אתר ישראלי מפיץ וירוסים

לפני קצת יותר משבוע התבקשתי מידיד טוב לבדוק מחשב מסויים שקופצות בו פרסומות (ככל הנראה נדבק ב-AdWare), לאחר 
בדיקה קצרצרה הוירוס אותר והוסר, לא מדובר במשהו גאוני, הוירוס לא השתמש בשום טכניקה מגניבה ששווה לחקור אותה, ובכלל,
הייתה הרגשה כללית שהוירוס הזה שייך להיסטוריה.

אז למה אני מספר לכם את זה בכל זאת? מפני שדבר אחד הפתיע אותי בוירוס הזה- הוירוס הזה נכתב ומופץ על ידי אתר ישראלי.

מדובר באתר שמפרסם קישורים לסרטים בתצורת Streaming, כתובת האתר: http://www.sratim4u.com. אני לא מעריץ של
כל העולם הזה, אבל לפי מיטב הבנתי, רב הסרטים שמועלים, מאוחסנים על שרתי Streaming שמאפשרים צפייה עד לכמות זמן
מסויימת בחינם. כמובן שניתן להרשם/לשלם ולקבל חשבון "Premium" שמאפשר צפייה ללא כל הגבלת זמן וכו'.

לא חקרתי את הנושא, אבל לפי איך שזה נראה, אותם שרתים מזהים את הגולש אך ורק על-ידי כתובת IP, מה שאומר שבמידה
ונתנתק לאחר שעברה כמות הזמן שצפינו- ונתחבר מחדש- נוכל לצפות בהמשך הסרט כאילו היינו גולש חדש.

מה עשה האתר Sratim4u? יצא בפרסום הבא:

הלינק מוביל לקובץ התקנה בשם "Setup59.exe" (שעבר Packing בעזרת UPX):

כאשר ניגשים להתקין את הקובץ מופיעה השגיאה הבאה:
  
(תסלחו לי שאני אפילו לא אתאמץ להתקין עברית על ה-VM, הוירוס כל כך לא שווה את זה...)

 
וכאן כביכול נגמר הסיפור- הגולש לא מבין למה ההתקנה לא עובדת, מתעצבן כמה גרעים, שותה מים, ושוכח מכל הסיפור.
 
 
אבל מה, פתאום, כל פרק זמן מסויים, נפתח לו חלון דפדפן, שמוביל לכתובת: "http://sratim4u.com/ad.asp" - ומשם מתבצע
Redirect לכל מני עמודי נחיתה ישראלים שונים.

מבחינה טכנית, מה שקורה מאחורי הקלעים לאחר ניסיון התקנת הקובץ הוא:

שלב ראשון:
נוצרים שני קבצי exe בשם "appcmd.exe" ו-"append.exe" בתיקיה: c:windows:

שלב שני:
נוצר מפתח בשם Userlog עם ערך שמוביל ל-append.exe במיקום:
 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 
 
בכדי לשרוד Reboot של העמדה:
  

שלב שלישי:
מורץ הקובץ append.exe.

הרצת הקובץ הנ"ל גורמת לשני דברים:
א- הוספת משימות מתוזמנות (AT):
 
 
ב- הרצת appcmd.exe שיוצר קובץ bat עם הפקודות:
  
 
מריץ אותו, ולאחר מכן- מוחק אותו.
 
מי ששואל את עצמו למה לעזאזל פתחתי את Olly בשביל השטות הזאת- התשובה היא מפני שהוירוס מריץ את ה-Bat ומוחק אותו ממש
לאחר מכן- ורציתי לתפוס צילום מסך של הפקודות :)
 
 
 
לא חקרתי את הקובץ לעומק, מפני שהוא ממש לא נראה מעניין, למרות שאנטי-וירוסים רבים נותנים לו שמות מעניינים במיוחד:
  
 
 
אופן הסרה:
  • מחיקת הקבצים appcmd.exe ו-append.exe מתיקית ה-Windows.
  • מחיקת המפתח Userlog מהמיקום בעורך הרישום שהוצג קודם לכן.
  • ביטול המשימות המתוזמנות ע"י הפקודה: at X /delete.
 

למרות שבסופו של דבר מדובר בחתיכת שטות גמורה, מעצבן לראות אתרים (בייחוד שהם ישראלים!) שעושים שימוש
בדרכים כאלה בכדי להשיג צפיות בפרסומות וכדומה. זה האתר הראשון שראיתי שעושה בזה שימוש, ואני מקווה שגם האחרון...


תגובות על 'אתר ישראלי מפיץ וירוסים':



#1 

Hero (אורח):
אני מקווה גם לצערי יש אתרים כאלו רק שלא יעשו את זה בשביל הgoogle ads ואז המצב יהיה באמת חמור
10.04.2011 22:47:34

#2 

Hero (אורח):
וחזרתי להיות הראשון והשני שמגיב אני כזה מגניב :P
10.04.2011 22:48:46

#3 

שמיל החתול (אורח):
אני לא יודע אם לעשות את זה ל- Google Ads זה יותר חמור. אבל בשני המקרים זה מרתיח.
11.04.2011 03:28:36

#4 

שמיל (אורח):
אגב, לא עברתי על האתר יותר מדי, אבל רמת האבטחה שבו שואפת לאפס.
11.04.2011 03:33:12

#5 

Sro (אורח):
גועל רפש.

לגבי זה שהקובץ מוחק את עצמו, יכולת לכתוב לולאה ב-BAT שמורידה הרשאות (או יוצרת עותק), מרבית הסיכויים שזה היה מונע את המחיקה (ברגע שאתה מגלה שבכלל נוצר קובץ כלשהו.
משהו כזה (ביישור לשמאל, כמובן):
aa:
attrib +r *
goto aa
הוירוס עצמו נראה made in chine. נתנו לארבעה סינים הוראות, כל אחד עשה משהו.
אחד כתב קובץ BAT, השני קובץ שמריץ קובץ BAT, השלישי קובץ שמכניס ערך לרג'יסטרי, הרביעי לקח הכל ועשה packing...

גם אני מקווה שלא נראה עוד דברים כאלה בארץ.
11.04.2011 09:33:38

#6 

iTK98:
זה לא חדש, אולי אתה פחות חשוף לכך בשל המודעות
שלך ורמת האבטחה שאתה נוקט בה. אפשר למצוא רוגלות
ישראליות באתרי סקס, פורומים (בעיקר אלו שעוסקים
בהאקינג כבדרך אגב) ואף באתרי טורנט ישראלים.
לפעמים פשוט עושים שימוש בשרתים באירופה וארה"ב (ודומיינים זמניים) אין זה אומר שלא עומד ישראלי מאחוריהם.

אני חושב שאנחנו עומדים באופן יחסי לשאר העולם.
11.04.2011 15:19:59

#7 

cp77fk4r:
iTK98- כנראה שאתה צודק.
Sro- עשיתי קובץ Batch שמדפיס את כלל קבצי ה-Batch שבתיקיה ובתת התיקיות שבתוכה לקובץ טקסט ורץ בלולאה אין-סופית- ולא הצלחתי, ככל הנראה שהקובץ לא היה מספיק מהיר.
לא קריטי.
11.04.2011 18:00:46

#8 

inHaze (אורח):
חובבנים ;)
11.04.2011 18:41:00

#9 

Dm12 (אורח):
חוצפה!
ובהחלט... נראה כמו שיבוט גרוע של משהו עוד יותר גרוע...

(אם כבר עושים משהו כזה- שלפחות יעשו אותו איכותי!)
11.04.2011 19:04:39

#10 

cp77fk4r:
אגב iTK98- תסכים איתי שבעלים של אתר פורנו חשוד מראש, ולכן אם הוא יחליט להכניס לאתר שלו איזה תולעת אני לא אתפלא. לעומת זאת, אתרי סרטים בסיגנון הזה לא חשודים מראש (לפחות לא לי...) , ככה שזה כן מפליא אותי.
12.04.2011 05:38:09

#11 

iTK98se (אורח):
שניהם שייכים לתחום האפור בגדול (מבחינת תכנים שהם מספקים) לכן אפשר לחשוד בכל אחד מהם באותה מידה.

אני לא חושב שאנחנו נוכל לחנך את מנהלי האתרים הללו, אך בדיוק כמו שהפוסט שלך עושה, אנחנו צריכים להשקיע בחינוך הגולשים. אבל לצערי האתר והגליון משכנעים את המשוכנעים, ולא נראה לי שהוא הצליח להגיע לקהל הרחב...

תקנו אותי אם אני טועה.
12.04.2011 23:24:40

#12 

Dm12 (אורח):
אתה מתכוון שמי שנכנס לכאן כבר גם ככה גולש באופן מודע ובטוח? ומי שלא גולש באופן מודע ובטוח- לא גולש כאן?
13.04.2011 06:36:50

#13 

iTK98se (אורח):
אם מותר לי לעשות הכללה גסה - אז כן.
13.04.2011 09:26:25

#14 

Gifa (אורח):
מבחינה משפטית אין שום בעיה לפרסם תוכנה שתפתח לך פרסומות במחשב,זה אפילו לא וירוס-תלוי איך מסתכלים על זה,מה שכן זה גניבת דעת...
13.04.2011 09:55:58

#15 

iTK98se (אורח):
אין בעיה משפטית אם נאמר לפני ההתקנה, שזאת מטרת התוכנה, או שהיא כוללת בתוכה אלמנטים כאלה - Disclaimer. התכונה במקרה הנדון אינה עושה זאת, ולכן היא כושלת מבחינה משפטית.
13.04.2011 10:36:57

#16 

cp77fk4r:
לא רק שיוצרי התוכנה לא אומרים את זה- הם אומרים שהיא אמורה לעשות משהו אחר ותמים (ראה תמונה ראשונה בפוסט הזה...). אם אני לא טועה, זאת ההגדרה של הונאה, לא?בכל אופן, אני לא יודע עד כמה כותבי/מפיצי הוירוס עוברים על חוק המחשבים של 1995:
http://www.nevo.co.il/law_html/law01/214_001.htm

אבל גם לא עברתי עליו יותר מדי לעומק...

וזה בהחלט וירוס, מדובר בקובץ שנוצר לצורכי זדון ומשתמש בהונאה בכדי לבצע את מטרותיו. ולא רק אני חושב ככה, בקובץ הזה נופל ברב בדיקות היוריסטיקה שהריצו עליו. מ.ש.ל. :) 
13.04.2011 16:15:53

#17 

cp77fk4r:
ברפרוף: יש סיכוי שהתוכנה עוברת על סעיף 2.1:
״משבש את פעולתו התקינה של מחשב או מפריע לשימוש בו״

יש סיכוי שהקפצת חלונות פרסומיים כל ספר דקות אכן עונה להגדרה של ״מפריע לשימוש בו״. אבל אני לא עורך דין... (קלינגר? מישהו?)
13.04.2011 16:20:37

#18 

אין (אורח):
לא רק אתר ישראלי, אלא גם קארט ישראל שהיא היבואנית הרישמית של מצלמות קנון בארץ.
http://guy-olami.blogspot.com/2011/04/blog-post_2199.html

פורסם גם בדה מרקר.
כרטיס הזכרון שהגיע עם תוכנה של קארט הכיל וירוס.
27.04.2011 04:17:55

