Sarah18

2008. január 08. 14:37 - Csizmazia Darab István [Rambo]

A Messengeren kopogtatnak című postra reagált kedves olvasónk, és egy ropogós, friss trójai támadásáról készült képernyőképpel örvendeztetett meg minket. A sejtetett 18+ tartalom helyett persze egy backdoor trójai található a ZIP csomagban. Nekünk a fájlnév alapján Wagner B. György nagysikerű könyve, a "Sarah bugyiban - avagy a hazug embert hamarabb utólérni, ha sánta" című nagysikerű műve ugrott be szabad asszociációként - ezt jószívvel ajánljuk mindenkinek lazításképpen vagy csak úgy,  látókörtágítás-ügyileg ;-)



A megjelölt weboldal egy már évek óta ténykedő legális fórumoldal, tehát nem egy kifejezetten kártevők terjesztésére szakosodott tiszavirág életű weblap kísérel megmerényelni bennünket.



Az Egyesült Államokban üzemeltettett oldal bejegyzési adatai és körülményei is  tisztának látszanak.



Ennek ellenére az a bizonyos állomány még mindig elérhető a megjelölt helyről, de szerencsére vírusirtónk a résen volt. VÍRUSIRTÓ NÉLKÜL senki ne próbálkozzon!



Hogy egyáltalán letölthessük, ideiglenesen kikapcsoljuk és megnézzük közelebbről. A "sarah.zip" esetünkben egy "IMG_8783.scr" kiterjesztésű, azaz képernyő védő futtatható állományt rejt magában, a futtatható kód EXE fejléccel rendelkezik és gyaníthatóan Morphine típusú packer segítségével van összetömörítve. Itt már kevés jóindulatot sejthetünk, hiszen a trükkös exepackerek nem csak a kisebb méret okán használatosak, hanem segítségükkel igyekeznek a gyanús kódokat leplezni, illetve a visszafejtésüket nehezíteni.



A VirusTotallal vizsgálva jól látszik, hogy a jelentősebb víruskeresők már ismerik.



A vizsgálat eredményét nem befolyásolta, hogy a ZIP-et vagy magát az SCR-t vizsgáltuk.



A táblázat alján a Prevx kínál bővebb információt, ebben elég részletesen írnak róla. Spanyolországban és Magyarországon észlelték,
legtöbbször WKSSVR.EXE néven bukkant fel és képes processzeket eltéríteni a memóriában, HTTP prokollon keresztül képes másik számítógéppel kommunikálni, és hasonlók, íme itt a részletes lista:



Az azonnali üzenetküldő programok egyre inkább közkedvelt támadási célpontok a vírusírók számára, mivel a felhasználók általában gyanútlanok a kapcsolataikkal szemben, akik gyakran barátok, vagy közeli ismerősök, kollégák. Ezáltal könnyebben fogadnak el tőlük fájlokat, linkeket, hiszen azok nem idegentől, ismeretlen forrásból, hanem egy megbízhatónak vélt személytől érkeznek. Ne tegyük!
3 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr56289268

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

balint96 2008.01.18. 14:55:39

Hello!
Bocs hogy ilyen későn írok(végül is én adtam az ötletet :-) )Kösz hogy ilyen részletesen leírtad, nekem sajna nincs időm,szakértelmem utánanyomozni.Amúgy azt elfelejtettem megírni hogy a vírus anyukámnál az egyik ismerősétől érkezett akit pár héttel azelőtt tiltott le mert valami miatt állandóan újracsatlakozott, a csilingelő hang pedig élénk sztepptáncot okozott a sorban elpattanó idegszálakon :D.

balint96 2008.01.18. 15:00:01

Ui.:Jé,törölték a kwickfix.org-ot(legalábbis nekem nem jön be)

titan 2010.04.27. 10:03:52

Sajnos tapasztalat. Ha a malware-ek gazdái ftp-jelszavakhoz jutnak, ártatlan oldalakra tehetik fel ezeket a programokat. Így "tiszta" környezetből töltődnek le, megbízható forrásúnak tűnnek és mivel a google is csak az ártatlan oldalt fogja büntetni, így gyakorlatilag a fent említett gazdák más f***val verik a csalánt. (Webhosting cégem van, elég sokat küzdöttem már az ügyfelek oldalaiért...)