Ένας νέος ιος κυκλοφορεί αυτή τη στιγμή στο Facebook. Το malware, μας προώθησε για ανάλυση η φιλική ιστοσελίδα www.safer-internet.gr.
O νέος ιός είναι κρυπτογραφημένος για να δυσκολέψει την ανάλυση και να
αποφύγει τον εντοπισμό από τα antivirus, αλλά η τεχνική ομάδα του
iGuRu.gr κατάφερε να «δει» την λειτουργία του κακόβουλου προγράμματος.
Ας πάρουμε όμως τα πράγματα από την αρχή.
Ο
ιός έρχεται μέσα σε ένα .zip αρχείο όπως φαίνεται στην παρακάτω
φωτογραφία – κλικ για μεγέθυνση. Το όνομα του μπορεί να είναι τυχαίο και
να έρχεται με διαφορετικό κάθε φορά. Ο ιός για να τρέξει θα πρέπει να
υπάρχει εγκατεστημένη η java στον υπολογιστή σας,
Το
συγκεκριμένο αρχείο που εξετάσαμε ονομάζεται Form_0910.zip.To zip
περιέχει ένα εκτελέσιμο αρχείο .jar (αρχείο Java) το οποίο δεν το
αναγνωρίζουν τα antivirus (το σκανάραμε με δύο διαφορετικά και δεν
«χτύπησε»). Το αρχείο jar περιέχει τα ακόλουθα αρχεία
Φάκελος .settings
Φάκελος META-INF
.classpath
.project
και το κακόβουλο αρχείο (κρυπτογραφημένο) DOYUMGEOGFVKNBO.class
Αν
κάποιος τρέξει το αρχείο,jar, το malware θα δημιουργήσει ένα φάκελο στο
C:\ με το όνομα temp. Με το που δημιουργήσει τον φάκελο (δεν είναι και
τόσο γρήγορο) αρχίζει να κατεβάζει ένα μεγάλο εκτελέσιμο αρχείο των
Windows (.exe). (Τρέξαμε το jar σε ένα virtual machine με Windows 7).
Στη
δική μας περίπτωση το όνομα του αρχείου ήταν QNIDSUE.VZZ, αλλά αυτό δεν
παίζει καμία σημασία καθώς το όνομα ήταν τυχαίο (την δεύτερη φορά που
το τρέξαμε ονομαζόταν VEKDGH.CXV). Το μέγεθος του αρχείου μας έκανε
εντύπωση καθώς ήταν 3.8MB, αρκετά μεγάλο για κακόβουλο πρόγραμμα.
Το κακόβουλο exe αναγνωρίστηκε από το ESET σαν Win32/Injector.AZFL trojan, ένα αρκετά νέο κακόβουλο λογισμικό για την ESET που το κατέγραψε για πρώτη φόρα 7 Μαρτίου του 2014.
Detection created | 2014-03-07 |
Το
exe περιέχει περιέχει πολλά υποπρογράμματα (είναι ένα είδους wrapper),
άρα μπορεί να εκτελέσει και πολλές λειτουργίες. Μπορεί να στείλει
emails, να συνδεθεί με ftps, περιέχει πολλά σημεία με username και
passwords, κάτι που μας δείχνει ότι μπορεί να συνδεθεί σε
απομακρυσμένους υπολογιστές και να κατεβάσει και άλλα αρχεία.
Ένα
από τα πιο επικίνδυνα χαρακτηριστικά του είναι ότι μπορεί να διαβάσει
τα cookies του υπολογιστή του θύματος. Αυτό σημαίνει ότι μπορεί να
κλέψει όλους τους κωδικούς που είναι αποθηκευμένοι στον υπολογιστή.
Όμως δεν τελειώνει εδώ.
Υπάρχει
άλλο ένα αρχείο, το pthreads.dll. Το συγκεκριμένο .dll, χρησιμοποιείται
για να δει κάποιος τι τρέχουν τα Windows. Ο task manager των Windows
τρέχει το ίδιο dll. Αυτό μπορεί να χρησιμέψει στον κακόβουλο χρήστη για
διαφορετικά πράγματα.
1. να δει τι τρέχει ο υπολογιστής του θύματος και αναλόγως να προσαρμόσει την επίθεση, ή
2. να κρύψει το κακόβουλο πρόγραμμα από τις διεργασίες των Windows.
Αν
έχετε τρέξει το jar, αναζητήστε στον δίσκο που είναι εγκατεστημένα τα
Windows για ένα φάκελο temp. Διαγράψτε το φάκελο και σκανάρετε όλο το
σύστημα σας, με ένα αξιόπιστο και ενημερωμένο antivirus.
Προσοχή
σε αυτόν τον ιό καθώς είναι πολύ επιθετικός και σκοπεύει στην κλοπή των
διαπιστευτηρίων σας. O ιός αν και έρχεται σε αρχείο που μπορεί να
εκτελεστεί σε όλες της πλατφόρμες, προσβάλει μηχανήματα με Windows.
Να ευχαριστήσουμε την φιλική ιστοσελίδα www.safer-internet.gr. για την άμεση ενημέρωση και τον τεχνικό και φίλο μας Paul Delia, για την «εξερεύνηση» του ιού.
Και η ανάλυση από το Malwr
Πηγή: iguru.gr
loading...
Δημοσίευση σχολίου
Δεν διμοσιεύονται σχόλια υβριστικού περιεχομένου. Την αποκλειστική ευθύνη για τα σχόλια την έχουν οι σχολιαστές.