#19 

JanYan (אורח):
לפחות האתר ירד\הורידו
27.04.2011 11:21:07

#20 

cp77fk4r:
יש לך פרטים טכניים על הוירוס?
27.04.2011 13:37:35

#21 

1412 (אורח):
היי, חבר שלי ביקש ממני להכנס לאיזה אתר, שהופנה אליו דרך איזה אימייל מוזר שקיבל, שבאימייל כתוב שהוא זכה בהגרלה בין לאומית והאימייל שלו זכה ב-850K יורו...הוא שלך לי לינק לאתר, ואני ברוב טיפשותי נכנסתי ישר לאתר, מיד אחרי שנכנסתי הבנתי שעשיתי טעות.
אני לא בטוח, אבל אשמח אם תבדקו את זה.
הכתובת של האתר היא:
http://www.winningsponsorlotto.9f.com/

אחרי שנכנסתי לאתר פתאום שמתי לב שמתחילות לקפוץ לי פרסומות כל כמה זמן. מיד קשרתי את זה לאתר שנכנסתי אליו.
אני חושב ברגע שנכנסים אליו, האתר מתקין באופן אוטומטי קבצים על המחשב, בשמות lg\1\2.exe.

גם בקוד מקור של הדף ראיתי כמה שורות מעניינות. (מעניינות אותי, אתם בטח נקלתם בזה כבר)
מעניין אותי איך אפשר לאתר את הקובץ כמו שעשית פה, ואיך נפטרים ממנו..

אשמח לתשובה :)
10.05.2011 08:31:47

#22 

1412 (אורח):
אה, וגם windiws מקפיץ לי הודעה ש-ocget.dll נחסם כי המפיץ לא מזוהה.
10.05.2011 08:42:43

#23 

cp77fk4r:
רק עברתי על ה-Source של האתר, בהחלט נראה משהו מפגע... עם איזה דפדפן אתה גולש?
10.05.2011 20:09:35

#24 

cp77fk4r:
1412 - ביצעת פעולה כלשהיא באתר או משהו בסיגנון? לפי איך שזה בהחלט אוספים עליך מידע באותו האתר, אבל לא נראה שמנוצלת שם חולשה כשלהיא.

יש אפשרות שתוכל לשלוח לי לאימייל (ב-ZIP) את קובץ ה-DLL ואת קובץ ה-exe שירדו לך למחשב?
10.05.2011 20:54:29

#25 

1412 (אורח):
האמת היא שאני בעצמי לא הצלחתי למצוא את הקבצים, קיוותי שאתה תוכל לאתר אותם. אני רק ידעתי שהם קיימים לפי מנהל המשימות.

בכ"מ, עברתי די תסבוכת עד שהצלחתי למחוק אותם באמצעות ה-Ad Aware החדש. אז אין לי את הקבצים לצערי. (גם בכ"מ לא הצלחתי לאתר אותם בעצמי..)

ואני משתמש בפיירפוקס 4 החדש. ולא ביצעתי שום פעולה באתר, רק נכנסתי לראות מה כתוב (כבר אחרי שלחצתי על הלינק לאתר היתה לי הרגשה שעשיתי טעות, זה לא היה אופייני לי)
11.05.2011 08:00:39

#26 

cp77fk4r:
אתה זוכר אולי איך האנטי וירוס קרה להם? אולי זה יופיע בלוגים שלו.

בכל אופן, אשתדל לשבת על זה בסופ״ש.
11.05.2011 15:47:22

#27 

1412 (אורח):
לא, אני לא זוכר. והאנטי וירוס תפס עוד כמה דברים ביחד איתו, אז אני לא יכול להצביע על משהו ספציפי...

בכל מקרה, משהו מעניין קרה, אותו חבר המשיך להתכתב איתם, והם אמרו לו שכחלק מהתהליך, הוא צריך לשלוח כמה פרטים כדי לקבל את הכסף, הם שלחו לו קובץ, והוא כנראה אמור למלא שם פרטים או משהו.
הקובץ הוא קובץ WORD...לא יודע למה, אבל אני אשמח אם תוכל לבדוק אותו, אם יש מה לבדוק אותו. כל העסק הזה מעניין! XD (ומפחיד באותה מידה)
אתה מעוניין שאני יעביר לך את הקובץ? ואם כן - איך?
11.05.2011 22:21:19

#28 

1412 (אורח):
CP מצאת שם משהו?
13.05.2011 07:18:29

#29 

cp77fk4r:
כן, אני אשמח מאוד. שלח לי את הקובץ למייל: empty0page בג'ימייל.
13.05.2011 11:54:49

#30 

cp77fk4r:
ולא, עוד לא ישבתי על זה.
13.05.2011 11:55:11

#31 

cp77fk4r:
טוב, אין באתר שום ניצול של חולשה. יש קצת אובפוסקציה לכל מני לינקים וכאלה, יש ניסיון לזיהוי סוגי דפדפנים בכדי להציג כל מני תמונות מתואמות וכו', אבל לפי איך שזה נראה אין שם שום ניצול של איזה 0day באתר. (לא גלשתי בו, אלא רק נכנסתי ללינק שנתת ובדקתי את כל מה שהוא טוען).

בנוסף, גם מבחינה הגיונית- אין היגיון "לבזבז" 0day על פישינג מתמשך- במידה והיה כאן ניצול של הרצת קוד הם לא היו מתכתבים עם חבר שלך.

שלח לי את ה-DOC למרות שאני מאמין שהוא תמים.

אגב, תריץ בבקשה חיפוש בעורך הרישום אצלך במערכת תחת שמו של ה-exe שמצאת (lg1.exe ו-lg2.exe) כתוב לי אם יש משהו מעניין.
13.05.2011 12:29:35

#32 

cp77fk4r:
עוד דבר, לפי ממצאים שראיתי באינטרנט לגבי מה שאמרת הוא היה אמור להיות בתיקית ה-Temp של המשתמש שלך, זה איפה שהאנטי וירוס מצא אותו?

בכל אופן- מדובר בשני אירועים שונים. הכניסה לאתר של הלוטו ב-90 אחוז לא קשורה להמצאות החולירע הזה אצלך במחשב.
13.05.2011 12:36:49

#33 

sdimant:
אם כבר מדברים על אתרים ישראלים, בזמן האחרון שמתי לב שב idown.me יש ClickJacking ללייקים בפייסבוק (כשלוחצים על הכפתור שמציג את הלינקים, וגם כשלוחצים על הלינק עצמו).
19.05.2011 22:46:54

#34 

מתן:
יצא לי לראות מס' ניצולים של אתרים גדולים כמו זה על גולשים שככל הנראה לא מבינים מה הורידו.
חבל מאוד שאתרים שכאלה מנצלים ככה את גולשיה.

אפיק, אתה יכול אולי להביא לי אולי את האימייל שלך? אני מעוניין לשאול אותך משהו בתור אדם מנוסה בתחום, תודה רבה.
20.05.2011 17:25:49

#35 

coolboy609 (אורח):
sdimant רק ב-idown.me ? זה קורה גם ב-horadot.net וגם ב-myvod.tv שדרג הניהול שם מכיר טוב מאוד זה את זה.
אך לאחרונה הם הפסיקו בזה לאחר שתוך כשבוע הגיעו מ-55 אלף לייקים לכמעט 90 אלף לייקים :|

בסדר, שמים פרסומות באתרים כדי לשלם על הוצאות האתר אפילו פופ אפים מעצבנים אבל למה דרכים מגעילות כמו זו שבמאמר
ודרכים נוספות שאני מכיר מאתרים רבים בחו"ל שאחרי דברים כאלה עשו עליהם חרם, ולאחר מספר שעות האתר נפל לנצח בגלל כמה אנשים שבאמת התעצבנו עליהם להראות להם לקח.

חבל שלא יכולים להוריד את האתרים הכל כך גרועים שהזכרתי בהתחלת התגובה. הם בושה לרשת הישראלית ולא תורמים בשיט.
21.05.2011 00:40:51

#36 

cp77fk4r:
בהחלט צודק coolboy.
ומתן- empty0page בג׳ימייל.
21.05.2011 08:23:34



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2014 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.