Silno, mislim SILNO gresis sinko

1

Silno, mislim SILNO gresis sinko

offline
  • Pridružio: 12 Jan 2005
  • Poruke: 484
  • Gde živiš: Beograd

U F-Secure labu je izvrseno jedno veoma zanimljivo istrazivanje koje se ticalo slucajnih greski pri kucanju web adresa u browser-ima…recimo…sta sve moze da se desi ako pogresno otkucate google.com? Jedna od varijanti pogresnog kucanja je googkle(dot)com (molimo Vas da NE idete na tu adresu , pogotovo bez adekvatne zastite). Upravo ta varijanta pogresno otkucane adrese vodi na sajt kojim pokrecete otvaranja ogromnog broja stranica koje sadrze exploit-e u najrazlicitijim formatima: HTML, CHM, JS, VBS, EXE, JAR…you name it, they have it! Kao rezultat, siroti korisnik ce zavrsiti sa masinom zarazenom ozbiljnim malware i spyware aplikacijama, te stoga, redovan update i efikasna zastita molim.

DETALJNIJI OPIS:

Nakon otvaranja stranice, kompjuter je “kidnapovan” (hehe) i gomila malware-a se automatski download-uje i instalira na masinu: trojan dropper-i, trojan downloader-i, backdoor-ovi, proxy trojanci i spying trojanci ... +/- nekoliko adware fajlova.

Istrazivanje kompanije F-Secure otkrilo je da ceo proces inficiranja krece sa gookle(dot)com sajta. Ovaj, kao i neki povezani sajtovi sa njim vlasnistvo su ljudi sa ruskim imenima (Ajvan the Naughty One npr Wink, dok neki fajlovi koji se download-uju sadrze tekstove na... pogadjate... opet ruskom.

Otvaranjem stranice, pojavljuju se dva popup prozora koji su linkovani na www(dot)ntsearch(dot)com i toolbarpartner(dot)com sajtove.

ntsearch(dot)com download-uje i pokrece 'pop.chm' fajl dok toolbarpartner(dot)com izvrsava 'ddfs.chm' fajl. Oba fajla se skidaju uz pomoc exploit-a slicnih onima koje i sami sadrze, a koji pokrecu izvrsne fajlove. Jedna od stranica toolbarpartner(dot)com sajta skida fajl pod nazivom 'pic10.jpg' opet uz pomoc exploit-a. Ovaj JPG fajl je u stvari exe koji zamenjuje Windows Media Player aplikaciju.

Na sve to, ovi sajtovi pokrecu stream web stranica sa razlicitim exploit-ima koji skidaju na racunar dva fajla sa daosearch(dot)com sajta: 'web.exe' i 'classload.jar'.

Sto se JAR arhive tice, konkretan malware je u 'installer.class' fajlu, koji dalje download-uje fajlove sa iste lokacije gde je JAR fajl bio postavljen.

Applet prvo trazi nazive fajlova za download sa Applet parameter ModulePath (specificiran u HTML tagu). Ako parametar nije postavljen, default je 'msxmidi.dat'. Nakon sto je fajl skinut, applet dobija lokaciju Windows direktorijuma sa GetWindowsDirectory(), snima skinuti exe kao 'web.exe' i pokrece ga.

Kako je ranije napomenuto, dva CHM fajla se skidaju i izvrsavaju na racunaru. 'pop.chm' drop-uje 'sp.exe' fajl i pokrece ga. On se detektuje kao 'Trojan.Win32.Spooner.f'.

'ddfs.chm' fajl drop-uje 'frame.exe' i pokrece ga. To je trojan downloader koji se detektuje kao 'Trojan-Downloader.Win32.Small.apf'. Njegova funkcija jeste da automatski odgovara na security pitanja koja indows postavlja, da bi na taj nacin obezbedio konekciju njegovog procesa i Interneta. Ovaj downloader skida i izvrsava sledece fajlove sa toolbarpartner(dot)com sajta: 'xz.exe' i 'ggl.exe'.

'xz.exe' je trojan dropper koji se detektuje kao 'Trojan-Dropper.Win32.Small.vv'. Postavlja DLL fajl pod nazivom 'winloadhh.dll' (detektuje se kao 'Trojan-Downloader.Win32.Small.anu') u root folder C: drajva. Ovaj DLL je opet downloader koji se konektuje na dva sajta da bi dobio listu fajlova za download: toolbarpartner(dot)com i sturfajtn(dot)com.

Poslednji put kada je F-Secure proveravao ove sajtove, sadrzavali su sledeci spisak fajlova za download. sturfajtn(dot)com: 'next3.exe', 'next1.exe' i 'next2.exe'. toolbarpartner(dot)com: 'ggl.exe', 'svchosts.exe', 'proxyrnd.exe', ldr.exe', 'toolbar.exe', 'inst.exe' i 'winran.exe'.

Ovi fajlovi se trenutno detektuju na sledeci nacin:

next1.exe – Trojan-Spy.Win32.Banker.jk

next2.exe – Trojan-Proxy.Win32.Small.bh

next3.exe – Backdoor.Win32.Zins.c

ggl.exe – Trojan-Dropper.Win32.Small.vn

inst.exe – Trojan-Dropper.Win32.Small.wp

ldr.exe – Trojan-Downloader.Win32.Agent.lv

proxyrnd.exe – Backdoor.Win32.Jeemp.c

Sasvim lepa skupina kako se vidi iz prilozenog...

