Ιός facebook - Δείτε πώς Λειτουργεί, Βήμα προς Βήμα!

Είμαστε στο Facebook και μας έρχεται μήνυμα από κάποιον φίλο, με ένα σύντομο μήνυμα και ένα αρχείο με κατάληξη .rar. Αυτός είναι ο τρόπος με τον οποίο διαδίδεται ο πρόσφατος ιός facebook.
Στο παρόν άρθρο θα αναλύσουμε τον συγκεκριμένο ιό, με σκοπό να καταλάβουμε ακριβώς πώς λειτουργεί.

Πως αφαιρείται ο ιός facebook

Πριν συνεχίσουμε με την ανάλυση του ιού, να δούμε πρώτα πώς να τον αφαιρέσουμε από ένα σύστημα που έχει μολυνθεί.
Το πρώτο βήμα είναι να αφαιρέσουμε το πρόγραμμα sapsalo από την έναρξη των Windows.
ιός facebook πώς λειτουργεί 00
Για αναλυτικές πληροφορίες σχετικά με την αφαίρεση ενός προγράμματος από την έναρξη οποιασδήποτε έκδοσης των Windows, δείτε τον οδηγό:
Εκκίνηση Προγραμμάτων στα Windows: Αφαιρούμε τα Άχρηστα!
Στη συνέχεια, θα αφαιρέσουμε τον ιό από τον browser μας.

Αφαίρεση ιού στον Google Chrome

Αν χρησιμοποιούμε τον Chrome, γράφουμε στη μπάρα των διευθύνσεων chrome://extensions
ιός facebook πώς λειτουργεί 00α
Η επέκταση Flash Player 2.0 είναι ο ιός facebook.
Κάνουμε κλικ στον κάδο αχρήστων για να την αφαιρέσουμε.
ιός facebook πώς λειτουργεί 00β

Αφαίρεση ιού στον Mozilla Firefox

Στο Firefox κάνουμε κλικ στο κουμπί του Firefox, και επιλέγουμε "Πρόσθετα"
ιός facebook πώς λειτουργεί 00γ
Κάνουμε κλικ στις "Επεκτάσεις"
ιός facebook πώς λειτουργεί 00δ
Η επέκταση Flash Player 0.1 είναι ο ιός facebook.
Επιλέγουμε "αφαίρεση" για να την αφαιρέσουμε.
ιός facebook πώς λειτουργεί 00ε

Αφαίρεση αρχείων ιού facebook

Αφού ολοκληρώσαμε τις παραπάνω διαδικασίες, κάνουμε επανεκκίνηση στον υπολογιστή μας.
Μόλις ανοίξει ξανά, πηγαίνουμε στο δίσκο c: και διαγράφουμε το φάκελο "MyFolderakis".
ιός facebook πώς λειτουργεί 00ζ
Ο ιός facebook αφαιρέθηκε με επιτυχία!

Πως λειτουργεί ο ιός Facebook

Προσοχή! Μην επιχειρήσετε να αναπαράγετε τις διαδικασίες που θα δείξουμε σε αυτόν τον οδηγό. Υπάρχει κίνδυνος, αν τρέξετε καταλάθος κάποιο αρχείο, ο ιός facebook να μολύνει το σύστημά σας.
Προσωπικά έκανα το μεγαλύτερο μέρος της παρακάτω ανάλυσης στο λειτουργικό σύστημα Ubuntu, το οποίο είναι αδύνατον να προσβληθεί από έναν ιό γραμμένο για Windows.

Η πρώτη επαφή: ένα αρχείο .rar με ένα .vbs

Μας έρχεται λοιπόν, σε ανύποπτο χρόνο, ένα μήνυμα που γράφει μια μικρή φράση και συνοδεύεται από ένα αρχείο .rar.
Μέχρι στιγμής μου έχουν έρθει δύο σχετικά μηνύματα, με διαφορετική φράση και διαφορετικό όνομα αρχείου. Το ένα ήταν σε greeklish...
ιός facebook πώς λειτουργεί 01
Το άλλο στα Ελληνικά.
ιός facebook πώς λειτουργεί 02
Τώρα, έτυχε και οι δύο αυτοί χρήστες να είναι άτομα που να μην γνωρίζω προσωπικά. Θα μπορούσαν όμως αυτά τα μηνύματα να έχουν έρθει από τον λογαριασμό κάποιου συγγενή, κολλητού φίλου, οποιουδήποτε.
Κατεβάζοντας λοιπόν το αρχείο .rar και ανοίγοντάς το, βλέπουμε πως στο εσωτερικό του έχει ένα αρχείο με το όνομα ΔΕΣ ΤΟ!!!.vbs.
ιός facebook πώς λειτουργεί 03
Ακόμα κι αν δεν ήταν ύποπτο το ότι μας έστειλε ένας γνωστός μας ένα αρχείο .rar, τα αρχεία με καταλήξεις .vbs ανήκουν στην επικίνδυνη κατηγορία εκτελέσιμων αρχείων.

Η εκτέλεση του .vbs

Ανοίγοντας το αρχείο με έναν επεξεργαστή κειμένου, βλέπουμε τον κώδικα που θα εκτελεστεί τρέχοντάς το.
ιός facebook πώς λειτουργεί 04
Με μια ματιά στον κώδικα είναι εμφανές πως ο δημιουργός είναι Έλληνας (α, ρε πατρίδα!). Κατ' αρχάς, δημιουργεί έναν φάκελο \MyFolderakis.
ιός facebook πώς λειτουργεί 05
Δεύτερον, αναφέρεται ένα αρχείο \sapsalo.jar
ιός facebook πώς λειτουργεί 06
Τρίτον, βλέπουμε παρακάτω στον κώδικα αρκετές φράσεις στα Ελληνικά.
ιός facebook πώς λειτουργεί 07
Εν συντομία, ο συγκεκριμένος κώδικας κάνει τα εξής:
  1. Επιλέγει τυχαία μία από αυτές τις ιστοσελίδες
  2. Κατεβάζει το αντίστοιχο αρχείο .zip
  3. Αποσυμπιέζει το αρχείο
  4. Ελέγχει αν έχει αποσυμπιεστεί το αρχείο sapsalo.jar.
  5. Αν ναι, τρέχει ένα αρχείο run.bat
Αξίζει επίσης να σημειωθεί πως όλες οι παραπάνω σελίδες φαίνεται να ανήκουν στον ίδιο δημιουργό, καθώς έχουν κατοχυρωθεί από την ίδια εταιρεία και δείχνουν στο ίδιο hosting.
ιός facebook πώς λειτουργεί 08
ιός facebook πώς λειτουργεί 09

Το νέο αρχείο .zip

Απ' όσο μπόρεσα να διαπιστώσω, τα αρχεία σε όλες τις ιστοσελίδες είναι πανομοιότυπα.
Περιέχουν το sapsalo.jar, το run.bat καθώς και ένα αρχείο εγκατάστασης Java.
ιός facebook πώς λειτουργεί 11
Το πρώτο αρχείο που εκτελεί ο ιός facebook είναι το run.bat, το οποίο ελέγχει αν υπάρχει εγκατεστημένη η Java στο σύστημά μας.
Αν δεν υπάρχει, πολύ εξυπηρετικά, αναλαμβάνει να την εγκαταστήσει τρέχοντας το αρχείο jre-8u5-windows-i586-iftw.exe με την παράμετρο "/s" για σιωπηλή (silent) εγκατάσταση.
ιός facebook πώς λειτουργεί 12
Αν υπάρχει η Java ή αφού την εγκαταστήσει, ο ιός facebook τρέχει το sapsalo.jar
Τα αρχεία .jar ουσιαστικά είναι συμπιεσμένα αρχεία της Java, τα οποία όμως μπορούν να τρέξουν και σαν εκτελέσιμα. Γι' αυτό ήταν απαραίτητη η εγκατάσταση της Java.
Υπενθυμίζουμε πως και τα αρχεία .jar ανήκουν στην ομάδα με τις επικίνδυνες καταλήξεις.

Το αρχείο sapsalo.jar

Εδώ είναι που τα πράγματα αρχίζουν και σοβαρεύουν.
Χρησιμοποιώντας τη σελίδα http://jd.benow.ca/ θα μπορέσουμε να αναλύσουμε όλο τον κώδικα που περιέχεται στο αρχείο sapsalo.jar.
ιός facebook πώς λειτουργεί 13
Το κύριο αρχείο είναι το JavaApplication2.class.
Το πρώτο που κάνει ο ιός facebook, στις γραμμές 43-46 του κώδικα, είναι να κάνει ένα αντίγραφο του εαυτού του στην εκκίνηση των Windows.
ιός facebook πώς λειτουργεί 14
Με αυτόν τον τρόπο, ακόμα κι αν αφαιρέσουμε τις επεκτάσεις που θα βάλει στο browser (τις οποίες θα δούμε παρακάτω) να τις επαναφέρει στην επόμενη επανεκκίνηση.
Στη συνέχεια, στις γραμμές 56 έως 83 ο ιός facebook τοποθετεί και αποσυμπιέζει κάποια αρχεία στο φάκελο με τις επεκτάσεις του Google Chrome.
ιός facebook πώς λειτουργεί 15
Το αμέσως επόμενο κομμάτι του κώδικα είναι ιδιαίτερα έξυπνο. Πρώτα καλεί το αρχείο ourt.json, που βρίσκεται μέσα σε έναν από τους υποφακέλους του sapsalo.jar.
ιός facebook πώς λειτουργεί 16
Στη συνέχεια ο ιός facebook "σκοτώνει" την διεργασία chrome.exe (taskkill), και το πρόγραμμα εισάγει τα περιεχόμενα του ourt.json, εγκαθιστώντας ουσιαστικά μια νέα επέκταση με το όνομα flash player 2.0.
ιός facebook πώς λειτουργεί 17
(ναι, μόλυνα μια virtual machine με Windows για να σας δείξω πως λειτουργεί. Η ενημέρωση θέλει θυσίες...)
Ο λόγος που ο ιός facebook χρειάστηκε να σκοτώσει το chrome.exe είναι πως ο Chrome "κλοτσάει" αν πάει ένα πρόγραμμα να εγκαταστήσει μια επέκταση με το "έτσι θέλω".
Μετά την εγκατάστασή της, η επέκταση φαίνεται αρκετά αθώα. Όλοι ξέρουν τον Flash Player, και ταυτόχρονα αρκετοί αγνοούν πως ο Chrome διαθέτει ήδη ενσωματωμένο Flash Player (και άρα δεν χρειάζεται επέκταση, ή παραβλέπουν την ένδειξη "όχι από το Chrome Web Store".
ιός facebook πώς λειτουργεί 17a
Ο ιός facebook μάλιστα προβλέπει το ενδεχόμενο να αφαιρέσουμε ή να απενεργοποιήσουμε την επέκταση, και θα την ενεργοποιήσει ξανά στην επόμενη επανεκκίνηση των Windows.
ιός facebook πώς λειτουργεί 18
Όλος ο υπόλοιπος κώδικας επαναλαμβάνει την ίδια διαδικασία εγκατάστασης "πειραγμένης" επέκτασης για τον Mozilla Firefox.
ιός facebook πώς λειτουργεί 19

Η πειραγμένη επέκταση

Όλη η εκτέλεση του πραγματικού ιού γίνεται μέσω του αρχείου ourt.json, που είναι η πειραγμένη επέκταση.
ιός facebook πώς λειτουργεί 20
Ουσιαστικά η επέκταση είναι ρυθμισμένη να τρέχει κάποια σκριπτάκια γραμμένα σε javascript σε όποια σελίδα είναι σχετική με το facebook.com.
Τα σκριπτάκια αυτά αναφέρονται με τις καταλήξεις .js
ιός facebook πώς λειτουργεί 21

Τα σκριπτάκια και οι δυνατότητες του ιού

Το σημαντικότερο από τα σκριπτάκια που χρησιμοποιεί ο ιός facebook είναι το popup.js.
Στο σκριπτάκι αυτό βλέπουμε το βασικό σκοπό δημιουργίας του συγκεκριμένου ιού: το να προβάλλει επιπλέον διαφημίσεις στο facebook, από τα κλικ στις οποίες επωφελείται ο δημιουργός.
ιός facebook πώς λειτουργεί 22
Οι διαφημίσεις αντλούνται από διάφορα αρχεία .php σε άλλα domain του δημιουργού.
ιός facebook πώς λειτουργεί 23
Παρακάτω βλέπουμε να ορίζονται τα διάφορα functions, που αποτελούν τις δυνατότητες του ιού.
Ο ιός λοιπόν μπορεί:
  • να αντιγράψει τη λίστα των φίλων του θύματος στο Facebook.
ιός facebook πώς λειτουργεί 23a
  • να δημιουργήσει δημοσιεύσεις
ιός facebook πώς λειτουργεί 23b
  • να κάνει Like εκ μέρους του θύματος σε δημοσιεύσεις και σελίδες
ιός facebook πώς λειτουργεί 23c
  • να στείλει μηνύματα μέσω του chat, που είναι και ο τρόπος με τον οποίο διαδίδεται...
ιός facebook πώς λειτουργεί 23d
  • να διαγράψει το μήνυμα που μόλις έστειλε, για να μην υποψιαστεί το θύμα πως έχει κολλήσει ιό facebook.
ιός facebook πώς λειτουργεί 23e

Πώς διαδίδεται ο ιός facebook μέσω του chat

Και φτάνουμε σε ένα από τα πιο σημαντικά σημεία του κώδικα, την διάδοση του ιού facebook μέσω του Chat.
To function get_config αντλεί τυχαία κείμενα για το chat και το όνομα του αρχείου rar από διάφορα site του δημιουργού, με μορφή JSON.
ιός facebook πώς λειτουργεί 24
Ύστερα επιλέγεται τυχαία ένας από τους φίλους
ιός facebook πώς λειτουργεί 25
και βεβαίως στέλνεται το attachment για τη διάδοση του ιού.
ιός facebook πώς λειτουργεί 26
Αξίζει να σημειωθεί πως ο κώδικας προβλέπει την περίπτωση να έχει σταλεί ήδη ο ιός σε μια επαφή, οπότε και φροντίζει να μην ξανασταλεί.

Αναλυτικά στατιστικά για τη δράση του ιού

Ενδιαφέρον είναι το γεγονός πως ο ιός facebook κρατάει αναλυτικά στατιστικά μέσα από το σκριπτάκι analytics.js.
ιός facebook πώς λειτουργεί 27
Έτσι, ο δημιουργός γνωρίζει ανά πάσα στιγμή πόσα μηνύματα έχουν σταλεί, πόσα attachments, καθώς επίσης και πόσες φορές έχει αφαιρεθεί το extension.

Μια αρκετά "καλή" δουλειά

Ενώ σε καμία περίπτωση δεν εγκρίνουμε τη δημιουργία ιών, από τεχνικής άποψης ο συγκεκριμένος ιός facebook είναι αρκετά περίπλοκος και φαίνεται πως ο δημιουργός του έχει επενδύσει αρκετό χρόνο στην ανάπτυξή του.
Δεν βλέπουμε κάθε μέρα ιούς που να αξιοποιούν ταυτόχρονα τόσες πολλές τεχνολογίες (VBS, Batch, Java, JavaScript).
Βέβαια, μέσα στην πολυπλοκότητα ξεφεύγουν και μερικά μικρά σφάλματα. Αν πχ υπάρχει ήδη ο φάκελος MyFolderakis στο c:\, το σκριπτάκι, και κατά συνέπεια ο ιός, δεν μπορεί να εγκατασταθεί.
ιός facebook πώς λειτουργεί 28
Επίσης, το γεγονός πως είναι γραμμένο σε Java έχει το μειονέκτημα πως η Java πρέπει να είναι εγκατεστημένη στον υπολογιστή.
Ναι μεν το ίδιο το script επιχειρεί να την εγκαταστήσει, αλλά ο συγκεκριμένος installer δεν είναι συμβατός με τα Windows XP, λόγω της λήξης της υποστήριξης.
ιός facebook πώς λειτουργεί 29
Συνολικά, πάντως, ο ιός αυτός έχει διαδοθεί ταχύτατα στους Έλληνες χρήστες, λόγω του ότι χρησιμοποιεί Ελληνικά μηνύματα και ονόματα αρχείων.
Αν λοιπόν σας έρθει κάποιο μήνυμα με συνημμένο αρχείο Rar, μην το ανοίξετε, ενημερώστε τον αποστολέα πως έχει μολυνθεί, και στείλτε του αυτό το άρθρο για να καθαρίσει τον υπολογιστή του.

http://www.pcsteps.gr

ntokoumentagr.blogspot.gr

Δεν υπάρχουν σχόλια: