Strona główna > Java, Poradniki > Złośliwa paczka z FB: IMG_0018.jar

Złośliwa paczka z FB: IMG_0018.jar

Dostałem ostatnio wraz z wiadomością prosty, złośliwy programem. Dotarł on do mnie jako załącznik w poniższej postaci.

fb1

W zipie znajdował się pojedynczy plik jar o słodko brzmiącej nazwie IMG_0018, a w nim jedna klasa  i meta-dane. Prawda, że wygląda niewinnie?🙂

fb2

Działanie programu
Z ciekawości sprawdziłem co robił program, poniżej zapisane jest jego zachowanie. Jak łatwo zauważyć paczka miała za zadanie ściągać z dropboxa i po cichu rejestrować w systemie złośliwe dllki.

create new dir "C:\Temp\"
create new file "C:\Temp\TIWIWSLN.ADZ"

if file "C:\Temp\TIWIWSLN.ADZ" exists
--> 15x run: regsvr32 /s C:\Temp\TIWIWSLN.ADZ

if file "C:\Temp\TIWIWSLN.ADZ" not exist
--> connect to URL: [dropbox]/s/xnf57eni8dpd547/folder.zip?dl=1
--> if connect response code == 200
----> copy file from [dropbox]/s/xnf57eni8dpd547/folder.zip?dl=1 to C:\Temp\TIWIWSLN.ADZ
----> 15x run: regsvr32 /s C:\Temp\TIWIWSLN.ADZ
--> repeat for: nwju1443do0kkyw, q7qn5enz2han406, jklutosvow2sa28, nl51ieactma87q0, mxflfforve2ju65, pf5yxvq1wmjcun2, ...

Pliki z dropboxa nie są już dostępne, więc nie jestem w stanie stwierdzić co dokładnie zawierały, ale nie spodziewałbym się niczego dobrego.

Uruchomiłem program, co teraz?
Jeśli ktoś przypadkiem ściągnął i uruchomił program radzę wylogować z Facebooka, przez którego najwyraźniej rozprzestrzenia się paczka. Kolejnym krokiem powinno być usunięcie niepożądanych dll-ek.

START -> cmd
regsvr32 /u C:\Temp\TIWIWSLN.ADZ

Jeśli powyższa komenda nie zadziała spróbujcie skorzystać z dowolnego programu do usuwania niepożądanego oprogramowania (np. AdwCleaner). Na końcu należy oczywiście usunąć folder C:\Temp\TIWIWSLN.ADZ wraz z zawartością.

Trudno powiedzieć czy to wystarczy, dlatego polecam przeskanowanie całego systemu programem antywirusowym i antymalware-owym.

PS
Jeśli macie jakieś dodatkowe informacje o tym programie piszcie śmiało, a uzupełnię instrukcję.

 

Aktualizacje
Okazało się, że nowe linki z dropboxa, są generowane dynamicznie. Dorwałem się więc w końcu do tej nieszczęsnej dllki i nawet udało mi się ją zdeasemblować (PE-Explorer), ale na przeglądanie tak niskopoziomowego kodu nie mam czasu. Jakby ktoś był ciekaw to mogę podesłać.

O problemie pisze już niebezpiecznik: „Hahaha wirus na Facebooku — nie otwierajcie załączników ZIP z wiadomości od znajomych”

  1. Brak komentarzy.
  1. No trackbacks yet.

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Log Out / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Log Out / Zmień )

Facebook photo

Komentujesz korzystając z konta Facebook. Log Out / Zmień )

Google+ photo

Komentujesz korzystając z konta Google+. Log Out / Zmień )

Connecting to %s

%d bloggers like this: