"You've received a greeting ecard ( postcard )" - czyli szkodnik w pocztówce

Od przynajmniej miesiąca nasze skrzynki pocztowe zasypuje spam, z którego wynika, że ktoś był na tyle miły, by przysłać nam elektroniczną pocztówkę. Niektóre filtry nauczyły się już wychwytywać te wiadomości, jednak rosnąca liczba przychodzących e-maili sugeruje, iż wiele osób daje się nabrać na fałszywe e-kartki. Jeśli i ty postanowiłeś kliknąć w odsyłacz prowadzący jakoby do życzeń, powinieneś zacząć się martwić. Twój komputer mógł się stać zombie, które zasypuje innym internautom skrzynki albo uczestniczy w atakach DDoS. Niezbyt miła wiadomość, prawda?

Tylko dziś autor tego tekstu dostał pięć e-maili z informacją, że ktoś przygotował dla niego elektroniczną pocztówkę. Sądząc po adresach IP w nagłówkach, jeden przyszedł z Afryki, trzy z bliżej nieokreślonego kierunku i jeden z Francji. W początkowym okresie były to najwyżej trzy e-maile dziennie, co pozwala nam sądzić, że - mimo licznych ostrzeżeń firm produkujących oprogramowanie antywirusowe oraz portali z branży IT - ciągle zdarzają się użytkownicy, którzy wierzą w anonimowe elektroniczne pocztówki.

Postanowiliśmy sprawdzić, co tak naprawdę może spotkać naiwnego użytkownika. Naszym poligonem doświadczalnym był komputer z Windows XP Professional SP2, Internet Explorerem 7 oraz niemal wszystkimi łatami bezpieczeństwa dostępnymi na dzień testu ( dwie ostatnie właśnie się instalowały ).

Po uruchomieniu systemu, wystartowaliśmy przeglądarkę internetową ( IE7 ) i wpisaliśmy w niej adres z e-maila. Aplikacja poprosiła nas o zainstalowanie dwóch formantów ActiveX o nazwie _ Microsoft Data Access - Remote Data Services Data Control _ oraz _ Zawartość Shell WebView i biblioteka formantów _.

Rozsądnemu użytkownikowi już w tym momencie powinno zapalić się czerwone, ostrzegawcze światełko. Odwiedzając witrynę, która nie legitymuje się żadnym sensownym adresem ( np. www.pcworld.pl, www.google.pl, www.microsoft.pl itd. ), a zamiast tego przedstawia się jako IP ( http://130.11.32.12 itd. ), należy zachować daleko idącą ostrożność i w żadnym wypadku nie wolno jej pozwolić na instalowanie w systemie dodatków.

Po zainstalowaniu dodatków nadszedł moment na najważniejszy krok: na uruchomienie pliku EXE. Mimo naszej delikatnej pomocy, ecard.exe nie potrafił załadować się do pamięci wykorzystując luki w przeglądarce - ani w Operze, ani w Firefoksie, ani w IE. Istnieją ponoć jednak wersje, które _ potrafią odnaleźć starą dziurę w aplikacjach Mozilli, Opera Software i Microsoftu, by zainfekować system bez udziału użytkownika _.

Plik ecard.exe nas zaskoczył. Zamiast wywoływać pożar, spowodował restart komputera. Zaczęliśmy się zastanawiać, co może być przyczyną problemu. Najbardziej prawdopodobne okazały się dwie hipotezy:
1 ) aplikacja jest napisana na tyle źle, że nie działa na wielu typowych komputerach,
2 ) aplikacja jest napisana na tyle dobrze, że potrafi wykryć przynajmniej niektóre wirtualne maszyny.

Tutaj drobne wyjaśnienie: aby uniknąć masowo rozprzestrzeniającej się infekcji, zarażaliśmy Windows XP zainstalowane na wirtualnej maszynie VMware Workstation uruchomionej wewnątrz Visty. Skłanialiśmy się do hipotezy numer 1 - widzieliśmy już setki źle napisanych wirusów, które zamiast formatować dyski i po cichu instalować rootkity, powodowały wystąpienie krytycznych błędów - ale na wszelki wypadek zdecydowaliśmy się na sprawdzenie również drugiej opcji. Uznaliśmy, że jeśli ecard.exe jest aż tak dobry, by rozpoznawać wirtualne maszyny, na pewno zaimplementowano w nim również "obsługę" MS Virtual PC 2007.

Niebywałe - rozpoznał! Efekt był identyczny jak w wypadku VMware, tuż po uruchomieniu pliku wykonywalnego wirtualna maszyna się zrestartowała.

Na szczęście po kilku próbach z różnymi pocztówkami udało nam się znaleźć ecard.exe, który nie powodował ponownego uruchomienia ani VMware Workstation, ani VirtualPC.

Przed uruchomieniem trzeciej czy czwartej z kolei aplikacji postanowiliśmy się zabezpieczyć. Oprócz Process Explorera - http://www.idg.pl/ftp/pc_3614/process.explorer.8.4.html i TCPView - http://www.pcworld.pl/porada/85006.html przycięliśmy łącze między wirtualną maszyną a Internetem oraz uruchomiliśmy na maszynie-gospodarzu ( wewnątrz niej działał Windows XP ) Wiresharka - http://www.idg.pl/artykuly/53872_1.html.

_ Process Explorer miał za zadanie pokazać nam uruchamiające się w tle programy. TCPView wyświetlał wszystkie połączenia. Wireshark pozwalał nam na przechwycenie i analizę pakietów przesyłanych między wirtualną maszyną a Internetem. _

Po załadowaniu ecard.exe udało nam się zaobserwować, że program natychmiast deaktywował zaporę ogniową ( system poinformował o tym wyświetlając dymek ) i połączył się z adresem 66.148.74.35, gdzie pobrał kolejny plik EXE i załadował go do pamięci po uprzednim rozpakowaniu.

W oknie TCPView zauważyliśmy "eksplozję" plików uruchamiających się przez plik services.exe ( ładujący w systemie usługi ) i łączący się z kolejnymi komputerami-zombie. W ciągu pięciu sekund nasza maszyna uruchomiła kilkanaście połączeń, a kolejnych kilka nawiązywała i zrywała.

Efekt? Oprócz dymków ostrzegających o wyłączonej zaporze system lekko zwolnił, a zamontowany na procesorze wiatrak przyspieszył. Nie był to jednak efekt przeszkadzający w normalnej pracy - bardzo zajęty sobą użytkownik nie zauważyłby problemu. A już na pewno nie zdołałby dostrzec, że w katalogu Windows pojawiły się dwa pliki: windev-peers.ini oraz windev-[osiem_znaków].sys.

Postanowiliśmy, że 60 sekund po infekcji odetniemy wirtualnej maszynie dostęp do Internetu blokując połączenia na poziomie VMware. Zrobiliśmy to. Jednak przeglądając później logi byliśmy zaskoczeni, ile Nuwar zdołał osiągnąć:
- czas maszyny został zsynchronizowany ( przestawiony - późnił się o ok. 10 minut ); z pewnością ułatwia to operatorom sieci przeprowadzenie dobrze skoordynowanych ataków,
- na trzy adresy e-mail zgromadzone w książce adresowej Outlook Expressa zostały wysłane wiadomości informujące o, oczywiście, elektronicznej pocztówce czekającej na odbiorcę na komputerze w Niemczech.
- robak podtrzymywał połączenia z 10-15 maszynami z całego świata stanowiącymi prawdopodobnie fragment dużo większego botnetu.

Wystarczyło 60 sekund...

Nie należy powtarzać opisywanych w artykule eksperymentów. Jeśli zdarzyło ci się otworzyć wirtualną pocztówkę, pobierz ostatnie sygnatury w programie antywirusowym lub zdecyduj się na całkowite odświeżenie ( ponowną instalację ) systemu operacyjnego.

Na dzień 10.08.2007 większość popularnych programów antywirusów rozpoznaje "pocztówkę" jako robaka o nazwie Yodi, Peed, Peacomm, Nuwar lub Storm, w zależności od producenta. Jeśli uważasz, że twój komputer ciągle jest zarażony lub przynajmniej znajduje się w sieci zombie, uruchom program HijackThis i umieść logi ( wyniki działania aplikacji ) na Forum IDG.pl - http://forum.idg.pl/index.php?showforum=84. Na pewno znajdzie się ktoś, kto zechce ci pomóc.

No i zapamiętaj: nie odbieraj pocztówek od nieznajomych.

więcej w serwisie PC World Komputer »