Alig másfél nap telt csak el, hogy az F-Secure blogban írtak a StormWorm újabb felbukkanásáról, mi is megkaptuk, több példányban is. Az angol nyelvű levél "Dance of Love" tárgysorral és egy IP címet tartalmazó linkkel érkezik, és rákattintani nem javasolt.
Az eredeti hír olvasásakor először a szokásos grafikai buherálás, kísérletezés következett: kíváncsiság, Irfanview a neved ;-) Ha nem is elsőre, de végül sikerült a bemutatott címről is letölteni a kártevőt. Fránya egy dolog ez a satírozás, mi magunk részéről inkább a Pixelize függvényre esküszünk.
Az F-Secure oldalon bemutatott IP cím egyébként teljesen különbözött az általunk kapott levéltől, sőt a későbbi példányok is mind más helyre mutattak.
Jópofa a szöveg, miszerint ha esetleg nem indul el a letöltés 10-20 másodperc után, akkor nyomjunk kézzel a linkre. Nos erre ugyan várhatnánk ítéletnapig, jó szokás szerint itt is a felhasználónak magának kell kattintania ahhoz, hogy bambán megfertőzhesse a saját gépét, és ezt sokan kíváncsiságból meg is teszik. NoScriptes FireFox mellett a letöltési link meg sem jelenik! Próbaképpen engedélyezzük ideiglenesen a helyszínt. Az is szépen látszik, hogy a ShowIP plugin is mutatja alul pirossal a weboldal IP címét.
Oppá, meg is jött a linkünk, de kattintás előtt - fokozzuk a feszültséget - nézzünk bele az oldal forrásába!
Jól látható, hogy sok jóindulat nem tétetelezhető fel arról, aki a linkjeit Unescape függvénnyel próbálja elrejteni a nagyérdemű fürkész pillantásai elől. Kódoljuk hát vissza láthatóra ezt a zagyvalékot.
Aham, szoval kétféle exe töltödik a gépünkre, próba indul, kattintsuk hát arra a linkre, és már jön is a "withlove.exe".
Bekapcsolt NOD32-vel semmi az ég világon nem történik, a figyelmezető ablakok felbukkanásán kívül. Matamatika órákról kölcsönözve az "és most vegyük észre" szófordulatot érdemes megfigyelni, hogy az ingyenes vírusirtók közül sem az Avast, sem a Clamav nem detektálta a kártevőt, a nagy nevek szinte mind észlelték - talán a Panda a kivétel.
Bármilyen antivírust is válasszunk, érdemes erős heurisztikus képességgel felvértezett darabot kiszemelni, a Viharféreg variánsokkal - sajnos - biztosan nem most találkoztunk utoljára.
titan 2010.04.27. 12:15:49
Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2010.04.27. 12:38:12
De-de-de, pontosan az a jó, ha szerepel ott valamilyen név, akkor van felismerés. Aki nem ne detektálja, annak csak egy - jel jut.
titan 2010.04.28. 14:51:17
"és most vegyük észre" szófordulatot érdemes megfigyelni, hogy az ingyenes vírusirtók közül sem az Avast, sem a Clamav nem detektálta a kártevőt
Talán elnézted egy sorral annó :) megesik...
Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2010.04.28. 18:44:53
titan 2010.04.29. 12:51:18