15:20
10/9/2010

Wirus w mailu!? Wracamy do lat 90-tych?

Firmy antywirusowe alarmują: po sieci błyskawicznie rozprzestrzenia się internetowy robak rozsyłany …e-mailem. Chyba właśnie przenieśliśmy się do lat 90-tych! I LOVE YOU!

Dopadł Google, Colę, NASA i Disneya

Robak przesyłany jest nie jako załącznik, ale link podszywający się pod plik PDF (ale tak naprawdę jest to .scr — czyli wygaszacz ekranu). Myśląc sobie, PDF nie jest groźnym formatem (ewidentnie nie przeczytałeś naszego wczorajszego tekstu o exploicie na PDF!) otworzysz go, a robal W32.Imsolk.A@mm roześle się do wszystkich Twoich kontaktów z książki adresowej. Worm propaguje się także przez komunikatory IM, podłączane pendrive’y oraz dyski sieciowe (numer z autorun.inf).

Robaczywy e-mail

Co ciekawe, robak swój payload zasysa dopiero po uruchomieniu (łączy się m.in. z members.multimania.com) i nie ma on nic wspólnego z ostatnim 0day’em na Adobe Readera — robak tylko podszywa się pod PDF.

Z racji tego, że w e-mailach przesyłany jest sam link do downloadera, może to utrudniać wykrywanie zagrożenia na etapie sieciowych bramek antywirusowych. Z wirusem walczą duże korporacje, takie jak Google, Disney, NASA czy Coca-Cola — niektórzy wyłączają mailservery ;-)

Here you go — czyli poznaj robaka

E-maile z robakiem mają z reguły temat:

    Here you go,
    Here you have
    Just For you

oraz następującą treść:

This is The Document I told you about,you can find it Here.
http://www.sharedocuments.com/library/PDF_Document21.025542010.pdf
Please check it and reply as soon as possible.

lub (to jak przypuszczamy, bardziej klikalna wersja :>)

This is The Free Dowload Sex Movies,you can find it Here.
http://www.sharemovies.com/library/SEX21.025542010.wmv
Enjoy Your Time.

Jeśli użytkownik kliknie na link, ściągany jest .scr, który instaluje się w systemie pod postacią CSRSS.EXE. Dodatkowo, robal ubija kilkadziesiąt procesów w systemie (zwłaszcza antywirusy).

Co robić, jak żyć?

Poszczególne firmy antywirusowe już zaktualizowały (albo są na etapie aktualizowania) swoich baz sygnatur. Udostępniane są także zewnętrzne narzędzia służące do walki z robakiem. Warto też zapoznać się z listą plików wirusa, i sprawdzić czy przypadkiem nie mamy ich u siebie na dysku…

Ręka w górę, kto dostał e-maila z tym wirusem?

Przeczytaj także:

44 komentarzy

Dodaj komentarz
  1. to w pelni ukazuje jak bezwartosciowe sa AV. technika sprzed 10 lat jest ciagle skuteczna, bo AV nie widzi nic, poza sygnaturami..

    kto jeszcze nie korzysta z zadnego av/firewalla? przeciez wystarczy podejrzany soft odpalac w sandboxie… do tego router z poblokowanym forwardowaniem portow i zaden worm sie nie przebije :p

  2. jurek: niektóre z AV korzystają z heurystyki i odpalania binarek w VM-ach. Ten wius akurat może być łatwo wykryty — próbuje zostawiać pliki w “niecodziennych” katalogach — to powinno być wyłapane przez średniej klasy AV.

  3. U nas się rozszalał, McAfee go jednak ogarnia.

  4. Zacznijmy od tego, kto tak naprawdę klika w linki z tego typu wiadomości. Zdecydowana większość internautów, jak sądzę. Skuteczność antywirusów to jedno, ale świadomość usera to również ważna sprawa.
    Co trzeba mieć w głowie, aby kliknąć w link z maila od nieznanej osoby, z treścią po angielsku? Ja nawet znajomemu bym nie ufał, jeśli chodzi o podsyłane mi pliki/linki :>

    Niestety, nie dostałem żadnego maila z wirusem, więc nie mogę się “pobawić”.

  5. Zgadzam się z tobą eselu, bo faktycznie dużo osób musi to otwierać tylko dlaczego? To nawet nie wynika z nieświadomości. Przecież dostajemy email od obcej osoby, która ewidentnie pisze jakby nas znała – tylko trochę wolniejsi mogą pomyśleć, że to do nich i otworzyć link. Ale niestety się mylę, widząc jak szybko się rozprzestrzenia ten robak.

    Ja chyba za słabo emaila używam bo nic nie dostałem. Po za tym regularny spam dostaje z 1-2 botnetów… I nigdy jakiś fajnych akcji nie mogę “przeżyć” na własnej skórze. :)

  6. na Macu nie ma problemu :-)

  7. Sprzed jakich dziesięciu lat ?
    Tak to jest jak się pokolenia chowają na av propagandzie i ich barwnych
    historiach o zagrożeniach dnia następnego
    Mail wormy zawsze będą , są i były a prze straszny storm worm to jak rozprzestrzeniał
    One będą z racji tego co oferuje specyfikacjia SMTP i nie zmienią tego bujne życzenia branży AVS , strania adminów sieci etc
    No chyba że z usługi smtp zrobi się usługę tylko dla wybranych i pójdzie w kierunku zabezpieczeń anty spamowych w stylu Sender-ID i jemu podobnych
    które bądź co bądź utrudniają użytkownikom końcowym postawienie sobie serwera poczty gdyby chcieli to zrobić na przykład
    No i zapewne na końcowym etapie może się wiązać z jakimiś kosztami finansowymi
    za dodanie odpowiedniego wpisu w odpowiednim miejscu przez odpowiedniego człowieka

  8. Hoho, my dzisiaj też mamy alerty od IT z nim związane :) Koleżanka z biurka obok miała okazję go posmakować, mnie niestety ominął szerokim łukiem.

  9. @narkoman – na PC też nie ma problemu jeśli ma się ciut rozumu :P

  10. no wlasciwie to ten robak zdaje sie wysyla maile do wszystkich twoich kontaktow, takze jest duza szansa ze ktos kto go dostanie zna nadawce i uznaje, ze jest to mail od znajomej osoby wiec wyglada to byc moze troche inaczej, choc sam nie klikam w linki nawet od znajomych :)

  11. @eselu: tak po prawdzie kilku otworzy linki, a pozniej wysle do znajomych, ale to juz bedzie mail od znajomychm, nie z kosmosu. fakt ze w polsce to angielsku nie bardzo, ale juz za granica czemu nie.

    @voythas: na Macu nawet bezrozumni nie maja problemu :P

  12. Mi się wydaje czy ten wirus nie jest groźny dla linuxów ? :)
    Btw. kto klika w linki od nieznajomych ;)

  13. Czytnik RSS w Operze przesłał klikalny link wmv. Więc Wy też rozsyłacie spam.

    Pozdrawiam

  14. Szukalem tego pliku CSRSS.EXE w PCLinuxOSie i nie moge znalezc ;) moze mi ktos pomoc? Hehehe just kidding ;)…

    Pozdrawiam kolektyw.

    Andrzej

  15. Dlaczego w “do pobrania” przy feedzie rss tego artykułu jest link do tej wmv’ki?
    Kliknąłem (specjalnie:P) ale niestety – biała strona. Nic się też nie wgrało niestety. Antywirusa nie mam tak btw (AV to propaganda i tyle – ale przydaje się dla zupełnej ciemnoty komputerowej – dla wszelkich ciotek, wujków, młodszych sióstr itd.) – wystarczy firewall.

  16. Od jakiegoś miesiąca przeglądam spam u mnie w skrzynce – syf ominął mnie szerokim łukiem. Jak już mi się komp zasyfi to albo z cracka (nie bijcie – popiracić czasem też dobrze), albo coś z zewnątrz – reszta rodziny niestety niezbyt rozumna do takich rzeczy, a przez lan wiele rzeczy się dostaje.

  17. Czekam na relacje dzieci klikalnych linuksowych distro z instalacja Wine ;) swoja droga interesujacy eksperyment.

  18. Nie dostałem, czuję się dotknięty :(
    Bardziej mnie wkurzają robaki w autorun.inf, już kilka razy takiego dostałem na pendriveie. M$ mógłby wreszcie jakoś to ogarnąć.

  19. Mnie się oberwało tym syfem, dodał mi wpis w rejestrze i się sam uruchamiał… na swoje nieszczęście uruchamiał przy tym linie poleceń i to go zdradziło, ubiłem go manualnie po prostu zlokalizowałem plik i go wywaliłem od tego czasu nie mam problemów :D a jak mi się coś nie podoba to tryb awaryjny i wywalam wszystko jak mam tylko wątpliwości…

  20. A ja na maila dostaję tylko reklamy niebieskich tabletek. Ani jednego robaka.

  21. c:\WINDOWS\Prefetch\LOGON.SCR-151EFAEA.pf
    dziś utworzony o 12:29
    mam Noda32 + Ad-Aware Free
    To jakiś robak ?

  22. @Tygrysek: Czy od tego czasu nie masz problemów, tego możesz się nigdy nie dowiedzieć – Pamiętaj, “compromised system is compromised” (C)nvh. ;)

  23. @Sergi: “Bardziej mnie wkurzają robaki w autorun.inf, już kilka razy takiego dostałem na pendriveie. M$ mógłby wreszcie jakoś to ogarnąć.”

    A sam nie mozesz? np. przez wylaczenie autoodtwarzania!

    PS. mam na dysku CSRSS.EXE, ale w życiu nie klikałem w żadne linki w mailach… Process Explorer podaje, że to:
    Client Server Runtime Process
    (Not verified) Microsoft Corporation
    C:\WINDOWS\system32\csrss.exe
    Parent: smss.exe(944)

  24. Ale – dopiero zauważyłem – ja mam ten plik CSRSS.EXE w katalogu:
    C:\WINDOWS\system32\csrss.exe
    a wg listy plików wirusa, do której linkujecie, na zainfekowanej maszynie powinien być w:
    %WINDIR%\csrss.exe

    czyli że co? czysto??

  25. @kubaaa
    Skoro już o bezpieczeństwie “pędrajwa” to czy folder autorun.inf z plikiem w którym występuje błąd nazwy(nazwa zawiera niedozwolone znaki) można uznać za wystarczające zabezpieczenie?

    Pytam bo skoro można taką nazwę nadać ty można też zmienić, tylko nie wiem jak bardzo skomplikowana jest taka operacja.

  26. @piotr:
    heurystyki, ktore obserwuja dzialanie programu (tworzone pliki, procesy, itd) to ciagle sygnatury, tyle ze behawioralne. jesli komus sie chce, to moze sobie na localhoscie testowac do woli, ktore akcje powoduja alarm AV i napisac wszystko tak, zeby z punktu widzenia AV wszystko bylo ok.
    tradycyjne sygnatury/heurystyki, ktore biora pod uwage sam kod, a nie zachowanie, sa w 100% bezuzyteczne. proponuje spakowac np. sdbota za pomoca themidy i wrzucic obie wersje na virustotal :).

    polecam zapoznac sie z “race to zero” — compo, ktore odbylo sie na defcon 16. samo compo to nic odkrywczego, ale reakcje AV byly pierwszej klasy. na kazdym blogu firmowym mozna bylo zapoznac sie z calymi setkami powodow, dla ktorego to compo to esencja zla i nieodpowiedzialnosci.

    AV to najwiekszy scam, zaraz po butelkowanej wodzie :P

  27. 300 maili ze spamem miesięcznie i żadnego robala… Większość to oferty na powiększanie albo podnoszenie. Czasem trafi się jakiś scam czy phishing ‘od Blizzarda’, chociaż tylko raz się tam rejestrowałem (swoją drogą, ciekawe skąd maila mają ;])

    Co do samego wirusa, to ja się nie dziwię że tak szybko się rozprzestrzenia. Fakt, że pierwszy ‘klikacz’ musiał być półdebilem, ale każdy następny już nie koniecznie. Przecież reszta userów dostaje maila od swojego ZNAJOMEGO. Oczywiście dotyczy to tylko krajów angielskojęzycznych (ew. takich userów) – jak ktoś u nas na to kliknął w mailu od Pani Kasi, to też nie świadczy dobrze o jego komputerowym BHP.
    Skoro ja swoją rodzicielkę nauczyłem, że nie klika się w NIC w mailach niewiadomego pochodzenia, to chyba się da, nie ? A jak Mama ma wątpliwości, to mi forwarduje maile ;]

  28. @kubaaa
    C:\WINDOWS\system32\csrss.exe jest plikiem systemowym i bezpiecznym (no chyba, że coś go podmieniło)
    Jak wiadomo robale i inne syfy lubią się podszywać pod pliki systemowe, dlatego też trzeba zwracać uwagę czy nie mamy np. winlogon.exe w moich dokumentach // lub jak w tym wypadku csrss.exe w c:\windows… Na twoje pytanie czy masz czysto to musisz sam sobie odpowiedzieć, z tego co piszesz tak czysto.

  29. ok, a czy winda odpala czasami kilka procesów systemowych jak csrss.exe itp. kilka razy?
    potrafię czasem widzieć na liście odpalonych procesów po kilkanaście takich samych i nie podoba mnie się toto

  30. @ jurek ogórek
    Rozumiem że korzystasz z innego softu monitorującego zachowanie się OS i na bieżąco reagujesz na zmiany podejmując odpowiednie działania… sam (?)

    @ zzz1986@o2.pl
    Polecam poczytać artykuł “Picasso” na temat infekcji via’ autorun.inf (głównie z pen’ów):
    h t t p : / / w w w . fixitpc.pl/index.php?/topic/56-zabezpieczenia-infekcje-z-pendrive-mediow-przenosnych/

  31. @Yoki:
    nie, nie musze. po prostu kazdy podejrzany exek (typu soft z p2p) wysylam na virustotal.com, albo odpalam w sandboxie. jesli musze korzystac z zawirusowanego programu dluzej, to instaluje go w vmware (czystym, bez poufnych informacji) i sie nie przejmuje :).

    polecam sandboxie.com

    • jurek ogórek: nie sposób się z Tobą nie zgodzić w kwestii antywirusów i wody butelkowanej ;-) I o ile Twoje argumenty są miażdżące w trakcie dyskusji o poweruserach, to pokuszę się o stwierdzenie, że w przypadku zwykłej “Pani Krysi” i pendrive’ów z warezami najnowszego “Moda na Sukces” od “Pana Waldka”, antywirus jednak coś daje. Wiadomo — dobrze napisany malware prześlizgnie się przez wszystko — z tym, że takie 0day’owe cuda raczej angażuje się w bardziej mięsite kąski niż małoznacząca, zwykła Pani Krysia…
      Suma sumarum, problem wynikający ze “szczelności” antywirusa, to problem przede wszystkim firm. Enduserzy mało kiedy są narażeni na sprofilowany, 0day’owy atak jakimś wymyślnym, niewidzialnym malwarem bo mało kto pcha takie cuda na ataki masowe, zdając sobie sprawę z tego, że prędzej czy później cudo uderzy w honeypota F-Secure, albo innej firmy AV i będzie po ptokach.

  32. @ jurek ogórek
    Z sandboxie sam korzystam np. przy uruchamianiu czytników potencjalnie nieszkodliwych .pdf’ów (Niebezpiecznik o nich pisał już kilkukrotnie). Rzeczywiście, wirtualizacja pozwala się nie przejmować (ale gdzie wtedy cały fun ? ;P ).

  33. @Yoki
    Czytałem to i wiem, że nieusuwalny folder zabezpiecza.
    Pytanie tylko jak ciężko wirusowi byłoby zmienić nazwę błędnie nazwanego pliku?

    Skoro coś może taką nazwę nadać, to coś innego może ją zmienić.

  34. W pracy mam prawie cały czas kontakt z penami klientów i od zawsze sprawdzało się to rozwiązanie:

    REGEDIT4
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
    @=@SYS:DoesNotExist

    Zdarzały się pamięci na których było przeszło 40 wirusów, z których Avira nie wykrywała często 6-8. I teraz gdyby nie ignorowanie Autorun.inf, te kilka plików *.exe/*.cmd w najlepsze hasało by sobie zaraz po otwarciu pendrivea.
    Co do rzekomego niedziałania pamięci typu U3 przy stosowaniu tego rozwiązania – bzdura, działają dobrze, ale są traktowane jak zwykły pendrive.
    Windowsa 7 ten problem już na szczęście nie dotyczy.

  35. @piotr:
    kazdy atak “masowy”, ktory sie powiodl, musial byc niewykrywalny przez wiekszosc AV. nie kazdy, ktory sie powiodl korzystal z dziur w OS. przyklad na malo wyrafinowany atak jest w tym poscie. nie mozna go nazwac “0dayowym cudem” — to z targetowanymi atakami nie ma nic wspolnego. storm tez nie korzystal z 0dayow, tylko z socjotechniki, a udalo sie go wyplenic tylko dlatego, ze autorzy nie zaimplementowali podpisow kryptograficznych do wydawania komend — ktos sie pod nich podszyl i przejal/rozmontowal botnet. AV mogli tylko czekac na kolejne wersje spakowanej binarki i pisac do niej z palca sygnatury.

    kazdy jest w stanie bez problemu tak spakowac swojego trojana napisanego w delphi, zeby byl niewykrywalny, dopoki jego probka nie trafi do labu AV. to czy i kiedy trafi do labu zalezy tylko od jego skutecznosci — im skuteczniejszy i im lepiej sie roznosi, tym wieksza szansa, ze zostanie szybko wykryty.

    jedynym pozytkiem z AV jest to, ze potrafia usuwac wirusy, bo zabezpieczyc przed nowymi sa w bardzo ograniczym stanie. w usuwaniu sa dobre, i tym mozna uzasadnic ich posiadanie, ale caly marketing zwiazny z ‘wykrywaniem nowych zagrozen’ to 100% scam.

    jako ciekawostke dodam, ze na hakerskich forach popularnym jezykiem do pisania trojanow jest java (!), bo AV nie sa w stanie czytac jej bajtkodu, a 3/4 userow posiada JRE (statsy: http://riastats.com/).

  36. Polecam USB Guardian. Malutki programik pracujący w trayu. Skanuje pendrivey w poszukiwaniu wirusów w autorun.inf. Najpierw skanuje dysk wymienny, a dopiero później otwiera okno z podglądem dysku.
    Dla poprawnego działania programiku należy wyłączyć systemowe autoodtwarzanie, bo inaczej program nie ma sensu.

  37. Here is the solution and you will never have to buy a single antyvirus software. Everything is read-only except for a small area for user space. One of you wrote AV is useless – well it was true from the veryu beginning. I would love to see a Polish version of it. Anyway, the software is Deep Freeze from Faronics. Look it up by yourself…

    • Tak się zastanawiam, czy ktoś czyta niebezpiecznika via Google Translate? :>

  38. @PK na to wygląda ;) Zresztą widzisz IP, to wiesz skąd (przypuszczalnie) John jest.
    Swoją drogą współczuję – już sobie wyobrażam, jaka jest sieczka po przepuszczeniu “naszego” polskiego w translatorze :]

    Co do tematu, otóż pojawiły się pewne aktualizacje. Niezbyt fachowe portale piszą, iż za wirus odpowiada koleś/grupa kolesi nazywający siebie Iraq Resistance, a sam wirus miał ponoć być akcją propagandową…
    http://www.pcworld.pl/news/361907/7.html

  39. Pan w32 zmusil mnie do pisania na klawiaturze ekranowej. reinstalowalem stery i nic. Nortona powiesil za jajca, kasperski gowno tez dziala. zuzycie procesora i ram wzrasta z dnia na dzien. zaczyna juz sie bawic driverami od modemu. jeszcze pare dni i zostanie mi tylko format.

  40. @jurek-ogórek: testowanie Virus Totalem jest o tyle problematyczne, że on wywłaszcza AV, jeśli się nie mieści w czasie. A jeżeli coś jest spakowane themidą, to to na pewno zło ;-)

  41. @G-Man:
    asprotect to tez zlo ? :)

  42. Podobno niejaki Websense jest w stanie wychwycić przy poprawnej konfiguracji tego typu rzeczy. Tak przynajmniej zapewniał nas gość na szkoleniu.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: