10:40
1/4/2015

Wczoraj informowaliśmy o odkryciu polskiego wirusa wykorzystywanego najprawdopodobniej przez polską armię do infekowania komputerów co najmniej Rosjan i Polaków (por. Polski wirus wojskowy autorstwa MON został ukończony — atakuje Rosjan i Polaków). Prosiliśmy też o pomoc w zebraniu plików konfiguracyjnych z zainfekowanych maszyn i nie zawiedliście! Otrzymaliśmy od czytelników łącznie 14 konfigów wirusa, co pozwoliło na lepsze zrozumienie jego modus operandi. Oto wyniki naszej analizy, z której dowiecie się co dokładnie robi ID29 i jak sprawdzić, czy jesteście nim zainfekowani.

Dziękujemy czytelnikom And7, georgebrush i marzena za pomoc w analizie plików wirusa.

ID29 infekuje nie tylko systemy Windows!!!

Pierwsze (pozytywne) zaskoczenie, to fakt, że nasza armia stworzyła oprogramowanie, które infekuje nie tylko Windowsy! ID29 jest w stanie infekować także Mac OS X oraz Linuksa (w przypadku tego ostatniego, użytkownik musi jednak bardzo “pomóc” w instalacji trojana).

Niezależnie od systemu operacyjnego ofiary, dropper ID29 jest zawsze taki sam (MD5: c1aa955e57409bcacf3d5b68abd46945 ale po uruchomieniu zaciaga dodatkowe moduły, które w zależności od pliku konfiguracyjnego wykonują następujące czynności:

  • aktywują keyloggera
  • wykradają ciasteczka, historię odwiedzanych stron oraz zapamiętane hasła z przeglądarek Firefox, IE i Chrome (nie rusza Safari i Opery).
    Warto zauważyć, że dzięki przechwyceniu ciasteczek, wojskowi mogą BEZ znajomości hasła użytkownika i drugiego składnika (jeśli dany serwis jest chroniony dwuskładnikowym uwierzytelnieniem) uzyskiwać dostęp do kont w serwisach internetowych ofiary — bardzo sprytne!
  • wykradają prywatne klucze SSH i SSL oraz bazy KeePass i 1Password, jeśli znajdzie je na dysku ofiary
  • wykradają pliki z historią komend (tylko na Linuksie i Mac OS X)
  • odczytują historię podpinanych do komputera urządzeń USB i pendrive’ów.
    To też bardzo sprytne zachowanie — każdy dysk USB ma unikatowy identyfikator, a po jego składowej można określić np. jaki telefon lub typ dysku USB albo klawiatury ma ofiara. Być może wojsko wykorzystuje tę wiedzę do stworzenia “zbackdoorowanej kopii” sprzętu i podmiany — w końcu NSA już tak robi.
  • mają możliwość podpinania się pod kamerkę i mikrofon
  • jeśli na komputerze jest zainstalowany klient TOR-a, ID29 czasami zmienia plik konfiguracyjny tak, aby użytkownik łącząc się przez TOR-a zawsze wychodził przez tzw. private bridge (Bardzo sprytne!)

***
W ramach reverse engineeringu i analizy dynamicznej pozyskanych próbek udało nam się też zidentyfikować charakterystyczne cechy, jakie wykazują systemy, które są zainfekowane przez ID29. Dzięki temu możecie łatwo sprawdzić, czy padliście ofiarą ID29.

Jak sprawdzić, czy jestem zainfekowany?

Wirus regularnie łączy się ze swoim serwerem-matką (tzw. serwerem C&C). Domen, pod którymi MON wystawia serwery kontrolne jest wiele, wszystkie jednak (co akurat uważamy za duży błąd twórców wirusa) są generowane za pomocą algorytmu …zaszytego w kodzie wirusa. Poszczególne instancje wirusa łączą się z URL-em zbudowanym w ten sposób:

<numer_ofiary>.<domena_na_dany_tydzień>.pl

Domeną na ten tydzień jest

f14950b970bc87ca183072dcdc40.pl

a to oznacza, że wirusa można bardzo łatwo namierzyć sprawdzając na swoim komputerze cache zapytań DNS. Zainfekowane osoby ujrzą w nim bowiem zapytanie dot. powyższej domeny. Poniżej prezentujemy instrukcje sprawdzenia cache DNS dla każdego z systemów operacyjnych atakowanych przez ID29.

Mam Windows — jak sprawdzić czy jestem zainfekowany?

Sprawdzenie cache zapytań DNS na Windows wykonuje się poprzez uruchomienie wiersza poleceń i wykonanie w wierszu poleceń komendy:

ipconfig /displaydns
(lub jak sugeruje nasz czytelnik Adam, ipconfig /displaydns | findstr “f14”)

Kiedy wyświetli Wam się lista domen, kliknij na oknie wiersza poleceń prawym przyciskiem myszy i z menu wybierz “Szukaj” a następnie wpisz “f14”, czyli początek domeny używanej przez trojana. Jeśli zauważysz tę domenę na liście — niestety — twój komputer jest zainfekowany. Przejdź do instrukcji usunięcia wirusa poniżej.

NIE ZAPOMNIJ PRZEKAZAĆ TEJ INSTRUKCJI SWOIM ZNAJOMYM albo sam sprawdź ich komputery.

Mam Mac OS X — jak sprawdzić czy jestem zainfekowany

Sprawdzenie cache zapytań DNS na Mac OS X wykonuje się poprzez wpisanie w Terminalu:

sudo discoveryutil udnscachecontents

a następnie otwórz aplikację “Console.app” (Applications –> Utilities –> Console.app). Klikając po lewej na “All messages” zobaczysz wpisy z systemowego logu, z których ostatnie będą cachem nazw DNS. Aby namierzyć domenę trojana, wpisz w polu wyszukiwarki (prawy górny róg okna Console.app) “f14”:

osx-id29

Jeśli zauważycie wynik jak na screenshocie powyżej — wasz komputer jest zainfekowany. Przejdźcie do instrukcji usunięcia wirusa poniżej.

Mam Linuksa — jak sprawdzić czy jestem zainfekowany?

Sprawdzenie cache zapytań DNS w Linuksie nie jest z reguły możliwe (wszystkie są wysyłane do serwera DNS bezpośrednio). Jeśli jednak ktoś z Was ma zainstalowane “nscd” może wydać następującą komendę aby zobaczyć pewne statystyki.

nscd -g

Techniczna analiza aktualnej domeny ID29

Ta część artykułu przewidziana jest dla bardziej technicznych czytelników… Jeśli szukasz instrukcji usunięcia wirusa, znajdują się one na końcu artykułu

Szczegółowa analiza obecnej domeny nie pozostawia złudzeń, że analizowana przez nas próbka jest polskiego autorstwa.

id29-domena-whois

WHOIS dla domeny co prawda nie pokazuje żadnych interesujących danych (plus dla armii) ale domena została osadzona na serwerach Cloduflare — a jak wiemy, z tego serwisu chętnie korzystają polskie instytucje rządowe — robi to np. strona Prezydenta RP:

prezydent-cf

O ile wojsko skasowało domyślną subdomenę zdradzającą bezpośredni adres IP serwera kryjącego się za Cloudflarem, to prosta enumeracja popularnych subdomen pokazuje, że niektóre przekierowują na serwer z adresem IP:

$ host admin.f14950b970bc87ca183072dcdc40.pl
admin.f14950b970bc87ca183072dcdc40.pl has address 91.208.93.177

A ten należy do wojska — oto wynik WHOIS:

$whois 91.208.93.177
inetnum: 91.208.93.0 - 91.208.93.255
netname: INTERMON
descr: Centrum Wsparcia Teleinformatycznego Sil Zbrojnych
country: PL
org: ORG-MON1-RIPE
admin-c: RJ3540-RIPE
tech-c: JJ3917-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-END-MNT
mnt-by: TPNET

…a gdyby ktokolwiek miał wątpliwości, oto co widać na porcie 80:

mon-ip

Najwyraźniej ćwiczenia z kamuflażu nie zostały zaliczone… ;-)

W jaki sposób polska armia infekuje wirusem id29?

Na koniec zostawiliśmy najlepsze. Wydaje nam się, że wiemy w jaki sposób id29 ląduje na dyskach poszczególnych ofiar. I tutaj czapki z głów dla MON-u. Polska armia dorównała Amerykanom — mamy infrastrukturę porównywalną z projektem QUANTUMINSERT autorstwa NSA.

nsa-quantum-insert_02

QUANTUMINSERT działa na zasadzie ataku MITM. Kiedy użytkownik wykonuje połączenie na dowolną stronę, kontrolowany przez NSA (tu MON) router operatora przekierowuje połączenie użytkownika nie na oryginalny docelowy serwer, a na podstawiony przez NSA fałszywy serwer, który do połączenia dodaje złośliwy kod (np. skrypt .js) i przekierowuje na oryginalnie żądaną przez ofiarę stronę WWW.

W ostatnich godzinach próbowaliśmy wchodzić na strony związane z tematyką wojskową w domenie .gov.pl, zakładając, że to właśnie takimi osobami może być zainteresowana armia. Niestety, nie zaobserwowaliśmy niczego spektakularnego — do momentu, kiedy nie zmieniliśmy ustawień językowych przeglądarki na rosyjskie.

Settings_-_Languages

Wtedy, do kodu jednej ze stron dodany został iframe tej postaci:

<iframe src=http://188.166.10.6/jeiEciTz.js>

Uwaga! MON tuż przed publikacją niniejszego artykułu poprosiło nas, aby w artykule nie publikować treści pliku .js. Do prośby tej przychylamy się, ale nie dlatego, że to MON wystosowało taką prośbę, a dlatego, że załączany JavaScript wykorzystuje nieznany dotąd błąd w przeglądarce Firefox. Tak! Polska armia ma 0day’e! Ponieważ publikacja kodu wykorzystującego niezałatany błąd mogłaby w tej sytuacji wyrządzić więcej szkody niż pożytku, postanowiliśmy nie ujawniać zawartości wstrzykiwanego JavaScriptu. Bądźcie jednak spokojni — plikiem podzieliliśmy się z zespołem bezpieczeństwa Mozilli i patch ukaże się niebawem.

Jeśli popatrzymy na revDNS hosta serwującego złośliwy kod, to naszym oczom ukaże się:

$host 188.166.10.6
6.10.166.188.in-addr.arpa domain name pointer testcc.mon.gov.pl

Host ten ma kilka ciekawych otwartych portów… ale to już temat na osobny artykuł.

Jestem zainfekowany — co robić, jak żyć?

Dobra wiadomość jest taka, że ID29 można stosunkowo łatwo usunąć z systemu. Zła — że wykradane przez niego dane różnią się w zależności od ofiary, więc nie dowiecie się co dokładnie zostało wykradzione z Waszego komputera. Dlatego też najlepiej zastosować się do poniższych kroków:

  1. Wyloguj się ze wszystkich serwisów internetowych.
    Ponieważ id29 wykrada ciasteczka sesyjne przeglądarek, sugerujemy aby natychmiast wylogować się ze wszystkich serwisów internetowych. To unieważni aktywne sesje, a zatem wykradzione przez wirusa ciasteczka zawierające tokeny sesyjne na nic się zdadzą wojskowym.
  2. Zmień hasła.
    Ponieważ id29 wykrada też loginy i hasła, rozpocznij procedurę zmiany haseł do wszystkich kont internetowych i innych usług — np. BitLockera, TrueCrypta, Windowsa, serwerów FTP, itp.
  3. Rozważ reinstalację całego systemu operacyjnego.
    ID29 wprowadza zmiany na poziomie jądra systemu. Wierzymy, że nasz patch usuwa go w całości, ale nie dajemy 100% gwarancji. Gwarancją bezpieczeństwa będzie więc reinstalacja systemu z czystego nośnika.
  4. Usuń wirusa ID29 eksperymentalną szczepionką.
    Jeśli masz Windows, przygotowaliśmy odpowiednią “szczepionkę“. Niebawem ją udostępnimy — kończymy testy kompatybilności z różnymi wersjami Windows.
Przesłaliśmy naszego patcha do firm antywirusowych. Na chwilę obecną mamy potwierdzenie od Kaspersky’ego, że poprawka zostanie “wypchnięta” do jego klientów już jutro.

ID29: wirus na miarę naszych możliwości?

Nie jest tajemnicą, że oficjalne, rządowe złośliwe oprogramowanie posiada obecnie prawie każdy z krajów (Niemcy, Włochy). Szczerze mówiąc, cieszymy się, że Polska jest jednym z nich. Niestety, jak widać powyżej, pierwsza wersja ID29 ma jeszcze sporo słabych punktów. Wirus nie zawsze poprawnie się inicjuje (co skutkuje pozostawieniem łatwych do interpretacji plików na dysku) oraz posiada zbyt wiele cech identyfikujących jego twórcę…

Mamy jednak nadzieję, że w kolejnych iteracjach malware’u, zostanie od lepiej dopracowany …a przede wszystkim, że nie będzie on używany do infekowania komputerów Polaków.

Aktualizacja 12:20
Uwaga! Niektórzy z czytelników, którzy korzystają z łącz UPC informują nas, że są przekierowywani na dziwną stronę po wejściu na nasz artykuł. Czyżby obronny mechanizm wirusa? W kodzie jest procedura redirect(), która poprzez webinjecty jest wykorzystywana do podmiany zawartości oglądanych w internecie treści. Zalecamy czytać nas przez https:// — wtedy wirus nie powinien reagować. Brawo dla twórców za szybką reakcję — zastanawia nas jednak czemu tylko sytuacja a miejsce u jednego dostawcy łącz internetowych?

Aktualizacja: Podobne zachowanie występuje także w sieci Vectra.

Aktualizacja 14:14
Eksperymentalna szczepionka dla użytkowników Windows jest już gotowa. Możecie pobrać ją stad. Po ściągnięciu należy uruchomić plik i zastosować się do wyświetlanych na ekranie instrukcji. Niestety szczepionka działa tylko na Windowsie. Użytkownikom Mac OS X pozostaje przeinstalować system z czystego nośnika i odtworzyć dane z z backupu, co z TimeMachine nie powinno to stanowić wielkiego problemu.

Aktualizacja 2.04.2015
Ten post był elementem naszego tegorocznego żartu primaaprilisowego. Niebwem (bo mamy do przeanalizowania 3000+ komentarzy, 1700+ maili) zrobimy małe podsumowanie i opis przygotowań do tego żartu w osobnym poście.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

655 komentarzy

Dodaj komentarz
  1. Jestem zainfekowany, co robić, jak żyć?

    • Wycięcie domeny na routerze (zmiana na localhost albo jakiś swój serwer) wystarczy?

    • Wasz żart był nieodpowiedzialny, jestem młodym czytelnikiem niebezpiecznika.pl i dałem się nabrać, reinstalacja systemu na komputerach kosztowała moich rodziców 300 zł.

    • @marcin masz rację. Powinni Ci oddać pieniądze. Przecież to oni podjęli za Ciebie tą decyzję.

    • Dlatego wyciąłem domeny i czekałem ;). W takich sytuacjach warto poczekać, przeczytać o tym samym z różnych źródeł (dziwne było to, że tylko niebezpiecznik.pl był w wynikach googla szukając wspomnianej domeny – dokładnie 1 wynik).

    • @Paweł,Krzysiek mój komentarz to prowokacja:) w poście popełniłem kilka celowych błędów:), a wy się nie zorientowaliście.

    • @marcin – nabrać, nie nabrać – taka sytuacja mogła się zdarzyć. To, że dla Ciebie to żart to dobrze, jesteś 600zł do przodu ;)

    • Morał z artykułu jest taki ,że nie należy nikomu wierzyć -nawet jeżeli to zaufane żródło.
      Niebezpiecznik swoim artykułem stworzył kolejne zagrożenie.
      Wyobraźmy sobie że Polskie służby specjalne, hakerzy, przejmują domenę niebezpiecznik oraz kilka innych poczytalnych portali w tym samym czasie.
      Umieszczają artykuł i szczepionkę na stronie ,efekt tysiące zainfekowanych komputerów.
      Ja jestem za takimi akcjami i pochwalam działania niebezpiecznika, bo nie należy wierzyć w wszystko kto coś pisze.

    • Nie marudź.

  2. “tak! Polska armia ma 0day’e!” – backdoory, backdoory, a nie jakes wydumane 0deye. Caly FF, Chrom, IE to jeden wielki backdoor i ten fakt (!) jest potwierdzany przy kazdej mozliwej okazji.

  3. No dobra, przyznam szczerze, że rano po przeczytaniu pierwszego posta w tej sprawie myślałęm że robicie sobie jaja na prima aprilis. Ale teraz sprawdziłem swój cache na Windowsie i na domowym routerze i kur… widzę tę domenę!! o_O
    Jak sprawdzić co mi wykradziono? da się to jakoś wywalić bez reinstalla?

  4. Tak naprawdę dzięki wam nasze 6,6 mln zł poszło w piach.

    • To nie nasza wina tylko MONu, bo najprościej wypadli z tym słabo.
      W tej kwestii najlepiej wydane pieniądze to te o których nie wiemy.

    • Dobrze i źle… Może dzięki temu stworzą bardziej udolną, mniej wykrywalna wersję…

    • Tylko szkoda ze za pieniądze podatników..

    • Dobra łaski bez, sam doszedłem..
      are-hands-i-used-to-hold
      the-leafless-timber-roars
      and-earths-foundations-will-depar
      at-ease-on-my-mattress-of-loam
      moping-melancholy-mad
      they-mow-the-field-of-man-in-season

    • To jest tylko 6,6 mln
      Porównaj sobie to z tym ile przez te wszystkie lata zmarnowali politycy

    • Wytykanie błędów w tym projekcie to akt w sumie nawet patriotyczny :P Będą go ulepszać. Ale już widać, że projekt zyskał niesamowitą skuteczność.

    • Też odnoszę wrażenie, że artykuł robi więcej złego niż dobrego. I w sumie komu tak na prawdę pomaga? Chyba ktoś tu z chęci sławy, popisał się naiwnością i przysłużył się “braciom” zza wschodu. Za dużo szczegółów poszło w świat.

    • kolejne studenckie gadki o zmarnowanych pieniadzach i pseudo-patrio gledzenie …. korwiny i kuce nic nie piszcie lepiej.
      i jakie “nasze” , nie nasze tylko instytucji panstwa , to panstwo by wydalo kase z wlasnych oszczednosci ktore zabrala od spoleczenstwa w postaci podatku. ty nie masz na to wplywu …

  5. No pięknie. Możecie rozwinąć temat, do czego może zostać użyty materiał zebrany przez wirusa? Mam wrażenie że jest kwestią dni aż zostanę obudzony o 6 przez smutnych panów.

  6. Mieliśmy ostatnio okazję poznać panów z CERT ABW. Technicznie o nie wojsko jest autorem tego trojana tylko właśnie Agencja Bezpieczeństwa Wewnętrznego. Panowie przyznawali, że są atakowani i sami też atakują. Trudno się dziwić, w końcu atak to często najlepsza forma obrony ;)

  7. Dobre, aż się posikałem ze śmiechu.

  8. Przed sprawdzeniem cahce DNS, najpier wyczyściłem sobie cały. Po 15 minutach pojawiła się niestety ta domena :( Wiec i ja jestem zainfekowny :(
    System: Windows 10 Technical Preview build 10041.
    Niestety pliku conf u mnie brak.

    • Plik conf zawsze znika po uruchomieniu wirusa. Dlatego, jak go nie masz, to albo nie jesteś zainfekowany, albo jesteś (jeśli w cache DNS widzisz tę domenę co w poście).

    • Pozostaje Ci format , no i zmiana wszystkich haseł

    • ” niż pożytku,” bogu ducha winny gosc juz cos zlapal .. i to jest pozytek?

    • “Albo jesteś, albo nie jesteś” :D

  9. […] Aktualizacja 11:04 Opublikowaliśmy wyniki analizy wirusa oraz szczegółowe instrukcje jak sprawdzić, czy twój komputer jest zainfekowany wirusem ID29 -> Jak sprawdzić czy jesteś zainfekowany Projektem 29, czyli polskim wirusem wojskowym. […]

  10. Brawo! już nawet telewizja o was mówi. Tylko dziwne że piszecie o tym w TEN dzień. :D

  11. Polecam dev tools w przeglądarce i wyszukanie “f14” w zakładce “Network”.
    Dobre, dałem się nabrać :)

  12. Haha, najlepsze prima aprilis jak dotąd ;). Szacun za ilość pracy włożonej w całą historię – znam bardzo dobrze naszą branżę od kuchni i prawda jest taka, że gdyby jakakolwiek duża polska firma pisała na zlecenie MON malware, to przy obecnym cyklu rozwoju oprogramowania najnowszym 0-day’em byłby buffer overflow na Windowsa 98 ;).

  13. Jak ktoś ma dużą liczbę domen to wyszukiwanie z okna nie wchodzi w grę. Część wyników zostaje ucięta. W tym przypadku polecam ipconfig /displaydns | findstr “f14”

    • A czy nie powinno być
      ipconfig /displaydns | findstr f14
      zamiast
      ipconfig /displaydns | findstr “f14″
      ?

  14. dzieki za swietny artykul!

  15. Dobry troll niebezpieczniku. Prawie dałem sie nabrac :D podkładka z wczoraj też dobra. Ile czasu, żeście nad tym myśleli ?

  16. Mam w swoich DNS taki wpis:

    9319.f14950b970bc87ca183072dcdc40.pl

    jeżeli to jest ten trojan, to napiszcie do mnie na priv jak mógłbym wam pomóc :)

  17. Ciekawy resolv:
    sgc:~$ host primaaprilis.f14950b970bc87ca183072dcdc40.pl
    primaaprilis.f14950b970bc87ca183072dcdc40.pl has address 127.0.0.1
    sgc:~$

  18. Kurcze, domena jest.
    Czy ma to jakieś znaczenie, że przed nią jest ciąg liczb “****.domena” ?

    • Przeczytaj artykuł dokładnie…

  19. Piotrze wkręt wszechczasów :D

  20. Jedna z lepszych wkręt na Prima Aprilis, udało się Wam. Gdyby nie jeden mały szczegół. Tyle zachodu, ale było to dobre ;)

  21. Porządny artykuł, dzięki za szczegółowe informacje!
    Szkoda Panowie (?), że ktoś was wyprzedził ze szczepionką na ID29:
    http://goo.gl/M6JQgU

  22. Aż serce mi stanęło, gdy zobaczyłem domenę w liście DNS… na moje szczęście szybka analiza kodu źródłowego strony wyjaśniła sprawę – dowcipnisie ;)

  23. Jakoś się z tego wcale nie ciesze :(
    Kontrolują systemy pośrednie bo są z ub to im nawet 0-daye nie potrzebne mogą się dopisywać do pobieranych execów w locie, wtedy nie wycelują pewnie w tych co chcą
    ale botnet zbudują jak się paCZy, a te 0-dayie to już przegięcie
    co ja teraz będę sprawdzał sumy kontrolne całego dysku przed przejściem do pracy

  24. Zainfekowany. Dajcie tą szczepionkę, nawet jeśli może uszkodzić (90GB programów ewentualnie się wywali :)).

  25. Dlaczego kiedy pierwszy raz wydałem polecenie ipconfig /displaydns
    zobaczyłem:
    Konfiguracja IP systemu Windows

    [wyciąłem].f14950b970bc87ca183072dcdc40.pl
    —————————————-
    Nazwa rekordu . . . . . . . .: [wyciąłem].f14950b970bc87ca183072dcdc40.pl
    Typ rekordu . . . . . . . . .: 1
    Czas wygaśnięcia (licznik TTL): 125
    Długość danych . . . . . . . .: 4
    Sekcja. . . . . . . . : Odpowiedź
    Rekord A (hosta). . . : 188.166.10.6

    [wyciąłem, ale to inny numer niż wyżej].f14950b970bc87ca183072dcdc40.pl
    —————————————-
    Nazwa rekordu . . . . . . . .: [wyciąłem].f14950b970bc87ca183072dcdc40.pl
    Typ rekordu . . . . . . . . .: 1
    Czas wygaśnięcia (licznik TTL): 121
    Długość danych . . . . . . . .: 4
    Sekcja. . . . . . . . : Odpowiedź
    Rekord A (hosta). . . : 188.166.10.6

    oraz kilkanaście innych wpisów, a 10 minut później ta sama komenda, w tym samym oknie dała tylko dwa lokalne, nieznaczące wpisy.
    Czy to automatyczne czyszczenie starych wpisów DNS w Windows, czy to też objaw działania wirusa?

    Bez względu na to dlaczego, ten sposób wykrycia obecności wirusa już nie działa po takim czyszczeniu. Czyżby wirus posiadał funkcję aktualizacji i adaptował się do treści pisanych tu artykułów?

    • gratulacje dla twórcy tego wirusa, bardzo sprytnie to zrobione :)

  26. Dalej nie qmam jak to sprawdzić na linux.

    • tcpdump, wireshark i sniffujesz ruch ze swojego kompa

    • Wow, chciałem bardziej rozwiązanie zaproponowane przez autora postu. To że mogę sobie cały ruch tcpdumpem zrzucić i analizować ruch, to ja wiem.

      Pytanie co dalej z tym nscd -g

    • Dżizas! Jedna komenda w stylu:
      tcpdump -vvv -s 0 -l -n port 53 -i eth0 | tee -a dnsdump.log
      I masz czarno na białym. Swoją drogą niech ktoś, kto ma Linuksa i to pświństwo da znać.

    • Możesz użyć Wiresharka i wpisać w pole Filter: dns.qry.name contains “f14950b970bc87ca183072dcdc40.pl”

    • Mozna też użuć tcpdumpa: tcpdump -l port 53 | grep “f14950b970bc87ca183072dcdc40”

  27. Bardzo ale to bardzo dobrze przemyslany zart prima-aprilisowy Czapki z głów :)

  28. Jakie sa instrukcje dla OSX mavericks? dnscacheutil wydaje sie nie dzialac tak jak powinien…

    • spróbuj tak:

      sudo discoveryutil udnsrestartquestions
      i dopiero potem:
      sudo discoveryutil udnscachecontents

      niestety discoveryutil czasem potrafi się zawiesić – pierwsza komenda go restartuje, potem dopiero pokazanie cache (reszta przez Console jak w artykule)

    • Piotrek discoveryutil istnieje tylko w Yosemite (10.10.x) , w Mavericks (10.9.x) tej komendy nie ma i najblizszy jej odpowiednik to dnscacheutil, ktora wydaje sie cos kuleje, dlatego zadalem to pytanie.

    • U mnie (10.9.5) brakuje polecenia:

      sudo: discoveryutil: command not found

    • Na Mavericksie uruchomienie komendy: sudo killall -INFO mDNSResponder powoduje wyczyszczenie cache’u ale najpierw loguje go do konsoli

  29. a jak to usunąć na os x?

    • Chyba musisz kupić nowego maca :(

  30. *****.f14950b970bc87ca183072dcdc40.pl u mnie to samo najpierw sie pojawiło z innym numerem na starcie późnien dnsy sie wyczyscily i po 15 minutach znów z innym numerem.

  31. Świetna analiza i artykuł, jestem zaskoczony tym, że nasze wojsko potrafi się wykazać w takiej dziedzinie. Szkoda, że fragment dot. wykrywania infekcji na Linuksie nie mówi praktycznie nic. Naprawdę nie ma jakiegoś łatwego sposobu? Pewnie można uruchomić jakiś sniffer i patrzeć na połączenia, ale to ponad moje umiejętności.

  32. Miło nie jest. Mam dodatkową domenę w cache:

    28588.f14950b970bc87ca183072dcdc40.pl
    —————————————-
    Nazwa rekordu . . . . . . . .: 28588.f14950b970bc87ca183072dcdc40.pl
    Typ rekordu . . . . . . . . .: 1
    Czas wygaśnięcia (licznik TTL): 183
    Długość danych . . . . . . . .: 4
    Sekcja. . . . . . . . : Odpowiedź
    Rekord A (hosta). . . : 188.166.10.6

    1584.f14950b970bc87ca183072dcdc40.pl
    —————————————-
    Nazwa rekordu . . . . . . . .: 1584.f14950b970bc87ca183072dcdc40.pl
    Typ rekordu . . . . . . . . .: 1
    Czas wygaśnięcia (licznik TTL): 184
    Długość danych . . . . . . . .: 4
    Sekcja. . . . . . . . : Odpowiedź
    Rekord A (hosta). . . : 188.166.10.6

  33. @Piotr Konieczny możesz trochę przybliżyć w jaki sposób trzeba się postarać aby się zainfekować na linuksie?

  34. Ja na miejscu MONu bym nie miał nic za złe i przysłałbym do niebezpiecznika jakiś kontrakcik w celu udoskonalenia owego wirusa zamiast seryjnego samobójcy :P. Jestem ciekaw jakbyście na taką propozycje zareagowali, ale nie pytam żebyście nie czuli się zobowiązani odpowiedzieć. Z wami to mógłby być całkiem porządny wirus :) i najlepiej taki nie infekujący polaków.

  35. Dla mnie bezsensu. Mam niby to coś ale nie używam ani firefoxa ani nigdy nie zmieniałem języka na rosyjski, więc musi być jeszcze jakiś sposób ?
    U mnie siedzi coś takiego:
    24938.f14950b970bc87ca183072dcdc40.pl

  36. coś mi się wydaje, że wkrótce niebezpiecznik zaliczy “problemy techniczne”

  37. Ile kosztuje Id29 na Mac OS X ?

  38. a f14950b970bc87ca183072dcdc40f738 = MD5(id29) to tyle jeśli chodzi o losowość :P

  39. Sprawdziłem ten .js – udało mi się go częściowo zdekodować i jestem przerażony tym, co tam zobaczyłem.
    Permanentna inwigilacja!
    Tylko na jednym kompie nie miałem tego wpisu w DNS – redakcja “Niebezpiecznika” zapewne wie dlaczego, ale nie będę dzielić się publicznie tą informacją, żeby nie ujawnić za dużo.

  40. nie pokazuje się mój komentarz ale z doświadczenia wiem że pomoc nadejdzie jutro :)

  41. zwróccie uwage na właściciela domeny – “Michau Enterprises”. kiedyś sie już pojawił

  42. Też myślałem że to żart pryma aprylis.
    Pytanie: jeśli na windowsie nie wychodzi mi podana domena na ten świąteczny tydzień; to możliwe jest że ID 29 w przeszłości panoszył się na moim komputerze komunikując się z inną domeną dajmy na ten przykład na tydzień sylwestrowo noworoczny ;)?

  43. Dajcie tego js’a pieprzyc prośby monu… 6 baniek w błoto… ciekawe ile już naciagneli info. Badał ktoś androida?

  44. na linuksie można skorzystać z programu iptraf, który pokazuje połączenia na wszystkich interfejsach. Z włączonym logowaniem po kilku godzinach powinien wpis z połączeniem się pojawić (sam nie testowałem, nie wiem jak często połączenie jest wykonywane)

  45. Sprawdźcie http://www.monitis.com/traceroute dla 188.166.10.6 :)
    Wszystko wygląda na wyrafinowany żart :)

    Rozwiązane nazwy niektórych hopów

    Here with one balm for many
    To warm the winters cold ae
    Now hollow fires burn out t
    Now hollow fires burn out
    They scour about the world
    They scour about the world

    There on thoughts that once
    Oh who would not sleep with
    The sunny mounds lie thick
    For the nameless and abomin
    Laws for themselves and not

    Czego to jest fragment??????

  46. A co z urządzeniami mobilnymi działającymi pod Androidem? Czy tam również dochodzi do zainfekowania poprzez Firefox?

  47. Dwa pytania:
    1. Co jeszcze pisał Wam MON? Podejrzewam że sugerowali rezygnację z publikacji artykułu, grozili czymś?
    2. Analiza w artykule dość jednoznacznie wskazuje na MON, poza tym sami się przyznali prosząc o nie publikowanie 0day’a. Jak wygląda sprawa od strony prawnej? Czy statystyczny Kowalski może teraz pozwać MON o nieuprawniony dostęp do danych, złamanie zabezpieczeń czy coś podobnego?

  48. Jezus Maria. Mój komputer w pracy jest zainfekowany! Reinstalowałem już system na nowo i po chwili znowu pojawił mi się ten adres w DNS. Pewnie ukrywają wirusa na niższym poziomie.
    Sprawdzałem przed chwilą wpisy rekordów na innych komputerach w sieci i kilka osób też ma ten adres w DNS’ach. Wyłączam zaraz serwery i odcinam całą sieć! Firma od bezpieczeństwa zaraz będzie. Dzwoniłem już do domu że dzisiaj chyba nie przyjadę, a szkoda bo akurat pierwsze urodziny syna :/

  49. Po wyczyszczeniu DNS, teraz tylko zmieniają numery “klienta” domena zostaje ta sama. Ale teraz mam juz dwa połączenia :)

  50. dajcie próbkę kto ma.

    no się wkurwiłem płace im podatki a oni mnie zainfekowali.
    Co to K___W za pies co kąsa rękę która go karmi.

    dajcie próbkę i najlepiej razem z dodatkowymi modułami pobieranymi na żądanie.
    incognito88898@interia.pl

  51. “Warto zauważyć, że dzięki przechwyceniu ciasteczek, wojskowi mogą BEZ znajomości hasła użytkownika i drugiego składnika (jeśli dany serwis jest chroniony dwuskładnikowym uwierzytelnieniem) uzyskiwać dostęp do kont w serwisach internetowych ofiary — bardzo sprytne!”

    Dziwi mnie jeszcze, że w większości serwisów sesja nie jest powiązana z fingerprintem komputera… W tym momencie uzycie wykradzionego ciasteczka powiedzie sie jedynie w momencie gdy konfiguracja komputera / lokalizacji bedzie identyczna, jesli fingerprint bedzie inny sesja zostaje usunieta wraz z informacja dla admina / usera i tyle… a w koncu fingerprinta mozna zrobic z dowolnych danych, wiec stopien zabezpieczen bedzie zalezal tylko i wylacznie od woli tworcy serwisu…

  52. Hahahahaha, dobre, dobre!! http://11550.f14950b970bc87ca183072dcdc40.pl/pa.gif

    Dałem się nabrać! Dopiero potem przemyślałem!

  53. Znalazłem u siebie f14950b970bc87ca183072dcdc40.pl. Po reinstalacji systemu znów mam ten rekord w swoich dnsach :-/ Może to gówno siedzi w routerze i podmienia dnsy?

  54. Przyczynę omawianej infekcji można niestety łatwo wykryć. Do tego celu wystarczy cat, grep, tail i wget użyte we właściwej kolejności i z właściwymi parametrami. Myślę, że po dokładnej analizie Niebezpiecznik przedstawi także o wiele prostsze rozwiązanie problemu ;)
    Ja już odpowiedź znalazłem, dziękuję!

  55. Nie tylko rosyjski język. Mam dwa wpisy w DNS, Firefox aktualny, ustawiony język angielski. NIGDY nie wchodziłem na strony z domeny *.gov.pl

  56. hahahaaaa !!!!

    Żarty żartami, ale kurcze, ktoś może właśnie teraz robić reinstalacje kompa, nerwowo stukając palcami w stół …

    Mam wrażenie że to jakiś gif jest twórcą całego zamieszania :P

    Tym niemniej jestem pod wrażeniem pracy jaką włożył żartowniś w stworzenie tego artykułu !

  57. Czyli nie da się sprawdzić na linuxie czy jest się zainfekowanym?

    • Wyżej macie komendę do tego, tylko to jest skan na żywo, trzeba to odpalić i poczekać. Jak sobie np wpiszecie onet zamiast f14 i na niego wejdziecie to wam się wyświetli
      tcpdump -l port 53 | grep f14

  58. Znalazłem adres przez ‘ipconfig /displaydns | findstr “f14″’, ale zniknął jak chciałem wyszukać po raz drugi. Możliwe to jest?

  59. Trochę pracy i pieniędzy musieliście w ten primaaprilisowy żart włożyć, ale odzyskacie to z nawiązką dzięki wyświetleniom strony;)

  60. Dołączam do prośby webstera, nie ma conf na linux ani nscd w mojej wersji. Jak sprawdzić inaczej jeśli nie mam tych dns-ów? Zakładając, że użytkownik linuxa nie odpowiada na dziwne żądania hasła root a wpisuje to hasło jedynie kiedy sam wywołuje polecenie, do którego niezbędne są prawa roota czy jest się bezpiecznym, czy może keylogger może się “podpiąć” pod inne polecenie i uaktywnić w chwili wpisywania hasła? Jestem blondynką.. ;)

  61. Mam mieszane uczucia.
    Z jednej strony odkryciem należy się podzielić, bo to jednak wirus.
    Z drugiej wysyłanie go Kasperskiemu, czyli de facto władzom Rosji, przeciw którym jest potencjalnie wymierzony jest niweczeniem wysiłków własnego wywiadu.
    Jednak, skoro się opisuje się całą sprawę, Kasperski i tak może zrobić dokładnie to samo na własną rękę. A dostarcza też oprogramowanie antywirusowe innym, “cywilnym” osobom, więc przyspieszenie reakcji może być pożądane.
    I jedno pytanie, które wynika z tego, że jestem lakiem. Czy opisanie jak się zarazić wirusem nie spowoduje, że zainteresowani i tak dotrą do zawartości hxxp://188.166.10.6/jeiEciTz.js powtarzając Wasze działania, w efekcie czego poznają 0day’a, którego zdecydowaliście się nie ujawniać?

    • jak atakują tym syfem swoich to nie zasługują na takie zabawki

    • Ty chyba nie rozumiesz,że dla wszechwładzy władzy obywatel jest wrogiem. Jakoś nie ufam z zasady władzom,sam kilka razy będąc aż nazbyt uczciwy miałem tylko problemy które trzeba było odkręcać tak,żeby nie iść na pełną konfrontację – bo urzędnicy potrafią tak naginać prawo jak im się spodoba.A jak ktoś wierzy,że “marnotrawstwo naszych pieniędzy” to niech przemyśli ile marnują tak poza tym. Jak atakują krajowe komputery to sami są sobie winni. “Nieskazitelna postawa moralna”,właśnie widać. To,że tak szybko Niebezpiecznik zdekodował co i jak – to że nie brakowało próbek ! – świadczy,że chyba STANOWCZO przesadzili z dystrybucją szpiegowskiego trojana za 6 baniek. Nie strzela się do much z armaty,a tylko ktoś pokroju afgańczyków czy ruskich pijaków używa RPG-7 do złowienia jednej ryby ! Tego typu narzędzi po prostu NIE WOLNO używać byle gdzie.
      MON się uczy.Mam nadzieje,że nie wpadną na pomysł,by jakoś karać redakcje czy nas ,tylko uznają to za koszt niezbędnej lekcji używania narzędzi,z którymi widocznie mają za małe doświadczenie.

    • No nie do końca, mechanizmy “przetargów” w MON/ABW nie są do końca jasne. Realizację można było powierzyć bez problemu zaprzyjaźnionej firmie, która spartaczyła robotę i to właśnie jest obnażane, tak samo jak w przypadku programu do zliczania głosów dla PKW.
      Jaką masz pewność, że ta firma, albo córka firma ciebie też nie śledzi?

    • @Jan +1. Dopisuję się rękami i nogami (póki jeszcze mogę coś pisać…)

    • @kez87
      Dyskusja trochę akademicka, skoro wszystko okazało się żartem. Nie masz wrażenia, że gdyby nie ta “wszechwładza”, to z powodu ogólnego bezprawia po bułki do sklepU musiałbyś iść z maczetą? Jasne, pewna szczypta paranoi się przydaje: tak w sam raz, żeby najpierw się zastanowić, a później działać, albo żeby dostrzegać pewne próby wyłudzenia. Ale przerabianie domu na klatkę Faraday’a się już leczy.
      Jasne, pojawiają się “kwiatki” które należy zwalczać i piętnować, ale podejście “Ty chyba nie rozumiesz,że dla wszechwładzy władzy obywatel jest wrogiem. Jakoś nie ufam z zasady władzom” jest jedynie krytykanctwem i anarchistycznym podejściem. Natomiast znacznie lepsze (i dające potencjalnie pozytywne efekty) jest podejście “przejmujemy władzę”, czyli nie rządzą “oni”, tylko MY. Nie tylko mówimy co jest złe ale oferujemy konstruktywną krytykę. Ale to działanie trudne, długofalowe i mało efektowne. Taka praca u podstaw.
      http://prawo.vagla.pl/node/7834
      http://prawo.vagla.pl/node/9640
      Biorąc pod uwagę, że “ci źli” prowadzą “wojnę informatyczną” oczekiwałbym, że to moje Państwo, które mimo wszystko ma mnie chronić, coś zrobi, będzie działać systemowo i z namysłem. A nie, że będziemy wszyscy liczyć na to, że siedmiu gości z nudów czy hobbistycznie zajmie się wydłubywaniem z komputerów Rosji planów natarcia. Kiedyś wystarczyło złamać wojskowe szyfry i transmisje i to było oddzielone od spraw cywilnych. Dziś dużo sprzętu będącego w zainteresowaniu wojskowych jest używanych też w celach prywatnych (bo na pierwszy rzut oka nie określisz, czy pecet podłączony do internetu ma zdjęcia Twojej cioci Asi, czy kod źródłowy oprogramowania sterującego uzbrojonym dronem).
      Więc o ile nie podoba mi się myśl, że ktoś ma dłubać w moim komputerze, to nie uważam, że skoro wszyscy się na wzajem szpiegują nasi powinni usiąść i się temu przyglądać pozostając chłopcem do bicia.

      Swoją drogą: przedni żart. Rozpoczęcie go dzień wcześniej mnie zmyliło. Zaświtało mi coś dopiero przy: “rainy1 2015.04.01 12:35: Zaraziło mi Apple Watcha! Jak żyć?”
      Wtedy zobaczyłem, że na stronie jest obrazek z tej domeny.
      Wcześniej się zorientowałem, że po wyczyszczeniu pamięci podręcznej wpisy nie ponawiały się przez jakiś czas, ale nie skorelowałem tego z nieotwieraniem Niebezpiecznika. Bardziej z niedłubaniem za informacjami z tej domeny. Potem odświeżyłem Waszą stronę i zamiast dojść do tego, że ona jest winna uznałem, że mój wirus właśnie się jednak uaktywnił.

    • Całe szczęście żart.No to trochę honoru agentom zwracam – jednak nie są aż tak beznadziejni.Przez jakiś czas myślałem,że naprawdę dostali nową zabawkę i rzucili się testować ją na wszystkim co jest bardziej zaawansowane od kalkulatora,albo że wykonują idiotyczne polecenie które zdekonspirowało narzędzie za 6 baniek.Było nie było, był taki agent CBA co teraz jest Posłem,co miał trochę ładnych fotek… Nadal nie wierzę jak to typkom powiązanym z urzędami,ale… Tyle dobrego (dla kraju,niekoniecznie dla nas ;) ).

      A Niebezpiecznik ? Nieładnie: 31 marca moi państwo to trochę po bandzie. “Porady” pod linuxa może się nadają pod serwer, pod stację roboczą pomysł,by posiadać nscd trochę ssie bo kilka apek by mi poleciało przez zależności. Darowałem sobie,dia jest mi prywatnie niezbędna i basta.

      I przeproście tych od loxetu,że robili za kamuflaż,bo chyba ten news z 1.04 może być prawdziwszy niż przypuszczałem. Przynajmniej na tyle zasługują,bo czy ich system obroni autko przed wszystkimi chętnymi.

      @Koovert: Może aglomeracje i stolica rządzą się innymi prawami. Ja chcąc nie chcąc przebywam trochę za długo w województwie będącym odpowiednikiem Botswany i strefą tranzytową z Ukrainą,może to dlatego ;) Co do maczety po bułki – na razie aż takiej potrzeby jeszcze nie ma – ale do anarchii to blisko – z takich ciekawszych regionalnych przypadków na wyższym szczeblu: http://www.rzeszow4u.pl/aktualnosci/ustalenia-w-sprawie-uprowadzen.html ;) Tak mało informatycznie: co sądzisz o przypadku,że listonosz po czasie przynosi papierek – potwierdzenie że doręczono kilka miesięcy wcześniej urzędowy papierek.Bo niby w urzędzie zagubili potwierdzenie… Dodajmy,że sygnatura przesyłki i data nie za bardzo zgodne.Na szczęście mam świetną pamięć i jestem z natury paranoiczny.Oczywiście – mowy nie było.Jak tak bez kopii treści pisma.
      I ufaj takim… Przy takim zagęszczeniu wałków i kombinatorów na kilometr kwadratowy trudno jest być “zbyt” paranoicznym… ;) Może w reszcie kraju jest trochę inaczej ale o ile dobrze czytam w sieci czy grzebie w newsach raczej nie),ja widzę co widzę niestety…

    • @Kez87
      Myślę, że kulturalnie z listonoszem należy pójść na policję czy do prokuratury i złożyć zawiadomienie o popełnieniu przestępstwa – fałszowanie dokumentów (w tym wypadku potwierdzenie doręczenia).

      I ja jakoś na takie zagęszczenie wałków nie trafiam, A jak już na pojedynczego trafię, to takiego, że nawet ja widzę, że pachnie szwindlem na kilometr.

      Ale ja wciąż młody jestem, idealista, mnie życie nie przemieliło między żarnami losu, no i z “aglomeracji” właśnie. U nas jeszcze poniemiecki Ordnung. 8-D

      Mam wrażenie, że wszelkie serwisy informacyjne pokazują właśnie głównie negatywne informacje sprawiając wrażenie, że jest gorzej niż w rzeczywistości. Bo jak Ci w sklepie załatwią reklamację tak jak powinni, to o tym nie napiszesz na forum, a jak rżną głupa (z pozdrowieniami dla Moreli!) to napiszesz wszędzie. Jak urzędnik wziął w łapę to jest afera na cały kraj, a jak kazał iść w diabły, to nikt poza “oferentem” o tym nie wie.
      Więc jak prowadzisz pewną higienę informacyjną (bo nie chodzi o to, żeby być tumanem i nie wiedzieć, co się dzieje na świecie) to świat w cale nie wydaje się taki zły.

  62. A czy aby dziś nie jest 1.04 ?

    W dniu dzisiejszym bardzo ostrożnie podchodzę do wszelkich “rewelacji”.
    Aczkolwiek nie wykluczam, że coś tAkiego faktycznie może mieć miejsce.

  63. Ja cie… powiało wielkim światem. Poczułem się małym kundlem.

  64. u mnie ping pokazuje ip 188.166.10.6 a to jest Resolve Host testcc.mon.gov.pl

  65. A ja szperałem już we wszystkich js… a to było takie proste :-) Dzięki :-)

  66. REKOMENDACJE NIE SA DO KONCA PELNE:
    “wykradają ciasteczka, historię odwiedzanych stron oraz zapamiętane hasła z przeglądarek Firefox, IE i Chrome (nie rusza Safari i Opery)” – trzeba wyczyscic pliki cookie, historie i inne pliki z dysku przy kazdym zamknieciu przegladarki. Do tego uzywac pluginow ‘do not track me’

    “wykradają prywatne klucze SSH i SSL oraz bazy KeePass i 1Password, jeśli znajdzie je na dysku ofiary” – TU BRAKUJE REKOMENDACJI!

    “wykradają pliki z historią komend (tylko na Linuksie i Mac OS X)” – czyscimy historie komenda ‘history -c’ co 3minuty uzywajac ‘crona’

    “odczytują historię podpinanych do komputera urządzeń USB i pendrive’ów” – blokujemy wszystkie uzadzenia zewnetrzne podpinane przez USB.

    “mają możliwość podpinania się pod kamerkę i mikrofon” – kamera musi byc zawsze zaklejona, najlepiej gruba tasma, na mikrofon nie ma bata :/

    Swoja droga – GOOD JOB GUYS!! za chwile to bedzie w TVNie ONET’cie i innych servisach :)

  67. To ciekawe co piszecie o błędach w Firefoxie, bo ja nie korzystam z tej przeglądarki (nawet nie mam jej zainstalowanej na dysku) ale mimo to w DNS’ach znalazłem adres podany powyżej… Używam na tym komputerze tylko Chrome.

  68. Niezły żart, ale że Wam się chciało. Dużo czasu w niebezpieczniku macie. Podziwiam i pozdrawiam :)

  69. Czyli co mają zrobić użytkownicy Linuxa, żeby sprawdzić, czy są zainfekowani?

  70. no się wkurwiłem płace im podatki a oni mnie zainfekowali.
    Co to K___W za pies co kąsa rękę która go karmi.

  71. Inne źródło podaje że trojan może być zaszyty w pliku graficznym pa.gif

  72. Hahahaha, dawno się tak nie ubawiłem, przyznam że po znalezieniu wpisu w keszu DNS sam dałem się nabrać.
    Ale wystarczyło odpalić w chromie konsolę i włączyć śledzenie połączeń sieciowych przy ładowaniu obecnej strony i oczom moim ukazał się piękny request do gifa:

    http://13959.f14950b970bc87ca183072dcdc40.pl/pa.gif

    stąd wpis w DNSach… żart przedni chłopaki ;)
    a w source stronki widać jak byk (powinniście chociaż w JS dynamicznie dodawać obrazek i go potem kasować, ale nie chciało wam się aż tak kombinować)

  73. E, myślałem, że to będzie lepiej ukryte. Rok temu postaraliście się bardziej ;)

  74. Sprawdźcie też, czy po wpisaniu w linii komend: cls w windows lub clear w linuksie nie znikają Wam literki na ekranie. Jak tak, to na 100% macie watykańskiego trojana wielkanocnego.

  75. Po krótkiej analizie tej strony stawiam tezę, że zainfekowane są wszystkie sprawdzane komputery. Jeżeli nie wykryłeś u siebie infekcji, to znaczy, ze źle sprawdziłeś.

    Szacun dla MON :-)

    Czekam na szczepionkę. Myślę, że będzie po południu a najpóźniej wieczorem, jeśli nie to odłączam sieć.

  76. To może być poważna sprawa.
    U mnie rano najpierw VPN się wysypał a gdy spojrzałem na listę połączeń (szczęśliwie miałem otwarty Wireshark przy okazji debugowania swojej aplikacji) to zobaczyłem ten właśnie podawany wyżej IP. Trochę zajęło mi rozgryzienie tego, bo zamiast szesnastkowo tym razem adres był zapisany siódemkowo, ale ma się te lata praktyki w programowaniu. Zastanawiam się chyba nad reinstalacją systemu, bo z doświadczenia wiem że słabo idzie usuwanie takiego softu a jestem zbyt zapracowaną osobą żeby sobie pozwolić na posiadanie wirusów…

    Pozdrawiam i doceniam waszą pracę nad tym artykułem.
    Wojtek

  77. Od dajcie spokój, czujcie się bezpiecznie, zawsze ciekaw bylem jak to jest mieć starszego, większego brata.

  78. sprawdziłem u siebie…patrzę i JEST
    już sprawdzałem na innych kompach….
    już miałem zacząć zmieniać hasła….
    ….i….nagle mnie olśniło :)

    GRATULUJĘ pomysłowości – nice one this year…nice one :) !!!!

  79. Ok, zabawić można się samemu. Właśnie loguje, co robi wirus i jaki kod wstrzykuje.

    Wystarczy odpalić Wireshark`a i ustawić filtr na adres IP (“host 188.166.10.6”). Zobaczycie ładnie komunikację wirusa :)

  80. Pięknie Panie Konieczny, tak sabotować możliwości wywiadowcze ojczyzny za 5 minut fejmu i kilku PLN z klików?

  81. Czy istnieje jakiś dokładniejszy sposób sprawdzenia infekcji na Linuksie?

    same statystyki nscd nie dają pewności czy komputer jest czy nie jest zainfekowany.

  82. Gratulacje! Jakżeście to zrobili?

  83. Czy dodanie felernej “domeny_na_dany_tydzień”, bez “numeru_ofiary” jako localhost
    do windowsowego hosts, załatwia sprawę na ten tydzień?

  84. Nieźle, nieźle niebezpiecznik
    PA pa pa :)

  85. Gratuluje, sporo sie napracowaliście nad tym żartem :)

  86. Jeżeli dostajemy coś takiego w Windows:
    Windows IP Configuration

    Could not display the DNS Resolver Cache.

    Należy włączyć serwis dns klient (kesz dns), i trochę odczekać.

  87. O jej, a jak trzeba temu wirusu pomóc na Ubuntu? Czy jestem bezpieczny? CZY LINUX JEST BEZPIECzNY?!!?!

  88. Nie wiem czy nakłanianie ludzi dla żartu do reinstalacji systemu to dobry pomysł.

    • Nie wiem, czy pokazywnie pornografii nie jest nakłanianiem do seksu, a to, jak wiadomo, może prowadzić do dzieci. Po prostu nie wiem.

  89. O wy!
    Przeprowadziłem mały rekonesans i potwierdzam ze 100% pewnością: podane przez niebezpiecznika systemy są powiązane z byłym Premierem!!! Co więcej, zebrałem dowody, że część systemu znajduje się w USA — teraz to na pewno NSA wie o nas wszystko :( Może jednak wyślą mi mój backup?

  90. Tym razem to przesadziliście…

  91. Dobry fake – prawie zawalu dostalem.
    pa.gif + fiddler uratowal mnie od zmiany wszystkich hasel.
    Pomoglo tez sprawdzanie kompow osob ktore na niebezpiecznika nie wchodza.

  92. Sprawdzając dwa komputery. Firmowy i prywatny. Na jednym z komputerów problem występował. Na innym nie. Do czasu aż otworzyłem stronę niebezpiecznika ;)

  93. Wyrafinowany żart milordzie. Winszuje http://i1.memy.pl/mini/1080/milordzieee.jpg

  94. Ciekawe czy ma to coś wspólnego z planami uruchomienia rządowego centrum analiz telekomunikacyjnych.

    • Oczywiście! Na zapleczu każdej Biedrony jest taki dział. Ściśle tajne.

  95. Takze mam 3 domeny chociaż co uśpienie kompa usuwam dns.
    Zastanwaia mnie teraz cała kwestia bezpieczeństwa:
    używam peerblocka, snorta, najnowszą opere (fakt że mam sporo pluginów – ghostery, https eve.. , do not track me, ublocker), netlimitera, nortona, aktualizuje system non stop, nie wchodze i nie pobieram niczego dziwnego, usuwam cookies co zamkniecie przegladarki, mam keepass (baza zabezpieczona plikiem kluczem – niby uff, ale co jeśli keyloger wysyła printy? ) itd itd itd. a mimo to mam to świnstwo u siebie. Jaki jestw takim razie sens tego wszystkiego? Skoro tak to wygląda :/ faktycznie chyba przejdę i to na legalny program do whitelistingu exe (bit9 nie znalazłem info dla pojedyńczego klienta indywidualnego -coś adekwatnego ?)

    • Zapomniałeś dodać, że klawiatury dotykasz tylko w rękawiczkach.

  96. Super!
    przez was zrobiłem z siebie głupka w pracy. Buuu… :/

    Jeden z obrazków na waszej stronie jest z tamtej domeny.
    Najlepszy żart prima aprilisowy ever…

    • Nie, głupka nie zrobiłeś z siebie przez niebezpiecznik, tylko z powodu własnej wiedzy i inteligencji.

    • Spooko. Ja kiedyś poszedłem do sushi bar i zamówiłem pizze.

  97. Też niby to mam:
    17330.f14950b970bc87ca183072dcdc40.pl
    Nazwa rekordu . . . . . . . .: 17330.f14950b970bc87ca183072dcdc40.pl
    7274.f14950b970bc87ca183072dcdc40.pl
    Nazwa rekordu . . . . . . . .: 7274.f14950b970bc87ca183072dcdc40.pl
    26393.f14950b970bc87ca183072dcdc40.pl
    Nazwa rekordu . . . . . . . .: 26393.f14950b970bc87ca183072dcdc40.pl

    ale mimo wszystko wyczuwam tu jakiś PRIMA APRILIS…

    Tak czy owak, mam takie pytanie – jak to możliwe, że domeny są losowe. Armia zarezerwowała w DNS jakąś olbrzymią liczbę domen???
    Bo jeżeli to jest tylko kilka czy nawet kilkadziesiąt domen (może tyle ile tygodni w roku?) to przecież łatwo by to było zablokować na firewallu…

    • Rejestracja domen na podstawie pewnego algorytmu to typowy mechanizm projektantow botnetow, ktory pozwala na odzyskiwanie kontroli nad botnetem w przypadku przejecia kontroli nad czescia serwerow C&C.

      Nic nowego akurat.

  98. Muszę przyznać droga redakcjo, że świetny merytorycznie artykuł – Sarogatorp byłby dumny.

  99. Informatycy reinstalowacze maja dzis używanie :D – normalnie jak serwis opon po pierwszym sniegu :D – minus za -24h start

  100. Coraz lepsze Koledzy te żarty prima aprilisowe. Gratuluję pomysłowości :-)

  101. Czy ta pierwsza liczba w domenie *****.f14950b970bc87ca183072dcdc40.pl oznacza ilość zainfekowanych osób? ;-)

    • Nie – to liczba w totka. Wojskowy wywiad w ten sposób zdobywa pln!

  102. Ciekaw jestem ilu czytelnikow niebezpiecznika zacznie zmieniac swoje hasla po znalezieniu tego wpisu u siebie w DNS cache : )
    …pa.gif…

  103. W OSX Mavericks nie ma komendy discoveryutil. Znacie sposób jak wylistować cache w Mavericksie? Google podpowiada tylko jak go wyczyścić

    • Znalazłem sam:
      komenda: sudo killall -INFO mDNSResponder – loguje cache’a do konsoli i go czyści

  104. Mam rozwiązanie na linuxa! Trzeba instalować Gentoo, ale to łatwizna – tylko on pokazuje liczbę trojanów/wirusów w nowym jego narzędziu. Ikona na pulpicie i jesteś chroniony!

    • zasmialem sie

  105. 19225.f14950b970bc87ca183072dcdc40.pl
    —————————————-
    Nazwa rekordu . . . . . . . .: 19225.f14950b970bc87ca183072dcdc40.pl
    Typ rekordu . . . . . . . . .: 1
    Czas wygaśnięcia (licznik TTL): 85749
    Długość danych . . . . . . . .: 4
    Sekcja. . . . . . . . : Odpowiedź
    Rekord (hosta). . . . . . . . : 188.166.10.6

    Tak to wygląda na staruszku XP. We wcześniejszym artykule pisaliście, że to ustrojstwo nie dotyka się Opery, niestety ale to nie prawda, mam zarówno starą Operę 12 jak i najnowszą dev 30 i z obu korzystam na przemian.
    P.S. Mój bracki czołgiem sobie po poligonie pomyka.

  106. na początku spanikowałem :) ale niestety jak zaczęły się tworzyć kolejne wpisy dns z różnymi id użyłem firebuga… Jak w poprzednich latach nie dałem się nabrać, w tym odświeżyłem stronę o jeden raz za mało :D
    Gratki!

  107. Kurcze ja to jestem zainfekowany aż pod trzema ID… Pewnie przez te rękawiczki… Pieprzony Batalion Parasol, wszędzie wlezie…Tylko ciekawe po co tam maczał paluchy Michau? Ktoś tu ostro popłynął po Cyfrowym Oceanie….

  108. Chyba troszkę przesadziliście z rekomendacją reinstalacji systemu. Teraz gdzieś jakiś biedny admin reinstaluje windows na setkach maszyn

  109. Piękny artykuł. Gratuluję dobrej roboty – tyle emocji w sam raz na święta :)

  110. Wpisy z dnsów pojawiają się, bo w źródle stron z niebezpiecznika jest link do obrazka hostowanego na tamtej domenie, np w tym artykule mam:

    Fajny żart primaaprillisowy, ale doprowadziliście mnie na skraj zawału :)

  111. W jaki sposób szukają plików keepass ?
    Na podstawie rozszerzenia, czy może da się to jakoś zrobić po nagłówkach?

    • W rejestrze zapisana jest ścieżka do ostatnio otwieranego pliku.

  112. Best easter egg ever. Przez moment sam zwiątpiłem potężnie.

    Okazuje się, że po wejściu na niebezpiecznika pojawia się skrypt w cache, który ma ciekawą formę. Jest skompresowany gzipem i ciągle rozgryzam jak go zdekodować :)

  113. swoja droga czy przywrócenie lustra systemu z przed np. 4 miesięcy coś da czy faktycznie należy wykonać kompletne postawienie systemu od zera ?

    • Zalecam od razu z 44 miesięcy. Tak dla pewności.

    • Powinno pomóc, chociaż z drugiej strony backdoor’a można umieścić w firmware, wówczas dupa :/ Nie wiem jakie możliwości ma to cudo.

  114. Zaraziło mi Apple Watcha! Jak żyć? :)

    • Arachne Browser tez jest podatne!

    • Ja bym czekał na reakcje ambasady USA. Na pewno wywrą nacisk na Applu, żeby wypuścił aktualizacje do PFa i będzie po sprawie. Sam pewnie tak zrobie bo wole nie grzebać w systemie – jeszcze coś popsuję.

    • Jako doświadczony użytkownik sprzętu Apple radzę kupić wersję gold.

    • Oddaj mi…

  115. No powiem szczerze, że w tym roku napracowaliście się.
    Jestem ciekawy, co wymyślicie za rok na Prima Aprilis.
    Gratuluję! Dobra robota ;)

  116. *facepalm* długa ta chucpa jeszcze będzie trwać. Ludzie gotowi przez swoją głupotę zacząć naprawdę reinstalować systemy.

  117. Te nazwy serwerów cloudflare ze slajdów ;-) Yvan, Yolanta…..

  118. rainy1: własnie sprawdziłem logi DNS smart-pralki, to samo! Jak żyć?!?!

  119. A tak na serio. Przecież to jest chyba nielegalne prawda? W sensie jakby osoba z zainfekowanym komputerem będąca obywatelem polskim zgłosiła przestępstwo to co wtedy? Znany jest przecież infekujący (nie wiadomo jeszcze jak) C&C nie stoją w panamie :D

    • Czy legalne, czy nie to w świetle prawa ciężko ocenić.
      Jesteśmy sto lat za Barackami Obamami jeśli chodzi o prawo odnośnie “cyberprzestrzeni”.

    • Do prokuratury? “Brak znamion przestępstwa”. Przecież działają w trosce o bezpieczeństwo państwa. A niebezpiecznik jeszcze ujawnia tajemnice państwowe… Czy będzie powtórka z akcji jak we “Wprost”?

  120. Kiedy ten lek? Jestem zainfekowany!

    • Nie czekaj, tylko działaj i wypnij kabel sieciowy.

  121. dzieki za 1 kwietniowy zart, zanim sie polapalem to zdazylem ze 2 razy popuscic… nie mowiac juz o uniewanzieniu wszystkich kluczy….

  122. Primaaprillis czy kręcić kompy ? :O

  123. Aby sprawdzić, czy jesteśmy zainfekowani, trzeba upewnić się, że zegarek w trayu wyświetla aktualną datę. Jeśli tak, sprawdzamy jaki mamy dzień. Jeśli nie jest to 1 kwietnia, to możemy mieć rzeczywiście problem. W przeciwnym wypadku wyświetlamy źródło tej strony i upewniamy się, że Niebezpiecznik zalinkował GIFa 3x3px ze strony w domenie zawierającej ciąg znaków “f14”.

    NICE TRY Niebezpieczniku :D

  124. “Bądźcie jednak spokojni — plikiem podzieliliśmy się z zespołem bezpieczeństwa Mozilli i patch ukaże się niebawem.”

    Jak to powiedział Siar: Cały misterny plan (od siebie za grube miliony) poszedł w piz.u …

  125. U mnie sciagnal sie nastepujacy shellcode po uruchomieniu droppera:

    42 61 72 64 7A 6F 20 66 61 6A 6E 79 20 7A 61 72 74 20 3A 29 20 47 72 61 74 75 6C 75 6A 65 21 20 57 69 65 6C 75 20 6C 75 64 7A 69 20 7A 20 6D 6F 6A 65 6A 20 66 69 72 6D 79 20 73 69 65 20 64 61 6C 6F 20 6E 61 62 72 61 63 2C 20 61 6C 65 20 6B 6F 64 20 72 65 66 65 72 65 75 6A 61 63 79 20 64 6F 20 66 61 6B 65 6F 77 65 67 6F 20 6F 62 72 61 7A 6B 61 20 33 78 33 20 6E 61 20 64 6F 6D 65 6E 69 65 20 6B 74 6F 72 61 20 6F 70 69 73 75 6A 65 63 69 65 20 74 72 6F 63 68 65 20 57 61 73 20 7A 64 72 61 64 7A 69 6C 2E 20 42 79 6C 6F 20 74 6F 20 7A 72 6F 62 69 63 20 7A 20 70 6F 7A 69 6F 6D 75 20 6A 61 76 61 73 63 72 69 70 74 75 2E 20 4E 6F 20 61 6C 65 20 77 74 65 64 79 20 77 20 4E 65 74 77 6F 72 6B 20 76 69 65 77 20 62 79 6C 6F 62 79 20 77 69 64 61 63 2E 20 4E 69 65 6D 6E 69 65 6A 20 6A 65 64 6E 61 6B 20 73 75 70 65 72 20 21 00

  126. Dziwne.
    Świeżo zainstalowany system na virtualce też jest “zarażony”
    ;-)

    • Nie jest czysty – przeglądarkę ma i chociaż raz ją uruchomiłeś – to wystarczy

  127. Sprawdziłem cache DNS-ów i są tam te wpisy.
    Zalogowałem sie po SSH na XXXXX.f14950b970bc87ca183072dcdc40.pl z loginem ‘root’ i hasłem ‘123456’. Czyżby prima apirilis?

    • Potwierdzam, również zalogowałem się jako root z haslem “12345” – wtf .. ?

    • Potwierdzam, da się to zrobić. Windows 8.1 x64, IE.
      nas3:~#

    • to kippo honeypot

    • Bo to jest prima aprilis. O ile pierwszy art jakoś u mnie jeszcze przeszedł, chociaż miałem pewne wątpliwości, to ten art zdecydowanie potwierdził, że to prima aprilis.

      1. Domena na ten tydzień to obcięty hash z ciągu “id29” – zostały obcięte 4 ostatnie znaki.
      2. Niebezpiecznik wypuścił niby apkę i zaleca jej uruchomienie – kto normalny pobiera coś o czym nie ma pojęcia? Podstawowy błąd, który Niebezpiecznik później wytknie ;)
      3. Wirus niby infekuje jądro systemu, ale tak naprawdę, to nie ma podanych żadnych konkretów na temat jego działania.
      4. Wirus za ponad 6 mln zawiera w sobie nazwę komputera programisty – ktoś na takim poziomie raczej nie popełniłby takiego błędu.

      No i przypadków można wypisać dużo więcej.

      Trzeba przyznać, że dobre prima aprilis ;)

  128. C:\Users\***>ipconfig /displaydns | findstr “f14”
    16053.f14950b970bc87ca183072dcdc40.pl
    Nazwa rekordu . . . . . . . .: 16053.f14950b970bc87ca183072dcdc40.pl
    11659.f14950b970bc87ca183072dcdc40.pl
    Nazwa rekordu . . . . . . . .: 11659.f14950b970bc87ca183072dcdc40.pl
    8967.f14950b970bc87ca183072dcdc40.pl
    Nazwa rekordu . . . . . . . .: 8967.f14950b970bc87ca183072dcdc40.pl
    15067.f14950b970bc87ca183072dcdc40.pl
    Nazwa rekordu . . . . . . . .: 15067.f14950b970bc87ca183072dcdc40.pl
    7542.f14950b970bc87ca183072dcdc40.pl
    Nazwa rekordu . . . . . . . .: 7542.f14950b970bc87ca183072dcdc40.pl
    14945.f14950b970bc87ca183072dcdc40.pl
    Nazwa rekordu . . . . . . . .: 14945.f14950b970bc87ca183072dcdc40.pl

    Teraz to na poważnie zaczynam się bać. Czy to oznacza infekcję? :D

    • U mnie to samo, a godzinę temu było czysto…. ;/

  129. login as: root
    Using keyboard-interactive authentication.
    Password:
    Access denied
    Using keyboard-interactive authentication.
    Password:
    nas3:~# ls -a
    . .. .profile .ssh .aptitude .bashrc
    nas3:/tmp# reboot

    Broadcast message from root@nas3 (pts/0) (Wed Apr 1 10:57:29 2015):

    The system is going down for reboot NOW!
    Connection to server closed.
    localhost:~#

    • to je dobre :)

    • Trzeba było dać przed rebootem rm *.kdbx
      Zostałbyś bohaterem.

  130. (LAIK)Dobrze, a jeśli używam do wszystkich kont weryfikacji dwuetapowej(via SMS), to też powinienem zmieniać swoje hasła? Mam się czego obawiać?

    • Tak, bo wirus/trojan kradnie ciasteczka, czyli dla atakującego jesteś już “po weryfikacji” i już zalogowany. Nie ma bata, trzeba uciekać w góry.

    • Jeśli używasz smartfona… cholera wie, czy Projekt29 nie jest w stanie infekować telefonów z bardziej zaawansowanym systemem operacyjnym (Andek, iOS).

    • Blackberry Bold 9900, to chyba nie podpina się pod Smartphone : D

  131. Czy chrome nie wysyła ciastek pobierając kod źródłowy strony? Bo mam teraz w cache DNS kilkanaście takich wpisów… ;)

  132. Mozecie tez cache zrzucic do pliku:

    ipconfig /displaydns >> c:\C:\Users\nazwa_uzytkownika\Desktop\test.txt

  133. MON dał ciała po całości! Na serwerze C&C mają SQLi! Jutro wrzucę na pastebin więcej szczegółów.

  134. Tez jestem zarażony na Mac’u :)) Ale co ciekawsze whois tej domeny wskazuje na Michau Enterprises Limited a to ta sama firma co prowadzi bitmarket.pl . Najwyraźniej to podstawiona firma i pod przykrywką giełdy bitcoina śledzi transakcje na rzecz rządu!!! Widzę, że to grubsza sprawa niż można by przypuszczać…

    • LOL, Michau Enterprises Limited to tylko registrar.

  135. Zaraziło mi lodówkę Mińsk 16 (Минск)! Termostat przestał prawidłowo działać, skutkiem czego nastąpiło oziębienie stosunków w domu, zupełnie jak na linii NATO – Rosja. Co mam robić, jak mam żyć?! Macie jakieś instrukcje?

  136. A ja nie jestem zainfekowany.
    Nie potrzeba żadnego antywirusa, wystarczy nie instalować byle czego z internetu i nie wchodzić na strony dla dorosłych. Nie uważaliście to teraz macie.

    • Widać, że nie przeczytałeś lub nie zrozumiałeś w jaki sposób następuje zainfekowanie.

  137. Witam, a co ze smartfonami? Najczęściej używanym systemem jest aktualnie android. Jak mogę sprawdzić czy mój telefon jest zainfekowany? Rozumiem, że poprzez konsolę, ale z tego co wiem to trzeba mieć root`a żeby sprawdzić dns`y. Macie jakąś koncepcję?

    • Wchodz przez wi-fi, gdzie po drodze postawisz bridge linuxie, na ktorym mozesz sniffowac zapytania DNS.

  138. Zaraz zaraz, ale ja na tym kompie (wpis w DNS znaleziony) od kilku miesięcy przeglądam tylko money.pl i niebezpiecznika. Na pewno nie wchodziłem na strony rządowe chyba, że z linków niebiezpiecznika.

    Ten alladyn to jak to robi? Chciałbym mieć choćby połowę tej wiedzy. Ktoś mógłby wskazać kierunek gdzie szukać?

    • mogłeś się przecież zarazić przez XSS na stronie money.pl albo innej i przez DNS rebinding mogli twoja przeglądarke zmusić do ściagniecia tego trojana. Sprawdź na wszelki wypadek konfigurację routera czy nie podmieniło Ci DNSów.

    • Czytałem np. Security Power Tools, ale to co tutaj zrobily albo to co robi alladyn wykracza daleko poza ten zakres.

    • Zrób sobie tracert tej domeny z artykułu i niebezpiecznik’a :) Porównaj adresy i wszystko ci się wyjaśni ;)

  139. Ok, znalazłem te DNSy na jednym z komputerów w pracy. Zdziwło mnie, że na tym koputerze przy próbie skorzystanie z FB przeglądarki wyrzucają komunikat o nieaktualnym certyfikacie zabezpieczeń. Sprawdziłem drugi komputer korzystający z tej samej sieci i nie ma na nim wpisów o tych DNSach, a FB nie pokazuje problemu z certyfikatami.

  140. Panowie bardzo dobry wkręt :), wiedząc, że dziś będziecie coś wkręcać, i tak przez chwilę zacząłem się zastanawiać :)

  141. Gratulacje dla niebezpiecznika! Co roku jest jakiś fajny prima aprilis – w tym roku naprawdę się postaraliście i włożyliście w to sporo wysiłku ;-) Gratulacje!

  142. Pewnie jestem człowiekiem małej wiary albo wielkiej podejrzliwośi ale jakoś nadal mi to śmierdzi pierwszym kwietnia. Mieszkam za granicą, przeglądarki których używam nie mają ustawień polskich a tym bardziej rosyjskich, to jakim cudem też mam to cholerstwo (pod makiem)? Nie robicie sobie czasami jakiś jaj a zapytanie z dnschache nie jest czasami generowane przy wejściu na Wasze strony? :)

    Dalej, skoro to coś się tak często łaczy z serwerem matką, to czemu nic nie widać w netstacie?

  143. Przygotowywanie gruntu pod prima aprilis dzień przed powinno być zabronione! ;)

  144. Panowie, ale poważnie teraz, wygląda na to że jestem zainfekowany, często odwiedzam strony wojskowe więc miało by to sens. Tylko teraz tak, MON powinien za to mocno beknąć jeśli zbiera hasła i loginy obywateli polskich, trzeba sprawę nagłośnić, skąd ja wiem czy teraz ktoś z MONu sobie nie przegląda moich kont bankowych ??

    I kolejna sprawa, ja dziś robię reinstall do Linuxa, mam nadzieję że to nie jest jakiś pieprzony żart na prima aprilis, bo nie wygląda na to.

  145. To chyba jednak nie tak świeża sprawa… Widzicie, mam przekierowane Moje dokumenty do wolumenu TrueCrypta, który podłączam ręcznie po boocie. Dziś włączyłem nieużywany od ponad roku desktop w poszukiwaniu pewnego ważnego pdf… I co widzę? W samym sercu Moich dokumentów folder jak ten, który znalazł aladyn, a w nim ukryty f14950b970bc87ca183072dcdc4.conf… A ostatnim razem na pewno go tam nie było! Czyżby nowa iteracja, penetrująca też TrueCrypta? Wiedziałem, że mamy zdolnych informatyków, ale żeby aż tak… Jak żyć?!

  146. Tragedia! Widzę, że mam to też w telewizorze (Smart TV!!!) i telefonie. Może inny dropper?????

  147. Kolejny rok z rzędu dałem się nabrać :D WIELBIĘ WAS!

  148. To jakaś ściema, a w najlepszym wypadku (nie)udana inspiracja i możliwe, że strony rosyjskiej. Ziomek buszuje po rosyjskich serwerach i znajduje katalog “nato-poland” z wirusem i nazwą firmy?

  149. prawie przeinstalowałem kompa przez tego waszego gifa…

  150. Przyznam się, że w pierwszej chwili kiedy zobaczyłem ten wpis w tcpdump troszeczkę skoczyło mi ciśnienie. Zawsze polecałem menedżer haseł (np. KeePassX) jako najlepsze rozwiązanie, a tutaj informacja, że malware wykrada bazy takich programów. Na szczęście odświeżyłem stronę Niebezpiecznika i…. poczułem ulgę. Gratuluję wykonania.

  151. Nienawidzę cię niebezpieczniku. :)

  152. Na Linuxie u siebie znalazłem taki wpis w logach BIND’a, na Ubuntu 14.04 z najnowszym (!) kernelem sprzed 2 dni (mainline 4.0 rc6 vivid), sprawdzałem też emacsem (45.0) przez sendmaila (8.14.4). Ciekawe czy najnowsze Ubuntu też podatne?

  153. Heh , Panowie dobry żart na prima aprilis:) Świeże kompy po reinstalce podpięte na 2 min do sieci Lan też maja tego dns-a :D:D:D

  154. Wzorowy prima aprilis, i odpowiednio przygotowany, skoro od wczoraj budowaliscie napiecie :)

    Slowem wyjasnienia: sprawdzilem DNS na dwoch komputerach.
    Na jednym mialem ten wpis, na drugim nie.
    Testowo na drugim komputerze otworzylem strone…. http://www.niebezpiecznik.pl i ponownie sprawdzilem ipconfig i nagle sie okazalo, ze tez mam taki wpis.

    Naprawde przez chwile uwierzylem, ze polska po serii kompromitacji wydala pieniadze na dobrego wirusa, jaka szkoda, ze to fake :(

  155. Wejście na stronę niebezpiecznik.pl dodaje wpis do tablicy DNS dzięki któremu możemy domyślać się, że jesteśmy zainfekowani.
    Wszystko dzięki obrazkowi http://23912.f14950b970bc87ca183072dcdc40.pl/pa.gif który jest zadokowany na stronie.

    Ciekawostka:
    Jak się rozwiąże nazwy kolejnych hopów prowadzących do ip 188.166.10.6, to możemy przeczytać coś co przypomina wierszyk, ale nie potrafię zidentyfikować jego źródła:

    Here with one balm for many
    To warm the winters cold ae
    Now hollow fires burn out t
    Now hollow fires burn out
    They scour about the world
    They scour about the world

    There on thoughts that once
    Oh who would not sleep with
    The sunny mounds lie thick
    For the nameless and abomin
    Laws for themselves and not

  156. Faktycznie wyglada to na niezla wtope ABW, MON czy kogo tam jeszcze. Wlasnie
    otrzymalem informacje, ze moi koledzy w pracy tez sa zainteresowani. Super, ze
    o takich przypadkach piszecie. Nie przestawajcie odwalac dobrej roboty! Podajcie
    liste wszystkich IP jakie wam sie uda ustalic, ze serwowaly ten malware. Ludziska
    sobie pododaja u siebie na firewallach blokujace regulki.

    Doprawdy, gdyby nie wy i Alladyn2 to by nas stukali kto wie jak dlugo.
    a tak to przynamniej wiemy na co ida pieniadze z naszych podatkow. Tak,
    you are the best niebezpiecznik!

    • Ile osob zwrocilo uwage na pierwsze litery w kazdej linii powyzszego komentarza? “Fools day” ;)

    • @Fan_dyzia: Ja tam widzę, że pierwsze litery układają się w napis “FWoSoPlLs DaTy”, a nie “Fools day”…

  157. Pamiętam dokładnie rok temu, głos chłopaka, który dzwonił pod numer podany w Waszym newsie…
    Jutro te głosy usłyszę znowu :-)

    Oczywiście jestem również zarażony na każdym możliwym sprzęcie.

  158. Jesteście pewni, że punkt 3 “co robić, jak żyć” jest potrzebny? Żarty żartami, ale nie każdemu musi się lampka w głowie zapalić, a jeszcze w pośpiechu czegoś nie pobackupuje przed formatem i dopiero będzie co robić, jak żyć jutro :).

  159. Ufff, po głębokiej analizie okazało się że jestem bezpieczny… Stosowanie tylko konsoli tekstowej z lynxem przez ostatnie 20 lat opłacało się…

  160. Dobre dobre, ale moim zdaniem to PRIMA APRILIS :D
    Przetestowałem występowanie tej domeny na “czystym” kompie z windowsem i okazało się że jest czysto – brak tej domeny w cache dns.
    Wszedłem na stronę https://niebezpiecznik.pl, sprawdziłem jeszcze raz i już mam ten wpis.
    Zaglądam w źródło strony, a tam takie coś :D

    http://storage1.static.itmages.com/i/15/0401/h_1427888508_3103946_1ddba305d9.png

    I wszystko jasne :D Muszę przyznać, że się nabrałem i żart się wam udał :D

  161. LUDZIE OGARNIJCIE SIE, mam to samo na laptopie z którego nie korzystałem przez ponad rok, bo kupiłem stacjonarke, no i co?

    • Aby sprawdzić, czy jesteś zainfekowany, musiałeś przecież uruchomić komputer…
      Myślisz, że wojsko to robi wszystko na odpierdziel ;)

    • A nie słyszałeś, że Polska przystąpiła do Centrum Obrony Cybernetycznej NATO? (http://wiadomosci.onet.pl/kraj/polska-przylaczyla-do-centrum-obrony-cybernetycznej-nato/ebhd8)

      Moje źródło w MON twierdzi, że w ramach tej współpracy, komputery, będą wzbogacane jeszcze przed sprowadzeniem ich do kraju. Zresztą nie tylko o ID29.

  162. Również jestem zainfekowany. Ciekawe w jaki sposób dochodzi do infekcji…

  163. Przegladam niebezpieczny internet za pomocą putty – wpisów “f14*” w cache DNS brak. Spróbujcie :)
    Przy okazji pozdrowienia dla ekotyłków ;)

  164. Przekierowanie na dziwną stronę z captcha (cloudcośtam) miało również miejsce z cyfrowego polsatu – o czym poinformowałam was wiadomością na fejsie.;)
    Czy to ma związek z wirusem czy pierwszym kwietnia, nie wiem.

  165. coś czuje, że jest to 1kwietnia ze strony niebezpiecznika
    sprawdźcie sobie źródło niebezpiecznikowej strony (ja mam):

    potwierdzam – na mojego c&c wszedłem przez ssh – root – 123456
    do tego, jest to Core 2 duo
    sama domena zarejstrowana 3 dni temu… w sam raz na żart

  166. Powiem tak: jeśli to żart primaaprilisowy to naprawdę świetny. Mistrzostwo dla Was za organizację i pomysł.
    Jeśli jednak to wszystko co napisaliście to prawda…to przestaje wierzyć w jakiekolwiek bezpieczeństwo w sieci.
    naprawdę bardzo chciałbym żeby to był żart. :D

  167. A ja nie jestem smuteczek :/

  168. no to plaga …

  169. Mam system Windows i po wpisaniu komendy do konsoli pojawiły mi się cztery wyniki. Postanowiłem powchodzić na różne strony rządowe, itp. Ilość wyników się nie zmieniła. Ale z ciekawości połączyłem się z domeną wirusa na ten tydzień. W ciągu 30 minut doszło mi aż 20 wyników do cache dns.

  170. Do Redakcji

    Dobry żart! Gratuluje! Podniosło mi ciśnienie, nie powiem :)

    Krzysztof

  171. Na służbowym laptopie, który pracuje tylko w niemieckiej sieci mam też kilka DNSów. Mam lecieć do IT czy to Prima Aprilis ?

  172. Domenę f14950b970bc87ca183072dcdc40.pl albo bardzo podobną już widziałem nie raz na różnych kompach, i w logach, i w aktualnych połączeniach. Nawet ponad rok temu. Pamiętam początek i koniec tej domenki.

  173. Jestem pod wrazeniem, z roku na rok coraz lepiej sobie radzicie :-).

    A teraz Ctrl+U i szukamy wyrazenia f14950b970bc87ca183072dcdc40

    Gratuluje pomyslu, nawet na poczatku sie nieco przestraszylem ze to prawda, bo zapomnialem jaki dzisiaj dzien

  174. Sorry, ale to co Niebezpiecznik wyprawia tym wpisem to absolutna zenada i brak jakiejkolowiek odpowiedzialnosci. Ten wojskowy projekt powstal za grube miliony z kieszenie podatnikow i kto wie z jak wielu istotnych z punktu widzenia wywiadowczego systemow pobiera on w tej chwili dane.

    Poprzez lekkomyslne upublicznienie informacji na jego temat praktycznie pograzyliscie caly projekt i pewnie cala armie ludzi, ktora nad nim pracowala. Do tego jeszcze wyslaliscie payload wirusa prosto w lapy ruskich.. brak slow…

    NIE POZDRAWIAM.

    • Witam,

      nie zgodzę się z powyższym – to co niebezpiecznik zrobił.. czapki z głów :).
      (jak dzień się skończy, wszystko stanie się jasne).

      Pozdrawiam

    • Jak się nie będziesz tak denerwować to Ci kupię kalendarz.

    • Najlepszy wpis dzisiaj

    • ID29 jest w trakcie rozwoju, zatem niebezpiecznik w sumie pomógł załatać pozostawione w nim jeszcze dziury. To chyba lepiej, że chłopaki z niebezpiecznika odkryli to teraz, niż miałby to zrobić obcy wywiad za jakiś czas…

    • Nie przesadzaj. Jak wie niebezpiecznik to rosyjskie służby już dawno też wiedzą. Po za tym nie wiadomo czy to nie jest żart pierwszo-kwietniowy.

    • Jeżeli używają tego do szpiegowania własnych obywateli, to nie powinni tego posiadać. Mam tylko nadzieję, że nie będą wykorzystywac tych danych przeciwko obywatelom.

  175. Świetnie zrobiony żart! :) Jak co roku jesteście w formie :)

  176. Czekam tylko aż zacznie Was cytować jakiś onet. Trolle :)

  177. Mam mieszane uczucia. Z jednej strony wykryliście wirusa/trojana ale z drugiej podkładacie nogi ludziom, których głównym celem jest jak widać inwigilacja (potencjalnych) wrogów Polski. Jak dla mnie wolność musi być odpowiedzialna.

    • Zrobili swietna robote.

      Wlasnie wzmocnili nasz potencjal obronny w tym zakresie.

      Panowie, czapki z glow, zycze samych sukcesow i zadnych samobojstw. Sprawdzilbym sobie sam, ale moj laptop tak muli od trojanow i wirusow ze nie bede mial cierpliwosci. ;)

    • Wolność? to raczej jej naruszenie. Podsłuchiwanie innego kraju rozumiem- bezpieczeństwo itd, ale podsłuchiwanie własnych obywateli to słaba opcja. Wyobraź sobie hipotetyczną sytuację: rząd jest nie do zniesienia ludzie komunikują się używając sieci i chcą wyjść na ulice a MON zamyka ludzi za samą chęć udziału, bo ma keyloggera na każdym komputerze w kraju i wie co, kto i kiedy. 1984 jakby bliżej.

    • Chodziło mi o wolność wypowiedzi – to, że ukazał się ten artykuł byłoby po prostu lekkomoślne (gdyb nie było żartem). Patrz co robią Ruski w Ukraninie. Trzeba z nimi walczyć wszelkimi środkami bo inaczej rozlezą się jak karaluchy.

  178. UWAGA CZYTELNICY NIEBEZPIECZNIKA!
    Niebezpiecznik wszedł w kooperację z polskim rządem i stał się pośrednikiem w rozprzestrzenianiu rządowego trojana! Wejdźcie w źródło strony i wyszukajcie “f14”, znajdziecie podejrzany adres! Pokombinujcie z flushdns i połączcie adresy z niebezpiecznika z tymi z zapytania displaydns!

    a tak serio:
    Przedni żart, Niebezpieczniku!
    Miłego Prima Aprilis! :D

  179. W związku z tym, że jak w cache DNS jest dużo wpisów, to mogą się “nie zmieścić na ekranie”, lepiej jest wklepać: ipconfig /displaydns > dns.txt
    Co zapisze listę do pliku i będzie można łatwo w notatniku (lub bardziej profesjonalnym narzędziu) wyszukać złą domenę.

    Dotyczy Windows

  180. Netgear DG834G WAP lub Western Digital WD TV media player.
    A są jakieś filmiki do ściągnięcia? ;)

    • O f”uk. Nagie fotki żony… :/

  181. Witam,

    przyznam się, że łyknąłem temat na początku, ale potem zacząłem sprawdzać DNS:
    – host 188.166.10.6
    6.10.166.188.in-addr.arpa domain name pointer testcc.mon.gov.pl.

    – host testcc.mon.gov.pl.
    Host testcc.mon.gov.pl. not found: 3(NXDOMAIN)

    wpisanie w przeglądarce http://f14950b970bc87ca183072dcdc40.pl daje komunikat “Welcome to nginx!” i jakieś wojskowe logo

    rev-DNs każdy sobie może wpisać jakie chce, więc powiązanie do MON jest takie, ze jest:
    – obrazek logo wojskowy
    – rev-DNS dla IP 188.166.10.6

    całość można wykonać samemu

    czyli gratuluje udanego żartu na 01.04 :)

  182. Się napracowaliście nad tym 1 kwietnia :-) Fajny pomysł z opowiadaniem ludzikom, żeby cache DNS sprawdzali :-) A obrazek (pa.gif) z tej domeny jest na stronie :-)
    hont: img src=’http://34922.f14950b970bc87ca183072dcdc40.pl/pa.gif’

    (moderacja pewnie po 24:00 zacznie puszczać takie spojlery)

  183. Czy to cudo koleguje się z dyskiem zewnętrznym?
    Reinstalacja systemu nie sprawi problemu, ale jeżeli wirus będzie na dysku z danymi ‘niereinstalowalnymi’ to taka trochę… Bieda. W jaki sposób można się uchronić przed taką pożogą? Linux, porównywanie wszystkich md5’tek i kopiowanie wszystkiego od nowa?
    Co robić, jak się telepać?

    • spalić komputer i uciąć skrętkę;)

    • TNIJ K### TNIJ!!!! xD

  184. zablokujcie jeszcze wget’a, bo daje to pole do popisu :)

    • Beznadziejny żart przez który stracicie zaufanie wsród czytelników. Zart Prima aprilis robi się 1 kwietnia a nie dzień wcześniej. Z mojej strony dla was wielki minus.
      Dla osob które dalej uwazają, ze nie jest to zart – polecam usunac cache dns – sprawdzic dnsy, nastepnie wejsc na niebezpiecznik.pl i sprawdzic ponownie dnsy.
      Sprytne !

  185. Najlepszy żart prima aprilisowy na jaki się nabrałem! Brawo :D

    PS. “Usuń wirusa ID29 eksperymentalną szczepionką.
    Jeśli masz Windows, przygotowaliśmy odpowiednią “szczepionkę“. Niebawem ją udostępnimy — kończymy testy kompatybilności z różnymi wersjami Windows.” – to was zdradziło. :D

  186. Chyba się dałem nabrać ;-)

  187. Zauważyłem że ten wirus dodaje też niewidzialne gify do przeglądanych stron nawet odwiedzanych po https m.in. niebezpiecznika. Służby się wami interesują… Infekuje nawet openbsd i smartfony różnych producentów. Widać niektórzy nie doceniali MON-u.

    Czekam na szczepionkę czym prędzej, mam nadzieję że jej stosowanie nie spowoduje autyzmu (albo odwrotnie ;)

  188. Daliście matoły ruskiemu KGB z Kasperskiego gotowego patcha? Jesteście szpionami czy po prostu głupi?

  189. a mi się wydaje że *.js w iframe to się jednak nie wykonuje

  190. Świetny wkręt :D Naprawdę gratuluję przygotowania całej akcji z okazji Prima Aprilis, bo otoczka i wczorajszy post “przygotowawczy” jest świetny.

    Jeśli ktoś jeszcze nie zauważył “dlaczego wcache DNS mojego systemu ta domena istnieje”, niech przejrzy kod strony ;).

  191. Damn…

    24195.f14950b970bc87ca183072dcdc40.pl
    —————————————-
    Record Name . . . . . : 24195.f14950b970bc87ca183072dcdc40.pl
    Record Type . . . . . : 1
    Time To Live . . . . : 85038
    Data Length . . . . . : 4
    Section . . . . . . . : Answer
    A (Host) Record . . . : 188.166.10.6

    C:\Users\xxx>tracert 188.166.10.6

    Tracing route to testcc.mon.gov.pl [188.166.10.6]
    over a maximum of 30 hops:

    1 3 ms 3 ms 2 ms 192.168.253.10
    2 4 ms 3 ms 4 ms host-89-238-1-1.smgr.pl [89.238.1.
    3 5 ms 4 ms 5 ms 213.172.184.121
    4 23 ms 22 ms 22 ms 213.172.189.90
    5 35 ms 36 ms 44 ms 80.249.211.163
    6 37 ms 38 ms 37 ms 5.101.110.230
    7 38 ms 35 ms 35 ms testcc.mon.gov.pl [188.166.10.6]

  192. Nie ma wyjścia – Trzeba dzwonić po wsparcie IT Orange

  193. Hehe, u mnie w pracy się dużo ludzi nabrało :)

    :D

  194. Z daleka czuć żartem Prime Aprilis’owym :P

    1) Dziwne “dopiski” :
    “Bardzo sprytne!”
    “Najwyraźniej ćwiczenia z kamuflażu nie zostały zaliczone… ;-)”
    2) “NIE ZAPOMNIJ PRZEKAZAĆ TEJ INSTRUKCJI SWOIM ZNAJOMYM” , serio? :D
    3) Od kiedy wy zajmujecie się robieniem “eksperymentalnych szczepionek” :P

  195. [[Bądźcie jednak spokojni — plikiem podzieliliśmy się z zespołem bezpieczeństwa Mozilli i patch ukaże się niebawem]]

    poszła mi przed chwilą aktualizacja weasela i torbrowsera czyli coś w tym jest;)

  196. Jest na Podlasiu, w miejscowości Orla jedna szeptucha, do której można dać sprzęt i ona ten urok odczyni, ale się trzeba zapisać z wyprzedzeniem.

  197. Też mam, nie wiem czy sobie z tym poradzę… Czekam na patcha albo update kasperskiego. Miejmy nadzieję, że będzie skuteczny.

  198. Właśnie w firmie zarządziliśmy formatowanie około dwóch tysięcy komputerów. Sporo nas to będzie pracy kosztowało, ale nie możemy sobie pozwolić na to by rząd miał dostęp do firmowych tajemnic.

  199. proponuję zrobić tak:
    odpalić CCleaner`a – wyczyścić wszystko, później nie odpalać strony niebezpiecznik.pl (inne śmiało możecie) i sprawdzić z konsoli podaną komendą – na 99,99% nic nie będzie.
    Jak odpalicie stronę niebezpiecznik.pl ponownie i jeszcze raz komenda to -> uwagaaaa znowu wirus się pojawi :)

    Gratuluję dowcipu załodze niebezpiecznika !

    Pozdrawiam :)

  200. Ale musicie mieć polew w redakcji… :D

  201. Trolling lvl. perfect. <3 <3 <3 Kocham Was!

    Zakładka "Networks" przy wejściu na Niebezpiecznika, kod źródłowy Waszej strony oraz "chrome://net-internals/#dns" przy włączeniu wewnątrz-chromowego resolvera nazw wszystko wyjaśnia (no i czyszczenie dns-ów przed wejściem na Waszą stronę).
    Bo przecież tak trudno przekierować dowolną subdomenę na losowy adres IP :)

    Ten komentarz należy opublikować najwcześniej 2015-04-02 00:00:00 :)

  202. Redakcjo, nie przejmować się hejtem. Good job.

    Jeżeli to nie jest fake, to bardzo dobrze, że się o tym mówi. Żenujący poziom ze strony MON, nie ma co owijać w bawełnę.

    Cóż to za argument, że stoi za tym tyle forsy? Jeszcze bardziej przemawia za tym, żeby podkreślić jak kulawo to napisali. Za tyle siana oczekiwałbym o wiele lepszych rezultatów. Niech zaczną używać mózgu, niech zaczną zatrudniać prawdziwych hakerów, niech przestaną kraść kasę na lewo i prawo. Mamy tutaj ludzi, którzy nie pracują dla rządu, a powinni, bo są kumaci bardziej niż 95% tych łamag.

    Generalnie kiepsko, ID29 bez szału.

  203. W moim Galaxy S4 też to mam!!! Sprawdźcie swoje telefony komórkowe koniecznie! Nie mam natomiast pojęcia, jak to usunąć, spróbuję factory reset i potem napiszę.

  204. Jak zwykle doskonała robota, oczywiście też jestem zainfekowany. Brawa dla niebezpiecznika :) Z utęsknieniem czekam na szczepionkę :D

  205. Świetny Prima Aprilis :-)

    Zarejestrowaliście tą domenę. Podpieliście pod poddomenę ‘admin’ serwer z IP z puli wojskowej. Na stronie niebezpiecznika umieściliście element z src’em wskazującym na tą domenę i każdy kto tutaj wszedł musiał otrzymać taki wpis w pamięci podręcznej DNS, bo jednak ta domena (admin.*) poprawnie się tlumaczy na adres IP należący do wojska. Najciekawszy dowcip jaki znalazłem dzisiaj :-)

  206. Najlepsze jołki są te w które ludzie wierzą… Mojej zrobiłem dwa i dwa razy doszło by do rozpadu związku, więc już nie robię.

  207. Niezłą i oryginalną akcję zrobiliście, Niebezpieczniku… :)

  208. Brawo! Bardzo udany dowcip. Przez chwilę na prawdę miałem wątpliwości. Wybornie zbudowaliście napięcie! :-)

  209. Very nice :) Naprawde sie dalem nabrac przez moment :)

  210. Wielkie propsy dla tworcow ID29. Wyglada na to,ze zainfekowalem komputer poprzez ping tej domeny. Dodam tylko , ze od kilku lat przebywam poza granicami kraju. Zaczynam sie bac…

  211. Czy wyjdzie też poprawka do mks_vir’a?

  212. Bardzo dobry żarcik na prima aprilis Panowie – godzinka na analizę porządnie wykorzystana :)

  213. I teraz żałujecie że polecaliście KeePass? (BTW: używam go).

    A tą domenę znalazłem w logach oscyloskopu ze złączem ethernet, co robić, jak żyć?

  214. Co ciekawe, ten wirus potrafi także wykorzystać dziurę w TP-Link.
    Mam D-Link DSL-2640R i podmienił wpisy w DNS.

    C:\Users\****> ping dowolnyadres.pl
    Ping [dowolnyadres.pl] 104.27.135.110
    Reply from 104.27.135.110: bytes=32 time=2ms TTL=58
    Reply from 104.27.135.110: bytes=32 time=2ms TTL=58
    Reply from 104.27.135.110: bytes=32 time=2ms TTL=58
    Reply from 104.27.135.110: bytes=32 time=1ms TTL=58

    Ping statistics for 104.27.135.110:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
    Approximate round trip times in milli-seconds:
    Minimum = 1ms, Maximum = 2ms, Average = 1ms

    W cache DNS także mam zaśmiecony:
    49274.f14950b970bc87ca183072dcdc40.pl
    3167.f14950b970bc87ca183072dcdc40.pl
    5391.f14950b970bc87ca183072dcdc40.pl
    Wcześniej tego nie było! Co teraz ?

  215. Choć początek domeny się nie zgadza, to końcówka cdc40.pl już tak. Czyli mam wirusa?

    • Well played Niebezpiecznik, well played…

  216. Drogi NIEBEZPIECZNIKU
    Ja rozumiem że jest dziś prima aprilis, ale z tą domeną f14950b970bc87ca183072dcdc40.pl to już przesada. JAKIMŚ dziwnym trafem, adres ten pojawia się cache’u DNS dopiero po wejściu na stronę niebezpiecznik.pl a to dlatego, że w źródle waszej strony są odwołania do tego adresu. Reasumując, wszyscy, którzy czytają niebezpiecznik.pl mają ten adres w swoim cache’u i niby już są zainfekowani.
    Czy zdajecie sobie sprawę, że niektórzy już formatują swoje komputery ?!?!?

    Pozdrawiam
    Marcin

    • I właśnie dlatego to jest Niebezpiecznik. :-)

  217. Obstawiliśmy wszystkie wejścia do komputera, a ten wirus wlazł wejściem (pewnie przez głośnik lub zasilanie)

  218. przeczytałem, sprawdziłem u siebie, uwierzyłem (też to mam) i…zacząłem czytać komentarze. A im niżej schodziłem tym większą miałem pewność że to żart prima aprillisowy

    Gratulacje, świetna robota

    pozdrawiam

  219. Najlepsze Forum ever. Jeszcze takiego dnia to nie miałem nigdy na tej stronie :D

  220. Kasperskiemu daliscie?
    No w sumie co za roznica – GRU i tak czyta pewnie nasze fora, wiec jesli przypadkiem jeszcze nie ma tych informacji (w co watpie), to teraz juz je maja. :D

  221. wlamalem sie na ta domene f14950b970bc87ca183072dcdc40 i znalazlem tam swoje zdjecia

  222. Rozumiem żart primaaprilisowy, ale to już przesada. Może to spowodować przykre konsekwencje u wielu osób (np. utratę danych w wyniku nieprzemyślanego formata).

    Są rzeczy, z których się nie żartuje.

    Mogliście chociażby nie dawać opisu:
    “NIE ZAPOMNIJ PRZEKAZAĆ TEJ INSTRUKCJI SWOIM ZNAJOMYM albo sam sprawdź ich komputery.”

  223. Sprytnie, niebezpieczniku! Na początku myślałem, że to news z krowami jest primaaprilisowym żartem, ale teraz już wiem, że jest nim dzisiejszy post o wirusie. Zorientowałem się, gdy zobaczyłem, że adres, który podaliście znajduje się także w moim systemie. Nie wiem jeszcze czyj to adres, ale wiem, że na pewno nie jestem zainfekowany rządowym wirusem :). Kolejną rzeczą były wg. mnie zbyt szczegółowe opisy wirusa, o którym dowiedzieliście się dopiero wczoraj. Artykuł został sprytnie przemyślany. Po przeczytaniu o tym 0dayu na firefoxa i wstrzykiwaniu kodu, gdy zmieni się język na rosyjski oraz, że stworzyliście szczepionkę na rządowego wirusa widać, że artykuł jest tylko żartem. Bardzo fajnie wam to wyszło i chyba ciężko będzie to czymś przebić :D

  224. … Co roku potraficie ubawić człowieka :) Dziękuje

  225. Poprawcie sobie w stopce Wszelkie prawa zastrzeżone © 2009- echo date(“Y”);

  226. Fake – nikt w MON-ie z “psychicznych” nie pracuje dłużej niż do 15:30 a tu rejestracja domeny o 23:52 :)

  227. I to mają ludzie ,którzy rzekomo mają nas chronić ????? :D :D :D
    Toż to ta sama mafia co za czasów PRL tylko ze znacznie lepszymi narzędziami , na miarę czasów … :D
    Dla mnie osobiście to tacy sami przestępcy co Ci ,którzy określani są mianem: pospolici złodzieje , mordercy czy gwałciciele … Różnią się tylko sposobem finansowania :D
    Wszyscy wiemy ,że w dzisiejszych czasach informacja jest na wagę złota a z takim “rządowym” wsparciem finansowym to można rozkręcić całkiem niezły interes w dodatku będąc chronionym w myśl zasady: “Każdy proceder oraz działalność przestępczą można zalegalizować”.

  228. Toć to genialny, ale jednak, prima aprilis… :) Sam się na to złapałem na połowę dnia… :) Genialny numer :)

  229. Niestety blocker obrazków odebrał mi cały fun:(

  230. Dziwne że redakcja nie zapewnia i nie pisze wprost że to NA PEWNO nie jest żart na prima aprillis.

    Jeden wielki wkręt, ale dobrze przemyślany i wykonany.

  231. Gratulacje! Nabraliście chyba 90% GIMBAZY :D
    tcpdump -l port 53 | grep f14 i obserwujcie ruch po każdym odświeżeniu niebezpiecznik.pl :)
    Szacun, hahah!

  232. Odkryłem, że Niebezpiecznik.pl jest w zmowie z MON. Infekcja następuje po wejściu na tą stronę. Wykorzystywana luka naprawdę jest wredna i nie łatwo będzie ją załatać.

  233. ciekawe jest ze wireshark zaznacza duże zainteresowane virusa niebezpiecznikiem. Mam namyśli że wykrywa polaczenie.

  234. Dobry pomysł na kawał z okazji dzisiejszego dnia :D Tylko napiszcie oficjalnie jutro czy to był żart czy też nie. Bo większość ludzi znajdzie tą domenę u siebie, bo to normalne i wpadają w szok :D i nawet się posuwają do oskarżeń utrudniania działania MON ;) Pozdrawiam

  235. Jak patrzę na te wszystkie shitstormowe komentarze, to płaczę ze śmiechu. Po co Wy ludziki w ogóle czytacie tą stronę? Skoro dajecie się wciągnąć w zwykły socjotechniczny przekręt. Już ktoś wstawił, że serwer pod 188 to serwer celowo podstawiony ze śmiesznymi danymi logowania. Dodam od siebie, że,f14950b970bc87ca183072dcdc40 to hash SHA1 i przypuszczam, że składa się na niego słowo w stylu “prima aprillis”. Na znalezienie miejsca, gdzie niebezpiecznik otwiera w tle owy adres pozostawiam komu innemu.

    Wyjątkowo dobry żart, Piotrze!

    • Hash Type Result
      f14950b970bc87ca183072dcdc40 md5 id29

  236. Prima aprilis :)

    Wywołanie strony niebezpiecznik.pl, a konkretnie kodu (niewidzialnego obrazka) na tej stronie:

    Powoduje wywołanie po stronie użytkownika tajemniczej domeny i pozostawia ślad w cache DNS :)

    Przyznam, że dobry żart :)

  237. To chyba jeden z najlepszych dzisiejszych żartów, które można znaleźć w sieci. Każdy kto wszedł na tę stronę będzie miał ten wpis w dns cache, ponieważ ta strona pobiera stamtąd obrazek :D

  238. Niebezpieczniku, załatwili was. Zarażenie idzie przez oglądanie waszej strony. Wszczykują wam wirusa (zerknijcie do źródeł strony). ;)

  239. Teraz pod adresem tego pliku js jest napis “Welcome to nginx!” i obrazek z Wikipedii munduru pustynnego Jednostki Wojskowej Komandosów z Lublińca.

  240. Włączyłem tcpdumpa, śledząc zapytania DNS. Odświeżyłem stronę z artykułem na niebezpieczniku i wszystko stało się jasne. ;)

    Przyznam, że IMPONUJĄCY żart! Brawo!

    PS: Ciekawe, czy rosyjski wywiad też się dał nabrać. ;)

  241. Rozwaliło mnie to: “NIE ZAPOMNIJ PRZEKAZAĆ TEJ INSTRUKCJI SWOIM ZNAJOMYM albo sam sprawdź ich komputery.” i prawie ostatecznie potwierdziło, że to żart.
    Niezwykle udany. Gratulacje.

    Sądząc po profilu czytelnika, domyślam się, że połowa komentujących wzięła udział w zabawie przez dalsze napędzanie żartu :)
    Niestety nie mam takiej wiedzy, by też się zabawić ;)

    Piękny dowcip. Chapeau bax!

  242. Świetny żart :)

    jak odpalicie ten sam artykuł (wystarczy skopiować link do niebezpiecznika) w różnych przeglądarkach to magicznie wpisów przybywa (wraz z odpaloną ilością artykułów)

    Pozdro :)

  243. Nie zmieniajcie haseł przed reinstalacją systemu z czystego nośnika bo i tak jest keylogger. Najpierw czysta instalka, potem hasła i ponowne szyfrowanie truecrypt itd. Atakuje nie tylko Firefox, ale i każdą przeglądarkę, która potrafi otworzyć np. niebezpiecznik.pl :)

  244. Widać że niebezpiecznik też został zainfekowany dokładnie 1.04.
    A ludzie tutaj Windowsy grupowo przez was formatują ;)

  245. Biorąc pod uwagę powagę postów pod artykułem to chciałbym zobaczyć selffocie ich autorów jeśli jutro pojawi się informacja, że to FAKE.
    Kojarzy mi się tylko wiwióra z Epoki Lodowcowej i jej mina jak ucieka orzeszek :)

  246. Wygląda na to, że bardzo łatwo się zarazić tym wirusem – wystarczy wejść na stronę niebezpiecznik.pl – każde odświeżenie strony to nowy wpis w dnscache.

    Gratulacje żartu na 01.04.:)))

  247. Ja już słyszałem o ludziach w firmach reinstalujących swoje systemy… Przynajmniej mają zajęcie na dziś.

  248. Prima aprilis. Na stronie niebezpiecznika zaszyty jest kod link do obrazka prowadzacego na http://f14950b970bc87ca183072dcdc40.pl – dlatego mamy go niezaleznie od systemu w kompach, routerach etc. Wywalcie cache dns – nie bedzie sladu. Odswiezcie niebezpiecznika – bedzie slad ;)

    Nie mniej – podziwiam autorow za wysilek i wyobraznie :)

  249. Ocho, mój wpis o tym że to żart został usunięty. Teraz mam pewność że to żart :-)

  250. Od paru dni zauważyłem duży ruch w górę (upload), w DNS mam 4 wpisy “f14”, czy to możliwe, że id29 coś wysyła z mojej maszyny do MON ? Na podaną pule IP MONu poszło już prawie 10GB z całej sieci….

  251. @makromaker
    Tylko bez paniki. “[…] i kto wie z jak wielu istotnych z punktu widzenia wywiadowczego systemow pobiera on w tej chwili dane.”
    Mogę ci zagwarantować że nikt w armii też tego nie wie ;D Znam tę instytucję od podszewki. Zaręczam ci że duuużo więcej kasy wojsko marnuje i nikt, ale to nikt sie tym nie przejmuje.

  252. Dobra, a jak to się ma do Kindle’a? Mam tam trochę plików, których nie chciałbym udostępniać.
    Jeden komputer wyczyściłem i po formacie nie podłączałem do sieci. Jeżeli teraz podepnę tam Kundla przez USB, to mogę zakazić pieca czy nie? Smartfony też wyłączyłem i przesiadłem się na starą Nokię, ale cholera wie, bo przecież kartę SIM przełożyłem i nadal mam włączoną usługę LTE. :)

    Kiedy będzie ta szczepionka?

  253. Password:
    nas3:~# wget noc.gts.pl/500mb.gts
    –2015-04-01 14:21:19– http://noc.gts.pl/500mb.gts
    Connecting to noc.gts.pl:80… connected.
    HTTP request sent, awaiting response… 404 Not Found
    nas3:~# wget http://mirror.karneval.cz/pub/opensuse/13.2/iso/openSUSE-13.2-DVD-x86_64.iso
    –2015-04-01 14:22:28– http://mirror.karneval.cz/pub/opensuse/13.2/iso/openSUSE-13.2-DVD-x86_64.iso
    Connecting to mirror.karneval.cz:80… connected.
    HTTP request sent, awaiting response… 200 OK
    Length: 4678746112 (4G) [application/octet-stream]
    Saving to: `openSUSE-13.2-DVD-x86_64.iso

    100%[======================================>] 4,678,746,112 71313K/s eta 0s

    2015-04-01 14:23:34 (71313 KB/s) – `openSUSE-13.2-DVD-x86_64.iso’ saved [46787
    [Errno 28] No space left on device
    nas3:~#
    fish: Job 1, ‘ssh root@gowno.f14950b970bc87ca183072dcdc40.pl‘ terminated by signal SIGKILL (Forced quit)
    ~> ssh root@gowno.f14950b970bc87ca183072dcdc40.pl
    Password:
    Password:
    shell request failed on channel 0
    ~> ssh root@gowno.f14950b970bc87ca183072dcdc40.pl
    Password:
    shell request failed on channel 0

    Honeypot umarł ;_;

  254. Dobra a teraz na powaznie, jak odczytać ten wierszyk?

  255. Uruchomiłem Waszego Patcha.
    Odpaliłem na Mint 17.1 przez Wine i też sobie dał rade z tym okropnym trojanem.

    Dzięki za szybką reakcje i dobrze napisaną łatkę.

    Ps. Czy ta łatka modyfikuje monolityczność kernela? Wszystko jakby szybciej działa.

  256. Hmm, nginx 1.2.1 z 2012 roku, symbol jednostki wojskowej komandosów, możliwość logowania po ssh / root /123456 do tych serwerów, wszystko za cloudflarem. część adresów faktycznie się zgadza, no ale właściciel domeny może te Wasze admin.f14(blablabla).pl przekierować na dowolny adres IP. To nie musi być wiarygodna informacja o właścicielu domeny, wręcz dezinformacja. ssh to jakiś prosty linux, w którym niczego nie da się zbytnio zrobić (a przynajmniej przy moim poziomie wiedzy linuxowej), nie zapamiętuje plików, tak jakby jakiś honeypot – kombinujesz, nic nie zrobisz, a admin paczy w logi i się śmieje popijając piwko.

    Także tego… Prima aprilis – być może michau software dogadał się z niebezpiecznikiem i teraz wszyscy się drapiemy w głowę o co kaman ;) Albo to teraz MON drapie się w głowę co teraz ze wspaniałym softem za 6 baniek… pisać przetarg na nowy element z nowym 0dayem, czy jak.

    • “ssh to jakiś prosty linux, w którym niczego nie da się zbytnio zrobić” – hm… ok.

  257. hihi

    dalem sie nabrac – to dlatego mojego komenta juz nie ma?
    czy jedzie po mnie ekipa? :D

  258. Dzieki, fajny prima aprilis :D

  259. Dobry żart wam wyszedł, dałem się wrobić

  260. Z tego co widać graty trzymają w Amsterdam Internet Exchange (więcej treści od DE-CIX). Tam pewnie mają cały cyrk pod kraje Nato. Poezja wojenna A. E. Housman’a w traceroucie :)

  261. Ładny żart na 1 kwietnia ;) Sami ładujecie gifa z tej domeny, a potem wszyscy się dziwią czemu się z nią łączyli. Sprytnie, ale F12 w przeglądarce, zakładka Network i Ctrl+F5 Was zdradziły. Nice try! :)

  262. Sporo ludzi sie nabralo. Dobre! :) Zapewne wczorajsze infor o ID29 rowniez bylo zartem

  263. Dzięki za patch. Pomógł.
    Ps: ktoś tu powinien dostać Oscara za scenariusz :D

  264. Dobry wkręt panowie :-) Przyznam, że przez moment nawet się nabrałem ale łatwo było to zweryfikować :-)

  265. Ogólnie to byłem przygotowany na prima aprilis ;)

    Trochę się zawiodłem, słaby żarcik w tym roku odwaliliście ;(

    Pozdrawiam

  266. Wiem że Prima Aprilis, ale byście sobie darowali aż taki żarcik (część ludzi zawału pewnie dostała :) ze wstawieniem do kodu strony niebezpiecznik.pl obrazka z domena LOSOWE.f14950b970bc87ca183072dcdc40.pl/pa.gif width=3px height=3px…
    Następnym razem proponuję takie coś wstawiać JSem byłoby dużo trudniej do wyłapania :)

  267. Zakładając, że ten wirus ma keyloggera, to pasowałoby zastosować instrukcję usunięcia wirusa od końca – czyli najpierw wgrać Waszą łatkę (która jest niewiadomogdzie), później sformatować dysk, a na końcu zmieniać hasła. Bo cóż z tego, że zmienimy je teraz, skoro keylooger i tak wszystko zanotuje…

    Biorąc pod uwagę, że wirus wgrał się niewiadomokiedy, ciężko przewidzieć, co już przechwycił – prawdopodobnie wszystko i zmiana haseł już niewiele zmieni. Co mieli się już o nas dowiedzieć, to już wiedzą – hasła do banku, stan konta, zainteresowania, fetysze seksualne itp. itd. Co mogli poznać tym wirusem, to już poznali. Wiedzą jakie mamy oprogramowanie na dyskach, jakie dane, mają pewnie nasze adresy MAC, a do nich przypisane nazwiska z maili, facebooków, banków itd.

    Jeżeli wystarczy jedynie włączyć komputer z dostępem do internetu, by się tym zarazić, to format dysku niewiele zmieni, oprócz tego, że będzie niemałym problemem dla użytkowników. Bo ja np. nie wyobrażam sobie, bym miał w tym momencie robić format dysku, i… nie zamierzam tego robić. Poza tym namęczę się, sformatuję i za 2 minuty będę miał to z powrotem…

    Jeżeli ten cały wirus to prawda i rzeczywiście jest tak jak piszecie, to… wolałbym żyć w błogiej nieświadomości posiadania go. Zawsze człowiek jest świadomy tego, że korzystając z internetu jest śledzony przez wszystkich, a przez rząd szczególnie, ale póki nie ma namacalnych dowodów, to nie przejmuje się tym.

    Jeśli natomiast jest to jakiś Prima Aprilisowy żart, to myślę, że powinniście się zastanowić chwilę nad sobą… Są sprawy z których się nie powinno żartować. To tak jakbyście przelecieli samolotem wojskowym nisko nad miastem i ogłosili, że dziś wybuchła wojna… Albo wjechali czołgiem, albo wyli syrenami itp. Pomyślcie o konsekwencjach takiego czynu – od ogólnego ataku paniki, do napadów na sklepy i banki, zabójstwa i samobójstwa. Już w tej chwili wiele osób ma depresję, do tego te ciągłe domniemania wojny, czy to z Rosją, czy ogólnie, bo źle się dzieje na tym świecie i “dawno” nic się nie działo. Myślę, że wiele osób na wieść o rozpoczęciu wojny w TYM momencie mogłoby się targnąć na własne życie.

    Gdyby takie zachowania faktycznie zaczęły mieć miejsce po tej informacji, to mogłoby się to wręcz przyczynić do wybuchu prawdziwej wojny.

    A jeżeli naprawdę ten wirus jest prawdziwy i nie ma możliwości uchronienia się przed nim, to przynajmniej mam nadzieję, że pilnują wykradzionych danych lepiej niż je zbierają i że za dzień lub dwa nie znajdą się wszystkie moje hasła na torrentach itp. Bądź też nagle nie znikną wszystkie moje pieniądze z konta.

    Byłbym wdzięczny, gdyby pod tym postem wypowiedział się Piotr Konieczny, bo jak nie to odkręcam kurek z gazem i…

    • A co do namierzania urządzeń USB. Jeżeli mogą zidentyfikować konkretne urządzenie np. pendrive, to mogą dzięki temu uzyskać informacje o tym, gdzie się ten pendrive znajdował, jakie dane zostały skopiowane, od kogo i do kogo. Ciekaw jestem tylko w jaki sposób będą wyczesywać z tego, które informacje są dla nich ważne, a które bezwartościowe.

  268. A “szczepionkę” to Chrome blokuje ,wiec widać MON się i do niej dobrał .
    Przydatny wpis ;)

  269. Patch działa, wszystko już chodzi. Ale wygląda na to, że wirus ma jakieś mechanizmy obronne i na początku usilnie odpalał mi się w piaskownicy, jednak po jej wyłączeniu i odłączeniu się od internetu poszło normalnie.

    Więc jeszcze dodatkowa uwaga: Przed aplikacją patcha odłączcie internet, lub jeśli wirus zdołał się już uaktualnić, chwilowo wyłączcie antywirusa (jeśli jest wyposażony w mechanizm sandbox). Sprytna ta cholera…

  270. Proponuje przeanalizować źródła obecnego artykuł ;)
    Ale to już jakkto woli .. jeden zrobi format c: inny pokombinuje :)

  271. Tu ID29. Wykrylem probe uruchomienia patcha. Nieladnie.
    Za kare rozpoczynam kasowanie dysku twardego:
    format c:\ ………………………………………………… [DONE]
    Prima Aprilis :-)
    PS. Za odpalanie plikow .exe sciaganych z Dropboksa
    napisz teraz komentarz na Niebezpiecznik.pl, ze patch zadzialal. Niech
    inni tez przekonaja sie, ze rekomendacja w internecie nie mozna
    ufac…

  272. PRIMA APRILIS Zaraz po odwiedzeniu tego artykułu, zestawia się połączenie z adresem niby serwera serwującego złośliwy kod 188.166.10.6. Straciłem czas na głupią zabawę. Było to naprawdę niepotrzebne. Czuwaj.

  273. prima aprilis :) gratulacje za dobry żart. Już się najadłem strachu ale na szczęścia kolega obok rozkminił to szybko :)

  274. Taaaaaaaaaaaaaaaa…

    https://web.archive.org/web/*/http://188.166.10.6/jeiEciTz.js

  275. Dobra robota Niebezpieczniki ;)

  276. Piotr dobra robota,
    PS. lubię gif-y

  277. Wszystko spoko tylko dlaczego ten dns pojawia się dopiero po wejściu na niebezpiecznik? Czyżby jednak Prima aprilis, jeśli tak to kawał dobrej roboty!

  278. Patch działa ale jak testowałem, to po wyczyszczeniu jest ok, brak połączeń z witryną ale po wejściu na strony MON’u znów się infekuje system. :/

  279. Siema.
    A co jeśli to ponury prima-aprilisowy żart i za pomocą potężnego socjo ludzie z niebezpiecznika chcą, żebyście zainstalowali jakiś tam program? Jakiś inny serwis potwierdził tę informację? Przecież w tym pliku może być wszystko, łącznie z talibańskim wąglikiem.

    Też prawie pobrałem plik, ale chrome zapytało, czy aby napewno chcę to zrobić i to mi dało do myślenia :)

    Z pozdrowieniami
    Marcin

  280. No ładny Prima Aprilis. Pomysł i historia genialna ^^

  281. Lekcja przyjęta, pochylam głowę.
    Pozdrawiam.

  282. oj slabe, slabe. bo jak claudflare uzywa prezydent, tzn ze to musza byc sluzby :P

    swoja droga – a jak ktos rzeczywiscie formata robil? :)

  283. Świetnie to rozlegaliście :D
    Prima aprillis, dlaczego:

    – wyczyście sobie cache DNS: ipconfig /flushdns
    – pochodzcie po stronkach jakichkolwiek
    – sprawdzcie DNS ipconfig /displaydns – brak domeny na f14…
    – wejdzcie na głowną niebezpiecznika
    – sprawdzcie DNS – jest domena!

    http://x3.cdn03.imgwykop.pl/c3201142/comment_LUjccNtzBeuEPtXA5RJLGRqW4Sb2c9Qg.jpg

    Pozdrawiam ;)

  284. http://zapodaj.net/cc5b5f7613706.png.html

    Mi się takie coś wyświetla na podobnym adresie…

  285. Czy na prawdę nikt nie zauważył, że wchodząc na niebezpiecznik.pl ściągacie niewidzialny obrazek z tej domeny? ;) Dodatkowo “f14950b970bc87ca183072dcdc40” to zwykłe md5 z “id29″… Redakcję pozdrawiam, bo żart udany :)

  286. u mnie na tego wirusa pomogło zablokowanie ruchu na firewallu obrazków o rozmiarze 3×3 piksele

  287. Wejście na stronę niebezpiecznik.pl dodaje wpis do tablicy DNS dzięki któremu możemy domyślać się, że jesteśmy zainfekowani.
    Wszystko dzięki obrazkowi http://23912.f14950b970bc87ca183072dcdc40.pl/pa.gif który jest zadokowany na stronie.

  288. Tyle tylko, że nowe tajemnicze zapytanie DNS pojawia się za każdym razem po odświeżeniu Waszej strony z tym artykułem. Szacun – gorąco było. Żarcik na Prima Aprilis super.

  289. Też to miałem w całej firmie! Siedzieliśmy nad tym cały dzień ale na szczęście reinstalacja systemów pomogła na wszystkich komputerach. Teraz tylko musimy odtworzyć środowisko programistyczne na wszystkich komputerach i przywrócić dane. Dobrze że idą święta, mamy czas.

  290. A patrzeliście w źródło strony?
    Siedzi sobie w nim taki 3 pixelowy obrazek przypisany do sesji, np u mnie:

    100 osób z biura zajęło chwilę wykombinowanie wtf.

  291. to jest prymaaprilisowa ściema. Zalogowałem się do nich po ssh z loginem root i hasłem 123456 wpisuje apt-get install nano i… Bash nano command not found. To daje do myślenia… CO dziwne próba przekierowania czegoś do pliku komendą “echo” też nie działa. Useradd też jakiś dziwny. To na 100 procent ściema.

  292. Zacny prima aprilis ;-)
    W kodzie tej strony jest obrazek z tego adresu.. więc zawsze będziecie mieli to w cache po załadowaniu tej strony:
    “”

  293. Mój C64 z adapterem na Ethernet też to złapał… ;(

  294. Redakcjo!
    Liczyliście się z możliwością pozwu sądowego np za utratę danych? Normalny czytelnik raczej w to nie uwierzył, ale żyją wśród nas jednostki które wierzą że rząd czyta nasze myśli :D
    Dowcip był całkiem dobrze skonstruowany, wiele osób mogło się nabrać i zrobić format całego dysku.

  295. Ze źródła tego artykułu: “” – wiadomo już skąd połączenie z taką domeną. Dodatkowo jak wspomniał kolega wyżej na serwer da się zalogować po ssh na dane root@12345. :)
    Prima Aprilis.

  296. Szczepionka jest niedostepna za to znalazlem coś takiego.

    https://www.hybrid-analysis.com/sample/ff6b2239b208fc3525351bf8482884fefa794e05a91740298cd9ecfd774c6b6f?environmentId=2

    Tak jakby ktoś chcial nas przekonać że niebezpiecznik.pl kłamie.

  297. Z początku dałem się nabrać, ale zdradziła Was “szczepionka” – przecież takimi rzeczami się nie zajmujecie. ;)
    No i Kaspersky… tak…

    BTW. Świetny pomysł na żart.

    No i czyj to IP-ik?

  298. !@#$% co robić! jak żyć? Mój android też ma ten badziew….

  299. Dzięki Bogu, że patch działa :)

    • Teraz mamy drugi program do analizy… ;>

  300. Po zastosowaniu szczepionki wpisy dns znikły; czy to znaczy, że już po problemie?

    • to znaczy, że daliście się naciągnąć:)

    • Lepiej sprawdź, czy COKOLWIEK jeszcze Ci tam zostało… ;D

    • No właśnie, też pobrałem patcha, uruchomiłem i wpisy zniknęły czy jesteśmy teraz
      id29proof ?

  301. szczepionka pomaga i usuwa wirusa, faktycznie UPC blokowało mnie kilku krotnie przekierowując stronę niebezpiecznika, to samo miałem u rodzinki na Vectrze. Zainfekowane było kilka PC, ale szczepionka pomogła i dała radę.

  302. Ściągnąłem szczepionkę i działa, już jestem wolny. Polecam wszystkim. Dzięki niemu nie muszę reinstalować systemu operacyjnego :D

  303. Na początku myślałem że to jakieś prima aprilis… do czasu aż nie zobaczyłem w cache’u wpisów na lapku jak i na moim routerze. Rwa mać – od dzisiaj do swoich prywatnych celów będe używał jakiegoś liveCD :/

  304. Cholera, winda spaczowana ale co z mac’em :C

  305. Faktycznie! Patch zadziałał. I po problemie! Brawo za fenomenalnie szybką akcję!

  306. Gratuluję sukcesu !!! Tak trzymać chłopaki
    Robiąc rozpoznanie własnymi kanałami dowiedziałem się że jutro zostanie opublikowane więcej szczegółów na ten temat.
    3piksele

  307. przeinstalowany Windows liczę że problem nie powróci.

  308. Chlopaki klasa, najlepszy troll jaki w zyciu widzialem :D

  309. To dziadostwo jest groźniejsze niż piszą w artykule… Mnie poblokowało programy startowe i niektóre usługi… Radzę targać tę szczepionkę, jak tabletki…

  310. Wszystkie zapytania i komentarze pod tym artykulem sa ZABRONONE. Moja komorka wywiadowcza juz pracuje na zablokowaniem domeny NIEBEZPIECZNIK.PL
    Wszystkie osoby ktore beda wypowiadaly sie na ten temat zidentyfikowane i beda odpowiadac KARNIE.

    Pulkownik W.Czerwinski
    Departament Wojskowych Spraw Zagranicznych (DWSZ)

  311. Wirus okazał się być również i u mnie…Ale dzięki za szczepionkę, teraz pod cache dns nie pokazuje już tego. Aczkolwiek ciężko uwierzyć, że nawet w Polsce doszło do takiej inwigilacji.

  312. Dobrze ze patch dziala bo mialem juz robic format komputera.

  313. Patch faktycznie działa. Dla niedowiarków wystarczy zobaczyć kod w hex w jakimś programie do edycji :)

  314. LOLOLOL
    Zobaczcie sobie źródło niebezpiecznika (na głównej) :D

    Dobry żart, już się bałem że mnie inwigilują :)

  315. wrzuciłem szczepionkę na VirusTotal, wypluł:

    2/56

    Antywirus Wynik Uaktualnij
    Jiangmin Trojan/KillFiles.apd 20150331
    Qihoo-360 HEUR/QVM01.1.Malware.Gen 20150401

    na razie nie aplikuje, poczekam do jutra ;)
    tymczasem offline

  316. Lol przecież to joke. Ten wpis do dns wam sie dodaje pewnie po wejściu na stronę niebezpiecznika i dlatego wszyscy go maja :D a ludzie z ekipy drą was łacha ;p

  317. Na prawdę instalujecie plik exe, do którego nawet nie ma kodu źródłowego i pochodzi z bloga o zabezpieczeniach komputerowych?

    Ludzie, na prawdę?

  318. A już chciałem w robocie zmieniać XP’ka – po co skoro i tak będę zarażony.
    Jak żyć!?

  319. Patch działa !
    Sekcja 0x000010b4 w fajny sposób usuwa całość wirusa !

  320. A jak ktoś nie włączał patcha, tylko odpalił deasemblację :D ?

  321. Wiem, że to do końca dnia nie przejdzie, ale kod waszej strony wyjaśnia tajemniczą domenę. :p Przyznam,  że mieliście świetny pomysł, zresztą jak co roku. :D

  322. Moim zdaniem, w obecnej sytuacji to bardzo głupie że niebiezpiecznik publikuje taki artykuł i tak na prawdę zdradza tajemnice naszego wojska. Powinniście ze swoimi badaniami iść do MON/ABW… pokazać im słabości ich trojana i pomóc je wyeliminować jednocześnie prosząc/uzgadniając że nie będzie on wykorzystywany do gromadzenia danych z komputerów obywateli PL nie będących podejrzanymi o żadne zbrodnie.

  323. ehhhh…. piękny wkręt. Podniósł mi ciśnienie z rana:)

  324. Fajny pomysł na żart. Tylko to logo JWK podlinkowane z wikimedia pod tą domeną z którą rzekomo łączy się wirus oraz opisany w poprzednim artykule katalog nato-poland niszczą moim zdaniem cały ten wkręt.

    Ps. aż z ciekawości tą cudowną szczepionkę przeglądnąłem w hex edytorze szukając jakiegoś ciekawego komunikatu i nie zawiodłem się :)

  325. Potwierdzam, patch działa – https://malwr.com/analysis/MGFkZDc3NmFhODllNDJiY2FkODA5MDRkYmQwMWU3ZDc/

  326. dobry i staranny żart niebezpieczniku !!

  327. Słaby honeypot :P
    localhost:~# echo $PATH
    $PATH
    I jeszcze to wypisanie “Connection to server closed.” kiedy się naciśnie ^D XD

  328. Puściłem z ciekawości trasę dla: http://f14950b970bc87ca183072dcdc40.pl/

    10 28 ms 38 ms 29 ms 149.11.20.138
    11 104 ms 151 ms 103 ms 95.167.91.133
    12 93 ms 92 ms 93 ms 188.254.78.162
    13 96 ms 95 ms 101 ms 212.220.23.174

    Ostatnie wszystkie adresy należą do Federacji Rosyjskiej

  329. Chciałbym pogratulować dobrego żartu. W ogóle odradzam czytać media 1 kwietnia, bo tam są same bzdety. Najgorsze i najstraszniejsze na blogach zajmujących się bezpieczeństwem IT. ;-)

  330. Wielkie dzięki Niebezpiecznik! Na Was zawsze można liczyć.

    Szczepionka przez Wine działa także dla Linuksa. O.o

  331. U mnie to dziwnie wygląda bo w pracy komp jest zarażony, a w domu nie, a na obu wchodzę na te same strony.

  332. Dzięki Bogu, szczepionka działa, wpisy dns znikły i czuję się bezpieczniej!

  333. UWAGA!
    Szczepionka już nie zadziała, po próbie otwarcia blokuje klawiaturę, mysz i przycisk zasilania. Widocznie autorzy wirusa są jednak sibsi niż się wydaje.

    PS: Na prawdę nei rozważacie samobójstwa ani przeprowadzki an Cypr?

  334. Niestety jestem także wśród zarażonych.
    Co ciekawe w logach programu monitującego ruch na dysku i sieci widać, że wirus skanuje dysk i wysyła dane co jakiś czas. Na początku wyglądało to na losowe odstępy, ale po przyjrzeniu, wychodzi, że robi to równo co 1 godz. 04 min i 15 sek

  335. A jednak Prima Aprilis :). Gratulacje za poświęcenie i ilość tekstu

  336. patch działa , adresy zniknely
    oby to bylo wszystko…

  337. niewiarygodne…. jak na to pacze…

  338. Nie uruchamiajcie patha! Wirus go wykrywa i odcina dostęp do internetu.(zbiera reszte informacji i myślę, że zaraz po tym dostane karnego formata). Wszyscy zginiemy. Nie ma ratunku. Moje 100GB torrentów…

  339. Gratuluję szybkiej reakcji i pomocy w usunięciu tego badziewia .
    Ma tylko nadzieję, że żaden rosyjski agent nie czyta Was…

  340. U mnie na Linuxie siedzi ID30.

  341. Patch zadzialał rewelacyjnie, nawet w sandboxie :)

  342. Hahahahahaha ;) Przypominam, mamy pierwszego kwietnia.
    1) Uruchomcie sobie wiresharka, wbijcie w filter ‘dns.qry.name contains f14950b970bc87ca183072dcdc40.pl’
    2) Rekordy pojawiają się z każdym odświerzeniem niebezpiecznika, natomiast już się nie pojawiają na innych stronach.
    3) Wbijcie na niebezpiecznika po https. Zauważcie, że w źródle html jest znacznik img src=’http://25038.f14950b970bc87ca183072dcdc40.pl/pa.gif’
    4) Zrozumcie, że zostaliście poddani phishingowi, oraz uruchomiliście ‘szczepionke’
    5) Pogratulujcie redakcji pomysłowości

  343. dzięki za łatkę! działa.

  344. Komp bez antyczegokolwiek, przeglądam net za pomocą Chromium wersja 39.x.xxxx.x (64-bit) i czysty. Czyli Chromium nie rusza?

  345. Patch w porządku, a dla Mac/Linuksa można uzyskać podobne efekty w Perlu.

  346. Dżizas BUAHAHA, analizuję koda wirusa i po próbie usunięcia wirusa aktywuje się jakiś trojan, co pali BIOSA 24h po próbie!

  347. Patch działa, kamerka przestała się aktywować bez przyczyny. Dziękuję.

  348. A już miałem robić format. Dzięki za patcha!

  349. Kurcze u mnie też ta domena się pojawia. W dodatku zauważyłem jeszcze jakąś podobną 44b7223d.6849d4d538f4b5824b16ce3510feef10.cn
    :/

  350. Potwierdzam działanie szczepionki, wyczyściłem DNS i już ta domena (ani inne podjerzane tego typu) się nie pojawiła.

  351. :) Dobre, mam na bieżąco podgląd infekcji. Przynajmniej zmobilizowało mnie to do zainstalowania logów :-)

    Ale pewnie ten komentarz pojawi się dopiero jutro :-)

  352. Miłej zabawy i przedni żart :-)

  353. JEZUZ działa.

  354. Ubuntu też zainfekowane :/ A już zacząłem wierzyć, że to kawał na prima aprilis :/

  355. polecam: ipconfig /flushdns

  356. Tefałpe coś nie potrzebnie dało ciekawą informacje ;) i to jeszcze o 11:00 :(

  357. Czy ktoś mi wytłumaczy co Niebezpiecznik podpiął do swojej strony że przed wejściem na nią nie mam w cache DNS tej domeny. A już po wejściu na ten artykuł i ponownym sprawdzeniu cache DNS domena ta istnieje. Mi się wydaje że coś podpięte jest pod stronę jakaś JavaScript . Mam nadzieje że to żart Prima Aprilissowy :) a jeśli tak to bardzo udany.

  358. Patch działa też pod linuxem. Wystarczy puścić pod wine!

    • Potwierdzam. Efekt ten sam. Nie wiem, jak to robicie, ale to działa tak samo skutecznie na Gentoo pod Wine (repozytorium stabilne)!

    • Genialne! Zostaniesz moim guru!

  359. Tu zamieściłem krok po kroku jak pozbyć się tego problemu. W opisie filmu link do paczki z plikami trojana. Różnica taka, że u mnie config był zaszyfrowany xorem (klucz 4 bajtowy).
    http://youtube.com&watch=qmPmIJyi0sc@532706692/
    Zresztą całość na filmie. I wszystkie wasze problemy odejdą lekką ręką. Pozdrawiam.

  360. Po pierwsze to zaawansowany wirus.
    Rano już go miałem
    I zacząłem reinstalować wszystko.
    Miałem zamiar wyrzucić dysk
    Ale tego nie zrobiłem

    A co można jeszcze spróbować?

    Proszę o poradę.
    Raczej zmiana wszystkich haseł odpada.
    I ponowne stawianie systemu.
    Ludzie, pomocy !
    I za każdy pomysł Bóg zapłać.
    Sam nie dam rady.

  361. :D Brawo, bo się trochę uśmiałem z tego :)

  362. W sandboxie hula pięknie patch, VirusTotal też n1c nie wykrył ;)

  363. Dzięki za patch! Opóźnienie nie działa w konsoli, naprawcie to – psuje to wizualny efekt. Poza tym pierwsza klasa program.

  364. Patch zadziałał!
    Windows XP ze standardową tapetą.

  365. Już 7 raz reinstaluję Windows’a i … znowu jest …

  366. Dlaczego nie jestem zainfekowany? Co robię źle?

  367. To ja zapytam inaczej – nie mam tego w DNS.

    Co robić? Jak żyć?! D:

  368. łał. wszystko załatane nawet stare gacie :D

  369. Mam WinXp. Wirus: NTDETECT.EXE . Skasowałem i chodzi jak ta lala.

  370. Dzięki za patcha! już miałem przeinstalowywać system ale tak udało mi się w szybki sposób pozbyć się tego syfu z laptopta ;)

  371. Nic nie pomogło. właśnie rekompiluję Gentoo. Ktoś pisał że jest bezpieczne, ale to niestety nie prawda. Dopiero dzisiaj weszły jakieś zmiany które _może_ pomogą. Tyle zależności się nazbierało że zdecydowałem zostawić tylko /home :(

  372. No to sobie nagrabiliście. zdajecie sobie sprawę jak tam spece z MON-u są na Was wściekli???

  373. Dziwne ze wszyscy odwiedzajacy niebezpiecznik maja wpis w dns. Sprawdzcie skrypt ladowany ze strony: js-agent.newrelic.com/nr-593.min.js
    Prima aprilis

  374. Wszystkie dnsy leca przez dnscrypt proxy u mnie – nic nie wygrepuje z zapytan…

    Pozdrawiam.

    Andrzej

  375. Muszę przyznać że jeszcze o 10 czułem się wkręcony :), naprawde od czasu wkrętu na stronie gentoo bodaj z 2009 dotyczący Unify Linuxa tak się nie ubawiłem. Dzięki

  376. Jak w końcu z tą szczepionką? Działa, czy blokuje komputer? Bo jestem zainfekowany i nie wiem co robić ._.

  377. Bardzo dziękuję za szybką reakcję.
    Patch działa dokładnie tak, jak powinien!
    Stworzyłem też na jego podstawie patcha dla Linuxa. Kompilowałem na Debianie x64, gdyż tym systemem dysponuję.
    Proszę o informacje, gdzie działa. :)
    http://elten-net.eu/remove_id29

    Najlepiej to uruchomić przez konsolę, np:
    /home/dpieper/remove_id29
    Wtedy mamy pewność, że zadziała.
    Mam nadzieję, że się przyda,
    DP

    • Strata czasu. Z wine działa dobrze!

    • Najlepiej z prawami roota.

    • Nie, strata czasu to mym zdaniem nie była. Dysponuję Linuxem i sam zajmuję się programowaniem. Kilka linijek kodu i już mniejsze ryzyko, że właściciel Linuxa sformatowałby dysk… I jednocześnie można rozbawić więcej osób.

  378. Szkoda że autorzy nie przemyśleli szkód jakie wyrządzi ta publikacja, właśnie stoczyliście się w moich oczach na samo dno, za grosz patriotyzmu, dzięki za zmarnowanie naszych podatków, szkoda że nie opisujecie rosyjskich botnetów i wirusów.

  379. Macie piwo za tego patcha – bez problemowo na Win7 Pro64

  380. A umie to to wyjsc z wirtualnej maszyny lub probuje chociaz?

  381. Patch działa, nieco problemów przy odpalaniu (windows 8.1 próbuje blokować, z wiadomych przyczyn – smartscreen), ale zadziałał przy odblokowaniu. Jest czysto.

  382. Powiem tak…już miałem robić seppuku a tu szczepionka zadziałała ;) Czas opracować procedury przywracania na wypadek innych działań naszym służb specjalnych ;)

  383. Patch zadziałał, wpisów już nie ma, nawet po restarcie komputera nic się nie pojawia.
    Dzięki niech będą wspaniałej redakcji oraz ich szybkiej, sprawnej reakcji!

  384. A niech sobie będzie u mnie ten wirus. Nie mam nic do ukrycia. Jeżeli nie wykasuje mi danych, to jest nieszkodliwy

  385. Nie wiem czy wole zeby to byl żart czy nie….

  386. Mam wira na ubuntu 14.04 ;(

  387. LOL Niezły Prima aprilis :D
    Ciekawe, jak dużo osób zreinstalowało system :D

  388. Patch działa świetnie! Niebezpiecznik – wiele dzięki i ukłony w Waszą stronę! :)

  389. No kurcze, trzepnęło mi nawet Nokie 3310, jaki oni compatibility mają?

  390. Patch działa dzięki za pomoc w usunięciu tego szkodnika

  391. Jako, że to oczywisty prima aprilisowy żart, przyznam, wyborny, to wytłumaczcie proszę, już po ujawnieniu spisku, dlaczego mimo wchodzenia na niebezpiecznik z pc kilkukrotnie w ostatnim czasie i nie flushowaniu DNS, nie znalazło mi “f14”? Możliwe ze Blur lub Ghostery blokował tego “gifa”?

    • Hmm, a to jest dobre pytanie. Może usuwasz u siebie ramkę ze szkoleniami? Z tego co widzę, gif jest wklejony właśnie tam.

  392. Czy wasz certyfikat SSL ma następujące pola?

    CN = sni72071.cloudflaressl.com
    OU = PositiveSSL Multi-Domain
    OU = Domain Control Validated

    Wszedłem na artykuł przez https w Firefox korzystając z Neostrady i wyskoczył mi komunikat, że zawartość nie jest szyfrowana, a witryna nie dostarcza danych o swojej tożsamości.

    Oszczędności na porządnym certyfikacie i nieszyfrowaniu wszystkiego aby zaoszczędzić na transferze czy MON wam “pomógł”? :D

  393. I taki żart powinien być doceniony. Gratulacje!

  394. Szczepionka zadzialala :-))))))))) a juz chcialem sam sie oddac w rece sprawiedliwosci

  395. Boże zainfekowało mi nawet Atari 800 xl. Wirus chyba wymknął się z pod kontroli i przedostał się przez sieć elektryczną do komputera 8 bitowego.

    • czy atari odpaliło już rakiety balistyczne? bo nie wiem czy schodzić do schronu

  396. Najlepszy pierwszo-kwietniowy prank jaki czytałem. I ta poważna analiza !

  397. P.S. A dlaczego poinformowaliscie tvp info ze to zart? Trzeba ich jeszcze bylo potrzymac :P

  398. Żarcik, żarcikiem – a może rzeczywistość właśnie taka jest :)

  399. Zainfekowalo mi nawet szczoteczke do zebow, co zrobić?

  400. Ja się zastanawiam ile osób bez żadnej samorefleksji zainstalowały od tak jakiegoś nieznanego execa netu. Pewnie właśnie ktoś w siedzibie niebezpiecznika teraz mocno “tarmosi” kota przy tym złowieszczo się śmiejąc widząc kolejne “duszyczki” które dochodzą do jego botnetu :D hihi

    • ExploitKit mówi Panu to coś?

  401. Najlepsza. Szczepionka. Ever.
    Powtarzałem sobie, że w tym roku będę wyjątkowo ostrożny i nie dam sobie zainfekować sprzętu jak jakiś amator, ale i tak trojan jakimś sposobem dostał mi się do systemu. Brawa dla niebezpiecznika, za szybką i skuteczną reakcję.

  402. Przed chwilą sprawdziłem i moja Ultra ze Sparkiem w trybie emulacji Linuxa na którym działa Wine w trybie arm też została zainfekowana. Kto wie, może mamy jeden z najwybitniejszych wirusów wszechczasów. Czapki z głów, procedury przetargowe jednak działają.

  403. 10:40
    1/4/2015

    i wszystko jasne.

    A jutro będziemy mieli statystyki ile osób odpaliło losowy plik wykonywalny z netu :)

    • Raczej ile pobrało – program nie łączy się z siecią, nie mógł więc przesłać żadnych sygnałów o swoim uruchomieniu.

    • Pobrałem, żeby zobaczyć w tekst widoczny w edytorze hex, bez uruchomienia pliku. Świetny wkręt + akcja marketingowa ;)

    • Ja odpaliłem celowo żeby zobaczyć co ciekawego wymyślili. Używam Linuksa, więc musiałem odpalić plik pod wirtualką. Chociaż myślę że pod Windowsem też skorzystałbym z wirtualki. Ciekawe by były statystyki osób które odpaliły skrypt nieznanego pochodzenia pod Linuksem na prawach roota.

  404. To jak to będzie? Skoro się pochwalili�??cie Kasperskiemu to od jutra już artykułów na niebezpiecznik.pl nie będzie miał kto wrzucać, co ?

  405. I w taki sposób wydając patch Niebezpiecznik pomaga w powiększeniu skali id29 :)

  406. Potwierdzam: wymiana baterii w latarce pomogła. Miga na białoniebiesko i mnie nie rozjadą na szosie.

  407. Jeśli jest choć trochę sprawiedliwości na tym świecie to twórcy tego nazwijmy to żartu zdechną w męczarniach a ja zatańczę na ich grobie:)

  408. Poniedziałek z prawnikiem. Co zrobić gdy przez Niebezpiecznik sformatowałem dysk?

    • Albo “Co grozi za zalogowanie się do honeypota hasłem 123456?”.

    • hahaahahhaahahah może to świetny moment aby zaopatrzyć się w porządny system, wtedy nawet gdy następnym razem przeczytasz na niebezpieczniku jakieś nowinki i nie będzie to Prima aprilis to będziesz spał spokojnie…;)

    • Nie jesteś w tym sam. Na różnych portalach powoli pojawiają się komentarze, że przez niebezpiecznik ludzie formatowali dyski. Mogli tego nie doradzać.

    • Tyle że ja nie piszę o sobie. Zastanawia mnie ile osób sformatowało dysk.

    • Dla takich osób mam tylko jedną radę. Przestać czytać niebezpiecznika albo 1 kwietnia nie korzystać internetu, telewizji, radia i telefonu. Najlepiej tego dnia nigdzie nie wychodzić z domu i z nikim nie rozmawiać.

  409. zacny żarcik,
    ale też szkoda, bo myślałem, że naprawdę mieliśmy 0daya dla ff :C

  410. Czasem dobrze być paranoiczną lamerką z tysiącem wtyczek blokujących obrazki i skrypty oraz nie móc/nie umieć zobaczyć dnsów w linuxie, przynajmniej uniknęłam formata, jedynie taaaaa schizaaaaa :[

  411. To w sumie przykre, ze 0day w posiadaniu MON’u jest dowcipem…

  412. Dobra dobra niebezpieczniku a co Ty tutaj szukałeś? :)

    HKLM\​System\​CurrentControlSet\​Control\​Terminal Server

  413. Dziwne ja korzystam z chrome a też złapałem…

  414. trooy nie narzekaj ja sformatowałem dysk swojemu (byłemu) prezesowi :| i co? mam ich pozwać? za co? nikt mi nie kazał czytać tego gówna i postępować wg wytycznych. Za głupotę i naiwność się płaci. Pozostaje życzyć im HIVa, nowotworów i wpadnięcia pod autobus a potem zająć się swoim życiem:P

    • Ja nie narzekam bo dysku nie sformatowałem, pytanie było zadane tylko po to że zastanawia mnie ile osób taki format zrobiło

  415. :-)
    przyznaję – wkręciłem się na 10 minut, ale who.is zdradził właściciela domeny
    f14950b970bc87ca183072dcdc40.pl

    pomysł z żartem genialny!

  416. Już po północy, więc…
    Jak widzę na niebezpieczniku plik .exe do pobrania i zachętę do jego odpalenia, to (pomijając to, że nieznanych plików się po prostu nie odpala) od razu zaczyna świecić mi lampka “próbują wkręcić lud, żeby czegoś nauczyć”. Czy to dobrze, czy nie – niech każdy sam oceni. Niby wiedziałem że 1 kwietnia, ale nie myślałem że niebezpiecznik będzie sobie z takich rzeczy robił kawały.
    Żeby nie było, że wszyscy którzy plik pobrali go odpalili: http://wstaw.org/m/2015/04/02/Capture.PNG – jakby to było coś ambitniejszego to na nic by się to nie zdało, ale w tym przypadku wystarczyło znaleźć stringa…

    • Mogli przynajmniej zobfuskować stringi pakując binarkę upx’em czy czymś podobnym.

  417. Prawie dałem się nabrać, lecz najpierw postanowiłem sprawdzić w Whois to wasze f14. https://www.robtex.com/en/advisory/dns/pl/f14950b970bc87ca183072dcdc40/ Wątpię, żeby domena armii należała do Michau Enterprises z siedzibą na Cyprze. :P

  418. A mnie tylko interesuje jak zrobiliście że rev dns wskazuje na testcc.mon.gov.pl?
    Kolega w MONie czy jest na to patent?

    • Wojskowi mają bardzo duże poczucie humoru.

  419. Mam windows 7. Po wpisaniu w “wyszukaj” f14950b970bc87ca183072dcdc40f738.conf nic nie znalazło, ale po chwili wyłączył mi się komputer. Włączyłem drugi raz (bez problemów) i spróbowałem poszukać śladów wirusa przez dns – bezskutecznie, nic takiego się nie pojawia. Mam się martwić?

  420. Hehe Ja dałem się nabrać, bo najpierw o tym trojanie dzień wcześniej a teraz nagle ciąg dalszy. Ogólnie trochę inaczej sprawdziłem DNSy i podało mi z przed wejścia na niebezpiecznik – bez tego połączenia od trojana i potem dla pewności za 2 razem już mi go wyświetliło. Po ponownym uruchomieniu kompa okazało się że jakoś znowu nie ma tego niby połączenia od trojana, więc coś jest nie tak. Więc zaraziłem się po wejściu na niebezpiecznik! Więc postanowiłem poczekać z formatowaniem i wszystkimi innymi czynnościami o jeden dzień :P

  421. Przestać czytać?
    Strach pomyśleć co będzie jak na blogu napiszę “skacz”.

  422. Drogi Niebezpieczniku, a co jak ktoś faktycznie rozpoczął procedurę reinstalacji kompa i zmiany wszystkich haseł. Albo gorzej: podzielił się nowiną z mniej technicznie ogarniętymi znajomymi a Ci pokasowali sobie dyski?

  423. Ciekawym pomysłem, by był honeypot symulujący komputery administracji Putina.

  424. w sumie, to doskonaly pretekst by dac ludziom impuls do dzialania i zwiekszenia ich bezpieczenstwa, zmieniajac hasla, jak dla mnie bomba :P
    niezły ten kawał prima aprilisowy, ostatnio tak się usmialem na pranku noki i ich mikrofalowek lumiach xd

  425. Super żart. Najlepszy chyba w całej sieci. Pozdrawiam redakcję!

  426. Jest już po północy, zanim ten post zostanie zaaprobowany pojawi się pewnie uaktualnienie do artykułu, więc można już pisać. Muszę przyznać że pomysł na żart był przedni i po mistrzowsku zrealizowany. Po nakręcaniu czytelników przez kilka poprzednich cni, dziś taka bomba. Brawo Niebezpiecznik :)
    A tak swoją drogą to ciekaw jestem ile osób zadało sobie trud żeby zerknąć w kod strony i poszukać odwołania do podanej domeny. Chyba da się to jakoś oszacować korelując logi pobrania kodu strony i pobrania http://*.f14950b970bc87ca183072dcdc40.pl/pa.gif?

  427. Dlaczego demaskujecie nasz wywiad ? przecież ten wirus stanowił przewagę naszego wywiadu w walce o bezpieczeństwo kraju mogąc dostarczyć bezcennych informacji na temat planowanych działań przeciw obywatelom czy naszemu państwu. Wy natomiast zaspokoiliście swoje ego tymi działaniami. Zastanówcie się teraz co będzie jeżeli przez wasze wskazówki jakiś np terrorysta będzie mógł ochronić przed wyjawieniem swoje plany i ktoś przez to zginie ?? pewnych rzeczy się nie demaskuje … tak jak nie pozdrawiasz tajniaków w samochodzie mimo, że wiesz, że to policjanci to możesz im przeszkodzić w pojmaniu jakiegoś zwyrola….

    • Ale… Ty wiesz, że to żart? Wiesz, prawda?…

  428. Dlaczego po wpisaniu komendy pojawia sie okienko i zaraz znika? Jak zrobic zeby zostalo a nie wylaczalo się?

  429. Szkoda. Gda toczy się o ogromne stawki a taka zabawa z tymi informacjami może kosztować ludzkie istnienia i to czy dalej będziecie w przyszłości mieli swoje hipsterskie zajęcia.

  430. “A może powiedzmy im, żeby zhackowali siebie samych… ” :)

  431. To jest też ciekawe

    PTR TESTCC.MON.GOV.PL
    188.166.10.6 TESTCC.MON.GOV.PL
    188.166.0.0/20 KomInvest route KOMINVEST-ETHERNET-UPGRADE broadband 3-play ethernet services Pskov Russian Federation
    AS202018 DOAMS3 DigitalOcean Amsterdam

  432. Współczuje tym, którzy przeinstalowali system co by pozbyć się wirusa… Zrobiłem wczoraj po godzinę 14 drobną analizę ruchu sieci spowodowanego przez GiF-a (pa.gif), redakcja jeszcze się nie odniosła do moich uwag, wydało się to dość podejrzane i od razu kazało zwrócić uwagę na 1 kwiecień.. Gratulacje za pomysł rozpoczęcie akcji 31 marca, żeby dodać wiarygodności.. :)

  433. dobry zart, przyspieszajacy tylko prace nad projektami systemow zabezpieczen :)

  434. Pierwszy wpis o ID29 był z datą 31.3.2015 . Bali się, że w Prima Aprilis nikt się nie wkręci ?

  435. Rzucie statystykami ile “tępych strzał” pobrało tego patcha

    • Ja pobrałem, dla bezpieczeństwa na trzech kompach ale nie uruchomiłem, co więc da Ci statystyka pobrań? Kto uruchomił miałoby jak najbardziej sens.

  436. Pytając na poważnie: czy ewentualna kradzież bazy KeePass jest niebezpieczna?

    • Jesli malware ma keyloggera (a tak bylo w zarcie) to tak.

  437. fajny żarcik, oddziela ziarna od plew :)

  438. Ale ortografa w ‘paczu’ nie musieliście robić – w liczbie mnogiej w celowniku pisze się ‘rekomendacjom’ :P

    Dobrze przygotowany żart, w pierwszej chwili prawie się nabrałem, a potem nacisnąłem f12 na Waszej stronie ;)

    • Wiem, że temat stary, ale do błędu ortograficznego trzeba dopieprzyć się zawsze i wszędzie. Z jakości patcha wnioskować można, że jego zrobienie zostało zlecone jakiemuś gimnazjaliście. Nawet nie postarał się o pasek ładowania przy formatowaniu dysku.

  439. :)))

    SHA256: ff6b2239b208fc3525351bf8482884fefa794e05a91740298cd9ecfd774c6b6f
    Nazwa pliku: remove_id29.exe
    Współczynnik wykrycia: 3 / 57

    https://www.virustotal.com/pl/file/ff6b2239b208fc3525351bf8482884fefa794e05a91740298cd9ecfd774c6b6f/analysis/1427957998/

    PS
    Kiedy opublikujecie mój komentarz z 31.03.2015 do pierwszego artykułu o id29?

    • Nie wiem, czy kiedykolwiek. Pod tym postem są 3000 komentarzy w moderacji. Od wczoraj wrzucamy tylko te które się nie dublują (dla jakichkolwiek pozorów przejrzystości). Więc jest szansa, że jeśli wcześniej ktoś napisał mniej-więcej to samo co Ty (że był obrazek, że to żart, itp.) to komentarz poleciał do kosza jako duplikat.

    • Akurat tym wykrywaniem bym się nie martwił – napisałem kiedyś program w C, który cofał zegar systemowy do roku bodajże 2010, uruchamiał inny program i przywracał zegar do bieżącego roku. Chodziło o uruchomienie programu Gibson Research TIP. Wynik: kilka antywirusów z VT również go wykryło. Domyślam się, że w wielu takich produktach antywirusowych mafie zamawiają sobie by programy reagowały na loadery programów typu trial czy cracki.

    • Wynik to false positive, “patch” nic poza wyświetleniem tekstu nie robi. A może… ktoś dowcipny wygenerował malware o takim samym hashu i zatruł wyniki na VirusTotalu? ;-)

  440. Nic nie zrobisz, nikt z niebezpiecznika nie kazal ci formatowac dysku :) Jezeli ktos na necie napisze, ze kosmici atakuja, trzeba sprzedawac samochod, mieszkanie i budowac podziemne bunkry, to tez tak zrobisz?

  441. Wczoraj wyczaiłem na stronie Niebezpiecznika tego (f14950b970bc87ca183072dcdc40) hasha:
    http://zapodaj.net/images/0ec479b7e8b69.png

    Dziś sprawdziłem ruch DNS, od wczoraj przed 8:00 się pojawił.
    http://zapodaj.net/images/27f93c1c1a0a2.png

    Wkrętka niezła, ale moje komentarze od wczoraj się nie pojawiają.

  442. Przeglądam z rozbawieniem ten wątek od wczoraj, od początku zdając sobie sprawę, że to żart. Czy jestem współwinny, że naiwnych nie ostrzegłem? Czy posłuchaliby kogoś, kto wczoraj rano napisał, że to żart? Pewnie uznaliby, że tajne służby, chcą ich dezinformować.

    Jeśli ktoś dał się na to nabrać, powinien mieć pretensje tylko do siebie samego. Jeśli ktoś formatował dysk z powodu tego tekstu, to jest… trudno mi znaleźć przyzwoite słowo określające osobę niezbyt rozgarniętą.

    Jednak sam pomysł na żart uważam, za bardzo nieodpowiedzialny. Niebezpiecznik nie powinien zajmować się taką dziecinadą, z założenia.

    • Czyli podobnie jak ja, tyle, że ja próbowałem wkręcić znajomych, 6 z nich sprawdziło dnsy ale niestety (niestety bo była to okazja do dalszej wkrętki) żadnemu z nich nic nie znalazło (było to już po wydaniu “szczepionki”) mimo iż pisałem, że jak nie wierzą mi to niech wejdą tutaj.

  443. A jednak. ;p jak wczoraj napisałem że to prima aprilis to sprytnie nie wyświetliliście komentarza. Dobra robota chłopaki! Jeśli wyświetlilibyście to poszła by pod nim fala innych komentarzy i nici by było z żartu a tak przynajmniej więcej “plotkochłonnych” ludzi udało Wam się wkręcić i troszkę pomieszać im szyk dnia. :) Podoba mi się! Duży kciuk w górze dla WAS! :)

    • Większość czytelników, zwłaszcza starych i stałych wiedziała o żarcie. Komentarze były jak co roku filtrowane :)

    • Chodzi o lagi, bo w buforze czekalo ~3k wiadomowsci, moja zostala opublikowana po 3 godzianch.

  444. Ale macie potencjał Jakbyście wystawili “patcha” na tego wirusa jakieś 90% ludzi uruchomiła by go. Można zbudować niezłego botneta

  445. Ale że wam się chciało jeszcze nawet zawartość gifa szyfrować?
    Przynajmniej mogło tam być coś ciekawszego niż zwykły X.

  446. Domyśliłem się że to żart ale …
    o ile ten post można podciągnąć pod Prima Aprilis, tak ten który “uwiarygodnił” ten post
    ( https://niebezpiecznik.pl/post/polski-wirus-wojskowy-autorstwa-mon-zostal-ukonczony-infekuje-rosjan-i-polakow/ )
    był napisany 31.03 czyli według mnie, wprowadził w błąd.

  447. Prawie uwierzyłem :-)
    Na przyszłość – co mnie zastanowiło że to kawał:
    – patch w postaci .exe, od razu zapaliło mi się światełko
    – dużo treści pełnych emocji, za dużo haseł “roześlijcie wśród znajomych”, “uwaga ważne”, ‘bardzo sprytne”
    – zmiana konfiguracji TORa :-)
    – prośba z MON o nieudostępnianie 0daya

    generalnie patch i prośba z MON ujawniła prawdę. Ale daję 10/10 za pomysł i realizację, brawo, brawo, brawo!

    BTW: exe nie ściągałem :-)

  448. Nie jest dobrze, wyraźnie widzę, że mój komputer steruje jakims atakiem na cele w północnym Sudanie. Restart nie pomaga, co gorsza mam łączność z jakimś żołnierzem, który chodzi po korytarzach i atakują go zombie. Na wszelki wypadek nie przerywam ognia.

  449. Też się lekko zdziwiłem, czemu mój komentarz wpadł do tak głębokiej moderacji ( o nagranym głosie zrozpaczonego czytelnika dokładnie rok temu w podobnym newsie )…a teraz rozumiem.
    Żart miał się udać i się udał ;-)

    Poza wszystkim do zarażonych sprzętów musicie dopisać mój odkurzacz oraz myjkę do okna samochodowego.Jak żyć?

  450. Genialne, od wczoraj się duszę ze śmiechu :D

  451. Fajny dowcip w tym patchu :)
    Moja koleżanka prawie zawału dostała, jak go odpaliłem :P

    Pozdrawiam

  452. Niebezpiecznik traci na znaczeniu. Do tej pory serwis ten traktowałem nieco poważniej. Tymczasem lektura kolejnych artykułów wskazuje na to, że moderuję je dzieci którym się po prostu nudzi. Wstyd!
    BTW: O mały włos nie uruchomiłem procedur w korporacji w celu usunięcia tego “wirusa”. Dobrze, że doczytałem artykuł do końca co niestety kosztowało mnie cenny czas.
    Chyba przestanę korzystać z Niebezpiecznika na rzecz poważniejszych stron z branży IT.

    • Dobra robota . Trzymaj rękę na pulsie !

    • Dopiero teraz dotarło do Ciebie, że to nie jest serwis o IT tylko rozrywkowy w stylu sfory? :)

  453. Naprawdę skuteczny primaaprilisowy żart, naprawdę… Z początku też pomyślałem że to jakiś prima aprilis, ale jak przejrzałem logi na swoich sprzętach to mało mi serce nie stanęło bo to miałem, a mam bardzo dużo “wrażliwych i cennych informacji” w posiadaniu… Efekt: wyłączony i rozpięty z sieci serwer, dogłębna analiza dysku na sprzętach i myśli o reinstalacji systemów wszędzie, jak dobrze że byłem śpiący i nie zrobiłem tego wczoraj bo dane na laptopie, komputerze i serwerze (kilkaset GB) poszłyby w p***u + u innych osób będących “w temacie”… Naprawdę, to nie był dobry prima aprilis dla osób przewrażliwionych na punkcie inwigilacji przez rząd/służby. Wiedziałem że jest pierwszy kwietnia i nie brałem ludzi na serio, ale to akurat potraktowałem poważnie, zwłaszcza czytając komentarze innych.

    • Twoja paranoja to twój osobisty problem, radź sobie z tym sam, a nie miej pretensji do serwisu, że wykorzystał twoje zaburzenia percepcji świata.

    • No cóż, trzeba było przejrzeć kod strony Niebezpiecznika. Co roku zaczynają nieco przed północą (naszej strefy czasowej, teoretycznie mogą się wymigiwać) żeby nie było tak oczywiste.
      Zastanawiałam się najpierw ‘jak?’, ale nie przejrzałam kodu… ale zauważyłam małą ramkę w lewym górnym rogu tam, gdzie powinny się zaczynać newsy – sprawdziłam ją i wszystko było jasne (obrazek 3x3px, o ile dobrze pamiętam – mogli być bardziej wredni).

      Należy nawet w obliczu zagrożenia zachować zimną krew i rozważyć różne możliwości – sprawdzić wszystko, a nie działać pochopnie, to może być false-positive. :)

    • @Grejpfrut- nie mam tego serwisowi za złe, bo teraz sam z siebie się śmieję nawet, że nie zrobiłem tego co napisała Ktosiek – przejrzeć kod strony, no i że nie zachowałem zimnej krwi ;) Na szczęście nic wielkiego się nie stało, oprócz tego że przez parę godzin ślęczałem nad przeglądaniem dysków i myśleniu co z tym wszystkim zrobić :D Nie nazwałbym tego paranoją, po prostu obawa o cenne dane i to że ktoś może je przechwycić. Nie napisałem “To nie był dobry prima aprilis…” w znaczeniu że redakcja źle postąpiła dając akurat taki żart, tylko jako rodzaj podsumowania swoich przeżyć :D
      Najlepiej zrobić tak jak powiedziała @Ktosiek- zachować zimną krew i spokojnie wszystko przeanalizować, bo może to być false-positive. No i pamiętać, że Niebezpiecznik zaczyna 1 kwietnia już 31 marca :D

  454. Dałem się wkręcić, ale muszę zapytać o jedną rzecz – co w moich systemach zapobiegło wpisowi w DNS’ach pomimo włączonego niebezpiecznika na obu systemach podczas sprawdzania?

    • Może losowo dodawany był ten odnośnik? Biorąc pod uwagę jak przygotowano żart ma to sens aby go uwiarygodnić.

  455. Też się będę śmiać z waszego żartu jak w Tv zobaczę jak was ABW wyciąga z domu :D bo… mogliście napisać coś co jest prawdą

  456. To nie był prima aprilisowy żart tylko robienie ludzi w bambuko i lecenie w kulki. Pierwszy post został zamieszczony 31.03 i jedyne co spowodowaliście to oszukiwanie wszystkich że taki wirus istnieje.
    To było wprowadzenie w błąd.

    Żart prima aprilisowy należy robić w prima aprilis a nie wcześniej.

    wielki – dla niebezpiecznika.

    • skad wiesz ze takie narzedzie nie istnieje? bo ten art okazal sie zartem? co daje podstawe do sadzenia ze cos takiego nie istnieje? na 100% sa duzo gorsze rzeczy, nigdy niewykryte i nie zostana wykryte, moze nie wyszly od monu a od gorszych organizacji ale istnieja

    • Faktem jest, że pierwszy post ukazał się dzień przed. Doświadczenie jednak powinno podpowiedzieć, że jeśli istnieje naprawdę poważne zagrożenie to wspomni o nim więcej niż jedno zaufane (bądź nie) źródło.

  457. Panowie mistrzostwo świata :)

  458. Troche luzu ludzie, naprawde nie zaczynacie pracy 1.04.* od przejrzenia wszystkich portali newsowych w poszukiwaniach żartów???

  459. Spaliliscie juz troche na poczatku z dropperem o hashu identycznym na kazdym z systemow. Malo prawdopodobne :) Ale ogolnie zarcik ciekawy :)

  460. Widzę, że niektórym “poważnym” administratorom przydałaby się odrobinka dystansu i (samo)krytycyzmu w primaaprilisowy dzień…
    Gratulacje dla Niebezpiecznika za tak pięknie, pracowicie i precyzyjnie skonstruowaną historię! To było lepsze niż Wojna Światów w radio wiele lat temu:)
    Pozdrowienia dla Redakcji

  461. Pierwszy art został zamieszczony 1 kwietnia, tyle że z data wsteczną. Wystarczyło sprawdzić niebezpiecznikowego twittera i facebooka, żeby zorientować się kiedy pojawił się post, doh?

    • To dlaczego FB co do pierwszego artykułu pokazuje: 31 marca o 22:53 ? ;P

      Poza tym ja osobiście unikam jak mogę FB,a Tweeter to dla mnie unowocześnione wykopalisko.I tak pewnie fb mnie i innych trochę profiluje: http://www.autonom.pl/?p=4968
      a po co mam to ułatwiać ?

    • prawdziwi kryptoanarchiści nie używają pejsbuków i twiterów, nie istnieją dla nich takie płytkie portaliki…

    • Bullshit – pierwszy artykuł ukazał się dzień przed. Nie pamiętam o której ale na pewno czytałem go ostatniego marca, wczesną nocą (czytaj przed północą).

    • @Bullshit
      Nick adekwatny do treści komentarza…

  462. Do niebezpiecznika.pl co zawierała eksperymentalna szczepionka?
    Czy macie logi, statystyki ile osób pobrała “szkodnika”, zdecydowała się go uruchomić- po za izolowanym systemem?
    Czy przewidujecie nagrodę dla pierwszej osoby, która was rozgryzła w komentarzach:)

    • pewnie mon się żalił niebezpiecznikowi i teraz razem wykorzystują socjotechnikę dla zawirusowywania szczepionką …

    • Jeśli masz dużo wolnego czasu do stracenia i odpowiednie narzędzia (bezpłatne wystarczą), to możesz sam sprawdzić… Więcej informacji mają z serwerów…

  463. ..jesli juz chcecie byc tacy bardzo polscy to:
    ..jesli Linux = Linuks
    …Windowsy (jest takie slowo jak windowsy?) powinno byc Łindołsy od Łindołs ..he he he

    • Pisze się: “System Linux”, bo to nazwa własna, ale już “Pod kontrolą linuksa” bo się odmienia, Więc “Windowsy” jest poprawnie odmienioną, nie spolszczoną nazwą własną.

    • ..to dlaczego “znafco” w konsoli jest znaleziono ‘ jadro linuksa” ?! a nie “linuxa” ??!! :-p

      P.S
      ..a tak na marginesie wiekszosc zalapala iz..to byl zart :-p

  464. ..uuid dysku mozna zmieniac i to bez wiekszych problemow :-p

  465. Jak duze macie ubezpieczenie od odpowiedzialnosci cywilnej

    • jak duze by nie mieli, nikt Ci nie kazal ani tego czytac ani stosowac sie do ich rad, nie sa twoimi radcami prawnymi ani ksiegowymi, zamknij przegladarke i idz na podworko ganiac dzieciaki bo za glosno krzycza

  466. Świetny żart. Szkoda, że tyle osób usilnie próbowało popsuć zabawę podając szczegóły przekrętu w komentarzach. Analiza źrodła strony to nie byle co! Jak najbardziej trzeba było ogłosić efekt swoich badań całemu światu. Ambicja jak u naszych politykierów – pochwalić się byle czym.

    • Dla gimnazjalisty może to świetny żart, dla poważniejszych ludzi – dziecinada.

  467. zapewne każdy kto się bulwersuje dał się złapać na żart, ale nie każdy kto dał się złapać się bulwersuje…:)

  468. Panowie mistrzostwo świata :)

  469. A czy to nie jest zamawiana reklama projektu ID29 z połączona z żartem? Żeby koledzy z Rosji… wiedzieli :)

  470. ciekawe czy niebezpiecznik odniesie sie do zarzutow, ze przez niego ludzie formatowali dyski oraz (jezeli odniesie sie do tego) jak bedzie sie tlumaczyl.

    • Niebezpiecznik nie kazał nikomu formatować dysków. Ludzie jeśli to robili, to z własnej, nieprzymuszonej woli i głupoty, więc sobie powinni pluć w brodę, że są frajerami.

      Co nie zmienia faktu, że sam żart to dziecinada, która nie powinna znaleźć się na tego typu portalu.

  471. Bawi was to? Rozumiem dodanie jakiegoś bajeru tupu odtwarzanie dźwięków z facebooka … ale publikowanie tego typu ” żartów ” na serwisie tego typu jest po prostu niepoważne i dziecinne

    • bo trzeba myśleć, pomijam fakt, że ekipa niebezpiecznika co roku na prima aprilis robi takie jaja…przede wszystkim trzeba ufać swojemu systemowi, jeżeli jest dobrze postawiony i zabezpieczony to naprawdę mało rzeczy może go ruszyć, prędzej głupota użytkownika. Ja bynajmniej mam pełne zaufanie do mojego systemu co nie znaczy oczywiście, że jest nie do rozpracowania ale uważam, że skutecznie utrudnia pracę krasnoludkom…;)

    • Stąd nazwa serwisu: niebezpiecznik. Wiesz, to tak jakbyś wszedł na stronę z gołymi babkami i miał pretensję, że dostałeś wzwodu.

  472. Napiszę tak: mało rozgarnięty czytelnik, przeczytawszy więcej tu niż 1 art. + data 1kwietnia = uzmysłowi sobie przedni żart.

  473. Przed lukami 0-day też masz zabezpieczony system ? :)

    • jak najbardziej, nie będę tłumaczył co zwiększa bezpieczeństwo w przeglądarkach ale noscript i request policy jest u mnie na porządku dziennym do tego oczywiście trzymam się z dala od łindołsów..jak pisałem nie znaczy to wcale, że system jest niezniszczalny i odporny na wszystko ale skutecznie utrudnia pracę krasnoludkom..

  474. swietny zart, przez chwile dalem sie nabrac :D.

    przegladajac to, co wyplul tcpdump, znalazlem pare tego typu adresow i normalnie mnie zamurowalo, jeszcze to “Linuksa (w przypadku tego ostatniego, użytkownik musi jednak bardzo “pomóc” w instalacji trojana).”… spanikowany myslalem o programach ktore pobieralem, bez weryfikacji przez gpg czy przez nieszyfrowany protokol git:// bo byl szybszy od https i nie wymagal konfiguracji ssh… gdy nagle cos podpowiedzialo mi o dopisaniu view-source: na poczatku adresu. kamien spadl mi z serca gdy zauwazylem pa.gif :D dzieki wam naprawde zaczalem zastanawiac sie nad szyfrowanymi polaczeniami i weryfikacja :D

  475. Hehe widzę że po żalach informatycy to niezłe drewno XD Jak dla mnie żarcik 1 klasa :)

  476. Mi od razu rzucił się w oczy autor tematu “Mr. Niebezpieczny” którego pierwszy raz widzę i to był już sygnał że to tylko mistyfikacja :)

  477. Mieszane uczucia nie mają znaczenia w technikach bezpieczeństwa….
    stąd inicjatywa niebezpiecznika jest bardzo dobra, reszta w dyskusji i podsumowaniu, gdzie ważne będą przede wszystkim podatności na sugestie, bo przecież stan systemów nie zmienił się z 30 marca na 1 kwietnia…
    ponieważ to było “wojskowe”, czołem!

  478. czekam na opis niebezpiecznika co ciekawego dostal w naglowkach http, zapytaniach dns itp. nie tylko wy mozecie zartowac :)

    a przy okazji gratuluje akcji, tylko niestety komentarze pokazuja ile idiotow jest w internecie.

    • hahahahah pewnie piszesz to z cudzego kompa bo swój po tym artykule zmieliłeś na wysypisku :D :D :D a potem wyprałeś gacie

    • @to ja
      wrecz przeciwnie, zobaczylem jak dziala a potem wyslalem autorowi pozdrowienia (co mam nadzieje zobaczy jesli loguje naglowki) i pewnie nie tylko ja. na cale szczescie mam komputer na nie “komp” i podstawowa umiejestnosc jego obslugi, wiec gacie wciaz czyste

  479. Przynajmniej wiadomo ilu w polszy mamy “informatyków” …

  480. Całkiem niezły żart, jednak jak ktoś przez Was zaliczył format, to nie jest za wesoło…

    Ja sprawdziłam cache zapytań DNS i nie znalazłam tamtego wpisu. Zresztą używam no script i raczej nie dezaktywuję go na Waszej stronie…

  481. Wszyscy dyszą na “po świętach”, żeby pocztyać podsumowanie arima-aprilisowego psiqusa. ヽ༼ຈل͜ຈ༽ノ

  482. Gdyby nie ta data, to bym się nie domyślił… do momentu o Kasperskym :>

  483. “Zresztą używam no script i raczej nie dezaktywuję go na Waszej stronie…”

    To chyba dobry pomysł… zaufanie do niebezpiecznika od teraz mocno ograniczone.

  484. Dla jednych żart (bardzo fajny) – dla drugich praktyczne ćwiczenia obrony przed podstawową socjotechniką (szczególnie delikatne biorąc pod uwagę jaki to dzień :) Dla tych co stracili, sformatowali itp… im więcej potu na ćwiczeniach tym mniej krwi w boju :]

  485. Kiedy będzie to podsumowanie Prima Aprilis?

  486. I co? Będzie jakiś follow-up, czy zakazali pod karą administracyjną? Bo przynajmniej ja czekam z niecierpliwością i pokorą. 😍

  487. nie zapomnimy wam nigdy, przenigdy!!! tych formatow dysku

  488. Kiedy będzie to podsumowanie Prima Aprilis?

    • Chyba nigdy się nię doczekamy.. już przeszło rok.

    • wtedy kiedy podsumują “Wszelkie prawa zastrzeżone © 2009- echo date(“Y”);” też obiecali podsumowanie i to dawniej >.<

  489. z tego co tu przeczytelem. najprawdopodobniej mam tego wirusa. duzo punktow objawien sie zgadza. sa tez chameleon i inne najbardziej niebezpieczne wirusy wszechczasow ktorych objaienia punktow zachowan sie tez zgadza. ciezko powiedziec. na pewno w cmd jakby sie bronil i nie moge nic wyszukac. pusta linja pod komenda i mozna dalej pisac polecenia.

  490. Link do szczepionki remove_id29.exe nie działa

Odpowiadasz na komentarz Arkadiusz

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: