23:09
3/3/2012

Ataki na GG (trojan: paulina.scr)

Użytkownicy Gadu-Gadu skarżą się na kradzieże kont i numerów. Przyczyna? Otwarcie otrzymanego od znajomego z GG pliku o nazwie “paulina.scr”. Co robi ten trojan i jak dokładnie wygląda atak? O tym poniżej…

paulina.scr (wirus na GG)

Jak pisze Karol Olszacki, ofiary otrzymują za pośrednictwem Gadu-Gadu (od swoich znajomych) plik o nazwie “paulina.scr” wraz z wiadomością “czy ją znasz?“. Wysyłanie do znajomych “z listy” zapewne pozwala ominąć trojanowi filtry antyspamowe GG. Konsekwencją uruchomienia przesłanego pliku jest

1. wyświetlenie poniższego zdjęcia:

dziunia

dziunia.jpg -- plik wyświetlany przez trojana paulina.scr

2. strata numeru Gadu-Gadu. Trojan zmienia e-mail związany z kontem GG ofiary i zaczyna rozsyłać się do znajomych ofiary.

paulina.scr – co robi?

Plik paulina.scr (MD5: fe5b07bf0f9144981a59cabf1ed6a728) nie jest jeszcze rozpoznawany jako zagrożenie przez programy antywirusowe. Karol informuje, że działania destrukcyjne uruchamiają się z opóźnieniem.

Plik paulina.scr można naszybko poddać automatycznej analizie przy pomocy Anubisa. Raport można pobrać stąd. Na komputerze ofiary po infekcji “Pauliną” startuje serwer VNC i modyfikowany jest rejestr Windows. Na dysku ofiary tworzone są pliki
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\vncc.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tool.exe
oraz plik z loginami i hasłami odczytanymi z przeglądarek (Internet Explorer, Safari, Chrome, Opera) a także Gadu-Gadu.

paulina.scr-anubis

paulina.scr oczami Anubisa

Malware komunikuje się (pcap) także z hostem esperanzo.xaa.pl (46.105.111.234) i zapewne w ten sposób daje atakującemu znać, że jest gotowy na przyjęcie połączenia VNC.

Co zrobić?

Ostrzeżcie tych mniej zorientowanych, że .scr to nic dobrego i zapytajcie, czy widzieli ostatnio “dziunię” ze zdjęcia powyżej… ;) Jeśli widzieli, to nie obejdzie się bez skasowania w/w plików i zmiany WSZYSTKICH haseł.


Przeczytaj także:

96 komentarzy

Dodaj komentarz
  1. Ciekawe, czy firma proserver.pl odpowie/zareaguje na maila na abuse

    • Się właśnie zastanawiałem dlaczego osoba pisząca posta nie sprawdziła gdzie łączy się trojan (ja mam samo IP i hosta, ale wiresharkiem by cały url złapał raczej [?]).. Co ciekawe, jak zablokujemy “paulinie” dostęp do neta to zdjęcia nie będzie, zamiast fotki pokaże nam się to: http://prntscr.com/6p8yp/direct

  2. “Czy ją znasz? paulina.scr” to trochę jak “fajna piosenka, posłuchaj! piosenka.exe” :D

    • Wiesz ludzie są naiwni, do tego jest wiele osób które nie mają pojęcia o “komputerach”. Otwierają bezmyślnie co popadnie.

    • ROTFL

    • Intsrd, w sumie masz rację. Przerażające, heh.

    • Większość nie ma włączonej opcji pokazywania rozszerzeń plików.. a w sumie sweet nastka jedząca chipsy na informatyce z pewnością i tak nie zapamiętała, że .exe to na pewno nie zdjęcie z urodzin..

    • Na pliki .exe wielu już podchodzi ostrożnie ale .scr? Mało któremu użyszkodnikowi przyjdzie do głowy, że wygaszacze są tak na prawdę programami wykonywalnymi!

    • Eee tam .scr, śmieszniej by było jakby to było .com, bo jeszcze można sobie pochrzanić z domeną, ale że .scr?

    • @Lulz: “Większość nie ma włączonej opcji pokazywania rozszerzeń plików” …tja, większość nie ma włączonego pokazywania rozszerzeń plików w adresach URL.

  3. Hah, ciekawe czemu akurat Paulina? ;)
    Swoją drogą – czekam na swoją kopię.

    • Zawsze możesz sobie pobrać :P

  4. chętnie zerknę na paulinkę – ma ktoś kopię ?

  5. Skoro już tu jesteście i to czytacie, to ochrońcie najbliższych i zablokujcie w swoich sieciach 46.105.111.234 ;)

    • Za co? ;( ;)

      Na tym samym serwerze: http://pastebin.com/rshqXhGQ

    • echo “127.0.0.1 esperanzo.xaa.pl #Paulina :*” >> c:\Windows\System32\drivers\etc\hosts

  6. Zmieńcie sobie format pliku na zip. Zobaczcie ile tam jest .class np. VNCViewer.claas. Łącznie 4 foldery (META-INF, rdr, rfb i vncviewer) w których jest 68 plików z czego tylko 3 nie maja formatu.class. Ktoś się bardzo napracował z trojankiem. Dobrze że ja nie siedzę na gg ;)

    • Heh, skoro rozumiesz to co sam właśnie napisałeś to domyślam się że i tak nie otworzyłbyś tego pliku gdybyś go dostał :)

    • O, to znaczy ze trojan napisany w javie? Coś nowego.. Ale widać ma to swoje dobre strony – słaba wykrywalność.

    • To nie Java :P

    • Szkoda, że np. Kaspersky jako “not-a-virus”, ale zobaczymy, co z tego wyniknie.

    • Po commicie bazy sygnatur (paręnaście godzin, niestety weekend :P) NOD32 będzie widział jako Win32/PSW.Gadu.NAK.

    • NOD32 jako jedyny (na razie) oznaczył ten plik prawidłowo. Duży plus za szybką reakcje!

  7. Ciekawe czy Paulina wie że jest nosicielką :)

    • tineye jej nie znalazł wiec może nie miała wielu partnerów :P

    • Podpis pod zdjęciem:
      “-Masz jakiś problem .? -Tak . Ty jestes moim problemem … -Podobno z problemami najlepiej sie przespac ; p”
      i wszystko jasne… :)

    • hmm myślę ze to konto na fotce to ściema była
      konto założone 6 stycznia … ostatnio na stronie wczoraj po 22
      możliwe na na początku trojan wirus działał najpierw na fotce przez “dodawanie” znajomych
      Czyli możliwe ze fotka jest pacjentem zero

    • W końcu Leszno zrobiło coś ciekawego ;p

  8. Hm… nie wszystkie osoby, które pobrały plik są słit nastkami jedzącymi chipsy na informatyce:)) więc może zamiast narzekać, mogliście pomóc ‘wyrzucic’ to świństwo z komputera?

    • Na 99% po kliknięciu na ten syf masz przerąbane :/
      Możesz sama poszukać na dysku systemowym plików
      vncc.exe oraz tool.exe

    • Pozmieniaj hasła które miałeś zapamiętane w przeglądarkach, wywal wymienione pliki i utwórz foldery tylko do odczytu o takich samych nazwach jak one (łącznie z rozszerzeniem). Lepiej potraktuj to jako tymczasowe rozwiązanie i rozważ sformatowanie partycji systemowej. Zablokuj w/w IP, zachowaj ostrożność i korzystaj z firewalla w “paranoid mode” :D
      Przepraszam jeśli przesadzam.

    • miałas* :)

    • Format? Lol, bez przesady, to nie jest np. polimorf Sality albo ZeroAccess, żeby od razu formatem jechać.

    • jak nie format ? To jak to usunąć z dysku doszczętnie jak nawet antywirusy na nie nic nie maja ? Ja bym strzelił formacik.

    • No i zaczyna się plaga “strzel formata!”. Ludzie kochani, trochę finezji. Skoro macie PEŁNY raport co ten malware robi to nie trzeba antywirusa, żeby go usunąć. Gdzie się podziały jakiekolwiek oznaki kreatywnego myślenia bądź samego chociaż myślenia? Jak program nie zrobi za was to “THIS…IS…FORMAAAAAAAAAAT!!11one”. Jak wam brat/siostra tapetę na pulpicie zmienią to też robicie formata? Czy przywracacie system “do ostatniej znanej poprawnej konfiguracji”?
      Z drugiej strony…każdy orze jak może. Tylko zachowajcie swoje rady o formacie dla siebie. Obejdzie się bez kompromitacji.

    • Grzechooo i Mistiqe: pomyślałem o formacie, bo zawsze jak sam znajdowałem jakiś malware to zakładałem że może robić więcej niż widzę, ale macie rację :)

  9. generalnie to gg już mi zablokowali, ale to najmniej ważne… bardziej boję się teraz o moje inne konta :( CO ROBIĆ :(

    • napisz na gg 9977 to pomogę ;)

    • 9977, Fir3, Fir3, Namysłów, wiek: 21

      LOL! Od kiedy masz ten gg Fir3?

  10. W pliku D370D9B0.SF są trzymane chyba sumy kontrolne plików i zapewne jeśli ktoś chciałby zmienić zawartość któregokolwiek, virus sam dociąga, to co się zmieniło.

    • Przecież sumy kontrolne również można podmienić ;)

  11. Może durne pytanie ale czy tylko gadu gadu jest zagrozone czy inne komunikatory na łączach gg(wtw,pidgin,aqq) też?

    • Inne komunikatory też, jeśli korzystasz z protokołu gg. Inne sieci oparte o protokół Jabber raczej są bezpieczne. To jest tak że bot/osoba po prostu rozsyła to po losowych(?) numerach gg, jak zwykły użytkownik.

    • Jeśli potrafią odbierać pliki z prawdziwych gg, to możesz go złapać, ale on nie rozprzestrzeni się dalej.

  12. no a jeśli “ofiara” pracuje na zwykłym koncie usera z ograniczeniami to czy trojan się uruchamia?

    • domyślam się ze uruchomi się na każdym koncie nie koniecznie musi przesłać pliki

  13. A to nie jest niby tak, że hasła trzymane przez przeglądarkę na kompie są zaszyfrowane czy cusik w tym stylu? Bo chyba nie mogę ot tak sobie wejść do pliku otworzyć w np. txt i przeczytać?

    • MOGĄ być szyfrowane (np. w Operze) ale tylko jeśli ustawi sie MasterPass — i za każdym razem przed “autologowaniem” będzie się podawało masterpass (który rozszyfrowuje storage haseł). Ale co z tego, skoro malware może podpiąć się pod przeglądarkę i zobaczyć co funkcja autologowania wklepuje w “login/password”?

  14. Wygląda jak marny trojan napisany przez gimnazjaliste żeby za***ać kolegom z klasy hasła. Delphi? 3MB exe ? srsly ?

    • Marny czy nie marny, fakt jest taki, że masie nierozgarniętych userów narobił problem, więc jakby nie patrzeć autor cel osiągnął :D

    • Nie wiem czy trojana, który umożliwia zdalny dostęp i jest niewykrywalny (obecnie niektóre już wykrywają) można nazwać “marnym”

  15. Do kitu :/ U mnie nie działa, spróbuję pod wine :))

  16. Jeśli kliknę w tą miniaturkę na górze, przy 1 pkt. to czy może mi się coś stać z PC ? Nie mam GG, patrzyłem na dyskach = czysto. Nie pobierałem, tylko kliknąłem na zdjęcie, a ono otworzyło się w większym rozmiarze.

    • Mam też pytanie… rozumiem, że po ściągnięciu pliku traffic.pcap nic się nie stanie?

    • Jesteś bezpieczny ;)

  17. W pewien sposób rozśmiesza mnie socjotechnika zastosowana przez autora tego wirusa, tj. pytanie “czy ją znasz?” intryguje i stąd już blisko do kliknięcia, przynajmniej u części osób mniej świadomych potencjalnych zagrożeń. Autor pewnie poczuł się trochę jak Kevin Mitnick, w sensie “łamałem ludzi, nie hasła” ;)

    • Mnie socjotechnika w internecie już dawno przestała śmieszyć. Teraz zaczyna mnie przerażać.

  18. “hack like it’s 90′ ” ;)

  19. smiac mi sie chce jak czytam takie newsy… Uzywanie systemu windows do powaznych spraw (loginy i hasla) jest malo powazne, tak ubuntu jest latwym systemem jesli potrzebujesz go do internetu, ale za glupote sie placi i wlasnie to niektorzy robia…

    • Oj, tyle używam i mi nic nie jest. Mam HIPSa DefenseWalla jakiegoś ruska i NIC nie przejdzie :)

    • Czyli gdyby ten trojan był napisany pod linuksa, a użytkownk kliknąłby w link w kadu, to ubuntu magicznie przygrzmociło by mu w pysk, odłączyło internet i zabroniło pobrania i ręcznego uruchomienia pliku przez nieświadomą osobę? Gdzie rozdają takie kopie systemu? ;-)

    • “powaznych spraw (loginy i hasla)” – to też brzmi śmiesznie.

  20. Wirus już pewnie nie działa, chyba że host z którym łączy się Paulina, został zmieniony na działający. :)

  21. “Ostrzeżcie tych mniej zorientowanych, że .scr to nic dobrego” …i wywalą wszystkie wygaszacze ekranu z %windor%. Wyborna porada, milordzie.

    • No popatrz, a tyle lat się już ostrzega że .exe to nic dobrego a jakoś nikt nie kasuje exeków z c:\windows czy c:\program files…

  22. Ojoj, gglite nie ma opcji “wyślij plik” :)

    • Nie martw się – to, że nie ma jakiejś opcji w menu nie znaczy, że funkcja nie istnieje.

  23. Zalecam użyć Pidgina. On obsługuje wysyłanie plików tylko w sieciach na protokole XMPP (Google Talk, Jabber), więc zagrożenia nie będzie :)

    • Smieszy mnie kolejny komentarz na temat XMPP. Oczywiscie, sam protokol jest lata swietlne przed gg i z pewnoscia najlepszy z otwartych rozwiazan IM na rynku. Ale XMPP, mimo ze mogloby byc bezpieczne, taki obecnie nie jest i radze to zapamietac.

  24. Kiedy lista na pastebin? Bo zapomniałem hasła do konta koleżanki :P

  25. no i obyło się bez formatu, a niebezpieczne pliki zostały w pełni usunięte. w dodatku odzyskałam mój numer gg :)

    • Jeśli skorzystałaś z oferty pomocy jakiegoś tutejszego “dobrego wujka” to lepiej jednak zrób ten format i szybko zmień hasła ;)

  26. Że też w waybacku nie ma tej strony :>

  27. dziwne że przy okazji nie kradnie kont z tibii :(

  28. fajne są podobne zdjęcia pauliny według google ;) porównajcie sobie…

    • Ale z niej zgrabna… lutnia.

  29. Ja to już się pogubiłem po co ta krytyka działa efekt jest czyli skuteczne, może jak się Jaś nauczy to Jan nie będzie otwierał… tak jak nie czaję czemu karachan chce dorwać anonimowych – bo mu tak dobrze że broni rządu? Whatever – nie martwcie się rząd chce dorwać wszystkich…

  30. Wyciąga hasła z opery? To coś dla mnie! Zapomniałem hasła do jednej ze skrzynek, a mam ją dodaną do opery i za cholerę nie mogę wydobyć. Może mnie ktoś zainfekuje? heh.

    • Podsniffuj, jeśli autologowanie Ci działa.

    • Faktycznie. O tym nie pomyślałem ^_^. Dzięki za podpowiedź.

  31. Ścieżki plików można uogólnić (chyba) do
    %Temp%\vncc.exe
    %Temp%\tool.exe

    Bo ostatecznie to zależy od systemu i nazwy użytkownika, a w opisie mamy sytuację z win xp i administratora :)

  32. To jest definitywnie odmiana wirusa Win32.Haba-Papa.B16.Kici-Kici.Ding-Dong.Sam kiedyś byłem im zainfekowany; jest bardzo niebezpieczny ale też bardzo prosty to wykrycia; najpierw słychać z tyłu obudowy charakterystyczne miałczenie. Potem dzwonienie, zupełnie tak, jakby ktoś łyżką o kubek stukał. Potem jest już tylko gorzej – z tyłu zasilacza zaczyna lecieć biały dym a na mostku północnym wybierają białego papieża.Uważajcie!

    • Najs! Pośmieszyłem się.

  33. User-Agent: Mozilla/3.0 (compatible; Indy Library) Mógł przynajmniej User-Agenta zmienić na jakiegoś przeglądarko-podobnego, a tak na kilometr jedzie mi tu Delphi… ale mogę się mylić. Jak zainstaluje wirtualną maszynę to się bliżej temu przyjrzę :)

    Ta strona na xaa.pl z którą się łączył już nie działa, więc część kopii jest już teoretycznie uziemionych. Chyba, że mają jakieś auto update czy cuś.

  34. O ile dobrze zrozumiałem opis tego trojana to na Windows Vista+ (Vista/7/8) na koncie o innej nazwie niż Administrator i z włączonym UAC ten trojan nie będzie mógł postawić VNC oraz połączyć się z zewnęrznym hostem.

    • Chyba że user będzie na tyle durny że nie raz a dwa razy odpowie błędnie na oczywiste pytanie.

  35. To kiedy wywiad z Paulina?

    • Zapewne Paulina będzie w kolejnej edycji Tańca z Gwiazdami :)

  36. A co z ekg2?

  37. Mnie to chyba nikt nie lubi, bo jeszcze nie dostalem ;-)
    Albo mam zbyt inteligentnych znajomych :->

  38. Skan z wczoraj: http://virusscan.jotti.org/pl/scanresult/93ddc163c86ab8ef8620b4e9d6f3d72d4f6fd95d
    Avast! i ClamAV wciąż nie wykrywają…

  39. … tu jest mój mały skrypt do usuwania tego wirusa. Jeszcze nie przetestowano.
    http://sites.google.com/site/ggpkiller

  40. A przes skype jest cos takiego mozliwe? Ostatnio moj chlopak na skype wyslal mi zdjecie i spytal czy znam tego faceta. Otwieram plik (jpg) a o geroge michael i go pytam po co mi to wyslal a on ze jak on sie zestarzal bla bla. Zapamietalam to, bo to dziwne. Nastepnego dnia wlazl mi na skrzynke pocztowa i zrobil mi afere o to, ze spotkalam sie z kolezanka, ktorej on nie cierpi. Wiem, ze wlazl na poczte, bo spr loginy. Nie bylo zadnego src czy exe ale moze byl jakos spakowany.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: