Trojan rozpowszechnia się przez sieć Gadu-Gadu

[wyyzy]

We wtorek wieczorem wielu użytkowników komunikatora Gadu-Gadu otrzymało pojedyncze wiadomości, w których znajdował się jedynie link do strony internetowej. Wiadomość możemy dostać nawet od nieznajomego, wystarczy, że on ma nas na swojej liście kontaktów.

Rozsyłane są wiadomości:

# w*ww.google.pl
# w*ww.jhjhaliwgpee.info
# w*ww.hsqvyrpzeh.info/wcoiyw.jpg
# w*ww.sqvyrpzeh.info/?awbiby.jpg
# w*ww.hhsqvyrpzeh.info/?awbiby.jpg

Fakt, że link przychodzi jako pojedyncza wiadomość, każe przypuszczać, że do użytkowników GG trafia jako zagnieżdżony w rozmowie obrazek. Ludzie, którzy rozsyłają linki, nie mają pojęcia, o co chodzi, bo – jak twierdzą - nic nie wysyłali.

Użytkownik Smalu deobfuskował kod strony
http://smalu.info/odkodowane.txt
(wysyłany jest tylko do użytkowników IE), wygląda na to, że do wstrzyknięcia używa techniki Trojan-Downloader.JS.Agent.ab, dalej nie wiadomo, co (oprócz rozsyłania linka dalej) robi sam trojan.

Problem dotyczy również użytkowników przeglądarki Mozilla Firefox z aktywną wtyczką Windows Media Player, przez którą uruchamiany jest kod robaka. Można się przed tym uchronić poprzez wyłączenie wtyczki WMP. Można to zrobić wpisując w pasek adresu about:config. Odnajdujemy klucz plugin.scan.WindowsMediaPlayer i ustalamy jego wartość na 12.0.

Po uruchomieniu robak skanuje dysk w poszukiwaniu plików profilu Gadu-Gadu - gromadzi hasła do kont oraz kontakty.

Dane te są następnie wykorzystywane do rozesłania złośliwych linków.

Takie działanie może powoduje złudną obsługę komunikatorów innych niż Gadu-Gadu, gdyż wielu z ich użytkowników posiada na swoich dyskach profile programu Gadu-Gadu.

Warto wspomnieć że sposób rozprzestrzeniania się robaka sam w sobie zawiera mechanizm automatycznej aktualizacji - każda z ofiar pobiera na swój dysk najbardziej aktualną wersję.

Nie jest znane szkodliwe działanie (poza rozprzestrzenianiem się) obecnych wersji, lecz kolejne wersje robaka mogą zawierać kod którego szkodliwość będzie dużo wyższa.

W kodzie robaka znaleziono tagi kilkunastu emotikon, co wskazuje na to że wiadomości mogą znacznie różnić się od wymienionych wyżej schematów (chociaż nie jest to potwierdzone).

Robak krążył po Internecie już od początku listopada, ten atak to jego nieco bardziej rozwinięta wersja, której pierwsze symptomy (jak atak na Firefoksa) pojawiły się około miesiąca temu.

Masowe wysyłanie wiadomości do użytkowników z listy kontaktów komunikatora powoduje także, że działanie zaczyna filtr antyspamowy serwerów Gadu-Gadu i wiadomości wychodzące i przychodzące do konta zarażonego zostają zablokowane na jakiś czas.

Exploit jest, przynajmniej na ten moment, ściągany zawsze z tego samego adresu.
http://maxnet.org.pl/~lrem/code.txt

Wystarczy więc na firewallu wyciąć adresy zamieszane w aferę (64.202.189.170 - strona do której prowadzi pierwszy link, 66.185.126.34 - ostateczny kod robaka), by zaznać chwilowego przynajmniej spokoju. Dokonano już tego w wielu sieciach osiedlowych.

?ródło: hacking.pl

[+ADI+]

LOL! www.google.pl??

[lowak]

(...)Problem dotyczy również użytkowników przeglądarki Mozilla Firefox z aktywną wtyczką Windows Media Player, przez którą uruchamiany jest kod robaka. Można się przed tym uchronić poprzez wyłączenie wtyczki WMP. Można to zrobić wpisując w pasek adresu about:config. Odnajdujemy klucz plugin.scan.WindowsMediaPlayer i ustalamy jego wartość na 12.0.

Po uruchomieniu robak skanuje dysk w poszukiwaniu plików profilu Gadu-Gadu - gromadzi hasła do kont oraz kontakty.

Dane te są następnie wykorzystywane do rozesłania złośliwych linków.

Takie działanie może powoduje złudną obsługę komunikatorów innych niż Gadu-Gadu, gdyż wielu z ich użytkowników posiada na swoich dyskach profile programu Gadu-Gadu.(...)

I właśnie dlatego warto używać alternatywnych przeglądarek i komunikatorów

[Zeratul]

W poście wyyzego nie ma następujących linków:

w*ww.hsqvyrpzeh.info/dfwucw.jpg
w*ww.hsqvyrpzeh.info/?oocafo.jpg

Wygląda na to, że sam padłem ich ofiarą, bo mimo, że używam tlena, to jednak GG wciąż mam zainstalowane.

Niech mi ktoś powie, co niby chce osiągnąć ktoś przez wysyłanie linka "www.google.pl" ?

[lowak]

Szerzyć wieść o dobrej przeglądarce? :sgrin:

[wlodas]

a ja dostałem na gg

WAŻNE KOLEJNY WIRUS
NIE KASUJ TEGO PRZECZYTAJ UWAŻNIE...
Ktoś rozsyła mily wygaszacz ekranu- TH - superman.zip.
Jeśli go rozpakujecie w swoim komputerze,
to stracicie wszystko! Wasz twardy dysk zostanie zniszczony,
a ten ktoś uzyska Wasze nazwisko i haslo (password) przez
Internet. Nie rozpakowujcie w żadnym wypadku tego wygaszacza
ekranu! O ile wiadomo, wirus został puszczony w obieg
od wczoraj. Ta informacja zostala opublikowana wczoraj
rano przez Microsoft. Wirus tworzy plik tekstowy w
c: /windows/thaurus/jest/super/gosc.txt i tam
przetrzymuje dane ktore nastepnie zostaja wyslane
przez internet. Prosimy Was o rozpowszechnienie tej
informacji do wszystkich. Waszych znajomych, ktorzy
mają dostep do Internetu. Prosze skopiujcie i wyślijcie
te informacje do kogokolwiek aby ten wirus mogł zostać
zablokowany. Poinformujcie wszystkich ktorych macie na
liście znajomych GG i innych przyjacioł
Z poważaniem,
InterLAN
Marek Sieradziński
tel. (61) 827-39-19
fax. (61) 827-39-05

[thegoodfather]

Dlatego zawsze mam zablokowane wiadomości od nieznajomych!



___________________________________________________________
Trojan is sucks!

[lowak]

a ja dostałem na gg

Taaa, a dodatkowo przyjdzie ci list, że szczyśli konto w banku i zaciągneli kredyt pod hipoteke domu. Jestem troche sceptyczny do takich informacji, po pierwsze skad nazwisko, jakie hasło? Dużo ogólników, a właściwie zero konkretów.

Owszem pobierać czegokolwiek z gg od kogoś nieznajomego nie polecam, ale to chyba oczywiste tak jak kupowanie kota w worku.

[wyyzy]

wlodas ta informacja krąży już po internecie wieeele czasu. Na jednej stronie jakiś czas temu wyczytałem, że nie jest to nic innego jaki kit, bo taka paczka nie krąży a wiadomość tak A te listy to parodia 'jak nie roześlesz tego to ktoś tam blablabla umrze a ty będziesz miał pecha przez 10 lat' LOL.

[lowak]

Należy jeszcze dodać, że aby otrzymać plik przez gg musisz mieć kogoś na liście

[wlodas]

wlodas ta informacja krąży już po internecie wieeele czasu. Na jednej stronie jakiś czas temu wyczytałem, że nie jest to nic innego jaki kit, bo taka paczka nie krąży a wiadomość tak A te listy to parodia 'jak nie roześlesz tego to ktoś tam blablabla umrze a ty będziesz miał pecha przez 10 lat' LOL.

zgadza sie z Toba. nie sciągam zadnych takich pliczków - jestem ostrozny i dodatkowo nie poluje za takimi nowościami.