RSS
 

Archive for the ‘Malware & Virus’ Category

Danska Nordea varnar för Carberp

28 Dec

IDG berättar idag att danska Nordea varnar för trojanen Carberp. Carberp kan bland annat spara allt som skrivs på datorn, övervaka nätverkstrafik och ladda hem och köra nya programfiler på datorn.

Det är ingen slump att det är danska Nordea som går ut med denna varning. 24-25 november var den danska tidningen Midtjyllands Avis reklamsystem hackat och användes för att sprida just Carberp till besökare. Midtjyllands Avis har ungefär 15 000 besökare per dag, deras reklamsystem används även av andra sajter.

CSIS har tagit fram ett verktyg för att enkelt se om man är infekterad med Carberp, och Malwarecity har ett program för att ta bort trojanen.

 

Koobface igång igen

11 Dec

Efter att Koobfaces C&C-server stängdes ner i mitten av november har aktiviteten varit låg, men det var bara en fråga om tid innan Koobface skulle börja igen, med nya C&C-servrar. I sin spridning utnyttjar datormasken Koobface hackade FTP-konton (en av Koobface funktioner är just att stjäla inloggningsuppgifter till FTP-konton) för att lägga upp falska Youtube-sidor. Reklam för sidorna görs via Facebook och om man klickar på att visa Youtube-filmen försöker Koobface hämtas hem och installeras. I veckan upptäcktes en del FTP-konton där nya Koobface-script lagts upp och dessa har jag nu undersökt.

Som tidigare laddas filerna upp i en mapp med slumpat namn, till exempel ”72jks5wji”. Den här gången lades även en fil upp i rotmappen, mytest.php.

Mytest.php används för att kontrollera att servern fungerar, kör php och kan ansluta till servern med IP-nummer 94.100.25.58. Eftersom sidan som hämtas för närvarande skriver ut ”sys” kommer scriptet att skriva ut ”php dont working! sys”. IP-numret som testade att hämta mytest.php var just 94.100.25.58. Detta IP-nummer används även för att hämta statistik från sidorna som sprider Koobface och man kan misstänka att det är personerna bakom Koobface som hanterar denna server.

IP-numret är registrerat av företaget King Servers och Nederländerna anges som landskod. Kontaktperson för IP-serien är dock en Vladimir Fomenko med address i Storbritannien. Spamhaus har blockerat hela ip-serien för ”bulletproof cybercrime hosting operation”.

En annan nyhet är att Koobface tydligen sagt upp avtalet med adultfriendfinder.com. Istället skickas besökare som inte kan infekteras med Koobface till rolly.com. Detta visas i funktionen other() som körs om besökaren inte verkar använda Windows. I detta script kan man även notera att loggningen till en extren server kommenterats bort.

 

Virusinstallation i praktiken

02 Dec

I det här inlägget vill jag visa vad som händer i praktiken när man smittas av virus bara genom att gå in på en hemsida man litar på och besökt många gånger tidigare.

Den här gången har hemsidan blivit hackad, en okänd person har ändrat html-koden på startsidan och lagt till nedanstående kod:

Kommandot gör att besökarens webbläsare kommer att hämta hxxp://visions7.net/ och visa den i en ruta som är 1×1 pixel hög och som dessutom ska döljas. Sidan hämtas alltså i bakgrunden av webbläsaren.

visions7.net ser vid första anblick ut att vara en legitim sida som hjälper dig att hitta hantverkare i Kanada. Men det finns många tecken på att det inte är någon seriös person som står bakom sidan och att den skapats enbart för att sprida virus.

– Domänen registrerades för mindre än en månad sen och används redan för att sprida virus
– Domänen registrerades via Privacyprotect för att dölja ägarinformation
– Domänens namn är inte relaterad till hemsidan
– Kontaktuppgifter saknas helt
– Förstasidan passar på att tipsa om ett nätapotek

Mest intressant när vi ska spåra virus är dock denna html-kod som finns på startsidan:

Webbläsaren hämtar alltså hem en ny sida, denna gången från tubd.net. Även denna domän registrerades anonymt med Privacyprotect och ligger på samma webbhotell som visions7.net, Keyweb AG i Tyskland.

hxxp://tubd.net/in.cgi?7 skickar webbläsaren vidare till hxxp://lamix557.co.cc/pic/csxzephrxnguhz.php. Denna sidan är på 21 kilobyte och består av hårt krypterad javascriptkod. Sidan hämtar även java-filen gsbngzhwkmboym.jar från samma server. Denna filen är känd av antivirusprogram som Exploit-ByteVerify.

Resultatet av att java-filen körs är att webbläsaren hämtar hxxp://lamix557.co.cc/pic/cq.php?i=15 och sparar den på datorn som kqhvdqfo1.exe för att sedan köra programmet. Denna filen hittas av endast fyra antivirusprogram och de definierar den som ett misstänkt program, inte ett specifikt virus. Detta program har som enda syfte att hämta hem själva virusprogrammen.

Det första blir hxxp://anub.net/lasc/load.php?file=0 som hämtas som inst.exe. Denna fil hittas av sex antivirusprogram. Ytterligare virus med olika syfte hämtas hem.

Under hela processen har webbläsaren fortsatt att visa den legitima hemsidan besökaren gick in på från början. Möjligen kan besökaren notera att webbläsarens statusfält visar att den fortsätter hämta filer från olika servrar. Ett av programmen som laddar hem och körs avslöjar sig dock genom att visa nedanstående fönster.

Detta är Security Tool, ett falskt antivirusprogram som kommer att rapportera att du har virus och be dig köpa en licens av programmet för att ta bort virus. Men dessa varningar är falska och programmet kommer fullständigt ignorera alla virus som faktiskt finns på datorn.