'winran.exe' se skida sa pillz(dot)info sajta i predstavlja trojan-dropper. Kopira se u Windows System folder sa random nazivom i drop-uje DLL takodje sa random nazivom u isti folder. DLL modifikuje HOSTS fajl u cilju blokiranja pristupa sledecim sajtovima:

downloads1.kaspersky-labs.com

downloads2.kaspersky-labs.com

downloads3.kaspersky-labs.com

downloads4.kaspersky-labs.com

download.mcafee.com

liveupdate.symantecliveupdate.com

liveupdate.symantec.com

update.symantec.com

'svchosts.exe' je opet trojan-dropper koji postavlja DLL pod nazivom 'svchosts.dll' u Windows System folder. Ovaj DLL simulira laznu virus uzbunu na desktop. Tekst prozora sa uzbunom glasi ovako (sacuvan je originalni spelling):

VIRUS ALERT!

YOUR PC IS INFECTED!

IT HAS BEEN DETECTED THAT YOUR PC HAS AT LEAST 3 DANGEROUS VIRUSES!

TO KNOW FOR SURE YOU URGENTLY NEED TO RUN AN ANTIVIRUS TEST ON YOUR PC!

The consequences of spyware and virus presence on your pc might belike:

Loosing all the data, data might be stolen,your secrets might beexposed.

PROTECT YOUR PC!

REMOVE ALL VIRUSES NOW!

Ova lazna uzbuna kreirana je postavljanjem HTML strane na desktop, tako da korisnik moze da klikne na prozor i ode na predefinisanu stranu sajta topantivirus(dot)biz

Ovaj sajt nudi linkove ka razlicitim sajtovima koji opet nude antiviruse i antispyware programe za download. Moto sajta je 'Top Antivirus – We help people.'. Nazalost, nacin na koji se ljudi usmeravaju ka tom sajtu mi je nekako sumnjiv...

'toolbar.exe' je adware instaler, koji instalira toolbar pod nazivom 'Perez'.

'pic10.jpg' je trojan dropper slican 'frame.exe' fajlu. Takodje postavlja DLL pod nazivom 'winloadhh.dll' u root C: drajva. Ovaj DLL ima istu funkciju kao DLL detektovan pod nazivom 'Trojan-Downloader.Win32.Small.anu' koji smo vec pomenuli.



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
offline
  • ZoNi  Male
  • Free Your Mind!
  • Pridružio: 26 Feb 2005
  • Poruke: 5757
  • Gde živiš: Singidunum

ja sad bio na googkle-u i nista nisam primetio...



offline
  • Ceva  Male
  • Super građanin
  • Pridružio: 10 Mar 2005
  • Poruke: 1312
  • Gde živiš: Leskovac

@ ZoNi zato sto imas avast aj sad instaliraj kav pa skeniraj pa vidi dali nemas nista ? ? ?

Dopuna: 26 Apr 2005 18:51

ps. nemoj da se ljutis sto sam reko to za avast ali sam ga i ja koristio. sad trenutno imam nod32, ali ipak tvrdim da je kav najbolji ? ? ?

offline
  • ZoNi  Male
  • Free Your Mind!
  • Pridružio: 26 Feb 2005
  • Poruke: 5757
  • Gde živiš: Singidunum

ma, ne... nisam ni avastom skenirao komp, nego samo sam pratio sta se desava i nisam primetio nista neobicno...

offline
  • Pridružio: 12 Jan 2005
  • Poruke: 484
  • Gde živiš: Beograd

ako tvoj Avast nema real time zastitu nista ni ne mozes da vidis...

offline
  • Pridružio: 20 Feb 2005
  • Poruke: 4505
  • Gde živiš: planeta Zemlja

ma stiti avast! u real time-u ( i ako skida toliko trojanaca garant bi primeto nekog...)...
Sta sve nece da smisle strasno.....
m.p. Zonijeva linija odbrane je Kerio Wink ... Da vidim troje na delu

Dopuna: 26 Apr 2005 20:47

kako su se setili samo da rade ovakav test???

offline
  • Pridružio: 17 Mar 2005
  • Poruke: 80

Smo redovno raditi update i nece biti problema!!!!

offline
  • leta 
  • BitDefender Distributer
  • Pridružio: 21 Mar 2005
  • Poruke: 481
  • Gde živiš: crayze land

heheh nema nista samo block:)))

offline
  • Pridružio: 13 Maj 2004
  • Poruke: 166
  • Gde živiš: Banja Luka

I ja sam otisao na googkle i nista (pratio sam rad procesora, ma ni da mrdne). Imam KAV + KAH.
F-SECURE Distributer jesi li siguran za tu informaciju?

offline
  • Pridružio: 12 Jan 2005
  • Poruke: 484
  • Gde živiš: Beograd

Pa ovi moji iz centrale su obavestili i Google i "proper authorities"... mozda su zatvorili to do sada ...

Ali bilo je ... no u svakom slucaju je interesantno cega se sve ne sete ... misspell poznatih sajtova

Ko je trenutno na forumu
 

Ukupno su 1290 korisnika na forumu :: 37 registrovanih, 1 sakriven i 1252 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 1567 - dana 15 Jul 2016 19:18

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: A.R.Chafee.Jr., Apok, Bane san, beowl, Djokkinen, Drug pukovnik, duskovuk63, Gama, gile58, ILGromovnik, Kaplar2, Kos93, krauterbox, Kubovac, Markoni29, Metanoja, minmatar34957, Mlav, MORAVA1, Moravac97, Oscar, ostoja2, ozz, Predrag Macura, renoje2, RJ, royst33, Shomy2, skvara, t84dar, VJ, vlad the impaler, Vlada1389, VladaKG1980, VP3987, zlaya011, znaisha