Ataki na GG (trojan: paulina.scr)

Użytkownicy Gadu-Gadu skarżą się na kradzieże kont i numerów. Przyczyna? Otwarcie otrzymanego od znajomego z GG pliku o nazwie “paulina.scr”. Co robi ten trojan i jak dokładnie wygląda atak? O tym poniżej…

paulina.scr (wirus na GG)

Jak pisze Karol Olszacki, ofiary otrzymują za pośrednictwem Gadu-Gadu (od swoich znajomych) plik o nazwie “paulina.scr” wraz z wiadomością “czy ją znasz?“. Wysyłanie do znajomych “z listy” zapewne pozwala ominąć trojanowi filtry antyspamowe GG. Konsekwencją uruchomienia przesłanego pliku jest

1. wyświetlenie poniższego zdjęcia:

dziunia

dziunia.jpg -- plik wyświetlany przez trojana paulina.scr

2. strata numeru Gadu-Gadu. Trojan zmienia e-mail związany z kontem GG ofiary i zaczyna rozsyłać się do znajomych ofiary.

paulina.scr – co robi?

Plik paulina.scr (MD5: fe5b07bf0f9144981a59cabf1ed6a728) nie jest jeszcze rozpoznawany jako zagrożenie przez programy antywirusowe. Karol informuje, że działania destrukcyjne uruchamiają się z opóźnieniem.

Plik paulina.scr można naszybko poddać automatycznej analizie przy pomocy Anubisa. Raport można pobrać stąd. Na komputerze ofiary po infekcji “Pauliną” startuje serwer VNC i modyfikowany jest rejestr Windows. Na dysku ofiary tworzone są pliki
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\vncc.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tool.exe
oraz plik z loginami i hasłami odczytanymi z przeglądarek (Internet Explorer, Safari, Chrome, Opera) a także Gadu-Gadu.

paulina.scr-anubis

paulina.scr oczami Anubisa

Malware komunikuje się (pcap) także z hostem esperanzo.xaa.pl (46.105.111.234) i zapewne w ten sposób daje atakującemu znać, że jest gotowy na przyjęcie połączenia VNC.

Co zrobić?

Ostrzeżcie tych mniej zorientowanych, że .scr to nic dobrego i zapytajcie, czy widzieli ostatnio “dziunię” ze zdjęcia powyżej… ;) Jeśli widzieli, to nie obejdzie się bez skasowania w/w plików i zmiany WSZYSTKICH haseł.

Przeczytaj także:

Komentarze 96

  • Ciekawe, czy firma proserver.pl odpowie/zareaguje na maila na abuse

    • Się właśnie zastanawiałem dlaczego osoba pisząca posta nie sprawdziła gdzie łączy się trojan (ja mam samo IP i hosta, ale wiresharkiem by cały url złapał raczej [?]).. Co ciekawe, jak zablokujemy “paulinie” dostęp do neta to zdjęcia nie będzie, zamiast fotki pokaże nam się to: http://prntscr.com/6p8yp/direct

  • “Czy ją znasz? paulina.scr” to trochę jak “fajna piosenka, posłuchaj! piosenka.exe” :D

    • Intsrd

      Wiesz ludzie są naiwni, do tego jest wiele osób które nie mają pojęcia o “komputerach”. Otwierają bezmyślnie co popadnie.

    • h

      Intsrd, w sumie masz rację. Przerażające, heh.

    • Lulz

      Większość nie ma włączonej opcji pokazywania rozszerzeń plików.. a w sumie sweet nastka jedząca chipsy na informatyce z pewnością i tak nie zapamiętała, że .exe to na pewno nie zdjęcie z urodzin..

    • Marcin Maziarz

      Na pliki .exe wielu już podchodzi ostrożnie ale .scr? Mało któremu użyszkodnikowi przyjdzie do głowy, że wygaszacze są tak na prawdę programami wykonywalnymi!

    • Grzechooo

      Eee tam .scr, śmieszniej by było jakby to było .com, bo jeszcze można sobie pochrzanić z domeną, ale że .scr?

    • fail

      @Lulz: “Większość nie ma włączonej opcji pokazywania rozszerzeń plików” …tja, większość nie ma włączonego pokazywania rozszerzeń plików w adresach URL.

  • Hah, ciekawe czemu akurat Paulina? ;)
    Swoją drogą – czekam na swoją kopię.

    • BeeSeL

      Zawsze możesz sobie pobrać :P

  • chętnie zerknę na paulinkę – ma ktoś kopię ?

  • Bartosz Kolasiński

    Skoro już tu jesteście i to czytacie, to ochrońcie najbliższych i zablokujcie w swoich sieciach 46.105.111.234 ;)

    • Michal

      echo “127.0.0.1 esperanzo.xaa.pl #Paulina :*” >> c:\Windows\System32\drivers\etc\hosts

  • Zmieńcie sobie format pliku na zip. Zobaczcie ile tam jest .class np. VNCViewer.claas. Łącznie 4 foldery (META-INF, rdr, rfb i vncviewer) w których jest 68 plików z czego tylko 3 nie maja formatu.class. Ktoś się bardzo napracował z trojankiem. Dobrze że ja nie siedzę na gg ;)

    • h

      Heh, skoro rozumiesz to co sam właśnie napisałeś to domyślam się że i tak nie otworzyłbyś tego pliku gdybyś go dostał :)

    • tst

      O, to znaczy ze trojan napisany w javie? Coś nowego.. Ale widać ma to swoje dobre strony – słaba wykrywalność.

    • Rolek

      To nie Java :P

    • Dreadlish

      Szkoda, że np. Kaspersky jako “not-a-virus”, ale zobaczymy, co z tego wyniknie.

    • mq

      Po commicie bazy sygnatur (paręnaście godzin, niestety weekend :P) NOD32 będzie widział jako Win32/PSW.Gadu.NAK.

    • kasper93

      NOD32 jako jedyny (na razie) oznaczył ten plik prawidłowo. Duży plus za szybką reakcje!

  • Ciekawe czy Paulina wie że jest nosicielką :)

    • BeeSeL

      tineye jej nie znalazł wiec może nie miała wielu partnerów :P

    • Bartosz Kolasiński

      Podpis pod zdjęciem:
      “-Masz jakiś problem .? -Tak . Ty jestes moim problemem … -Podobno z problemami najlepiej sie przespac ; p”
      i wszystko jasne… :)

    • BeeSeL

      hmm myślę ze to konto na fotce to ściema była
      konto założone 6 stycznia … ostatnio na stronie wczoraj po 22
      możliwe na na początku trojan wirus działał najpierw na fotce przez “dodawanie” znajomych
      Czyli możliwe ze fotka jest pacjentem zero

    • Piotr

      W końcu Leszno zrobiło coś ciekawego ;p

  • Hm… nie wszystkie osoby, które pobrały plik są słit nastkami jedzącymi chipsy na informatyce:)) więc może zamiast narzekać, mogliście pomóc ‘wyrzucic’ to świństwo z komputera?

    • BeeSeL

      Na 99% po kliknięciu na ten syf masz przerąbane :/
      Możesz sama poszukać na dysku systemowym plików
      vncc.exe oraz tool.exe

    • h

      Pozmieniaj hasła które miałeś zapamiętane w przeglądarkach, wywal wymienione pliki i utwórz foldery tylko do odczytu o takich samych nazwach jak one (łącznie z rozszerzeniem). Lepiej potraktuj to jako tymczasowe rozwiązanie i rozważ sformatowanie partycji systemowej. Zablokuj w/w IP, zachowaj ostrożność i korzystaj z firewalla w “paranoid mode” :D
      Przepraszam jeśli przesadzam.

    • h

      miałas* :)

    • Grzechooo

      Format? Lol, bez przesady, to nie jest np. polimorf Sality albo ZeroAccess, żeby od razu formatem jechać.

    • Jacoob

      jak nie format ? To jak to usunąć z dysku doszczętnie jak nawet antywirusy na nie nic nie maja ? Ja bym strzelił formacik.

    • Mistiqe

      No i zaczyna się plaga “strzel formata!”. Ludzie kochani, trochę finezji. Skoro macie PEŁNY raport co ten malware robi to nie trzeba antywirusa, żeby go usunąć. Gdzie się podziały jakiekolwiek oznaki kreatywnego myślenia bądź samego chociaż myślenia? Jak program nie zrobi za was to “THIS…IS…FORMAAAAAAAAAAT!!11one”. Jak wam brat/siostra tapetę na pulpicie zmienią to też robicie formata? Czy przywracacie system “do ostatniej znanej poprawnej konfiguracji”?
      Z drugiej strony…każdy orze jak może. Tylko zachowajcie swoje rady o formacie dla siebie. Obejdzie się bez kompromitacji.

    • h

      Grzechooo i Mistiqe: pomyślałem o formacie, bo zawsze jak sam znajdowałem jakiś malware to zakładałem że może robić więcej niż widzę, ale macie rację :)

  • generalnie to gg już mi zablokowali, ale to najmniej ważne… bardziej boję się teraz o moje inne konta :( CO ROBIĆ :(

    • Fir3

      napisz na gg 9977 to pomogę ;)

    • Mistiqe

      9977, Fir3, Fir3, Namysłów, wiek: 21

      LOL! Od kiedy masz ten gg Fir3?

  • W pliku D370D9B0.SF są trzymane chyba sumy kontrolne plików i zapewne jeśli ktoś chciałby zmienić zawartość któregokolwiek, virus sam dociąga, to co się zmieniło.

    • Bartosz Kolasiński

      Przecież sumy kontrolne również można podmienić ;)

  • Może durne pytanie ale czy tylko gadu gadu jest zagrozone czy inne komunikatory na łączach gg(wtw,pidgin,aqq) też?

    • h

      Inne komunikatory też, jeśli korzystasz z protokołu gg. Inne sieci oparte o protokół Jabber raczej są bezpieczne. To jest tak że bot/osoba po prostu rozsyła to po losowych(?) numerach gg, jak zwykły użytkownik.

  • no a jeśli “ofiara” pracuje na zwykłym koncie usera z ograniczeniami to czy trojan się uruchamia?

    • BeeSeL

      domyślam się ze uruchomi się na każdym koncie nie koniecznie musi przesłać pliki

  • A to nie jest niby tak, że hasła trzymane przez przeglądarkę na kompie są zaszyfrowane czy cusik w tym stylu? Bo chyba nie mogę ot tak sobie wejść do pliku otworzyć w np. txt i przeczytać?

    • MOGĄ być szyfrowane (np. w Operze) ale tylko jeśli ustawi sie MasterPass — i za każdym razem przed “autologowaniem” będzie się podawało masterpass (który rozszyfrowuje storage haseł). Ale co z tego, skoro malware może podpiąć się pod przeglądarkę i zobaczyć co funkcja autologowania wklepuje w “login/password”?

  • Wygląda jak marny trojan napisany przez gimnazjaliste żeby za***ać kolegom z klasy hasła. Delphi? 3MB exe ? srsly ?

    • Marny czy nie marny, fakt jest taki, że masie nierozgarniętych userów narobił problem, więc jakby nie patrzeć autor cel osiągnął :D

    • Nie wiem czy trojana, który umożliwia zdalny dostęp i jest niewykrywalny (obecnie niektóre już wykrywają) można nazwać “marnym”

  • Do kitu :/ U mnie nie działa, spróbuję pod wine :))

  • Jeśli kliknę w tą miniaturkę na górze, przy 1 pkt. to czy może mi się coś stać z PC ? Nie mam GG, patrzyłem na dyskach = czysto. Nie pobierałem, tylko kliknąłem na zdjęcie, a ono otworzyło się w większym rozmiarze.

    • ...

      Mam też pytanie… rozumiem, że po ściągnięciu pliku traffic.pcap nic się nie stanie?

    • Bartosz Kolasiński

      Jesteś bezpieczny ;)

  • W pewien sposób rozśmiesza mnie socjotechnika zastosowana przez autora tego wirusa, tj. pytanie “czy ją znasz?” intryguje i stąd już blisko do kliknięcia, przynajmniej u części osób mniej świadomych potencjalnych zagrożeń. Autor pewnie poczuł się trochę jak Kevin Mitnick, w sensie “łamałem ludzi, nie hasła” ;)

    • kawa

      Mnie socjotechnika w internecie już dawno przestała śmieszyć. Teraz zaczyna mnie przerażać.

  • “hack like it’s 90′ ” ;)

  • smiac mi sie chce jak czytam takie newsy… Uzywanie systemu windows do powaznych spraw (loginy i hasla) jest malo powazne, tak ubuntu jest latwym systemem jesli potrzebujesz go do internetu, ale za glupote sie placi i wlasnie to niektorzy robia…

    • Krux

      Oj, tyle używam i mi nic nie jest. Mam HIPSa DefenseWalla jakiegoś ruska i NIC nie przejdzie :)

    • Czyli gdyby ten trojan był napisany pod linuksa, a użytkownk kliknąłby w link w kadu, to ubuntu magicznie przygrzmociło by mu w pysk, odłączyło internet i zabroniło pobrania i ręcznego uruchomienia pliku przez nieświadomą osobę? Gdzie rozdają takie kopie systemu? ;-)

    • cds

      “powaznych spraw (loginy i hasla)” – to też brzmi śmiesznie.

  • Wirus już pewnie nie działa, chyba że host z którym łączy się Paulina, został zmieniony na działający. :)

  • “Ostrzeżcie tych mniej zorientowanych, że .scr to nic dobrego” …i wywalą wszystkie wygaszacze ekranu z %windor%. Wyborna porada, milordzie.

    • Darek

      No popatrz, a tyle lat się już ostrzega że .exe to nic dobrego a jakoś nikt nie kasuje exeków z c:\windows czy c:\program files…

  • Ojoj, gglite nie ma opcji “wyślij plik” :)

    • fail

      Nie martw się – to, że nie ma jakiejś opcji w menu nie znaczy, że funkcja nie istnieje.

  • Zalecam użyć Pidgina. On obsługuje wysyłanie plików tylko w sieciach na protokole XMPP (Google Talk, Jabber), więc zagrożenia nie będzie :)

    • n1

      Smieszy mnie kolejny komentarz na temat XMPP. Oczywiscie, sam protokol jest lata swietlne przed gg i z pewnoscia najlepszy z otwartych rozwiazan IM na rynku. Ale XMPP, mimo ze mogloby byc bezpieczne, taki obecnie nie jest i radze to zapamietac.

  • Kiedy lista na pastebin? Bo zapomniałem hasła do konta koleżanki :P

  • no i obyło się bez formatu, a niebezpieczne pliki zostały w pełni usunięte. w dodatku odzyskałam mój numer gg :)

    • Animus

      Jeśli skorzystałaś z oferty pomocy jakiegoś tutejszego “dobrego wujka” to lepiej jednak zrób ten format i szybko zmień hasła ;)

  • Że też w waybacku nie ma tej strony :>

  • dziwne że przy okazji nie kradnie kont z tibii :(

  • fajne są podobne zdjęcia pauliny według google ;) porównajcie sobie…

    • Ale z niej zgrabna… lutnia.

  • Ja to już się pogubiłem po co ta krytyka działa efekt jest czyli skuteczne, może jak się Jaś nauczy to Jan nie będzie otwierał… tak jak nie czaję czemu karachan chce dorwać anonimowych – bo mu tak dobrze że broni rządu? Whatever – nie martwcie się rząd chce dorwać wszystkich…

  • Wyciąga hasła z opery? To coś dla mnie! Zapomniałem hasła do jednej ze skrzynek, a mam ją dodaną do opery i za cholerę nie mogę wydobyć. Może mnie ktoś zainfekuje? heh.

    • Podsniffuj, jeśli autologowanie Ci działa.

    • EuGene

      Faktycznie. O tym nie pomyślałem ^_^. Dzięki za podpowiedź.

  • Ścieżki plików można uogólnić (chyba) do
    %Temp%\vncc.exe
    %Temp%\tool.exe

    Bo ostatecznie to zależy od systemu i nazwy użytkownika, a w opisie mamy sytuację z win xp i administratora :)

  • To jest definitywnie odmiana wirusa Win32.Haba-Papa.B16.Kici-Kici.Ding-Dong.Sam kiedyś byłem im zainfekowany; jest bardzo niebezpieczny ale też bardzo prosty to wykrycia; najpierw słychać z tyłu obudowy charakterystyczne miałczenie. Potem dzwonienie, zupełnie tak, jakby ktoś łyżką o kubek stukał. Potem jest już tylko gorzej – z tyłu zasilacza zaczyna lecieć biały dym a na mostku północnym wybierają białego papieża.Uważajcie!

    • mrarm

      Najs! Pośmieszyłem się.

  • User-Agent: Mozilla/3.0 (compatible; Indy Library) Mógł przynajmniej User-Agenta zmienić na jakiegoś przeglądarko-podobnego, a tak na kilometr jedzie mi tu Delphi… ale mogę się mylić. Jak zainstaluje wirtualną maszynę to się bliżej temu przyjrzę :)

    Ta strona na xaa.pl z którą się łączył już nie działa, więc część kopii jest już teoretycznie uziemionych. Chyba, że mają jakieś auto update czy cuś.

  • O ile dobrze zrozumiałem opis tego trojana to na Windows Vista+ (Vista/7/8) na koncie o innej nazwie niż Administrator i z włączonym UAC ten trojan nie będzie mógł postawić VNC oraz połączyć się z zewnęrznym hostem.

    • Maciej

      Chyba że user będzie na tyle durny że nie raz a dwa razy odpowie błędnie na oczywiste pytanie.

  • To kiedy wywiad z Paulina?

    • Rafał

      Zapewne Paulina będzie w kolejnej edycji Tańca z Gwiazdami :)

  • A co z ekg2?

  • Mnie to chyba nikt nie lubi, bo jeszcze nie dostalem ;-)
    Albo mam zbyt inteligentnych znajomych :->

  • A przes skype jest cos takiego mozliwe? Ostatnio moj chlopak na skype wyslal mi zdjecie i spytal czy znam tego faceta. Otwieram plik (jpg) a o geroge michael i go pytam po co mi to wyslal a on ze jak on sie zestarzal bla bla. Zapamietalam to, bo to dziwne. Nastepnego dnia wlazl mi na skrzynke pocztowa i zrobil mi afere o to, ze spotkalam sie z kolezanka, ktorej on nie cierpi. Wiem, ze wlazl na poczte, bo spr loginy. Nie bylo zadnego src czy exe ale moze byl jakos spakowany.

Zostaw komentarz

Adres e-mail nie zostanie opublikowany.
Pola oznaczone * są wymagane.

*

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>