Komputery, Windows i masa kompletnego bałaganu. Tak, to mój dziennik.

ktos.jogger

Łańcuszkowy atak na GG

28 października 2006, 12:10:26. Kom.puter , 0.

Wczoraj pisałem, że z zabawy z wirusem ze strony arunalu.net nici, bo go tam nie ma. Na szczęście pewna miła dusza dała mi linka do tego samego robaka, ale tym razem z bahwal.com, więc maszyna wirtualna poszła w ruch, i mam nagrany screencast przedstawiający jak wygląda atak. Jeszcze tylko trochę w nim poprawek, może dogranie narracji, i zostanie udostępniony wynik eksperymentu.

No i zostaje jeszcze potwierdzić teorię, ze prawidłowo skonfigurowany Windows poradzi sobie z tym atakiem, bez problemu. Oby się potwierdziło ;-)

Screencast (na Google Video też) A teraz także: wersja XVID, wersja OGG/Theora

Dodatkowe informacje o ataku na "Notatkach na piasku"

Komentarze

  1. Kangel
    28 października 2006 12:31:38

    Będę się za ciebie modlił ;)

  2. Ktos
    28 października 2006 13:01:00

    Screencast dostępny. 2,5 MB, format WMV. Mniej więcej pokazuje o co chodzi.

    A jak będę miał czasu to napiszę dłuszy tekst o działaniu robaka i samym eksperymencie.

  3. Kangel
    28 października 2006 13:03:31

    Obejrzałem... fajnie zrobiłeś :) Jakim programem nagrałeś co widziałeś?

  4. Ktos
    28 października 2006 13:04:48

    Camtasia Studio 4, 30-dniowy trial. Do samego nagrania wystarczyłby darmowy CamStudio, ale tutaj jeszcze musiałem dodać te wszystkie strzałki, napisy, i takie tam.

  5. Kangel
    28 października 2006 13:05:58

    Dzięki za informację :)

  6. balbardagram
    28 października 2006 14:30:05

    Ale co ten wirus właściwie robi?

  7. Ktos
    28 października 2006 14:30:44

    Rozsyla sam siebie korzystając z listy kontaktow GG.

  8. balbardagram
    28 października 2006 14:31:13

    ale co robi na komputerze ofiary?

  9. Ktos
    28 października 2006 14:32:33

    Uruchamia GG, rozsyla się i zżera procka. Nie zauważylem nic więcej. Być może dociąga coś sobie z netu, nie testowalem jeszcze.

  10. Paweł Rabinek
    28 października 2006 15:08:50

    Ciekawe.
    Przy okazji: w CamStudio też są strzałki itp., tylko nie bardzo wiem jak się to obsługuje :)

  11. balbardagram
    28 października 2006 16:12:38

    Ktoś - mógłbyś mi podesłać ten plik exe? Btw. zgłosiłeś już go gdzieś jako wirus? I daj go do skanowania online to wtedy jak jakiś antywir wykryje wirusa a inne nie to zostanie rozesłane info o tym pliku.

  12. Ktos
    28 października 2006 16:17:09

    Plik znajduje się chyba nadal na stronie: bahwal.com/win32.exe. Nikomu nie zgłaszałem, ale chyba poprzednia "wersja" została zgłoszona ludziom od GG.

  13. balbardagram
    28 października 2006 16:20:50

    nod32 nic nie znalazł. Baza wirusów z dzisiaj.

  14. Ktos
    28 października 2006 16:21:48

    Avast też. Dlatego, że to tylko i wyłącznie polska specyfika jest? Tego robaka nie ma nigdzie indziej, on tylko atakuje GG.

  15. bonzai10
    28 października 2006 16:25:29

    człowieku genialnie!! Bardzo dobry przykład co się dzieje jak nie masz zabezpieczeń :>, Ale jak ktoś nie ma gg zainstalowanego i nie używa IE - konkretnie na linuxie to nie działa :>

  16. balbardagram
    28 października 2006 16:28:49

    Przeskanowałem http://virusscan.jotti.org/ i wykryją to świństwo:
    AntiVir
    Found Heuristic/Crypted (probable variant)

    ArcaVir
    Found Trojan.Downloader.Tibs.Ax

    Avast
    Found nothing

    AVG Antivirus
    Found nothing

    BitDefender
    Found Trojan.Sillydl.B

    ClamAV
    Found nothing

    Dr.Web
    Found nothing

    F-Prot Antivirus
    Found nothing

    Fortinet
    Found nothing

    Kaspersky Anti-Virus
    Found Trojan-Downloader.Win32.Vidlo.aj

    NOD32
    Found nothing

    Norman Virus Control
    Found nothing

    VirusBuster
    Found nothing

    VBA32
    Found nothing

  17. balbardagram
    28 października 2006 16:30:05

    btw. fajne oznaczenie "Trojan.Sillydl.B" Silly downloader? :D

  18. balbardagram
    28 października 2006 16:49:25

    Co ciekawsze jak wyciągnąłem ten js i wysłałem do tego jottiego plik .html z tym kodem java script - to wykrył to 1 antywirus jako:
    BitDefender
    Found Generic.XPL.ADODB.8D2C2D8A

  19. Ktos
    28 października 2006 16:50:52

    Tak, bo tam jest exploit na dziurę w ADODB wykorzystany. Jak i parę innych :-)

  20. Uzytkownik
    28 października 2006 19:16:26

    Można w innym formacie (zarówno xine jak i gsteamer nie znajdują kodeków). Np. OGG/Theora.

  21. Ktos
    28 października 2006 19:48:19

    Wrzuciłem (ale jakość jest gorsza, komentarze słabo widać czasem) na Google Video: http://video.google.com/videoplay?docid=-617007735249665589

    Do OGG/Theora kodeków nie mam, ale obiecuję, że udostępnię w tym lub innym alternatywnym formacie, ale może jutro - dzisiaj się już raczej nie uda.

    Trochę dodatkowego opisu - http://www.ktos.info/notatki/2006/10/28/lancuszkowy-atak-na-gadu-gadu/

  22. Pościel Wełniana
    29 października 2006 05:40:09

    To przerażające! Jak się przed tym uchronić?

  23. Uzytkownik
    29 października 2006 09:24:17

    @Pościel Wełniana: Nie klikać w linka. Ew. złamać regulamin, o ktorym gg mówi, że nie jest łamaniem regulaminu

    @Ktos: I jak fanatyk OS ma sobie to obejrzeć... ;)

  24. Ktos
    29 października 2006 10:23:49

    @Uzytkownik: Znam paru takich Linuksowców co im WMV mniej przeszkadzało niż inne formaty jakie mogłem zastosować (QT?) :-)
    Mam jakiś konwerter, co robi ładny otwarty format, udostępnię kolejną wersję dzisiaj.

  25. Uzytkownik
    29 października 2006 10:35:17

    @Ktos: Dzięki

  26. Ktos
    29 października 2006 13:20:54

    Dostępne są wersje w otwartych formatach: XVID i OGG/Theora.

  27. podryw
    02 listopada 2006 18:42:31

    A czy to nie jest tak, że wiadomości z adresami url nie dochodzą do odbiorców???

    --
    Jak podrywać dziewczyny - http://www.jakpodrywac.info

  28. Notatki na piasku
    10 listopada 2006 15:37:40

    Łańcuszkowy atak na Gadu-Gadu

    Dziennik Internautów ostrzegł przed wirusem, który rozprzestrzenia się przez Gadu-Gadu. I choć ja takiego linku nie dostałem, to jednak postanowiłem się wirusem zająć. A robakiem właściwie, bo zdaje się, że jedyne co robi, to rozprzest[...]

  29. krzychu
    11 listopada 2006 15:51:03

    u mnie probuje wysylas mase maili, pokazuje scan maili z nortona antivirusa, nie daje rady bo nie uruchomiony klient poczty

  30. Daniel
    12 listopada 2006 20:39:43

    Ja wpadłem:(
    Link od zaufanej osoby :) Heh...

    Trzeba uważać...teraz ludzie maja do nie pretensje ze format muszą robić...

    Silly:)

  31. tom
    12 listopada 2006 23:29:48

    Jak ktos co wirusa musi robic formata to moze miec pretesje tylko do siebie ....

  32. tarantino
    13 grudnia 2006 20:59:38

    exploit wmf rozprzestrzeniający sie na gg typowy shit gosciom sie nudzi i piszą głupoty w delphi czy c++

  33. isaf
    27 grudnia 2006 00:11:43

    bcxhbk;djhpdekpgheiptyieyrjjjjjjjjjjjjpduitg-p uihpdirty5peiuup[dfj;lkjgohiuprei[p-rti[rior[iyhp[iry[ri-[r0y9ih-[0eikt[dgj;oeiytoiey[-0934=6y90er=oyer[yoe[yoey][oey=[9yu=-4r9yur9u

  34. Ktosik
    27 grudnia 2006 00:55:46

    Ja dostałem linka od moich znajomych chociaz tak naprawde nikt mi nic nie wysłał. Jak mozna nie otworzyc linka od najlepszego kumpla. Okazało sie ze link sie nie otworzył ponad to NIe mogłem od tej pory wogóle wysyłac i odbierac wiadomosci na gg, więc zrobiłem skan najlepszymi programami i ni chuja. NIc nie wykryło. okazało sie ze nie tylko ja mam ten problem. Postanowiłem odinstalowac gg. Gdy to nie poskutkowało wyrzuciłem urzytkowników gg z systemu i zrobiłem na nowo i o dziwo wszystko działa. a programy antywirusowe dalej nic nie wykrywają.

  35. hmmmm
    27 grudnia 2006 13:26:34

    mógłby ktos jaśniej powiedzieć jak to dziadostwo usunąć?

  36. klex
    27 grudnia 2006 18:23:33

    Tez dostałem linka z tym badziewiem ale nie chciał sie uruchomic moze dlatego ze mam Mozille Firefox

Zostaw komentarz

W komentarzach dozwolona jest składnia Markdown do formatowania.