RSS
 

Posts Tagged ‘security tool’

Virusinstallation i praktiken

02 Dec

I det här inlägget vill jag visa vad som händer i praktiken när man smittas av virus bara genom att gå in på en hemsida man litar på och besökt många gånger tidigare.

Den här gången har hemsidan blivit hackad, en okänd person har ändrat html-koden på startsidan och lagt till nedanstående kod:

Kommandot gör att besökarens webbläsare kommer att hämta hxxp://visions7.net/ och visa den i en ruta som är 1×1 pixel hög och som dessutom ska döljas. Sidan hämtas alltså i bakgrunden av webbläsaren.

visions7.net ser vid första anblick ut att vara en legitim sida som hjälper dig att hitta hantverkare i Kanada. Men det finns många tecken på att det inte är någon seriös person som står bakom sidan och att den skapats enbart för att sprida virus.

– Domänen registrerades för mindre än en månad sen och används redan för att sprida virus
– Domänen registrerades via Privacyprotect för att dölja ägarinformation
– Domänens namn är inte relaterad till hemsidan
– Kontaktuppgifter saknas helt
– Förstasidan passar på att tipsa om ett nätapotek

Mest intressant när vi ska spåra virus är dock denna html-kod som finns på startsidan:

Webbläsaren hämtar alltså hem en ny sida, denna gången från tubd.net. Även denna domän registrerades anonymt med Privacyprotect och ligger på samma webbhotell som visions7.net, Keyweb AG i Tyskland.

hxxp://tubd.net/in.cgi?7 skickar webbläsaren vidare till hxxp://lamix557.co.cc/pic/csxzephrxnguhz.php. Denna sidan är på 21 kilobyte och består av hårt krypterad javascriptkod. Sidan hämtar även java-filen gsbngzhwkmboym.jar från samma server. Denna filen är känd av antivirusprogram som Exploit-ByteVerify.

Resultatet av att java-filen körs är att webbläsaren hämtar hxxp://lamix557.co.cc/pic/cq.php?i=15 och sparar den på datorn som kqhvdqfo1.exe för att sedan köra programmet. Denna filen hittas av endast fyra antivirusprogram och de definierar den som ett misstänkt program, inte ett specifikt virus. Detta program har som enda syfte att hämta hem själva virusprogrammen.

Det första blir hxxp://anub.net/lasc/load.php?file=0 som hämtas som inst.exe. Denna fil hittas av sex antivirusprogram. Ytterligare virus med olika syfte hämtas hem.

Under hela processen har webbläsaren fortsatt att visa den legitima hemsidan besökaren gick in på från början. Möjligen kan besökaren notera att webbläsarens statusfält visar att den fortsätter hämta filer från olika servrar. Ett av programmen som laddar hem och körs avslöjar sig dock genom att visa nedanstående fönster.

Detta är Security Tool, ett falskt antivirusprogram som kommer att rapportera att du har virus och be dig köpa en licens av programmet för att ta bort virus. Men dessa varningar är falska och programmet kommer fullständigt ignorera alla virus som faktiskt finns på datorn.