7:59
17/7/2012

Pierwszą fazą ataku przez trojana jest ustalenie, z jakiego systemu operacyjnego korzysta ofiara. Potem następuje ściągnięcie odpowiedniej wersji złośliwego oprogramowania.

Trojan-Downloader:Java/GetShell.A.

Aby zainfekować się trojanem wystarczy wejść na stronę internetową — to właśnie webowa część malware’u ma za zadanie rozpoznać system operacyjny ofiary.

Multiplatformowy trojan

Multiplatformowy trojan

Wszystko zaczyna się od ataku socjotechnicznego — po wejściu na stronę WWW ofierze pojawia się aplet Java, którego akceptacja oznacza zainstalowanie kodu rozpoznającego system operacyjny i instalującego odpowiednią wersję backdoora (trojan ma trzy wersje: na Windowsa, Linuksa i Mac OS X). W zależności od systemu, po starcie trojan nawiązuje połączenie ze zdalnym serwerem po portach 8080 dla OS X, 8081 dla Linuksa i 443 dla Windowsa.

Oto jak wszystkie trzy warianty trojana wykrywają antywirusy
Backdoor:W32/TES.A,
Backdoor:OSX/TESrel.A,
Backdoor:Linux/GetShell.A.

Co ciekawe, aplet nie jest podpisany cyfrowo, a malware został stworzony przy pomocy narzędzia SET. Kolejny raz apelujemy o zastanowienie się czy surfowanie po internecie z włączoną Javą jest wam niezbędne do szczęścia?

Przeczytaj także:

74 komentarzy

Dodaj komentarz
  1. i dziala tylko na PowerPc… – to jest dziwne, imho albo jest strasznie stary, albo targetowany pod konkretna firme

    • Nie – niwa wersja juz obsluguje intele ;)

    • @piko: s/niwa/nowa/

  2. Są jakieś szczegóły? Np w jaki sposób dostaje się na root-a pod Linuksem? bo to wymaga podania hasła, nawet jak użytkownik ma prawa roota (mam tak pod Mint-em).

    • Tak jak zawsze – jakaś dziura local privilege escalation. Trochę ich jest.

    • Na Linuksa nie ma wirusow. Koniec. Kropka.
      To powiedzialem ja, Jarzabek.

  3. Dla tych co *muszą* mieć Javę polecam dodatek NoScript do Firefox lub jego odpowiednik pod inne przeglądarki.

    • Ci co mieć *muszą*, dziękują!

    • Tym co musza wspolczujemy i polecany click-to-play w opcjach przegladarki dla pluginow.

    • @Piotr, ale tu nie ma co współczuć. Po prostu niektórych rzeczy bez javy na pokładzie nie ruszysz.

    • @Koziołek: współczujemy tak myślącym, a jeszcze bardziej ludziom zmuszonym do korzystania z ich wynalazków;p

    • @klapklap, podpowiem – podpis cyfrowy tylko taki prawdziwy – zaufany, a nie generowany z PGP.

    • A o sandboxie słyszeli ?

  4. Jak zatem tę javę wyłączyć gdy nieużywana?

    • Mam szalony pomysł – sprawdź w ustawieniach przeglądarki ;)

    • A przypadkiem, w ustawieniach przeglądarki, to nie wyłącza się javascriptu?

      Java, to osobny program, który działa od niej niezależnie. I co najwyżej można wyłączyć przekierowanie do tegoż to programu. A szary użytkownik na pierwszy rzut oka w ustawieniach znajdzie javascript, wyłączy, pomyśli że już jest bezpieczny… “ALE HALO, DLACZEGO MI MBANK NIE DZIAŁA !?!?!”

    • @Torwalds… R U Insane? W opcjach grzebac? Przeca gwarancje strace ;).

    • Najlepiej odinstalować w dodaj/usuń programy.

  5. Szalenie trafny ten pomysł :| Poziom niektórych pytań jest poniżej poziomu morza :|

    • Wolę raz za dużo zapytać o banał niż mieć problemy.
      Już kilkakrotnie okazało się na łamach niebezpiecznika, że czasem komuś może wydawać się, że ma wyłączona jakies cudo…

    • Mniej zorientowanym nie wolno czytać Niebezpiecznika? Przepraszam, już się wycofuję.

  6. Trochę to na przerost. Z kilku powodów: 1. twórcy wykorzystali metody socjotechniczne zatem zasada “nie klikać na oślep” jest lepsza niż “wyłącz Javę”. Równie dobrze można wykorzystać do tego Flash czy silverlighta. 2. pytanie jako po ściągnięciu softu na dysk jest on uruchamiany. Jakich uprawnień potrzebuje. Niestety pod Win jest zazwyczaj tak, że dla wygody użytkownicy wyłączają upierdliwe komunikaty “czy na pewno zainstalować”. Pod uxami chciał nie chciał hasło trzeba podać i znowuż kto podaje hasło gdzie popadnie ten sam jest sobie winien. I na koniec mała dygresja ilość stron wykorzystujących applety java jest niewielka. Po prostu jest to technologia, która nie przyjęła się w sieci w jakimś znacznym stopniu.

    • W sieci tak powszechnie może nie ale biznesowo java ma się całkiem nieźle w każdej formie.

    • ty chyba sie z kims na rozumy pozamieniales – ???!!!
      mala ilosc stron wykorzystuje jave ? chyba se jaja robisz, tak ?
      a jesli dalej bedziesz sie upieral, wez pierwsza lepsza z brzegu strone [ ulubiona] i popatrz sobie w zrodlo strony – a potem pitol takie glupoty jak wyzej

    • Kolego, myli Ci się java z javaScript :)

    • @angelus jak się nie znasz to nie gadaj głupot. Java i JavaScript to dwa zupełnie osobne światy.

      @Omen, o ile w backendzie java ma się świetnie to frontend… leży, kwiczy i najchętniej by go nie było. Chyba najpopularniejszym zastosowaniem Javy w ostatnich latach we FE jest podpis cyfrowy/logowanie za pomocą klucza sprzętowego. Da się to niby zrobić na ActiveX, ale to dla samobójców…

    • o to przepraszam, nie wiedzialem za javascript dziala sobie samodzielnie
      logika sie klania – wywal sobie jave calkowicie z kompa i sprobuj poogladac jakies strony, rzycze szczescia i przyjemnosci w surfowaniu
      zreszta nie bez powodu sie nazywa jak sie nazywa

    • gwoli scislosci – ja wiem ze to sa osobne jezyki, niestety nie zyjemy w swiecie idealnym i wiekszosc ludzi piszacych / tworzacych strony miesza obydwa jezyki
      prosta rzecz, wywalcie sobie cala jave z kompa i zobaczcie co sie dzieje w przegladarkach wtedy na wiekoszsci stron

    • re angelus Nazwa nazwą, ale JS nie jest obsługiwany przez wtyczkę javy tylko bezpośrednio przez przeglądarkę. Zresztą zrobiły je różne firmy, a słowo java w javascript wynika tylko z tego że Sun wyraził na to zgodę. Mają też różne przeznaczenie.

    • Hm… http://ct.fra.bz/ol/fz/sw/i55/5/4/23/frabz-not-sure-if-trying-to-troll-or-just-stupid-ba8acc.jpg

      @angelus nie wiesz o czym mówisz…

    • java i javascript to jak kot i kotara…

    • zapedzilem sie troche – grrr, znow
      przepraszam wiekszosc za moja pomylke javy i javscriptu [ tu jest moja pomylka ]
      co do wczesniejszej konkluzji odnosnie braku javy na stronach i komu to potrzebne to dalej bede utrzymywal ze Koziolek nie wie co pisze, cale mnostwo stron stoi / ma wbudowana jave i bez tego ani rusz
      trollowanie nie bylo zamierzone :P

    • @angelus, tak strony budowane są w oparciu o javę, ale działającą po stronie serwera. To co posiadasz zainstalowane na swoim komputerze nijak ma się do tego w jakiej technologii jest wykonana strona na serwerze. Nie musisz przecież zainstalować php by przeglądać facebooka, czy chociażby Niebezpiecznik. Na stronie www można uruchomić jedynie aplety java, które działają w sandboxie + wymagają zgody. Obecnie apletów na stronach się nie umieszcza, a jak już to są to odosobnione przypadki.

    • podam prosty przyklad bankow, bo nie wiem jak do ciebie przemowic
      bez javy nie pojedzie i koniec, i to nie jest moje widzimisie tylko bankow
      mozna jeszcze podac mnostwo innych przykladow
      zreszta nie wazne, uwazam ze java i tak jest bezpieczniejsza od wielu innych “dziwnych” rozwiazan

    • @angelus, wspominałem o podpisie cyfrowym. Poza tym nie wszystkie banki wymagają javy na pokładzie. Powiem więcej, żaden polski bank mi do głowy nie przychodzi (jakiś przykładzik poproszę). Na zachodzie wygląda to trochę inaczej (zresztą obecnie zajmuję się developerką dla banku z GER i wiem jak to wygląda), ale też nie jest tak, że musisz mieć javę.

    • Javę w przeglądarce mam zablokowaną od lat i jak do tej pory włączyć ją musiałem tylko w dwóch miejscach – w serwisie jednego z czterech banków, z którymi miałem kiedykolwiek styczność i na jednej stronie urzędu (btw – włączenie Javy niewiele pomogło :P)
      Mylenie Javy z JavaScriptem jest nagminne, ale upieranie się, że Java coś konkretnego robi w przeglądarce na codzień to u osoby używającej komputera do pracy już luka w edukacji.

      Ciekawostka:
      Skąd nazwa JavaScript? Gdy język ten powstawał (pan Brendan Eich dostał 10 dni na wymyślenie) Java była jedynym sposobem na napisanie działającego warunku if uruchamianego w obrębie strony internetowej u użytkownika i bardzo gwałtownie popularyzowała się. Ze względu na tą popularność i przekonanie, że nie ma nic innego – wybrano nazwę JavaScript jako taki chwyt marketingowy. Wpłynęło to też na kilka mniej udanych pomysłów w samym języku, których do dziś wszyscy muszą pracochłonnie unikać (wiem, bo za to mi płacą). A dlaczego pan Brendan miał tak mało czasu? Bo Microsoft miał już swoje pomysły i przełozony powiedział coś w stylu “Masz 10 dni na zrobienie języka programowania do przeglądarki, albo wydarzy się coś znacznie gorszego” :)

    • angelus 2012.07.17 10:36 | # | – Ty nie rozróżniasz Javy od Javascript. To są 2 zupełnie różne języki programowania. Nie słyszałeś nigdy o virtualnej maszynie Javy?
      Java jest rzadko używana na stronach.

  7. @sig – wystarczy, że będzie czekał na komendę “sudo”. Zauważ, że na krótko zapamiętuje ona hasło – podana drugi raz go nie wymaga, chyba że upłynie limit czasu.

    • Takowa musiała by ona wystąpić w tej samej sesji, co czyniło skuteczny atak dość rzadkim No chyba że ktoś ma włączone jej przywracanie, wtedy być może szkodnik bez roota dałby radę “przetrwać” wylogowanie/wyłączenie systemu

    • @Leo: Nie wystarczy, od jakiegoś czasu (w zasadzie nie wiem nawet jakiego) sudo zapamiętuje hasło dla konkretnego terminala (a przynajmniej tak robi w Gentoo). W jednej sesji możesz co chwila używać sudo i już nie podawać hasła, ale w sąsiedniej będziesz musiał najpierw podać swoje hasło.

  8. java =/= javascript…

    P.S. Czemu na mobilnej wersji niebezpiecznika nie można odpowiedzieć na dany komentarz tylko można dodać ogólną odpowiedź. :)

  9. @angelus Czy ty odróżniasz Javę od Javascriptu?

  10. Nie macie wrażenia, że wszystkie wasze informacje to złe informacje? Delektujecie się wyciekami, kradzieżami danych, atakami hakerskimi, trojanami itd. Wygląda to jak najgorsza forma dziennikarstwa. Karmienie się tanią sensacją.

    • raczej ostrzegamy i informujemy, żeby podatni na atak mogli się dowiedzieć i zdążyli zareagować.

    • Nikt Cię nie zmusza do czytania, jest wiele innych stron w internecie, może któraś Cię zaciekawi.

    • twój wykop jest tam —->

    • rozumiem, że niemówienie dzieciom, skąd się biorą dzieci zapobiega niechcianym ciążom w przyszłości?
      Lepiej żeby user wiedział wcześniej niż osoba, która chce to wykorzystać.

    • @Radek: Myślisz, że przydałoby się na Niebezpieczniku więcej pozytywnych newsów?

      Tzn. w stylu “Witaj, świecie! Jest wtorek, 17 lipca, godzina prawie piętnasta, a SONY nie zostało dzisiaj jeszcze zhakowane!”, albo “Radujmy się, Ubisoft ujawnił, że nowe nie-do-złamania zabezpieczenie Azazyns Kriid 4 będzie nowsze i nie-do-złamańsze, niż poprzednie”?

      No faktycznie, coś w tym jest, od razu czułbym się bezpieczniej :)

    • @WRonX – wygrał Pan dzisiejszy internet (o cholera, to zbyt pozytywnie zabrzmiało, pozwólcie zatem, że kontynuuje) pełen malware’u.

    • Nie ma prawie w ogóle pozytywnych rzeczy na niebezpieczniku: dobrych rad, porad, narzędzi do sprawdzenia zabezpieczeń, rekomendacji itp. Są tylko złe wiadomości plus chcesz wiedzieć więcej przyjdź na nasze szkolenie.

      niebezpiecznik napędza atmosferę ciągłego zagrożenia i ataku obcych co kojarzy (mi) się z PiS.

    • @Radek W tekście który komentujesz jest porada – wyłącz jave. Z tekstu jeden niżej – nie bądź naiwny, ta usługa niby-za-darmo ma dostęp do części twoich danych, tekst kolejny: nie wykonuj nikomu przelewów na 1pln, bo możesz aktywować konto na swoje dane z którego skorzysta słup. Ja nie wiem jak ty czytasz, jeśli nie widzisz wartości dodanych. Może lepiej nie czytaj nas a kompputer świat, tam masz grafy, ikonki i chyba same porady, żadnego ‘straszenia’ i brutalnej rzeczywistości ;)

    • @Radek: W końcu to Niebezpiecznik, a nie koncert życzeń. ;-)

    • @Radek Nie masz wrażenia że te wszystkie informacje związane są z tematyką tej strony? A nazwa “Nioebezpiecznik.pl” też raczej z nikąd się nie wzieła.

    • Czytam ze zrozumieniem hasło strony: “O bezpieczeństwie i nie…”.
      Może warto zmienić na: “O niebezpieczeństwie”.

      Przekaz strony jest w 95% negatywny i powoli mnie mdli, ale przecież 15 tysięcy miłośników na fejsie nie może się mylić…

    • @Radek, nie mam dziś siły na troli, więc ulżę Ci w cierpieniu, przekierowując twój adres IP na stronę {durex/dowolnego antywirusa/zwolenników kontroli na lotniskach}, żebyś mógł czytać tylko marketing bullshit i żebyś przypadkiem nie dowiedział się o nowym niebezpieczeństwie (uważaj, na stronie Durex mogą straszyc HIV-em).

    • @up: A on może mieć zmienne IP, więc ma wyższy poziom hackingu :)

      Niebezpiecznik zaprasza na szkolenia i bardzo dobrze – niech Piotrek ma za co żyć, od niego dowiedziałem się już o niejednej ciekawej rzeczy. A opis strony to raczej najmniejszy problem – NK ma opis “Portal dla ludzi z klasą”, czy to oznacza, że są tam jedynie wyższe sfery, bogacze, którzy dyskutują na temat wyższości złota nad nieruchomościami (lub odwrotnie) ? :)

      Lubię te artykuły jeszcze za jeden fakt – piszą (ogólnie, czasami zdarzają się błędy) poprawnie gramatycznie. Po prześledzeniu tysięcy wpisów, które ranią moje “grammar nazi” oczy, miło jest poczytać wpis, w którym dowiaduję się, że mam konto na jakimś forum i właśnie poznano mojego (starego) e-maila oraz hasło (do śmieciowych forów).

  11. Uważam się za laika w tej dziedzinie, ale wydaje mi się, że kilka osób pomyliło Javę z JavaScriptem. Według mojej skromnej wiedzy, to są dwie różne rzeczy. Skoro w artykule mowa o “aplecie”, to – moim zdaniem – chodzi o Javę a nie o JavaScript.

    Z JavaScript korzysta bardzo dużo stron. Z Javy – niewiele. W każdym razie niewiele z tych, na których ja bywam, a bywam na wielu różnych.

  12. A pyta grzecznie o haslo roota? :P

    Pozdrawiam.

    Andrzej

  13. Co co już *muszą* *muszą* mieć javę i inne wynalazki i używają Linuksa, polecam ograniczenie procesów przeglądarek via AppArmor. Rada dla tych oczywiście, którzy wiedzą jak się tym posługiwać lub posiadają odpowiednią dawkę zaparcia aby zdobyć wiedzę na jego temat.

    • No chyba że mają np. Ubuntu, tam standardowo jest utworzony profil AppArmor dla Firefox.

    • warto wtedy wykonać:
      sudo aa-enforce /etc/apparmor.d/*

  14. no jak to wyłączyć jave? a jak wejdę na czaterie bez javy ? – joke ^^

    • Albo PolChata. Albo Kurnik. Albo Playforię, która oferuje chyba najlepszy sieciowy bilard w necie (na Miniclipowym nie ma snookera)

  15. Skoro w konfiguracji firefoxa jest wpis “dom.ipc.plugins.java.enabled; false” oznacza to, że java jest domyślnie wyłączona?
    Jest też fajny dodatek QuickJava 1.8.0, który pozwała na wyłączenie Javy, JavaScript, … i nie tylko. Po zainstalowaniu dodatku nie da się jej włączyć.
    Nie wiem jak to jest w Google Chrom.
    Używam m.in. Fedory.

  16. Według mnie powinien tego trojana zbadać cert.pl

    • Może jeszcze ABW, FBI, CBŚ i parę innych trzyliterowych organizacji ; d

  17. A ktoz dzis korzysta z Javy? come on … to jak wieczny honeypot wystawiony w siec. O zagrozeniach zwiazanych z Java wiemy od dawna, a multiplatformowa natura Javy tez daje do myslenia. Pomijam juz fakt, ze dzis juz prawie nic z Javy nie korzysta.

    • a te ogloszenia o prace – poszukuje developerow javy – to tak biora sie znikad ?
      sam osobiscie dostalem juz kilka takich i znam pare firm [ agencji ] ktore nagminnie poszukuja java developerow
      multiplatforma javy to akurat jest jej bardzo duza zaleta a nie blad,a zagrozenia wynikaja w 99% z niedbalstwa/ niedouczenia programistow a nie jezyka samego w sobie

    • @angelus, tak developerów javy ale dla aplikacji po stronie serwera – Javy Enterprise Edition (JEE). Czegoś czego klient nawet na oczy nie widzi, bo dostaje czysty HTML + JavaScript.

    • Henry – Java jest jednym z najpopularniejszych języków programowania TOP 5. Coś Ci się pomyliło. To nie lata 90′. kiedy Java była toporna i wolna. Dziś to jest coś zupełnie innego i jest bardzo szybka. Wszystkie. Jak myślisz, w czym są pisane aplikacje na Androida?

      Jedną z granic bezpieczeństwa jest virtualna maszyna/ system/ dysk. Java posiada wiele zabezpieczeń. nie wykonasz kodu Java bez virtualnej maszyny.

  18. @Henry, chciałbym żebyś mówił prawdę, ale niestety tak nie jest, wszelkiego rodzaju IPMI/BMC mają aplety online na javie. I chyba (?!?!?!) android jest oparty o jave.

  19. W Chrome mniej znane wtyczki są domyślnie zablokowane, po wejściu na stronę pojawia się pasek, na którym można kliknąć, żeby włączyć wtyczkę.

  20. A co z *BSD? Wersja Linux’owa może się dobrać do systemu czy *BSD są póki co bezpieczne?

  21. Czy naprawdę nikt oprócz mnie nie zauważył na screenshocie w artykule napisu “Lubię uściski”?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.