Nie wiem zupełnie czy to tylko zbieg okoliczności czy próba zarażania złośliwym oprogramowaniem w sposób bardziej skoncentrowany na charakterystyce ofiary. Dostałem dziś standardowy rodzaj wiadomości bodajże od botnetu Storm, która zachęca do obejrzenia związanej ze mną rzekomo wiadomości:
From: gifford hanspete <cash@freeautobot.com>
To: mojlogin@bothunters.pl
Subject: mojlogin is a moronthis is the proof, watch: http://papierz.o12.pl/video1.exe
Czyli co prawda jeszcze w języku angielskim ale wiadomość odnosząca się bezpośrednio do mnie, a wręcz odnosząca się do mego ego, które to po otrzymaniu wiadomości o treści „mojlogin jest kretynem, tutaj jest dowód: http://papierz.o12.pl/video1.exe„, powinno zareagować i odwiedzić witrynę. Metodologia kuszenia znana od jakiegoś czasu.
Mnie zaciekawiła jednak inna sprawa. W adresie domeny, na której umieszczony był link do malware, znajduje się wyraz bardzo podobny do wyrazu „Papież”, pisany jednakowoż przez literki „rz” na końcu. Ciekawym czy dobór tegoż wyrazu to konkretna zagrywka w stronę większego zaufania (wszak widząc wyraz Papież, większości z nas na myśl przychodzą sprawy pozytywne) czy całkowity przypadek. Z jednej strony rozumiem, że hosting takiego wirusa zazwyczaj obsługiwany jest na jednej z przejętych witryn (choćby poprzez masowe skanowanie haseł do kont ftp o czym pisałem niedawno), a z drugiej strony wiem jak bardzo ważne są właśnie takie szczegóły, które potrafią skutecznie zwiększyć ilość zarażonych. Podobieństwo domeny o12.pl do domeny o2.pl także może jest zupełnie przypadkowe. Wole nie wiedzieć i nie klikać :]
Jeśli chodzi zaś o technikalia to strona nakłaniająca do uruchomienia pliku wykonywalnego, który rzekomo miałby umożliwić nam odtworzenie filmów, wyglądała tak (uwaga treści zawierające materiały wyłącznie dla osób dorosłych!):
Czyli standardowe podszycie się pod serwis PornTube (oryginalny serwis ma całkowicie inną szatę, a tutaj szata łudząco przypomina serwis z filmami YouTube więc zakładam, że podobieństwo do serwisu PornTube to czysty przypadek) serwujący filmy o zabarwieniu pornograficznym. Jakakolwiek próba kliknięcia lub brak jakiegokolwiek kliknięcia, sprowadza się zwyczajowo do jednego – do przesłania do nas pliku wykonywalnego zwanego popularnie złośliwym oprogramowaniem :)
Co ciekawe maila otrzymałem w okolicach godziny 3 w nocy. Prezentowany zrzut obrazu powstał około 10 rano, natomiast po godzinie 15 zamiast strony pojawiał się już komunikat o przekroczonym limicie danych na serwerze hostingowym. Nie znam niestety ilości danych potrzebnych do zablokowania konta, jednakże ten fakt dał mi do myślenia. Po pierwsze – skoro limit został przekroczony – to ludzie w toto klikali, innymi słowy takie działanie jest skuteczne. Po drugie – może w takim razie odkrywając tego typu znalezisko (pomijając fakt powiadomienia operatora strony), należałoby uruchomić jak najwięcej wątków pobierających dane z takiej strony. Im szybciej przekroczyłbym limit danych – tym więcej istnień mógłbym uratować :]
Na koniec zrzut ekranu z serwisu www.virustotal.com, który pokazuje wyniki skanowań przez silniki antywirusowe. Jak widać na załączonym obrazku – 3 silniki antywirusowe z 33 posiadały w swoich bazach informacje o czarnej stronie mocy zawartej w przesyłanym pliku. Czyli przestępcy nadal bardzo starają się aby ich oprogramowanie było czyste.
ps: Otrzymałem dziś odpowiedź od firmy hostingowej na moje pytania: czy konto było darmowe czy płatne, jak mogło dojść do przełamania zabezpieczeń, jakie były statystyki dotyczące pobrań pliku. Oto odpowiedź:
Witam serdecznie,
Konto należy do jednego z naszych Klientów (normalnie opłacone). Otrzymał on od nas dziś
również powiadomienie o wspomnianej przez Pana sytuacji, konto nawet przez pewien czas
było zablokowane. Z informacji jakie mam włamanie nastąpiło przez dziurę w skryptach
umieszczonych na tym koncie.
Większej ilości informacji na temat tego konta niestety nie mogę udzielić.
2 komentarze do
4 lipca, 2008 o godzinie 07:31
Hmmm rozumiem że ktoś normalnie posiadał i używał strony papierz.o12.pl? Jakoś mi się nie wydaje ani to ortograficznie ani jakiś fajny adres. Jak dla mnie to ktoś po prostu założył taki adres specjalnie ze względu na atak wirusa.
4 lipca, 2008 o godzinie 11:46
„http://papierz.o12.pl/video1.exe”
well, jak ktos sie lyknie te 'exe’ to sam jest sobie winien
„W adresie domeny, na której umieszczony był link do malware, znajduje się wyraz bardzo podobny do wyrazu “Papież”(…)
Podobieństwo domeny o12.pl do domeny o2.pl także może jest zupełnie przypadkowe”
http://logikon.papierz.o12.pl/index.php?option=com_content&task=blogcategory&id=2&Itemid=8
„wszak widząc wyraz Papież, większości z nas na myśl przychodzą sprawy pozytywne”
musialbym zacytowac entomobet’a(tego z wilqa)