RSSGadu-Padu – trojanik
Zaaktualizowano: 27 grudnia 2006 (zobacz modyfikację)
Przez ostatnie dwa dni zauważyłem w opisach wielu ludzi tekst podobny do tego: „padło mi gg” albo „nie dochodzą moje wiadomości”. Heh, myśle sobie, że może serwerek uznał delikwentów za spammerów, bo korzystali z inwigilatorów. Ale nieee, sprawa jest chyba trochę grubsza, na dodatek – na skalę masową. Od wczoraj komunikacja większości osób przebiega przez opisy. Na domiar złego dzisiaj dostaję sznurek z opisem:
wybuch w niemczech www.supercqb.com/material_2006_19_11_14970.html
Wcześniej dostał to brat i jak zwykle do niego „odpal to”. No co? Trzeba wiedzieć, co to jest, nie? 
Ok, tak jak podejrzewaliśmy – trojanik. Kiedyś czytałem, że powstał robak typu proof-of-concept napisany na potrzeby GS, który wysyła wiadomości do wszystkich z listy. Oczywiście w treści był link do niego samego, czyli taka matrioszka.
Po otwarciu linku uruchamia się strona do złudzenia podobna do about:blank (czyli do czystej). Zaglądam pod maskę, a tam zaszyfrowany kod. Trochę zawiły algorytm, ale mnie się na razie nie chce go odszyfrować 
Robak ten wykorzystał pewnie owego PoC, bo link doń prowadzący dostałem już od kilku osób.
Wspomniałem, że GS blokuje osoby spammujące (czyli wysyłające więcej niż ileśtam wiadomości w ciągu minuty). Jeśli ktoś ma rozbudowaną listę, to trojan bardzo szybko wykorzysta ten limit. Podejrzewam, że właśnie to jest przyczyną problemów.
Istnieje również opcja, że robak posiada wbudowaną obsługę protokołu, a dane wyciąga sobie z profilu użytkownika, więc mógłby egzystować nawet bez zainstalowanego GS (np. na chwilę instalujesz, by konto założyć, wywalasz, ale profil zostawiasz).
Jakie jest rozwiązanie? Przeskanować kompa na obecność wirusów i napisać do autorów GG z prośbą o odblokowanie numeru lub założyć sobie nowy…
Najlepiej, oczywiście, nie korzystać z oryginalnego klienta GS. Jak już wcześniej wspomniałem, istnieje opcja, że trojan wykorzystuje pozostałości po profilu użytkownika.
UWAGA: Przed skanowaniem antywirusem upewnij się, że masz najnowsze bazy!!!
edit: Brat wysłał maila do GG i dostał taką odpowiedź:
Blokady zakładane i zdejmowane sa automatycznie. Czas ich trwania zalezy od popełnionego wykroczenia. Zazwyczaj jest to od kilku godzin do kilku dni. Proszę zatem uzbroić się w cierpliwość.
UPDATE
Dzisiaj zaatakował inny trojan. Rozsyła się przez inny link: www.hsqvyrpzeh.info/?awbiby.jpg. W celu zamaskowania podaje losową wartość query string (tą po znaku zapytania). Tym razem, zapewne w celu ukrycia przed osobami, które chciałyby ostrzec innych, robak sprawdza user-agent i gdy używamy IE – przesyła kod (oczywiście zaszyfrowany). Analizując rozpracowany kod można doszukać się ciekawych fragmentów:
