Razkritje avtorja torrent galaxy črva




Pa ga imajo; težko se je danes skriti na internetu in delaš hudobije.  Kar pozabljamo, da obstaja center, ki obravnava varnostne incidente; obvestila o zlorabah, okužbah in vdorih v računalniške sisteme SI-CERT Obvešča in rešuje varnostne probleme v računalniških omrežjih v Sloveniji.  Na njihovi spletni strani lahko prijavite nov incident.


Youtube.torrent-galaxy.in

Podrobnejša analiza Facebook črva youtube.torrent-galaxy.in je na voljno na Si Cert strani v prispevku Politika je lahko tudi nevarna! kjer podrobneje opišejo datoteki, ki sta se prenesli ob kliku na “prenos novejšega playerja” in kaj naredita. Resen je podatek, da je tistega dne  le 10 od 42 preizkušenih antivirusnih programov prepoznalo to nevarnost, zato je tu še en razlog, za pazljivo klikanje na povezave.

Še en nasvet mimogrede, ki ga upoštevam v službenem in domačem omrežju; onemogočite avtomatični zagon medija ( autorun) CD/DVD, spominske kartice kot  je SD kartica in USB ključe.    Na prepisljivih medijih kot sta SD kartica in USB ključ je priporočljivo imeti v mapi in v vsaki podmapi prazno autorun.inf datoteko, ki ima lastnosti le za branje. Tako črvi ne morejo okužiti na tak način prepisljivih medijev in širiti naprej okužbo po omrežju in drugod.


Autorun.inf

Odpremo beležnico (notepad) in shranimo prazno datoteko kot autorun.inf . Z desnim gumbom miške kliknemo na lastnosti datoteke in kliknemo le za branje.

Slovenski avtor virusa

Pri Si Certu so šli še naprej in podrobneje analizirali varnostni incident in potrdili moj sum, da ne gre za hrvaškega avtorja youtube.torrent-galaxy kot so poročali naši mediji tako prepričljivo (besedo baje vsak preskoči pri branju in je ne upošteva), brez kakršnihkoli dokazov. Da malo obudim spomin, vsi mediji, ki so pisali o tem Facebook virusu, so zapisali, da gre za baje hrvaškega avtorja Lilly bili iz Zagreba, kar so lahko razbrali iz whois servisa.

Domena je bila namreč registirana kot:

Si cert pa je z analizo kode ugotovil, da je bila napisana z Microsoft Visual Studio, kjer pa je zapisana tudi pot, kjer se nahaja datoteka na njegovem disku, ki pa je na njegovo smolo vsebovala tudi uporabniško ime 🙂 Pri testiranju virusa je uporabil kar svoj pravi Facebook profil ( tudi njegove slike so gor), preden je začel nevarni pohod po slovenskih Facebook profilih.  Podrobnejša naliza je na voljo v prispevku Analiza slovenskega Facebook botneta .


Škodljivi programi znotraj virusa

Okuženi računalniki so prejeli naslednje nevarne programe:

  • program, ki krade in prestreza gesla ob vpisu na spletne strani;
  • program, ki poseže v delovanje DNS sistema (DNS changer) ;
  • program, ki onemogoči delovanje nameščenih antivirusnih programov in antispyware programov;
  • črva, ki pošilja okužena elektronska sporočila;
  • lažni antivirusni program, ki zahteva plačilo za izbris virusov, ki ji na sistemu sploh ni;
  • črva, ki se širi preko p2p programov za izmenjavo datotek (bittorrent, emule ipd.);
  • program, ki poseže v delovanje brskalnika, tako da preusmerja na zlonamerne spletne strani (predvsem pornografske, kjer je največ virusov in spyware programov).

Prav prejšnji teden sem imela v roki prenosnik, ki je imel pol zgoraj omenjenih škodljivih programov in bilo je kar dolgotrajno, da je bilo vse pobrisano in postavljeno nazaj na svoje mesto, vse to zaradi neumnosti uporabnika prenosnika, ki je surfal po internetu brez kakršnekoli zaščite, sploh pa je bilo zabavno na začetku, saj nobenega exe program  ni bilo možno zagnati.



Saša

Works as system engineer in Slovenian Enterprise in Microsoft environment focusing on security, deployments, SharePoint, SCCM and CheckPoint firewall. Author of successful blog about IT security, Microsoft tips & tricks, social media, internet trends.

One Reply to “Razkritje avtorja torrent galaxy črva”

Leave a Reply