20:41
31/3/2015

Kilka dni temu odezwał się do nas Alladyn2. Tak, to ten sam Alladyn2, który 2 lata z rzędu włamywał się do sieci wewnętrznych najpierw kancelarii premiera, a potem takich instytucji jak kancelaria prezydenta, MSZ czy MON-u. Tym razem jednak Alladyn2 nie podesłał kalendarzy ani e-maili ministrów. Podesłał coś lepszego — próbkę złośliwego oprogramowania, które jak udało nam się ustalić jest wykorzystywane przez polskie wojsko do działań ofensywnych w cyberprzestrzeni… Oto nasz rodzimy Stuxnet!

TL;DR: Otrzymaliśmy plik wirusa tworzonego dla MON. Część z Was może być nim zainfekowana. Prosimy Was o próbki do analizy. Instrukcje czego szukać na dysku na końcu artykułu.

ID29 — polski wojskowy wirus

Wszystko wskazuje na to, że mamy w rękach wynik niesławnego Projektu 29 (tzw. “id29”), którego początki opisywaliśmy jako pierwsi w 2013 roku. Sprawa wyszła na jaw, gdy okazało się że MON zagapił się i nie utajnił przetargu wyłaniającego firmę, która miała stworzyć polskiego rządowego trojana za 6 milionów złotych.

Przypomnijmy, że ID29 miał mieć takie funkcje jak:

    – przejmownie kontroli nad urządzeniami sieciowymi i mobilnymi
    – celową dezaktywację niektórych urządzeń
    – prowadzenie nasłuchu
    – wykradanie danych w ramach ukrytej transmisji

Co z tego udało się zrealizować? Alladyn2 twierdzi, że sporo…

Buszując po jednej z wewnętrznych sieci rosyjskiej instytucji rządowej (w tym roku ze względu na wydarzenia na Krymie przerzuciłem się na naszych sąsiadów) natknąłem się na ciekawy katalog zawierający 3 pliki:

C:\Documents and Settings\xxx\My Documents\nato-poland\hDhsyW.pdf.pif
C:\Documents and Settings\xxx\My Documents\nato-poland\hDhsyW.pdf (ten ma atrybut pliku ukrytego)
C:\Documents and Settings\xxx\My Documents\nato-poland\f14950b970bc87ca183072dcdc40f738.conf (ten ma atrybut pliku ukrytego)

W pliku .conf znalazłem coś na kształt instrukcji startowych, jakieś maski plików i adresy IP. Wydaje mi się, że to polecenia dla binarki, która po uruchomieniu szuka plików po podanej w konfigu masce a następnie wysyła je na serwery o podanych w konfie adresach IP. Przesyłam Wam tą binarkę bo wujek Google mówi, że f14950b970bc87ca183072dcdc40f738 to md5(“id29”) co skojarzyło mi się z projektem MON, który opisywaliście na Niebezpieczniku jakiś czas temu. Niestety konfa nie udało mi się zgrać za pierwszym razem, a potem straciłem dostęp do tej maszyny, Ruscy jednak wykryli mnie szybciej niż KPRM :]]

MD5 dla .pif to: c1aa955e57409bcacf3d5b68abd46945

PS. Na koniec mały bonus. Jedna z pracownic kancelarii prezydenta od 2 lat nie zmieniła hasła do swojego webmaila… :]

Dopisek redakcji: Tu warto wspomnieć coś, z czego być może nie wszyscy zdają sobie sprawę. Plik z roszerzeniem .pif w systemie Windows nie pokaże się jako .pif, a jako .pdf (rozszerzenia .pif nie są pokazywane nawet przy włączonej opcji pokazywania rozszerzeń). Jest to więc bardzo sprytny sposób na to, aby zmanipulować kogoś do otworzenia pliku, który — choć wydaje się być PDF-em — to nim nie jest.

Analiza potwierdza, że to dzieło Polaków

Pobieżna analiza pliku .pif przekazanego przez Alladyna2 pokazała, że po uruchomieniu szuka on na dysku pliku f14950b970bc87ca183072dcdc40f738.conf i zaraz po jego odczytaniu, kasuje go. Następnie wyświetlany jest plik PDF z czymś, co wygląda jak artykuł na temat Polskiej współpracy z NATO:

Fragment pliku PDF uruchamianego przez trojana po jego odpaleniu

Fragment pliku PDF uruchamianego przez trojana po jego odpaleniu

Dlaczego wydaje nam się, że ten malware to w istocie monowski ID29? Otóż jednym ze stringów zaszytych w binarce w miejscu zawierającym nazwę komputera developera przewija się nazwa polskiej firmy, która koniec końców wygrała konkurs MON-u i rozpoczęła realizację projektu wirusa. Na chwilę obecna zdecydowaliśmy się na nieujawnianie jej nazwy (czekamy na oświadczenie firmy).

Fragment nazwy komputera sugerującego przynależność do firmy, która wygrała przetarg na stworzenie Projektu 29

Fragment nazwy komputera sugerującego przynależność do firmy, która wygrała przetarg na stworzenie Projektu 29

Aktualnie pracujemy nad tym, aby zrozumieć jak dokładnie działa ID29. Brakuje nam jednak danych. Próbka pozyskana przez Alladyna2 wydaje się być bardzo wczesną wersją trojana a używane przez jego autorów numerowanie sugeruje, że wersji malware może być więcej. Niestety próby szukania plików ID29 (po nazwach i hashach) w Google oraz w repozytoriach z próbkami malware producentów antywirusowych zakończyły się niepowodzeniem…

ID29 atakuje też Polaków

Przed publikacja tego tekstu poprosiliśmy kilku znajomych współpracujących z rządowymi instytucjami o nieoficjalne informacje w sprawie wirusa. Jeden ze znajomych, nazwijmy go Jacek, po zapoznaniu się z wiadomością od Alladyna2 zauważył, że w jego systemie także znajduje się plik .conf o takiej samej nazwie jak ten pozyskany z rosyjskiego komputera, na który włamał się Alladyn2. U Jacka nie ma jednak żadnych PDF-ów czy .pif-ów.

Jacek nie przypomina sobie jednak, aby pobierał jakiegokolwiek załącznik z artykułami na temat NATO. Data stworzenia pliku wskazuje na “okolice codziennej porannej kawy i prasówki“. Aktualna hipoteza więc jest taka, że plik został zapisany na dysku przy pomocy ataku drive-by download. Żeby było ciekawiej, Jacek zapiera się, że korzysta z aktualnego Firefoksa _bez_ jakichkolwiek pluginów — czyli odpadają luki we Flashu i Javie.

Niestety w pliku konfiguracyjnym u Jacka, w przeciwieństwie do pliku znalezionego przez Alladyna2 na rosyjskim komputerze, nie ma żadnych adresów IP. Ciężko jest więc zrozumieć jak Projekt 29 zachowuje się kiedy jest instalowany na polskich komputerach. Dlatego…

Prosimy Was o pomoc

Jacek po przeanalizowaniu historii swojej przeglądarki z daty wskazanej jako data stworzenia pliki konfiguracyjnego ID29, stwierdził, że podczas porannej prasówki przeglądał jedynie poniższe strony:

wp.pl
facebook.com
tvn24.pl
dobreprogramy.pl
plotek.pl
wprost.pl
thepiratebay.se
demotywatory.pl
wykop.pl
sejm.gov.pl

Jeśli w ciągu ostatnich 2 tygodni odwiedzaliście którąś z powyższych stron, przeszukajcie swoje dyski twarde pod kątem pliku konfiguracyjnego wirusa:

f14950b970bc87ca183072dcdc40f738.conf

A jeśli znajdziecie taki plik, prześlijcie go do nas na adres malware@niebezpiecznik.pl. Jeśli pamiętacie co robiliście w dniu i godzinie odpowiadającej czasowi stworzenia pliku, bardzo prosimy abyście dopisali to w e-mailu.

WAŻNE: w przypadku odnalezienia pliku nie wpadajcie w panikę. Jeśli go widzicie, to wszystko wskazuje na to, że o ile kod z wirusem trafił (w jakiś sposób) na Wasz komputer, to nie został z jakiegoś powodu jeszcze wykonany (być może w ogóle kod nie wykonuje się na komputerach Polaków?). Po odpaleniu bowiem, plik konfiguracyjny jest natychmiast kasowany z dysku ofiary.

Z powyższego wynika, że obawiać należy się, jeśli nie znajdziecie tego pliku. Może to bowiem oznaczać, że albo w ogóle nie jesteście zainfekowani Projektem 29, albo Projekt 29 was zainfekował, a po uruchomieniu “posprzątał” po sobie.

Postaramy się niebawem uchwycić inne charakterystyczne cechy zainfekowanego systemu i przekazać Wam bardziej precyzyjne instrukcje sprawdzenia tego, czy jest się zainfekowanym ID29. Póki co dalej “rozbieramy” binarkę z rosyjskiego komputera. Stay tuned!

PS. Dla jasności – nie planujemy popełniać żadnego samobójstwa.

Aktualizacja 21:41
Mamy już próbki od czytelników z Windows 7 i XP oraz Mac OS X — dzięki! Dodatkową cechą wspólną wszystkich “ofiar” jest posiadanie zainstalowanego oprogramowania TOR. Dodatkowo, wygląda na to, że w obrębie każdego z systemów config jest taki sam — różni się jedynie w maskach plików (zapewne dlatego, że w zależności od systemu ścieżka do plików konfiguracyjnych programów, którymi zainteresowany jest ID29 jest inna). Będziemy wdzięczni a przesyłanie tylko próbek z systemów Windows 8, do tej chwili nie wpłynęła ani jedna.

Niebawem więcej info, analiza trwa.

Aktualizacja 22:00
Z rozmów z osobami, które podesłały plik konfiguracyjny wynika, że część z podanych przez Jacka stron można wykreślić. Co najmniej 2 osoby, które podesłały nam plik, nigdy nie były na plotek.pl i tvn24.pl

Aktualizacja 8:45
Ukończyliśmy wstępną analizę trojana i zainfekowanych nim systemów. Kończymy pisać drugiego posta w którym opiszemy jakie zmiany do systemu ofiary wprowadza ID29 i pokażemy jak krok po kroku sprawdzić, czy jest się zainfekowanym. Publikacja ok. 10:00.

Aktualizacja 11:04
Opublikowaliśmy wyniki analizy wirusa oraz szczegółowe instrukcje jak sprawdzić, czy twój komputer jest zainfekowany wirusem ID29 -> Jak sprawdzić czy jesteś zainfekowany Projektem 29, czyli polskim wirusem wojskowym.

Aktualizacja 2.04.2015
Ten post był elementem żartu primaaprilisowego.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

110 komentarzy

Dodaj komentarz
  1. Rozszerzenie .pif nie jest wyświetlane ale Windows automatycznie zmienia ikonę takiego pliku – łatwo zauważyć.

    • “Plik z roszerzeniem .pif w systemie Windows nie pokaże się jako .pif, a jako .pdf (rozszerzenia .pif nie są pokazywane NAWET PRZY WŁĄCZONEJ OPCJI POKAZYWANIA ROZSZERZEŃ).”
      Co za #### to wymyślił? To już Windows 95 był mądrzejszy i NIE udostępniał domyślnie folderu Users w sieć… Co wersja, to większe g###…

  2. Podzielcie się próbką tego arcydzieła zawierającego tyle danych ujawniających skąd,dokąd przez kogo i gdzie
    NIe bądźcie tacy, w końcu kultura hakierska to kultura darów no i pan bóg kazał się dzielić :)

    • Podeślij maila na malware@niebezpiecznik.pl (ale z takiego adresu, który pozwalałby na identyfikację konkretnej osoby i wskazywał, że zajmuje się etyczną stroną bezpieczeństwa).

    • Ma ktoś pliki tego wirusa? Jeśli tak to proszę o przesłanie kopii na incognito1337@interia.pl

  3. Co do rozszerzenia .pif (nie wiedziałem o nim za nim nie przeczytałem o nim tutaj).
    Chciałem się pobawić i utworzyłem plik z rozszerzeniem .pif ale nie zamienił się na pdf ale na skrót do programu MS-DOS. Coś o tym wiecie ?

  4. A po co to ukrywać.Im więcej ludzi o tym wie tym mniej będzie zainfekowanych.

  5. Teraz dla jaj można koledze podrzucić pliczek f14950b970bc87ca183072dcdc40f738.conf wypełniony jakimś bełkotem : )

  6. Nie znalazłem pliku, co robić, jak żyć? :(

  7. ja złapałem z wykopu.

    ;]

  8. Oj robicie sie niewygodni dla pewnej grupy osób :)

    W razie czego, miło się was czytało!

  9. No to już wiadomo za co odpowiedzialny jest asystent pobierania na dobreprogramy.pl!

    Nie spodziewałbym się tego po tak (kiedyś) renomowanym portalu..

  10. Podesłałem z windows 8. Gdybyście jednak mieli popełnić samobójstwo, wklejam poniżej zawartość dla przyszłych pokoleń.

    —-
    [prof8]
    monfiles = .*torrc$|.*vidalia\.conf$|.*polipo\.conf$|.*localstore\.rdf$|.*storage-mozStorage\.js$|.*passwordManager\.xul$|
    ccip = (usunięte — dop. moderatora)
    —–

    Nie mam pojęcia co to znaczy, ale mam nadzieję, ze ktoś mi to wytłumaczy.

    • Myślę, że monfiles, to rozszerzenia plików (regex), którymi wirus jest zainteresowany. CCIP – nie wiem. Może coś z IP? Też nie mam zamiaru popełniać samobójstwa :p

    • CCIP – Command Center IP? :)

  11. Nie wierzę w to, że polska armia zrobiła wirusa, który jako tako działa. Natomiast wierzę, że jeśli go już zrobili, to zostawili nazwę swojej firmy w kodzie :D

  12. Możecie podać te adresy IP serwerów znajdujące się w pliku? Można by dzięki temu monitorować swoje połączenia pod ich kątem i w ten sposób dojść, czy jest się zainfekowanym i czy jakieś dane są od nas przesyłane, albo z góry je zablokować na firewallu.

    • Podamy w kolejnej aktualizacji. Odsiewamy teraz to co działa od tego co nie działa. Część z IPków z konfigów nie odpowiada, część kieruje na vpsy z OVH (świeże, sądząc po uptime wywnioskowanym na podstawie tcp.timestamp), a część rzeczywiście nasłuchuje na portach, na które próbuje się łączyć malware.

    • Ciekawe, czy CERT postawi sinkhole’a :-)

  13. Świetny artykuł aż chce się o takich rzeczach czytać. Czekam na więcej informacji o tym wirusie i o charakterystycznych zachowaniach zainfekowanego systemu.

  14. kurde, nic nie znalazłem i teraz nie wiem czy się śmiać czy płakać….

  15. dobreprogramy.pl do wykreślenia – kilka razy wchodziłem z TORa i bez niego – czysto.

  16. Może taki mały protip jaka jest lokalizacja tego pliku .conf?

    • Różne miejsca. Niektórzy maja w “moich dokumentach” inni w c:\Downloads, a niektórzy …w katalogu z profilem Firefoksa.

  17. Ważne pytanie – skąd te konfigi? Jak widać zawierają one już instrukcje, czego wirus ma szukać. Ciekawe jak się je rozprowadza…

    BTW: Możecie podać fullpatha do tego konfiga?

  18. ja osobiscie obstawiam dobreprogramy tam ogrom “dodatków”

  19. Atak chyba w ,,wycelowanych” (…albo z odpowiednią wersją Windowsa, której pewnie nie mam) użytkowników – wchodziłem na podane strony z sieci komórkowej i domowej (oczywistym jest użycie oniona :)) i nie ma pliku. W 1 902 plikach *.conf nie mam żadnego podobnego do sumy MD5.

  20. Swoją drogą to dość śmieszne że Polsce na takie rzeczy robi się przetragi i to wszystko odbywa się w taki sposób, jak dalece w tyle musimy być za tymi którzy gaszą światła.
    Sądzę że przynajmniej ci liczący się gracze na świecie USA/RuSSia/Chiny mają zastępy ludzi którzy robią takie rzeczy na pełen etat i są intensywnie szkoleni z technik exploitacji – to w sumie rzecz powszechnie wiadoma i dlatego to “przynajmniej” bo wcale nie zdziwił bym się gdyby poza kilkoma wyjątkami Polska była jedynym w którym trzeba robić przetargi

  21. Ja miałem coś takiego w pliku
    I2hlaGVzemtpIG5pZWJlenBpZWN6bmlrLnBsIA0KdG8ganXFvCAxIGt3aWV0bmlhID8g

  22. Możecie podać więcej info, np: nazwa procesu, inne pliki itd.?

    • Proces i pliki ci nic nie dadzą, bo w każdym przypadku (poza configiem) są losowe. Mamy jednak mały sukces. Namierzyliśmy domenę do której co jakiś czas łączy się wirus po nowe instrukcje. Za parę chwil w aktualizacji podamy co zablokować i jak na podstawie tego połączenia wykryć ID29 w akcji.

  23. W USA NSA nie potrzebuje przetargu jak u nas. Nie ma jakiegoś tam prawa o dostępie do informacji publicznej. Tajne, bo tajne i koniec. Dziwią się potem, że trudniej amerykańskie wirusy wykryć…

    • Bzdury gadasz, właśnie w USA jest o wiele lepiej z dostępem do informacji publicznej, tam oczywistym jest, że to, co zrobione za publiczne pieniądze jest publiczną wartością. Tyle, że żeby uzyskać dostęp do czegoś konkretnego, trzeba zacząć bardzo konkretne pytanie o bardzo konkretną rzecz, a nie będziesz wiedział jaka to konkretna rzecz, bo rząd sam z siebie tajnych operacji nie ujawni. ;) Ale po każdym wycieku media zalewane są tonami informacji uzyskanych przez szperanie coraz głębiej po na przykład kryptonimach operacji… ;)

    • @marsjaninzmarsa:
      Kłóciłbym się :
      http://www.theblot.com/exclusive-stingray-maker-asked-fcc-to-block-release-of-spy-gear-manual-7739514

  24. ROTOR Projekt.

    • Też mi się tak właśnie z TOR-em skojarzyło…

  25. Hmm a macie jakieś doniesienia o linuxach które padły “ofiarą” ? Aczkolwiek widząc że Mac OS X jest to pewnie i linux się nie uchronił.

  26. To ogólnie ciekawa tematyka – czy Polscy specjaliści od bezpieczeństwa powinni zajmować się rozpracowywaniem polskiego wirusa wojskowego? ;)

    • Zdecydowanie tak, nie życzę sobie, żeby w MOIM sprzęcie siedział jakiś szpieg, który wynosi władzy moje prywatne dane. Władza nie musi wiedzieć co mam na dysku.

  27. Jak na lamerkę przystało muszę zapytać, linux bezpieczny jest?

    • no i nawet jak jakimś cudem znajdzie się gdzieś w home to co zrobi? bez uprawnień roota będzie zwykłym bezużytecznym śmieciem..paranoicy mogą sobie wykopać profil przeglądarki i wsio

    • zygi: no chyba, że jakiś privilege escalation 0day… ;-)

    • @zygi ale po co malwerowi w obecnych czasach root? wszystko co interesujące jest w home uzytkownika, i taki malware działający na prawach usera w zupelności wystarczy do zebrania i wysłania danych z konta usera.

    • Otóż to, po co wirusowi root? Co chce i tak ma jak na talerzu, ale i tak wciąż jak mantrę będą powtarzać “na linuxa nie ma wirusssuff ha!”…

    • #Soliusz

      może i są ale totalnie nieszkodliwe, chyba że niedoświadczony użyszkodnik na to przyzwoli..to może mi powiesz jak niby wykona się ten plik twoim zdaniem bez nadania mu atrybutu przez usera? hm?

  28. Wiadomo jak z systemami linuxowymi?

  29. Nice try Niebezpiecznik :> Za duży science fiction, jakbyście nie dali Max OS X i TOR-a, to może ktoś by się nabrał :> Poza tym to nie fair, bo jest jeszcze 31 :P

  30. czy możecie dać link do pobrania binarki? Albo chociaż analizy na malwr?

    • lecimy w lokalnym sandboksie, nie wrzucamy tego na malwr – po co dawać payloady obcym służbom? binarke udostępnimy jak będzie jasne, że nie ma żadnych 0day’ów – właśnie kończymy ssać ostatnie poprawki dla najnowszgo windowsa.

    • “binarke udostępnimy jak będzie jasne, że nie ma żadnych 0day’ów”
      Ceny na czarnym rynku 0day’ów by szybko spadły… ;>>

  31. Czy ktoś już to zgłosił do prokuratury ? Łamanie zabezpieczeń jest karalne ;)

  32. “PS. Dla jasności – nie planujemy popełniać żadnego samobójstwa.”
    Wy nie… ;)
    http://witamy-w-polsce.pl/uploads/06/ec0da688f7ba0bda008c82f388ad8b5a.jpg

    • To już się ludzi nie znika?

  33. Wybaczcie ,ale jeśli wy jesteście w stanie “rozpracować” tego wirusa to straszna amatorka to jest. Fakt alladyn podsunął dużą część informacji jak to działa i tak dalej ale mimo wszystko trochę amatorsko to wygląda jak na wirusa….

  34. Linux user ^^

  35. Codzień odwiedzam te strony i wyszukałem poleceniem find / | grep “f14950b970bc87ca183072dcdc40f738.conf” partycje systemową windows i linux i niczego nie znalazło.Czyli to jakoś infekuje wybiórczo.A raz wszedłem na strone niebezpiecznik.pl i mnie przekierowało na 127.0.0.1 czy wy też hakujecie przeglądarki ?

    • Niczego nie możesz być pewien… ;)
      “po uruchomieniu szuka on na dysku pliku f14950b970bc87ca183072dcdc40f738.conf i zaraz po jego odczytaniu, KASUJE GO.”

  36. Jacek coś podczas porannej prasówki nie przeglądał niebezpiecznika, przypadek? :D
    Ja bym teraz uważał, kto wie czy odpowiednie Służby zamiast przyjść popełnić samobjóśtwo to nie przyjdą i nie wmuszą jakiegoś skryptu ukrytego na niebezpieczniku, w końcu grono odbiorców idealne… :mrgreen:

  37. Cały rok czekałem aż polska wymyśli coś klasy stuxnet, ale im to nie wyszło bo wszyscy już o tym wiedzą…

  38. wielkie podziekowania dla alladyna2 za zdobycie tych plików i wydobycie sprawy na światło dzienne. jeszcze wieksze podziekowania dla Piotrka za profesjonalne opisanie i potraktowanie sprawy. czekam z niecierpliwoscia na dalsze wyniki analiz. pozdrawiam.

    • Powinieneś pisać cyrlicą ;)

    • To wspaniale ze wskazal tym na wzchodzie na problem robaka, kapitalnie.

    • Alladyn2 == PolskiSnowden ;)
      a Pan Piotr nie pracuje sam… prawie pewien jestem, ze to nie on pisal ten artykol.

  39. Jak odnalezc ten plik?

  40. Bardzo fajnie przygotowany news prima aprilisowy, jak zwykle zresztą.

  41. if (prima_aprilis == false)
    {
    Dlaczego nie udostępnicie tych plików publicznie?

    Skoro to malware, więcej ludzi może pomóc. Nie publikując tych plików de facto KRYJECIE przestępców.

    Czy posiadacie licencję na HIEW skroro już jego screenshoty pokazujecie?
    }

  42. Nazwa pliku .conf jest zawsze taka sama? Chce przeszukać PC czy mam i bym wam podesłał

  43. Ciekawe czy moje komentarze zostaną opublikowane po ogłoszeniu, że powyższe to żart na prima aprilis. Druga sprawa, to skąd NB wziął tylu trolli (te pytania w komentarzach)? Od przyjaciół za wschodniej granicy? Nie wierzę, że tyle osób może być tak naiwnych.

    PS. Mój wcześniejszy komentarz dotyczył waszego falstart’u, post ten ukazał się jeszcze 31.03.

  44. Znalazłem u siebie plik z konfigiem. Odczytać go nie dam rady, bo coś go blokuje. Ale ciekawszy był plik który miał tę samą datę i godzinę utworzenia i nazwę “837f04cdcd270381ac78cb079b05941f” (bez rozszerzenia) a jego zawartość to. “Забяспечаныя АНБ. Не можаце перавесці гэты тэкст”
    Oczywiście translator googlowy poszedł w ruch, a co z tego wyszło mnie przeraziło.

  45. Czy binarka jest zaszyfrowana jakimś crypterem?
    Jak nie to zapewne niedługo antywiry będą go wykrywały i po ptokach

  46. Nawet nie czytałem, bo nie wierzę w nic co publikujecie 31 marca wieczorem.

  47. Witam,
    Od kiedy sygnatura PK należy do pliku *.pif?

    Czy nie jest to przypadkiem http://goo.gl/xoNpGS ?

  48. To nie wirus, to Microsoft Visual C++ 2008 Redistributable Package (x86)
    Zobaczcie na URL poniżej:
    https://www.microsoft.com/en-us/download/confirmation.aspx?id=29

  49. Ja znalazlem podejrzane pliki conf w katalogu home_dir/Downloads na Ubuntu:

    a14950b970bc87ca183072dcdc40f738.conf
    pl3d4f5j7s8d3f7sd6f8s6df6sdifhysdff.conf
    r32i4os5a5pd5o5a6s6j77777657ldjhf.conf
    isd98sfd3f2fsd4f8sd76r4e2ewr3wer4.conf
    l98khsdfiygsdf76sd57astgjasd786ast.conf
    1dsfsd987sfd867g68876h76h36g5j5h.conf
    s876dsf86765sdf765fsd7f5sd765sdf7.conf
    t6dfsdfs9dfsd9f87987sdf987sdf97ff6l.conf

    Czy to moze byc powiazane? Moze ktos sprawdzic, kto ma linuksa?

    • A co jest w tych plikach?
      Plik w artykule miał pierwszy człon nazwy składający się tylko ze znaków szesnastkowych.

    • @mat

      Wydaje mi sie, ze o wszystkim decyduja pierwsze litery plikow. Mozesz to potwierdzic?

  50. Można by szukać wszystkich plików o podobnej strukturze nazwy – np. poprzez regexpa:
    locate conf | grep [0-9a-f]{16-}\.conf

    Jeśli program usunął plik .conf, to pewnie da się go odzyskać – można puścić fls ze sleuthkita na danej partycji – coś w stylu:
    fls /dev/sda1 -r | grep [0-9a-f]{16-}\.conf

  51. Skoro celem ataku mieli być Rosjanie, to dlaczego próbka miałaby być dystrybuowana na serwerach przeznaczonych dla Polaków (takich jak demotywatory.pl)?

    • Może dlatego, że na demotywatorach widać materiały ewidentnie przygotowywane przez służby propagandowe ze wschodu? I tak “po kablu do kłębka”?

    • Bo tak jest największa aktywność ‘zielonych cyber-ludzików’ ;)

    • Bo Rosjanie mają służby do trolowania internetu i pewnie nie jeden komentarz na wp napisany jest przez Iwana ;)

    • A dlatego,że oprócz Rosjan władzunia obawia się też nas – własnych obywateli.Facet od krzesła siedzi,media teraz podają że miał jeszcze jakieś wyroki i leczenie psychiatryczne itd. (ok,może by pasowało – a może nie) Wikileaks ostatnio też publikowało takie tam mejle o B.K i WSI ze Stratforu. Już nie muszę chyba przypominać o takim Kapicy i jego idee-fixe ? Powodów by szpiegować właśnie Polaków ta władza trochę ma. Aha.I to robienie z niektórych “zielonych ludzików” ? No to trzeba będzie jeszcze lepiej przepatrzyć komputer.

  52. “[prof8]
    monfiles = .*torrc$|.*vidalia\.conf$|.*polipo\.conf$|.*localstore\.rdf$|.*storage-mozStorage\.js$|.*passwordManager\.xul$|
    ccip = (usunięte — dop. moderatora)”

    ROTor Project. ? zarażone NODy roznoszą infekcję – “vidalia”

  53. Dodane 31.03 późno wieczorem. Dzień przed wiadomym dniem. Przypadek? Możliwe, ale nie można wykluczyć oczywistego.

  54. A ja mysle ze to wcześniejszy pryma aprilis. Jak by artykul pojmawil się dzisiaj to od razu by wszyscy skumali ocb, a tak to wieczorne zamieszanie a rano będzie sprostowanie :)

  55. Jako rosjanin bardzo dziękuje za wszelkie informację , robicie kupę dobrej roboty :)
    Tak dalej.

  56. cenzura tylko mnie utwierdza :)
    ale wkret zacny naprawde
    szkoda ze moj pierwszy komentarz poszedl do kosza

  57. A ja coś czuje że to zaplanowana akcja. Ale nie polskich służb tylko Pana Koniecznego ;)
    Dzień przed “dniem głupca” łamiąca wiadomość o przełomie w sprawie polskiego zeusa :D
    I jeszcze “Wyślijcie nam plik konfiguracyjny, wcale nie chcemy wam zaszkodzić, przecież nam ufacie, nikt nigdy nie byłby w stanie się pod nas podszyć”. Dodajmy jeszcze że nie wiemy co jest w tym pliku, a tak na prawdę to wiemy i teraz mamy dostęp do pewnych danych których wcale nie chciałbyś udostępnić :) Najważniejsze to zawsze być czujnym :) Eksperci od zabezpieczeń bardzo rzadko proszą gawiedź o pomoc :)

  58. Uwaga, z ostatniej chwili – analiza kodu pokazuje żę 2015.04.01 o 09:00:00 GMT (czyli o 11 przed południem u nas) botnet odpali atak DDOS na serwery MONu. Póki nie jest znany fix lepiej wyłączyć komputery przed tą godziną – na wszelki wypadek nawet te w pracy.

  59. W Windows można włączyć pokazywanie rozszerzeń dla plików .pif. Trzeba skasować wpis NeverShowExt w kluczu HKEY_CLASSES_ROOT\piffile. Poza tym jak już wspomniano w komentarzach, skróty i tak mają dodaną strzałkę do ikonki, nawet jeśli mają ukryte rozszerzenie.
    http://www.grzegorz.net/articles/index.php?id=allext

  60. Ma ktoś pliki tego wirusa? Jeśli tak to proszę o przesłanie kopii na incognito1337@interia.pl

  61. Niezła próba Niebezpieczniku. Złapałem się. :))

  62. Hmm… A może Prima Aprillis takie bardziej wyszukane…

  63. Kasujecie komentarze o 1 kwietnia! Ostatnia cyfra id29 to 9, a za 9 dni jest 10 kwietnia! Piąta rocznica zamachu!
    Przypadek? Nie sądzę…

  64. Ciekawe czemu nazwa firmy miałaby się pojawić w treści pliku ZIP, chyba że ktoś nazwał plik nazwą firmy…..

  65. […] przez polską armię do infekowania komputerów co najmniej Rosjan i Polaków (por. Polski wirus wojskowy autorstwa MON został ukończony — atakuje Rosjan i Polaków). Prosiliśmy też o pomoc w zebraniu plików konfiguracyjnych z zainfekowanych maszyn i nie […]

  66. Szkodliwy adres: sejm.gov.pl
    …na rosyjskim języku.

  67. Znalazłem u siebie f14950b970bc87ca183072dcdc40.pl. Po reinstalacji systemu znów mam ten rekord w swoich dnsach :-/ Może to gówno siedzi w routerze i podmienia dnsy?

  68. dziwna sprawa sprawdzilem na wszystkich maszynach to mam ten dns, jedyny wyjatek to maszyna swiezo po formacie gdzie jeszcze na niebezpiecznika sie nie logowalem ;)

  69. Ojej, dobrze że tego md5 nie posolili, bo byśmy nigdy się nie dowiedzieli kto za tym stoi!

  70. Zaraz zaraz. Firma która robi trojana za 6 milionów złotych jest na tyle głupia żeby nazwać folder jego lokalizacji …/nato-poland/… kur** co ?! Przecież to się kupy nie trzyma

    • jaki kraj taki wirus jego;)

  71. Bzura. Na screenshocie binarki, pokazujecie nagłówek pliku ZIP. Skąd niby nazwa firmy miałaby się tam znaleźć.

  72. “Dodatkową cechą wspólną wszystkich “ofiar” jest posiadanie zainstalowanego oprogramowania TOR”
    Ja nie mam zainstalowanego, a jestem zainfekowany.

  73. To ja uciekam z sieci, pa

  74. Niezły prima aprilis Niebiezpiecznik.pl ;)
    Wasze żarty co roku lepsze :P

    W takim razie jeżeli to “wirus” to czemu “infekujecie” PC :P z tym wpisem 31szego można było mieć nutkę niepewności :P

    Ale cóż…. dla niedowiarków wejdzie sobie na jakies VM ce w cmd i ipconfig /displaydns (brak wpisu) :P pozniej na niebezpiecznik.pl (Ctrl+F5) i sprawdzcie to samo :P

    Nice Try :p

  75. Ratujmy sie! niebezpiecznika tez juz dopadli!!1!oneone

  76. Sorry za reboot 123456 :)

  77. Jeśli identyfikacja narodowości idzie po linii wyboru języka w przeglądarce, to jestem Rosjanką, na szczęście używam bezpiecznej przeglądarki ;-)
    Ustawienie rosyjskiego jako domyślnego języka bardzo ułatwia wyszukiwanie w ruskojęzycznym internecie bez użycia rosyjskiej klawiatury.

  78. O Wy podstępni…

Odpowiadasz na komentarz Py64

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: