|
U F-Secure labu je izvrseno jedno veoma zanimljivo istrazivanje koje se ticalo slucajnih greski pri kucanju web adresa u browser-ima…recimo…sta sve moze da se desi ako pogresno otkucate google.com? Jedna od varijanti pogresnog kucanja je googkle(dot)com (molimo Vas da NE idete na tu adresu , pogotovo bez adekvatne zastite). Upravo ta varijanta pogresno otkucane adrese vodi na sajt kojim pokrecete otvaranja ogromnog broja stranica koje sadrze exploit-e u najrazlicitijim formatima: HTML, CHM, JS, VBS, EXE, JAR…you name it, they have it! Kao rezultat, siroti korisnik ce zavrsiti sa masinom zarazenom ozbiljnim malware i spyware aplikacijama, te stoga, redovan update i efikasna zastita molim.
DETALJNIJI OPIS:
Nakon otvaranja stranice, kompjuter je “kidnapovan” (hehe) i gomila malware-a se automatski download-uje i instalira na masinu: trojan dropper-i, trojan downloader-i, backdoor-ovi, proxy trojanci i spying trojanci ... +/- nekoliko adware fajlova.
Istrazivanje kompanije F-Secure otkrilo je da ceo proces inficiranja krece sa gookle(dot)com sajta. Ovaj, kao i neki povezani sajtovi sa njim vlasnistvo su ljudi sa ruskim imenima (Ajvan the Naughty One npr  , dok neki fajlovi koji se download-uju sadrze tekstove na... pogadjate... opet ruskom.
Otvaranjem stranice, pojavljuju se dva popup prozora koji su linkovani na www(dot)ntsearch(dot)com i toolbarpartner(dot)com sajtove.
ntsearch(dot)com download-uje i pokrece 'pop.chm' fajl dok toolbarpartner(dot)com izvrsava 'ddfs.chm' fajl. Oba fajla se skidaju uz pomoc exploit-a slicnih onima koje i sami sadrze, a koji pokrecu izvrsne fajlove. Jedna od stranica toolbarpartner(dot)com sajta skida fajl pod nazivom 'pic10.jpg' opet uz pomoc exploit-a. Ovaj JPG fajl je u stvari exe koji zamenjuje Windows Media Player aplikaciju.
Na sve to, ovi sajtovi pokrecu stream web stranica sa razlicitim exploit-ima koji skidaju na racunar dva fajla sa daosearch(dot)com sajta: 'web.exe' i 'classload.jar'.
Sto se JAR arhive tice, konkretan malware je u 'installer.class' fajlu, koji dalje download-uje fajlove sa iste lokacije gde je JAR fajl bio postavljen.
Applet prvo trazi nazive fajlova za download sa Applet parameter ModulePath (specificiran u HTML tagu). Ako parametar nije postavljen, default je 'msxmidi.dat'. Nakon sto je fajl skinut, applet dobija lokaciju Windows direktorijuma sa GetWindowsDirectory(), snima skinuti exe kao 'web.exe' i pokrece ga.
Kako je ranije napomenuto, dva CHM fajla se skidaju i izvrsavaju na racunaru. 'pop.chm' drop-uje 'sp.exe' fajl i pokrece ga. On se detektuje kao 'Trojan.Win32.Spooner.f'.
'ddfs.chm' fajl drop-uje 'frame.exe' i pokrece ga. To je trojan downloader koji se detektuje kao 'Trojan-Downloader.Win32.Small.apf'. Njegova funkcija jeste da automatski odgovara na security pitanja koja indows postavlja, da bi na taj nacin obezbedio konekciju njegovog procesa i Interneta. Ovaj downloader skida i izvrsava sledece fajlove sa toolbarpartner(dot)com sajta: 'xz.exe' i 'ggl.exe'.
'xz.exe' je trojan dropper koji se detektuje kao 'Trojan-Dropper.Win32.Small.vv'. Postavlja DLL fajl pod nazivom 'winloadhh.dll' (detektuje se kao 'Trojan-Downloader.Win32.Small.anu') u root folder C: drajva. Ovaj DLL je opet downloader koji se konektuje na dva sajta da bi dobio listu fajlova za download: toolbarpartner(dot)com i sturfajtn(dot)com.
Poslednji put kada je F-Secure proveravao ove sajtove, sadrzavali su sledeci spisak fajlova za download. sturfajtn(dot)com: 'next3.exe', 'next1.exe' i 'next2.exe'. toolbarpartner(dot)com: 'ggl.exe', 'svchosts.exe', 'proxyrnd.exe', ldr.exe', 'toolbar.exe', 'inst.exe' i 'winran.exe'.
Ovi fajlovi se trenutno detektuju na sledeci nacin:
next1.exe – Trojan-Spy.Win32.Banker.jk
next2.exe – Trojan-Proxy.Win32.Small.bh
next3.exe – Backdoor.Win32.Zins.c
ggl.exe – Trojan-Dropper.Win32.Small.vn
inst.exe – Trojan-Dropper.Win32.Small.wp
ldr.exe – Trojan-Downloader.Win32.Agent.lv
proxyrnd.exe – Backdoor.Win32.Jeemp.c
Sasvim lepa skupina kako se vidi iz prilozenog...
'winran.exe' se skida sa pillz(dot)info sajta i predstavlja trojan-dropper. Kopira se u Windows System folder sa random nazivom i drop-uje DLL takodje sa random nazivom u isti folder. DLL modifikuje HOSTS fajl u cilju blokiranja pristupa sledecim sajtovima:
downloads1.kaspersky-labs.com
downloads2.kaspersky-labs.com
downloads3.kaspersky-labs.com
downloads4.kaspersky-labs.com
download.mcafee.com
liveupdate.symantecliveupdate.com
liveupdate.symantec.com
update.symantec.com
'svchosts.exe' je opet trojan-dropper koji postavlja DLL pod nazivom 'svchosts.dll' u Windows System folder. Ovaj DLL simulira laznu virus uzbunu na desktop. Tekst prozora sa uzbunom glasi ovako (sacuvan je originalni spelling):
VIRUS ALERT!
YOUR PC IS INFECTED!
IT HAS BEEN DETECTED THAT YOUR PC HAS AT LEAST 3 DANGEROUS VIRUSES!
TO KNOW FOR SURE YOU URGENTLY NEED TO RUN AN ANTIVIRUS TEST ON YOUR PC!
The consequences of spyware and virus presence on your pc might belike:
Loosing all the data, data might be stolen,your secrets might beexposed.
PROTECT YOUR PC!
REMOVE ALL VIRUSES NOW!
Ova lazna uzbuna kreirana je postavljanjem HTML strane na desktop, tako da korisnik moze da klikne na prozor i ode na predefinisanu stranu sajta topantivirus(dot)biz
Ovaj sajt nudi linkove ka razlicitim sajtovima koji opet nude antiviruse i antispyware programe za download. Moto sajta je 'Top Antivirus – We help people.'. Nazalost, nacin na koji se ljudi usmeravaju ka tom sajtu mi je nekako sumnjiv...
'toolbar.exe' je adware instaler, koji instalira toolbar pod nazivom 'Perez'.
'pic10.jpg' je trojan dropper slican 'frame.exe' fajlu. Takodje postavlja DLL pod nazivom 'winloadhh.dll' u root C: drajva. Ovaj DLL ima istu funkciju kao DLL detektovan pod nazivom 'Trojan-Downloader.Win32.Small.anu' koji smo vec pomenuli.
|
