10:26
17/9/2011

Właściciele serwisu uTorent.com poinformowali o włamaniu na ich serwery. Atakujący podmienili oryginalne pliki programu uTorrent.com na złośliwe oprogramowanie.

Włamanie na uTorrent.com

Podstawiony plik instalacyjny to tak naprawdę Security Shield — fałszywy antywirus. Malware po instalacji udaje, że wykrył wirusa i prosi o wpłatę celem jego usunięcia.

utorrent

uTorrent

Zainfekowani mogą być użytkownicy, którzy zdecydowali się na pobranie uTorrenta 13 września w godzinach od 13:20 do 15:10. Autorzy uTorrent.com nie podali niestety ile osób pobrało złośliwą wersję uTorrenta w tym czasie. Nie wiadomo także jak doszło do włamania. Jeśli pobraliście w tym czasie coś z serwerów uTorrent.com warto sprawdzić swój komputer pod kątem złośliwego oprogramowania, które w Windows XP znajduje się w %USERPROFILE%\Local Settings\Application Data\ a w Windows Vista w %localappdata% pod nazwą [losowa nazwa].exe. Aby usunąć malware trzeba najpierw ubić go z poziomu task managera (alt+ctrl+del).

Przeczytaj także:

32 komentarzy

Dodaj komentarz
  1. Dlatego nie używa się nowych wersji, póki nie zostaną sprawdzone “w praniu” ;)

    • ipsec w OpenBSD? ;)

    • Gdyby na serwerze były wersje archiwalne, a atakujący mieli dość czasu, to też by je podmienili. Twój argument jest chyba odrobinę chybiony.
      Ciekawe, czy RIAA i spółka wykorzystają ten atak w swojej kampanii. A może sami byli jego prowodyrami?

    • Co by im przyszło z modyfikowania archiwalnej wersji, skoro nie wpłynęłoby to na lokalną kopię?

    • @kot
      Przez archiwalne wersje miałem na myśli starsze wersje do pobrania – eMcE uznał, że nie warto pobierać najnowszych wersji, bo nie są przetestowane, ale kiedy ktoś już wszedł na uTorrent.com, celem pobrania jakiejś wersji, to niezależnie którą konkretnie chciał pobrać, mogła już być podmieniona.

    • To nie była beta a wersja stabilna i sprawdzona ale jak można wyczytać powyżej PODMIENIONA.
      Pomyśl zanim napiszesz.

  2. %appdata% tez zadziala ;)

    • Nie zadziała. %APPDATA% = C:\Documents and Settings\{username}\Application Data != C:\Documents and Settings\{username}\Local Settings\Application Data

    • %appdata%\..\

    • %appdata%\..\ = %USERPROFILE%, które zostało użyte w treści niusa. Jeżeli na co dzień lubisz sobie komplikować życie to twój przykład ma jak najbardziej sens.

    • “%APPDATA% = C:\Documents and Settings\{username}\Application Data != C:\Documents and Settings\{username}\Local Settings\Application Data” owszem,moj blad – zle post napisalem, raczej chodzilo mi ze tam robak “tam tez zadziala/buszuje” ostatnie 2 razy gdzie sie spotkalem tym “robakiem” to znalazl sie on w w7 wlasnie pod %appdata% razem gdzie np uTorrent swoje dane miesci, ja jakos odruchowo pierw lukam w %appdata% (gdzie syf juz siedzial 2 razy) a potem %localappdata% gdzie go spotykalem tylko raz. ale w sumie wsio ryba, wazne ze wiemy gdzie buszuje/buszowal

    • @Cezary Tomczak: ale ja tylko udowadniam, że %appdata% też zadziała – owszem, trzeba dopisać trzy znaczki, ale zadziała. Nie musisz od razu dorabiać sobie do tego teorii na temat tego, co lubię robić. No i – %userprofile% – 13 znaków, %appdata%/../ – też 13 znaków. Nie widzę problemu. /s

  3. ESET Smart Security 4 sobie dał rade sam ;p

    • już jest wersja 5:)

  4. ctrl + shift + ESC szybszy sposób wejścia w task managera :] a swoją drogą niezły psikus. nie tyle wycelowany w tych którzy robią update do najnowszych wersji ale tych którzy pechowo zasysali instalkę. czy w historii netu podobny numer ktoś wykręcił ?

  5. @DVDos..
    Być może. Jest to jakiś argument. Dlatego też i z takiej opcji nie korzystam. Są inne miejsca, gdzie soft, paczki itd są znacznie bezpieczniejsze.
    Poza tym uT od wersji bodajże 1.8.x to pomyłka. Przeładowany jest (moim zdaniem) zbędnymi rzeczami.

    Ps. Mały ot..
    Serwery PPA (Polski Portal Amigowy) nad ranem oberwały DoS’em.
    Mania jakaś z tymi atakami.

  6. odkad utorrent pojawil sie w wersji platnej, upgradom stop!
    niedlugo bedzie szit jak kazaa…

    • ale wiesz ze nie ma platnego utorrenta?

    • Niedługo pojawi się wersja płatna: http://www.utorrent.com/plus2

    • Darmowa wersja, o ile zostanie przeczyszczona tylko skorzysta na tej płatnej bo cały niepotrzebny nikomu syf pójdzie właśnie tam. Zwykli i normalni użytkownicy tego programu potrzebują małego, lekkiego, szybkiego i bezpiecznego programu, a kolejnego kombajnu mającego w sobie tysiąc różnych i nikomu niepotrzebnych rzeczy.

      Widać dobrze teraz łapę podążającego za pieniędzmi BitTorrenta i okaleczenie tego zacnego projektu. Niestety.

  7. Moja uwaga jest bardziej związana z artykułem niż jego treścią, ale co tam.

    Nazwa programu to µTorrent (to na początku to nie litera “u”, lecz przedrostek oznaczający “mikro”*), choć adres strony to faktycznie utorrent.com. Wymawiając nazwę nie mówi się “u torrent”, tylko “mikro torrent”.

    Dbałość o takie rzeczy byłaby wyrazem szacunku wobec czytelników, moim zdaniem.

    * http://pl.wikipedia.org/wiki/Mikro

    • juz nie przesadzaj…

    • kazdy wie ze chodzi o mikro torrenta, a nie kazdy wie jak z klawiatury wycisnac w utf-8 literkę “µ” (skopiowalem z Twojego komenta). bez przesady.

    • Jak dla mnie faktycznie dziennikarska rzetelność nakazywałaby napisać µTorrent (alt+m = µ pod linuxem), ale nie wiem, czy ma to dużo do szacunku do czytelnika :>

      Ja tam zawsze czytam mitorrent

    • Celna uwaga.

      “Mikro” to nie “u” i już, ale nie przesadzałabym z tą uprzejmością wobec czytelnika. I tak duża część użytkowników różnicy nie czai i czyta utorrent. Mój tata nawet FineReader czyta [finerender], więc o co chodzi:P wrzućmy na luz, to nie polski w liceum :P

      A swoją drogą, niezły numer z tym torrentem, sprawdzam czy mi czegoś nie zassało.

    • – dla niektorych Alt + m = nvidia system monitor x)
      – nie bylo sie czego czepnac, okola 85% winikow w wyszukiwarkach wskazuje na utorrent wiec, info: rozne zrodla + google adwords ;)

    • The title of this article contains the character μ. Where it is unavailable or not desired, the name may be represented as mTorrent, MTorrent or uTorrent. http://en.wikipedia.org/wiki/%CE%9CTorrent EOT.

  8. czy zawsze dyskusja musi zpelznac na wikipediowe, czytelniczo-szacunkowe, ‘u’ / ‘mikro’ pitolenie z przebijaniem sie na argumenty? Moze zalozcie fucken blog stada milosnikow gramatyki? Tak, pisze bez polskich znakow, bo mysle, ze to strata czasu i mam to w !@#$ :)
    Wszystkich urazonych czytelnikow mam w.. auto-korektorze MS ;)

    • dyskusja spełzła ;P

    • Czy zawsze dyskusja musi spełznąć narzekanie na tor, jakim potoczyła się dyskusja?

    • powinienem teraz wkleic link z wiki ? ;)

  9. Przy infekcji tym fałszywym AV nie ma co sprawdzać folderów, bo po instalacji system staje się praktycznie nie do użytku, a menadżer zadań jest blokowany. Ciężko raczej nie zauważyć grasującego w systemie malware. Najlepiej w tej sytuacji użyć rkill i wyczyścić system że śmieci jakimś skutecznym skanerem AV lub przy użyciu narzędzia OTL.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: