"You've received a greeting ecard" - czyli szkodnik w pocztówce

Od przynajmniej miesiąca nasze skrzynki pocztowe zasypuje spam, z którego wynika, że ktoś był na tyle miły, by przysłać nam elektroniczną pocztówkę. Niektóre filtry nauczyły się już wychwytywać te wiadomości, jednak rosnąca liczba przychodzących e-maili sugeruje, iż wiele osób daje się nabrać na fałszywe e-kartki. Jeśli i ty postanowiłeś kliknąć w odsyłacz prowadzący jakoby do życzeń, powinieneś zacząć się martwić. Twój komputer mógł się stać zombie, które zasypuje innym internautom skrzynki albo uczestniczy w atakach DDoS. Niezbyt miła wiadomość, prawda?

Tylko dziś autor tego tekstu dostał pięć e-maili z informacją, że ktoś przygotował dla niego elektroniczną pocztówkę. Sądząc po adresach IP w nagłówkach, jeden przyszedł z Afryki, trzy z bliżej nieokreślonego kierunku i jeden z Francji. W początkowym okresie były to najwyżej trzy e-maile dziennie, co pozwala nam sądzić, że - mimo licznych ostrzeżeń firm produkujących oprogramowanie antywirusowe oraz portali z branży IT - ciągle zdarzają się użytkownicy, którzy wierzą w anonimowe elektroniczne pocztówki.

Typowa wiadomość z informacją o pocztówce

Typowa wiadomość z informacją o pocztówce

Postanowiliśmy sprawdzić, co tak naprawdę może spotkać naiwnego użytkownika. Naszym poligonem doświadczalnym był komputer z Windows XP Professional SP2, Internet Explorerem 7 oraz niemal wszystkimi łatami bezpieczeństwa dostępnymi na dzień testu (dwie ostatnie właśnie się instalowały).

Pierwsze kroki

Po uruchomieniu systemu, wystartowaliśmy przeglądarkę internetową (IE7) i wpisaliśmy w niej adres z e-maila. Aplikacja poprosiła nas o zainstalowanie dwóch formantów ActiveX o nazwie Microsoft Data Access - Remote Data Services Data Control oraz Zawartość Shell WebView i biblioteka formantów.

Ecard.exe - wyłączyłeś JavaScript? W takim razie musisz zarazić się sam

Ecard.exe - wyłączyłeś JavaScript? W takim razie musisz zarazić się sam

Rozsądnemu użytkownikowi już w tym momencie powinno zapalić się czerwone, ostrzegawcze światełko. Odwiedzając witrynę, która nie legitymuje się żadnym sensownym adresem (np. www.pcworld.pl, www.google.pl, www.microsoft.pl itd.), a zamiast tego przedstawia się jako IP (http://130.11.32.12 itd.), należy zachować daleko idącą ostrożność i w żadnym wypadku nie wolno jej pozwolić na instalowanie w systemie dodatków.

Zaskoczenie

Po zainstalowaniu dodatków nadszedł moment na najważniejszy krok: na uruchomienie pliku EXE. Mimo naszej delikatnej pomocy, ecard.exe nie potrafił załadować się do pamięci wykorzystując luki w przeglądarce - ani w Operze, ani w Firefoksie, ani w IE. Istnieją ponoć jednak wersje, które potrafią odnaleźć starą dziurę w aplikacjach Mozilli, Opera Software i Microsoftu, by zainfekować system bez udziału użytkownika.

Plik ecard.exe nas zaskoczył. Zamiast wywoływać pożar, spowodował restart komputera. Zaczęliśmy się zastanawiać, co może być przyczyną problemu. Najbardziej prawdopodobne okazały się dwie hipotezy:

1) aplikacja jest napisana na tyle źle, że nie działa na wielu typowych komputerach

2) aplikacja jest napisana na tyle dobrze, że potrafi wykryć przynajmniej niektóre wirtualne maszyny.

Tutaj drobne wyjaśnienie: aby uniknąć masowo rozprzestrzeniającej się infekcji, zarażaliśmy Windows XP zainstalowane na wirtualnej maszynie VMware Workstation uruchomionej wewnątrz Visty.


Zobacz również