Április bolondja

2008. április 03. 12:54 - Csizmazia Darab István [Rambo]

Sok vicces hírt olvashattunk 1-én, többek közt a vissza az MS DOS-szal a számítógépekre, és a Feltörték a Linuxfórumot sem volt rossz tréfa, bár lehet, hogy nem jó az ördögöt a falrafesteni. Mint minden alkalom, ez sem maradt ki azonban a kártevő terjesztők repertoárjából, vírusküldésre nagyon is alkalmas a bolondok napja. Csak ez sajnos egyáltalán nem vicces...



Egyedül abban bízhatunk, hogy a recept már annyira sablonos, hogy talán ez már előbb-utóbb feltűnik a számítógépet használóknak, és kétszer nem lépnek bele ugyanabba a folyóba. Szóval érkezik egy - szerencsére nem magyar - angol nyelvű e-mail, benne egy IP címes linkkel, és az susogja a fülünkbe: Meglepetés!



A szószátyárság nem sajátja a brigádoknak, ez van. S hogy a meglepetés kiknél lesz kellemetlen, abban nyilván része lesz az olyanoknak, akik vírus- és kémirtó nélkül végzik napi sétájukat az internet országútján.


A weboldalon azonnal megpróbál letöltődni egy Funny.exe nevű állomány

Azt kell észrevenni, hogy az ilyen támadások már nem jelentenek külön extra munkát a rosszfiúknak, egy pici ötlet kell hozzá, milyen képet jelenítsen meg, hány fertőzött gépet használjon, hány percenként cserélődjenek a fertőzött oldalak címei, és slussz-passz kész:  sorozatgyártásban, automatikusan generálják őket. Amikor ez a mostani fut, már rég a következő ünnep, alkalom, tragédia, olimpia, politikai eseményt keresik és készül a még újabb kampány.


A keletkező állomány neve lehet kickme.exe vagy foolsday.exe is

A mi házunk táján meg a naprakész vírusvédelem, a naprakész operációs rendszer, és minden biztonsági javítással felvértezett alkalmazások kelle(né)nek, és nyugalom lenne.


Az, hogy a vírusírók írják és szétküldik, ez szinte olyan, mint hogy kék az ég és zöld a fű - nem igazán tudjuk megváltoztatni. De az, ahogy a tudatlan felhasználókból élnek, őket kihasználják és a botnetekben irányítható fertőzött gépek seregével terjesztik a kórt, az már igen is a mi felelősségünk, a felhasználók közös problémája. Ne legyünk mi egész évben április bolondja!


Szerencsére a víruskeresők jó részében már a heurisztika riaszt

Amíg lesznek olyanok, akik vagy nem értenek hozzá, és nem értik mi a probléma, vagy csak lusták esetleg nem is érdekli őket, hogy másoknak mit okoznak saját felelőtlenségükkel és figyelmetlenségükkel, addig gépeik mindenkire ontják az internet szemetét, kártevőit, támadásait. Lehet, hogy mégis kéne jogosítvány az internetezéshez?
7 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Algernon 2008.04.04. 19:45:02

Az oldalon megváltoztatták a képet és a "programot" is. Az új változat tényleg vírusmentes lenne?
www.virustotal.com/hu/analisis/96dacb162ee81d92181f2538cfc31952

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.04.04. 22:35:13

Szia Algernon!
Szerintem vigyázz inkább, mert szinte biztos, hogy ez újabb Storm variáns. A VirusTotal oldalon még a régebbi, 2.7-es verzió van, de ha az új, 3.0-s változattal próbálom letölteni, a NOD32 rögtön riaszt rá az alábbi üzenettel: "Valószínűleg módosult Win32/Statik alkalmazás" és karanténba teszi a withlove.exe állományt.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.04.05. 14:25:30

Az is jól látható, hogy Algernon exéjének MD5-je teljesen különbözik attól, amit én vizsgáltam, vagyis a weboldal ontja különféle variánsokat, talán minden egyes letöltött fájl különbözik.
Algernon féle exe:
File size: 139776 bytes
MD5...: f602901cf345b5279e8099b27e240d1a
SHA1..: 96a97e479bd61a544ab4525f699b3a3d538e24cd
Amit én néztem:
File size: 139777 bytes
MD5...: e6c08ec8e4bd8dcfff118eed25a50508
SHA1..: 45081aa3d91b26be00e35e4d3ad1a71656eaf7c7

Algernon 2008.04.05. 22:17:56

Én Avasttal néztem, nem morgott rá. Az exe-t letöltöttem, feltöltöttem, majd kitöröltem, remélem, így nem veszélyes. A biztonság kedvéért futtattam egy eset online scant is, de nem talált semmit. Az Avast egy kicsit fejlődhetne a heurisztikájában...
A withlove exén kívül más kártevő be lehetett ágyazva az oldalba? Ugyanis a temp könyvtáramból valami abrakadabra.exe internethozzáférésért folyamodott, de csak karantént kapott.:)

Viszont el kell ismerni, nem lehetnek rosszak a stormos fiúk, hétről-hétre a víruskergetők előtt járnak. Szép teljesítmény a nodtól, hogy elkapta.

Algernon 2008.04.07. 12:21:20

Aki szeretne angelina jolies screen savert, figyelje a postaládájában a legfrissebb spameket. :)

www.virustotal.com/de/analisis/e85d14b15f7b6758b01318ed237e17d8

zoloe 2008.04.07. 16:12:44

Szia Algernon,
megnéztem, és tényleg volt a kukámban ilyen spam! :)
Köszi, hogy szóltál, a 3007-es adatbázistól (20080407) már a NOD32 is felismeri, Win32/Wigon.BM trójai néven.
süti beállítások módosítása