Anatomia wirusa
Od paru dni użytkowników najpopularniejszego komunikatora w Polsce straszy link, którego wywołanie w IE powoduje zaatakowanie systemu wirusem. Oczywiście nie mogłem takiej okazji przepuścić, od dawna chodziło mi po głowie zrobienie czegoś takiego jak antyspyware.pl czyli prezentację jak atak drive-by-download nie radzi sobie z dobrze zabezpieczonym systemem (ale tylko przy użyciu narzędzi wbudowanych w Windows XP). Tutaj moje teorie mogły uzyskać potwierdzenie. Więc stronę, pod jaką należy wejść pobrałem na dysk, z niej wyciągnąłem właściwy kod JavaScript, bo oryginalnie był potraktowany jakimś szyfratorem JS. Okazuje się, że mechanizm wykorzystuje luki w Internet Explorerze do pobrania na dysk pliku .exe i uruchomienia go.
Oczywiście plik wykonywalny pobrałem i uruchomiłem. Na maszynie wirtualnej rzecz jasna. Pod kontrolą Process Explorera i Filemona od SysInternals. Okazuje się, że ten z kolei ściąga kolejne dwa pliki, które miałby wykonywać, ale ja tak patrzę, a wirus jedyne co robi to siedzi i zżera procesor. Nie zapisuje nic do katalogów systemowych, siedzi z dwoma okienkami DOS-a i czeka, by je zamknąć? WTF?
Odpowiedź przyszła chyba teraz. Spojrzałem do jednego z plików, też .exe, które pobrał, a rozmiar wynosił 9 bajtów, a treść "blocked!". Być może to akcja administratora tego serwera była (choć jeżeli tak, to dlaczego strona i pierwszy plik są nadal aktywne?), bo tak coś wspomniany DI pisał. Niemniej jednak, wirusa ani śladu. Atak się nie powiódł.
A szkoda, bo w szczytowym momencie to uruchamiany był na prawach administratora na gołym systemie Windows, bez poprawek jakichkolwiek. No po prostu idealne środowisko. Raz w życiu człowiek chce, aby go wirus zaatakował, a tu nici.
Jeżeli macie jakieś linki do wirusów rozsyłających się przez komunikator czy atakujących ze strony - możecie rzucić? Bo teorii nie mam jak sprawdzić, a sam nie będe pisał wirusa może... Na razie myślę o idealnym spamowym harvesterze jedynie ;-)
27 października 2006 21:18:53
Widocznie wirusy są równie dziurawe i niedoskonałe jak i systemy operacyjne, przeglądarki i komunikatory :D
28 października 2006 12:18:30
ciekawe, ciekawe :)
29 października 2006 16:31:35
100% takich wirusów i takich ataków przez GG (mówię na podstawie tych, których byłem świadkiem) wykorzystuje bardzo zbliżone mechanizmy rozprzestrzeniania się - za każdym razem kod javascript dekodujący (f. unescape) stronę, która - u mnie - ładowała favikonkę? albo może kursor? (o ile to ostatnie jest możliwe) o rozszerzeniu anr i dziwnych łańcuchach typu GetProcAddress LoadLibraryA GetSystemDirectoryA urlmon.dll URLDownloadToFileA WinExec http://game4user.net/adv/121/win32.exe, a reszta pliku wygląda jak typowy atak przez przepełnienie bufora (: nawet w listerze z total commandera można poznać (EB 54 90 90 77 82 40 00 EB 44 90 90 i tak w kółko, a potem 90 90 90 90 90 90 90 ... kod właściwy) (:
w dodatku jak kiedyś chciałem napisać do abuse, to ich program odrzucił list z mojej domeny ):
29 października 2006 16:35:27
doczytałem wreszcie ten i następny wpis. Wreszcie jakiś postęp w wirusach (: