85,804 bájt méretű példányhoz volt szerencsénk. Megvizsgálva a VirusTotal oldallal, az alábbi értékelést kaptuk.



Matematika órán egyik kedvenc mondatom az volt "Vegyük észre, hogy...". (A másik kedvenc amikor egy lány felelt a táblánál, és elhangzott: és most a logaritmussal egyszerűsítünk az egyenlet mindkét oldalán... bűvös mondat :-) Vegyük észre mi is, hogy az is a megtévesztést szolgálja, ha valami már nem 1.0, nem 1.1, hanem szépen kiforrott 1.2 verzió, az már biztos jó lehet. Ha netán paranoiás egyedek begépelik a korábbi verziókat a keresőbe, tisztán látszik, nem volt itt semmiféle előző változat.



Mielőtt lecserélnénk korábbi jól bevált torrent vagy egyéb (tűzfal, stb.) alkalmazásainkat, legyen bennünk némi kétkedés, ha a semmiből egyszercsak egy varázsprogram reklámablaka jelenik meg, ami jobbnak, szebbnek, használhatóbbnak állítja be magát, és csak a kattintásunkra vár.
Szólj hozzá!

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr31201427

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.