Είμαστε
στο Facebook και μας έρχεται μήνυμα από κάποιον φίλο, με ένα σύντομο
μήνυμα και ένα αρχείο με κατάληξη .rar. Αυτός είναι ο τρόπος με τον
οποίο διαδίδεται ο πρόσφατος ιός facebook.
Στο παρόν άρθρο θα αναλύσουμε τον συγκεκριμένο ιό, με σκοπό να καταλάβουμε ακριβώς πώς λειτουργεί.
Το πρώτο βήμα είναι να αφαιρέσουμε το πρόγραμμα sapsalo από την έναρξη των Windows.
Για αναλυτικές πληροφορίες σχετικά με την αφαίρεση ενός προγράμματος από την έναρξη οποιασδήποτε έκδοσης των Windows, δείτε τον οδηγό:
Εκκίνηση Προγραμμάτων στα Windows: Αφαιρούμε τα Άχρηστα!
Στη συνέχεια, θα αφαιρέσουμε τον ιό από τον browser μας.
Η επέκταση Flash Player 2.0 είναι ο ιός facebook.
Κάνουμε κλικ στον κάδο αχρήστων για να την αφαιρέσουμε.
Κάνουμε κλικ στις "Επεκτάσεις"
Η επέκταση Flash Player 0.1 είναι ο ιός facebook.
Επιλέγουμε "αφαίρεση" για να την αφαιρέσουμε.
Μόλις ανοίξει ξανά, πηγαίνουμε στο δίσκο c: και διαγράφουμε το φάκελο "MyFolderakis".
Ο ιός facebook αφαιρέθηκε με επιτυχία!
Προσωπικά έκανα το μεγαλύτερο μέρος της παρακάτω ανάλυσης στο λειτουργικό σύστημα Ubuntu, το οποίο είναι αδύνατον να προσβληθεί από έναν ιό γραμμένο για Windows.
Μέχρι στιγμής μου έχουν έρθει δύο σχετικά μηνύματα, με διαφορετική φράση και διαφορετικό όνομα αρχείου. Το ένα ήταν σε greeklish...
Το άλλο στα Ελληνικά.
Τώρα, έτυχε και οι δύο αυτοί χρήστες να είναι άτομα που να μην γνωρίζω προσωπικά. Θα μπορούσαν όμως αυτά τα μηνύματα να έχουν έρθει από τον λογαριασμό κάποιου συγγενή, κολλητού φίλου, οποιουδήποτε.
Κατεβάζοντας λοιπόν το αρχείο .rar και ανοίγοντάς το, βλέπουμε πως στο εσωτερικό του έχει ένα αρχείο με το όνομα ΔΕΣ ΤΟ!!!.vbs.
Ακόμα κι αν δεν ήταν ύποπτο το ότι μας έστειλε ένας γνωστός μας ένα αρχείο .rar, τα αρχεία με καταλήξεις .vbs ανήκουν στην επικίνδυνη κατηγορία εκτελέσιμων αρχείων.
Με μια ματιά στον κώδικα είναι εμφανές πως ο δημιουργός είναι Έλληνας (α, ρε πατρίδα!). Κατ' αρχάς, δημιουργεί έναν φάκελο \MyFolderakis.
Δεύτερον, αναφέρεται ένα αρχείο \sapsalo.jar
Τρίτον, βλέπουμε παρακάτω στον κώδικα αρκετές φράσεις στα Ελληνικά.
Εν συντομία, ο συγκεκριμένος κώδικας κάνει τα εξής:
Περιέχουν το sapsalo.jar, το run.bat καθώς και ένα αρχείο εγκατάστασης Java.
Το πρώτο αρχείο που εκτελεί ο ιός facebook είναι το run.bat, το οποίο ελέγχει αν υπάρχει εγκατεστημένη η Java στο σύστημά μας.
Αν δεν υπάρχει, πολύ εξυπηρετικά, αναλαμβάνει να την εγκαταστήσει τρέχοντας το αρχείο jre-8u5-windows-i586-iftw.exe με την παράμετρο "/s" για σιωπηλή (silent) εγκατάσταση.
Αν υπάρχει η Java ή αφού την εγκαταστήσει, ο ιός facebook τρέχει το sapsalo.jar
Τα αρχεία .jar ουσιαστικά είναι συμπιεσμένα αρχεία της Java, τα οποία όμως μπορούν να τρέξουν και σαν εκτελέσιμα. Γι' αυτό ήταν απαραίτητη η εγκατάσταση της Java.
Υπενθυμίζουμε πως και τα αρχεία .jar ανήκουν στην ομάδα με τις επικίνδυνες καταλήξεις.
Χρησιμοποιώντας τη σελίδα http://jd.benow.ca/ θα μπορέσουμε να αναλύσουμε όλο τον κώδικα που περιέχεται στο αρχείο sapsalo.jar.
Το κύριο αρχείο είναι το JavaApplication2.class.
Το πρώτο που κάνει ο ιός facebook, στις γραμμές 43-46 του κώδικα, είναι να κάνει ένα αντίγραφο του εαυτού του στην εκκίνηση των Windows.
Με αυτόν τον τρόπο, ακόμα κι αν αφαιρέσουμε τις επεκτάσεις που θα βάλει στο browser (τις οποίες θα δούμε παρακάτω) να τις επαναφέρει στην επόμενη επανεκκίνηση.
Στη συνέχεια, στις γραμμές 56 έως 83 ο ιός facebook τοποθετεί και αποσυμπιέζει κάποια αρχεία στο φάκελο με τις επεκτάσεις του Google Chrome.
Το αμέσως επόμενο κομμάτι του κώδικα είναι ιδιαίτερα έξυπνο. Πρώτα καλεί το αρχείο ourt.json, που βρίσκεται μέσα σε έναν από τους υποφακέλους του sapsalo.jar.
Στη συνέχεια ο ιός facebook "σκοτώνει" την διεργασία chrome.exe (taskkill), και το πρόγραμμα εισάγει τα περιεχόμενα του ourt.json, εγκαθιστώντας ουσιαστικά μια νέα επέκταση με το όνομα flash player 2.0.
(ναι, μόλυνα μια virtual machine με Windows για να σας δείξω πως λειτουργεί. Η ενημέρωση θέλει θυσίες...)
Ο λόγος που ο ιός facebook χρειάστηκε να σκοτώσει το chrome.exe είναι πως ο Chrome "κλοτσάει" αν πάει ένα πρόγραμμα να εγκαταστήσει μια επέκταση με το "έτσι θέλω".
Μετά την εγκατάστασή της, η επέκταση φαίνεται αρκετά αθώα. Όλοι ξέρουν τον Flash Player, και ταυτόχρονα αρκετοί αγνοούν πως ο Chrome διαθέτει ήδη ενσωματωμένο Flash Player (και άρα δεν χρειάζεται επέκταση, ή παραβλέπουν την ένδειξη "όχι από το Chrome Web Store".
Ο ιός facebook μάλιστα προβλέπει το ενδεχόμενο να αφαιρέσουμε ή να απενεργοποιήσουμε την επέκταση, και θα την ενεργοποιήσει ξανά στην επόμενη επανεκκίνηση των Windows.
Όλος ο υπόλοιπος κώδικας επαναλαμβάνει την ίδια διαδικασία εγκατάστασης "πειραγμένης" επέκτασης για τον Mozilla Firefox.
Ουσιαστικά η επέκταση είναι ρυθμισμένη να τρέχει κάποια σκριπτάκια γραμμένα σε javascript σε όποια σελίδα είναι σχετική με το facebook.com.
Τα σκριπτάκια αυτά αναφέρονται με τις καταλήξεις .js
Στο σκριπτάκι αυτό βλέπουμε το βασικό σκοπό δημιουργίας του συγκεκριμένου ιού: το να προβάλλει επιπλέον διαφημίσεις στο facebook, από τα κλικ στις οποίες επωφελείται ο δημιουργός.
Οι διαφημίσεις αντλούνται από διάφορα αρχεία .php σε άλλα domain του δημιουργού.
Παρακάτω βλέπουμε να ορίζονται τα διάφορα functions, που αποτελούν τις δυνατότητες του ιού.
Ο ιός λοιπόν μπορεί:
To function get_config αντλεί τυχαία κείμενα για το chat και το όνομα του αρχείου rar από διάφορα site του δημιουργού, με μορφή JSON.
Ύστερα επιλέγεται τυχαία ένας από τους φίλους
και βεβαίως στέλνεται το attachment για τη διάδοση του ιού.
Αξίζει να σημειωθεί πως ο κώδικας προβλέπει την περίπτωση να έχει σταλεί ήδη ο ιός σε μια επαφή, οπότε και φροντίζει να μην ξανασταλεί.
Έτσι, ο δημιουργός γνωρίζει ανά πάσα στιγμή πόσα μηνύματα έχουν σταλεί, πόσα attachments, καθώς επίσης και πόσες φορές έχει αφαιρεθεί το extension.
Δεν βλέπουμε κάθε μέρα ιούς που να αξιοποιούν ταυτόχρονα τόσες πολλές τεχνολογίες (VBS, Batch, Java, JavaScript).
Βέβαια, μέσα στην πολυπλοκότητα ξεφεύγουν και μερικά μικρά σφάλματα. Αν πχ υπάρχει ήδη ο φάκελος MyFolderakis στο c:\, το σκριπτάκι, και κατά συνέπεια ο ιός, δεν μπορεί να εγκατασταθεί.
Επίσης, το γεγονός πως είναι γραμμένο σε Java έχει το μειονέκτημα πως η Java πρέπει να είναι εγκατεστημένη στον υπολογιστή.
Ναι μεν το ίδιο το script επιχειρεί να την εγκαταστήσει, αλλά ο συγκεκριμένος installer δεν είναι συμβατός με τα Windows XP, λόγω της λήξης της υποστήριξης.
Συνολικά, πάντως, ο ιός αυτός έχει διαδοθεί ταχύτατα στους Έλληνες χρήστες, λόγω του ότι χρησιμοποιεί Ελληνικά μηνύματα και ονόματα αρχείων.
Αν λοιπόν σας έρθει κάποιο μήνυμα με συνημμένο αρχείο Rar, μην το ανοίξετε, ενημερώστε τον αποστολέα πως έχει μολυνθεί, και στείλτε του αυτό το άρθρο για να καθαρίσει τον υπολογιστή του.
http://www.pcsteps.gr
Στο παρόν άρθρο θα αναλύσουμε τον συγκεκριμένο ιό, με σκοπό να καταλάβουμε ακριβώς πώς λειτουργεί.
Πως αφαιρείται ο ιός facebook
Πριν συνεχίσουμε με την ανάλυση του ιού, να δούμε πρώτα πώς να τον αφαιρέσουμε από ένα σύστημα που έχει μολυνθεί.Το πρώτο βήμα είναι να αφαιρέσουμε το πρόγραμμα sapsalo από την έναρξη των Windows.
Για αναλυτικές πληροφορίες σχετικά με την αφαίρεση ενός προγράμματος από την έναρξη οποιασδήποτε έκδοσης των Windows, δείτε τον οδηγό:
Εκκίνηση Προγραμμάτων στα Windows: Αφαιρούμε τα Άχρηστα!
Στη συνέχεια, θα αφαιρέσουμε τον ιό από τον browser μας.
Αφαίρεση ιού στον Google Chrome
Αν χρησιμοποιούμε τον Chrome, γράφουμε στη μπάρα των διευθύνσεων chrome://extensionsΗ επέκταση Flash Player 2.0 είναι ο ιός facebook.
Κάνουμε κλικ στον κάδο αχρήστων για να την αφαιρέσουμε.
Αφαίρεση ιού στον Mozilla Firefox
Στο Firefox κάνουμε κλικ στο κουμπί του Firefox, και επιλέγουμε "Πρόσθετα"Κάνουμε κλικ στις "Επεκτάσεις"
Η επέκταση Flash Player 0.1 είναι ο ιός facebook.
Επιλέγουμε "αφαίρεση" για να την αφαιρέσουμε.
Αφαίρεση αρχείων ιού facebook
Αφού ολοκληρώσαμε τις παραπάνω διαδικασίες, κάνουμε επανεκκίνηση στον υπολογιστή μας.Μόλις ανοίξει ξανά, πηγαίνουμε στο δίσκο c: και διαγράφουμε το φάκελο "MyFolderakis".
Ο ιός facebook αφαιρέθηκε με επιτυχία!
Πως λειτουργεί ο ιός Facebook
Προσοχή! Μην επιχειρήσετε να αναπαράγετε τις διαδικασίες που θα δείξουμε σε αυτόν τον οδηγό. Υπάρχει κίνδυνος, αν τρέξετε καταλάθος κάποιο αρχείο, ο ιός facebook να μολύνει το σύστημά σας.Προσωπικά έκανα το μεγαλύτερο μέρος της παρακάτω ανάλυσης στο λειτουργικό σύστημα Ubuntu, το οποίο είναι αδύνατον να προσβληθεί από έναν ιό γραμμένο για Windows.
Η πρώτη επαφή: ένα αρχείο .rar με ένα .vbs
Μας έρχεται λοιπόν, σε ανύποπτο χρόνο, ένα μήνυμα που γράφει μια μικρή φράση και συνοδεύεται από ένα αρχείο .rar.Μέχρι στιγμής μου έχουν έρθει δύο σχετικά μηνύματα, με διαφορετική φράση και διαφορετικό όνομα αρχείου. Το ένα ήταν σε greeklish...
Το άλλο στα Ελληνικά.
Τώρα, έτυχε και οι δύο αυτοί χρήστες να είναι άτομα που να μην γνωρίζω προσωπικά. Θα μπορούσαν όμως αυτά τα μηνύματα να έχουν έρθει από τον λογαριασμό κάποιου συγγενή, κολλητού φίλου, οποιουδήποτε.
Κατεβάζοντας λοιπόν το αρχείο .rar και ανοίγοντάς το, βλέπουμε πως στο εσωτερικό του έχει ένα αρχείο με το όνομα ΔΕΣ ΤΟ!!!.vbs.
Ακόμα κι αν δεν ήταν ύποπτο το ότι μας έστειλε ένας γνωστός μας ένα αρχείο .rar, τα αρχεία με καταλήξεις .vbs ανήκουν στην επικίνδυνη κατηγορία εκτελέσιμων αρχείων.
Η εκτέλεση του .vbs
Ανοίγοντας το αρχείο με έναν επεξεργαστή κειμένου, βλέπουμε τον κώδικα που θα εκτελεστεί τρέχοντάς το.Με μια ματιά στον κώδικα είναι εμφανές πως ο δημιουργός είναι Έλληνας (α, ρε πατρίδα!). Κατ' αρχάς, δημιουργεί έναν φάκελο \MyFolderakis.
Δεύτερον, αναφέρεται ένα αρχείο \sapsalo.jar
Τρίτον, βλέπουμε παρακάτω στον κώδικα αρκετές φράσεις στα Ελληνικά.
Εν συντομία, ο συγκεκριμένος κώδικας κάνει τα εξής:
- Επιλέγει τυχαία μία από αυτές τις ιστοσελίδες
- Κατεβάζει το αντίστοιχο αρχείο .zip
- Αποσυμπιέζει το αρχείο
- Ελέγχει αν έχει αποσυμπιεστεί το αρχείο sapsalo.jar.
- Αν ναι, τρέχει ένα αρχείο run.bat
Το νέο αρχείο .zip
Απ' όσο μπόρεσα να διαπιστώσω, τα αρχεία σε όλες τις ιστοσελίδες είναι πανομοιότυπα.Περιέχουν το sapsalo.jar, το run.bat καθώς και ένα αρχείο εγκατάστασης Java.
Το πρώτο αρχείο που εκτελεί ο ιός facebook είναι το run.bat, το οποίο ελέγχει αν υπάρχει εγκατεστημένη η Java στο σύστημά μας.
Αν δεν υπάρχει, πολύ εξυπηρετικά, αναλαμβάνει να την εγκαταστήσει τρέχοντας το αρχείο jre-8u5-windows-i586-iftw.exe με την παράμετρο "/s" για σιωπηλή (silent) εγκατάσταση.
Αν υπάρχει η Java ή αφού την εγκαταστήσει, ο ιός facebook τρέχει το sapsalo.jar
Τα αρχεία .jar ουσιαστικά είναι συμπιεσμένα αρχεία της Java, τα οποία όμως μπορούν να τρέξουν και σαν εκτελέσιμα. Γι' αυτό ήταν απαραίτητη η εγκατάσταση της Java.
Υπενθυμίζουμε πως και τα αρχεία .jar ανήκουν στην ομάδα με τις επικίνδυνες καταλήξεις.
Το αρχείο sapsalo.jar
Εδώ είναι που τα πράγματα αρχίζουν και σοβαρεύουν.Χρησιμοποιώντας τη σελίδα http://jd.benow.ca/ θα μπορέσουμε να αναλύσουμε όλο τον κώδικα που περιέχεται στο αρχείο sapsalo.jar.
Το κύριο αρχείο είναι το JavaApplication2.class.
Το πρώτο που κάνει ο ιός facebook, στις γραμμές 43-46 του κώδικα, είναι να κάνει ένα αντίγραφο του εαυτού του στην εκκίνηση των Windows.
Με αυτόν τον τρόπο, ακόμα κι αν αφαιρέσουμε τις επεκτάσεις που θα βάλει στο browser (τις οποίες θα δούμε παρακάτω) να τις επαναφέρει στην επόμενη επανεκκίνηση.
Στη συνέχεια, στις γραμμές 56 έως 83 ο ιός facebook τοποθετεί και αποσυμπιέζει κάποια αρχεία στο φάκελο με τις επεκτάσεις του Google Chrome.
Το αμέσως επόμενο κομμάτι του κώδικα είναι ιδιαίτερα έξυπνο. Πρώτα καλεί το αρχείο ourt.json, που βρίσκεται μέσα σε έναν από τους υποφακέλους του sapsalo.jar.
Στη συνέχεια ο ιός facebook "σκοτώνει" την διεργασία chrome.exe (taskkill), και το πρόγραμμα εισάγει τα περιεχόμενα του ourt.json, εγκαθιστώντας ουσιαστικά μια νέα επέκταση με το όνομα flash player 2.0.
(ναι, μόλυνα μια virtual machine με Windows για να σας δείξω πως λειτουργεί. Η ενημέρωση θέλει θυσίες...)
Ο λόγος που ο ιός facebook χρειάστηκε να σκοτώσει το chrome.exe είναι πως ο Chrome "κλοτσάει" αν πάει ένα πρόγραμμα να εγκαταστήσει μια επέκταση με το "έτσι θέλω".
Μετά την εγκατάστασή της, η επέκταση φαίνεται αρκετά αθώα. Όλοι ξέρουν τον Flash Player, και ταυτόχρονα αρκετοί αγνοούν πως ο Chrome διαθέτει ήδη ενσωματωμένο Flash Player (και άρα δεν χρειάζεται επέκταση, ή παραβλέπουν την ένδειξη "όχι από το Chrome Web Store".
Ο ιός facebook μάλιστα προβλέπει το ενδεχόμενο να αφαιρέσουμε ή να απενεργοποιήσουμε την επέκταση, και θα την ενεργοποιήσει ξανά στην επόμενη επανεκκίνηση των Windows.
Όλος ο υπόλοιπος κώδικας επαναλαμβάνει την ίδια διαδικασία εγκατάστασης "πειραγμένης" επέκτασης για τον Mozilla Firefox.
Η πειραγμένη επέκταση
Όλη η εκτέλεση του πραγματικού ιού γίνεται μέσω του αρχείου ourt.json, που είναι η πειραγμένη επέκταση.Ουσιαστικά η επέκταση είναι ρυθμισμένη να τρέχει κάποια σκριπτάκια γραμμένα σε javascript σε όποια σελίδα είναι σχετική με το facebook.com.
Τα σκριπτάκια αυτά αναφέρονται με τις καταλήξεις .js
Τα σκριπτάκια και οι δυνατότητες του ιού
Το σημαντικότερο από τα σκριπτάκια που χρησιμοποιεί ο ιός facebook είναι το popup.js.Στο σκριπτάκι αυτό βλέπουμε το βασικό σκοπό δημιουργίας του συγκεκριμένου ιού: το να προβάλλει επιπλέον διαφημίσεις στο facebook, από τα κλικ στις οποίες επωφελείται ο δημιουργός.
Οι διαφημίσεις αντλούνται από διάφορα αρχεία .php σε άλλα domain του δημιουργού.
Παρακάτω βλέπουμε να ορίζονται τα διάφορα functions, που αποτελούν τις δυνατότητες του ιού.
Ο ιός λοιπόν μπορεί:
- να αντιγράψει τη λίστα των φίλων του θύματος στο Facebook.
- να δημιουργήσει δημοσιεύσεις
- να κάνει Like εκ μέρους του θύματος σε δημοσιεύσεις και σελίδες
- να στείλει μηνύματα μέσω του chat, που είναι και ο τρόπος με τον οποίο διαδίδεται...
- να διαγράψει το μήνυμα που μόλις έστειλε, για να μην υποψιαστεί το θύμα πως έχει κολλήσει ιό facebook.
Πώς διαδίδεται ο ιός facebook μέσω του chat
Και φτάνουμε σε ένα από τα πιο σημαντικά σημεία του κώδικα, την διάδοση του ιού facebook μέσω του Chat.To function get_config αντλεί τυχαία κείμενα για το chat και το όνομα του αρχείου rar από διάφορα site του δημιουργού, με μορφή JSON.
Ύστερα επιλέγεται τυχαία ένας από τους φίλους
και βεβαίως στέλνεται το attachment για τη διάδοση του ιού.
Αξίζει να σημειωθεί πως ο κώδικας προβλέπει την περίπτωση να έχει σταλεί ήδη ο ιός σε μια επαφή, οπότε και φροντίζει να μην ξανασταλεί.
Αναλυτικά στατιστικά για τη δράση του ιού
Ενδιαφέρον είναι το γεγονός πως ο ιός facebook κρατάει αναλυτικά στατιστικά μέσα από το σκριπτάκι analytics.js.Έτσι, ο δημιουργός γνωρίζει ανά πάσα στιγμή πόσα μηνύματα έχουν σταλεί, πόσα attachments, καθώς επίσης και πόσες φορές έχει αφαιρεθεί το extension.
Μια αρκετά "καλή" δουλειά
Ενώ σε καμία περίπτωση δεν εγκρίνουμε τη δημιουργία ιών, από τεχνικής άποψης ο συγκεκριμένος ιός facebook είναι αρκετά περίπλοκος και φαίνεται πως ο δημιουργός του έχει επενδύσει αρκετό χρόνο στην ανάπτυξή του.Δεν βλέπουμε κάθε μέρα ιούς που να αξιοποιούν ταυτόχρονα τόσες πολλές τεχνολογίες (VBS, Batch, Java, JavaScript).
Βέβαια, μέσα στην πολυπλοκότητα ξεφεύγουν και μερικά μικρά σφάλματα. Αν πχ υπάρχει ήδη ο φάκελος MyFolderakis στο c:\, το σκριπτάκι, και κατά συνέπεια ο ιός, δεν μπορεί να εγκατασταθεί.
Επίσης, το γεγονός πως είναι γραμμένο σε Java έχει το μειονέκτημα πως η Java πρέπει να είναι εγκατεστημένη στον υπολογιστή.
Ναι μεν το ίδιο το script επιχειρεί να την εγκαταστήσει, αλλά ο συγκεκριμένος installer δεν είναι συμβατός με τα Windows XP, λόγω της λήξης της υποστήριξης.
Συνολικά, πάντως, ο ιός αυτός έχει διαδοθεί ταχύτατα στους Έλληνες χρήστες, λόγω του ότι χρησιμοποιεί Ελληνικά μηνύματα και ονόματα αρχείων.
Αν λοιπόν σας έρθει κάποιο μήνυμα με συνημμένο αρχείο Rar, μην το ανοίξετε, ενημερώστε τον αποστολέα πως έχει μολυνθεί, και στείλτε του αυτό το άρθρο για να καθαρίσει τον υπολογιστή του.
http://www.pcsteps.gr
ntokoumentagr.blogspot.gr
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου