Opisywany ostatnio przypadek rozwija swoje skrzydła w przeróżnej postaci. Pomiędzy standardowymi mailami, dostałem kilka dosłownie sztuk – zakładam, że testowo – wersji zawierającej ten sam tekst co poprzednio ale zupełnie inny załącznik. Mianowicie nie jest to archiwum .zip, a plik open.exe.torrent, który jest prawdziwym plikiem obsługującym protokoł BitTorrent. Kolejna metoda na próbę ominięcia filtrów i alternatywne sposoby na zarażenie. Pomysłowość jak zawsze mi się podobała i tak samo jest tym razem. Po uruchomieniu pliku .torrent pobieramy plik open.exe, który w raporcie VirusTotal jest rozpoznawany przez 17 z 39 silników antywirusowych. Postanowiłem na 24 godziny zostawić udostępniany plik, który zajmuje około 180 KB aby zobaczyć ile danych wyślę do innych klientów. Wynik testu zakończył się wartością 7.2 MB danych czyli pomogłem w wysłaniu około 40 sztuk pliku open.exe. Oczywiście zakładam, że po drodze nie było wielu innych udostępniających i w całości plik został pobrany ode mnie co jest jasna sprawa uproszczeniem. Ja pobierając natomiast plik otrzymałem go z 200.85.205.88 (oraz raz z 99.69.167.25 uTorrent 2.0.0.0 ale to być może był legalny klient, gdyż nie pojawiał się za każdą próbą). Adres IP 200.85.205.88 i jego opis nie wskazuje na nic interesującego (pewnie zarażony klient). W każdym razie nowa metoda, która co prawda jest zapewne uruchomiona testowo bardzo mi się podoba. Właśnie dlatego, że ktoś po drugiej stronie mocy nieźle kombinuje i próbuje na wszystkie sposoby zaszkodzić użytkownikom sieci :] Oczywiście jak zawsze, zalecam – nie klikać, nie pobierać, nie uruchamiać…
Whois 200.85.205.88:
inetnum: 200.85.192/20
status: allocated
owner: Telefonica del Sur S.A.
ownerid: CL-TSSA-LACNIC
responsible: Carlos Alejandro Andrade Salazar
address: San Carlos, 107,
address: 00000 – Valdivia –
country: CL
phone: +56 63 223252 []
owner-c: ARH
tech-c: ARH
abuse-c: ARH
inetrev: 200.85.192/20
nserver: DNS1.TELSUR.CL
nsstat: 20100406 AA
nslastaa: 20100406
nserver: DNS2.TELSUR.CL
nsstat: 20100406 AA
nslastaa: 20100406
nserver: DNS3.TELSUR.CL
nsstat: 20100406 AA
nslastaa: 20100406
remarks: ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE
created: 20020402
changed: 20020402nic-hdl: ARH
person: Jorge Humberto Alvarez Gonzalez
e-mail: ispadmin@TELSUR.NET
address: San Carlos, 107,
address: 00000 – Valdivia – X
country: CL
phone: +56 63 223000 []
created: 20020930
changed: 20081029
11 komentarzy do
12 kwietnia, 2010 o godzinie 13:11
Co robi to coś? (open.exe)
12 kwietnia, 2010 o godzinie 17:31
Właśnie, opowiedz o tym co robi program open.exe
12 kwietnia, 2010 o godzinie 18:24
Pewnie robi to samo co zapewne Ci sami twórcy tegoż: http://bothunters.pl/2010/04/05/zamiast-swiatecznych-jajek-otrzymalem-informacje-o-blokadzie-konta-account-notification/
13 kwietnia, 2010 o godzinie 13:30
Czyli nie sprawdzałeś.
13 kwietnia, 2010 o godzinie 17:46
Zmyślna dedukcja Piotrze. Albo 1) nie sprawdziłem albo 1) się tym razem nie podzieliłem, jednak ja uwielbiając się dzielić wybrałem bramkę numer 1. Ale zapraszam do walki i dorzucenia swoich 3 groszy jak zawsze :]
13 kwietnia, 2010 o godzinie 19:10
„zapraszam do walki i dorzucenia swoich 3 groszy jak zawsze :]”
To prześlij plik :D
14 kwietnia, 2010 o godzinie 00:49
Przepraszam, za zupełny dezorient ale sen jest mi ostatnimi czasy pojęciem nie znanym :]
http://rapidshare.com/files/375566404/open.exe.torrent.html
14 kwietnia, 2010 o godzinie 12:54
Ehh… Nie pobiera się :(
14 kwietnia, 2010 o godzinie 14:19
Torrent został zablokowany:
Proszę .exe z załącznika juz .zipniętego – suma kontrola wydaje się być ta sama:
http://rapidshare.com/files/375758511/open.exe.html
i podobne:
http://rapidshare.com/files/375758796/loader.exe.html
14 kwietnia, 2010 o godzinie 14:36
:D
zaraz postawie wirtualnego XP.
Jak dobrze mieć OS X/Linuxa :)
14 kwietnia, 2010 o godzinie 14:45
BTW. masz tego więcej :D?