Szeretettel... vagy mégsem?

2008. január 17. 09:01 - Csizmazia Darab István [Rambo]

Alig másfél nap telt csak el, hogy az F-Secure blogban írtak a StormWorm újabb felbukkanásáról, mi is megkaptuk, több példányban is. Az angol nyelvű levél "Dance of Love" tárgysorral és egy IP címet tartalmazó linkkel érkezik, és rákattintani nem javasolt.



Az eredeti hír olvasásakor először a szokásos grafikai buherálás, kísérletezés következett:  kíváncsiság, Irfanview a neved ;-) Ha nem is elsőre, de végül sikerült a bemutatott címről is letölteni a kártevőt. Fránya egy dolog ez a satírozás, mi magunk részéről inkább a Pixelize függvényre esküszünk.



Az F-Secure oldalon bemutatott IP cím egyébként teljesen különbözött az általunk kapott levéltől, sőt a későbbi példányok is mind más helyre mutattak.



Jópofa a szöveg, miszerint ha esetleg nem indul el a letöltés 10-20 másodperc után, akkor nyomjunk kézzel a linkre. Nos erre ugyan várhatnánk ítéletnapig, jó szokás szerint itt is a felhasználónak magának kell kattintania ahhoz, hogy bambán megfertőzhesse a saját gépét, és ezt sokan kíváncsiságból meg is teszik. NoScriptes FireFox mellett a letöltési link meg sem jelenik! Próbaképpen engedélyezzük ideiglenesen a helyszínt. Az is szépen látszik, hogy a ShowIP plugin is mutatja alul pirossal a weboldal IP címét.



Oppá, meg is jött a linkünk, de kattintás előtt - fokozzuk a feszültséget - nézzünk bele az oldal forrásába!


Vajon az fck2008 milyen angol szónak lehet a rövidítése? ;-)

Jól látható, hogy sok jóindulat nem tétetelezhető fel arról, aki a linkjeit Unescape függvénnyel próbálja elrejteni a nagyérdemű fürkész pillantásai elől. Kódoljuk hát vissza láthatóra ezt a zagyvalékot.



Aham, szoval kétféle exe töltödik a gépünkre, próba indul, kattintsuk hát arra a linkre, és már jön is a "withlove.exe".



Bekapcsolt NOD32-vel semmi az ég világon nem történik, a figyelmezető ablakok felbukkanásán kívül. Matamatika órákról kölcsönözve az "és most vegyük észre" szófordulatot érdemes megfigyelni, hogy az ingyenes vírusirtók közül sem az Avast, sem a Clamav nem detektálta a kártevőt, a nagy nevek szinte mind észlelték - talán a Panda a kivétel.



Bármilyen antivírust is válasszunk, érdemes erős heurisztikus képességgel felvértezett darabot kiszemelni, a Viharféreg variánsokkal - sajnos - biztosan nem most találkoztunk utoljára.
5 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

titan 2010.04.27. 12:15:49

Izé, csak én nem vettem észre, hogy a ClamAV nem ismerte fel? Legalábbis ha a nevével egy sorban levő másik cellát nézem, ott vörösen világít a Trojan:Peed-89

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2010.04.27. 12:38:12

Szia Titan!

De-de-de, pontosan az a jó, ha szerepel ott valamilyen név, akkor van felismerés. Aki nem ne detektálja, annak csak egy - jel jut.

titan 2010.04.28. 14:51:17

@Csizmazia István [Rambo]: akkor szerintem picit írd át ezt a mondatot:
"és most vegyük észre" szófordulatot érdemes megfigyelni, hogy az ingyenes vírusirtók közül sem az Avast, sem a Clamav nem detektálta a kártevőt
Talán elnézted egy sorral annó :) megesik...

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2010.04.28. 18:44:53

@Titan: Jogos, tényleg mellénéztem, elnézést.

titan 2010.04.29. 12:51:18

Semmi gond, nem a ClamAV ügynöke vagyok :D
süti beállítások módosítása