Поредните вируси

Напоследък буквално не съм видял е-майл, който да не прелива от вируси. И преди е имало кампании, но тази направо смайва с мащабите си.

Почти месец вече нямам време да се огледам и всеки ден отлагам писането за тази опасност, с надеждата пороят да секне и да ми спести усилието. Той обаче продължава. Слава Богу, нощта срещу Великден е, така че мога да заделя половин час. 🙂 Който е шаран в тези неща сигурно се е хванал вече, но все пак по-добре късно, отколкото никога.

Е-майлите се изпращат от масивен ботнет – мисля, че е поне 200 000 компютъра. Разпространението му е по целия свят – засякъл съм машини в Северна и Южна Америка, Европа, Русия, Индия, Китай… Изглежда като да е под контрола на руска кибербанда. Не съм успял да пипна лично заразена машина, нито съм имал времето да заразя и тествам някоя, но май системата му е модулна P2P. Линуксите май не са в опасност, за Маковете не съм имал възможност да проверя.

Получените е-майли са адресирани както до реални акаунти по списък, така и до предполагаеми често срещани акаунти в домейни – office@ и прочее. Всички съдържат прикрепен ZIP файл и текст, който да подлъже получателя да отвори файла. Разнообразието на текстовете е огромно – „неплатени фактури“, „снимки“, „сканирани изображения“, „съобщения от шефа“, „застрахователни полици“, „сметки за плащане“, дори немалко „прикрепен файл“, „прикрепена картинка“ и прочее. „Изпращачът“ също е най-различен – някакво име, или е-майл адрес в същия или друг домейн, или дори адресът на получателя…

Съдържанието на ZIP-а e .js файл. Най-често името му е от десетина цифри, долно тире и още десетина цифри. Размерът варира, обикновено около 10-20 КБ некомпресиран. Голямата част от съдържанието му е някакъв текст, сложен да заблуди скенерите на антивирусите. Пак със същата цел променливите в малкото (около 1 К) реален код са с дълги (често над 50 знака), генерирани на случаен принцип имена, а присвояваните на тях стойности са обфускирани по наглед некадърно прост, но често успяващ да заблуди антивируса начин. Написан е от руски киберкримки.

Единствената задача на JavaScript кода е свалянето (от предварително пробит легален сървър) и изпълнението на определен файл. (Тъй като JS файлът се изпълнява през браузер, сваленият файл се изпълнява с правата на браузера, обикновено това ще рече с тези на текущия юзер.) Нямах време да го чопля подробно – видимото на пръв поглед е, че пробва срещу Windows набор експлойти, повечето от тях май вече запушени от ъпдейтове. Логично е да се очаква, че успешно заразените машини стават част от ботнета.

Какво може да се очаква от вируса? За каквото бъде изкомандван да си свали и стартира модул. Очевадното до момента е, че компютърът ще започне да сее спам от описания по-горе. Възможно е и всичко друго, от шифроване на информацията ви и искане на откуп, през използване на компютъра ви за DDOS атаки, та до събиране на уличаваща ви в каквото и да е информация и изпращането ѝ на някой, който ще може да ви изнудва с нея после. (Нямате такава? А оня филм, дето го изпиратствахте? Знаете ли какви наказания предвижда законът за пиратство?…)

Накратко:

– ако получите е-майл с прикрепено нещо, го стартирайте само ако познавате изпращача и той ви се е обадил да ви предупреди, че ви изпраща нещото. Ако то изглежда дори най-малко подозрително, му звъннете да попитате пращал ли го е.

– настройте си Windows и разархивиращите програми да ви показват разширенията на файловете. (И „благодарете“ на Майкрософт, че в последните версии на Windows те по подразбиране са скрити.) Ако нещото съдържа какъвто и да е изпълним код (например е документ на Microsoft Office), то е вирус до лично гласово или визуално потвърждение от познат ви изпращач за противното.

– ако нещото пристига от непознат и се опитва да ви убеждава в нещо или да ви кара да „отворите“ нещо, то е вирус, без право на обжалване. (Ако наистина е писмо от български данъчни, че им дължите пари, според мен е особено опасен вирус. Имам опит с такъв – ако мислите, че има на кого да обясниш къде точно са сбъркали, не живеете на този свят.)

– ако нещото се опитва да ви бие по емоциите (и особено по страха или желанието за секс), то е вирус, независимо как изглежда. (Или наистина писмо от шефа или любовницата, но тогава ще научите за него и по гласов и т.н. път. Въпросът дали тези пратки не са сред най-опасните вируси също го оставяме настрана.)

Успех и най-вече бистра глава! Данните ви не са Христос – умрат ли, няма да възкръснат дори на Великден.

8 thoughts on “Поредните вируси

  1. Виктор

    Христос Воскресе, Григоре, даже със заря и военен оркестър снощи при “Александър Невски”, помислих, че нещо са пуснали запис от 9 септември, ама не било. 🙂 Тоя вирус и аз го получих на всичките си пощи, даже и тия на gmail.com, ама там най-малко. Даже отворих и аз js файла и четох, четох, пък зарязах по средата. Кажи, моля, може ли някак човек да разбере, ако вече компютърът му е заразен? Има ли смисъл да се проверява с антивирус?

    Reply
  2. Григор Post author

    @Виктор: Христос воскресе! И дано все възкръсва със заря и военни оркестри. 🙂

    Самият джаваскрипт е доволно безобиден – опасно е нещото, което той сваля и стартира. Не съм и вероятно няма да имам времето да го изучавам. Смисъл да се провери с антивирус винаги има, ако и да няма гаранция.

    Reply
  3. Пламен Петров

    “….– настройте си Windows и разархивиращите програми да ви показват разширенията на файловете. (И „благодарете“ на Майкрософт, че в последните версии на Windows те по подразбиране са скрити.)…”
    Може ли бърза инструкция как да си настроя Win7 да ми показва разширенията. Рових, рових, не успях нищо да открия?!?
    Благодаря предварително 🙂

    Reply
  4. Виктор

    Прочее Windows по подразбиране не показва разширенията на познатите му типове файлове още от версията му 98. Ето тука, за слепи е сайтът, ама става и за виждащи:
    http://bezmishka.org/node/76
    Надявам се, че е приблизително така и във версии, по-късни от XP, защото това на линка е писано за 98 и XP.

    Reply
  5. z

    Бихте ли споделили, как сте стигнал до цифрата 200 000?
    Между другото – много подходяща тема за “празника”.

    Reply
  6. ttt

    от виндовс 7 нататък може да се ползва и Applocker-a който да забрани изпълнението на скриптове (бтв. – http://www.csoonline.com/article/3060242/security/researcher-uses-regsvr32-function-to-bypass-applocker.html)
    Най сигурният начин е да се изключи WSH от registry-то (вероятно също изпълнението на .bat файлове) и да се остави само powershell в режим да може пуска само sign-ати скриптове .И без това тенденцията е powershell да замени всичко останало в уиндоу-а , по-мощен и по-надежден от cmd-то и WSH.

    Reply
  7. Григор Post author

    @Пламен Петров: Отваряш Windows Explorer, и някой диск в него. Най-вляво на лентата над прозорците с дървото и файловете в текущата директория има Organize. Оттам отваряш Folder and search options, и в табчето View махаш чавката от Hide extenstions for known file types.

    @z: 200 000 е долната граница. Колко е горната нямам представа, може да е и много милиони.

    @ttt: Изключиш ли джаваскриптовете, почти всички сайтове престават да работят. Това е причината киберкримките да са пуснали даунлоадера точно като .js скрипт – почти никой не го блокира. (МД: ако мислиш, че изпълнението само на sign-ати скриптове в powershell пази сериозно…)

    Reply
  8. ttt

    Не!
    Изключвайки WSH (https://technet.microsoft.com/en-us/library/ee198684.aspx) няма да да спре javascript-a във Internet Explorer.Двете са относително независими.WSH не изпълнява js файловете във sandbox режим (дори не ползва точно javascript като език) и има достъп до файловата система, регистри и т.н. .

    И да – UAC+изключване на WSH и cmd+sign-ати powershell сцриптове пази неопитните потребители донякъде (+ евентуално Applock рулове, някакъв антивирус… ) ,ама 100 % сигурност е невъзможно да се постигне.

    Reply

Leave a Reply to Виктор Cancel reply

Your email address will not be published. Required fields are marked *