За пятнадцать минут
Mar. 22nd, 2014 03:21 pmТут у ![[livejournal.com profile]](https://www.dreamwidth.org/img/external/lj-userinfo.gif)
ivan_gandhi обнаружилась запись1 примерно такого содержания:
Що мы тут видим. Во-первых, сам факт "скачайте мою программку и запустите" — это уже тревожный звоночек. Необходима дальнейшая работа. Ладно, идём на сайт.
Скачиваем. Версия — только под винду, исходников нет. Ладно, тем лучше — случайно я её точно не запущу. Лежит на depositfiles (почему не на собственном сайте?). Лежит в виде ЗАПАРОЛЕННОГО АРХИВА, с именем "что-то-там_Pass_123.rar". Вы знаете, зачем выкладывать на depositfiles файл, защищённый паролем, включая сам пароль в имя файла? А я знаю. Чтобы антивирус на depositfiles не залез внутрь и не заорал благим матом.
Ладно, скачали, распаковали. Там один exeшник. Открываем его в emacs, и видим строчки "UPX", "UPX1"... Ладно,
Дальше смотреть на файл глазами мне надоело. Взял я IDA Pro, загрузил. Смотрю для начала секцию импорта. Интересно, если на сайте написано
то зачем в этой программе WriteFile? Нет, конечно, может быть, линкер не выкинул лишнее, или пишется какой-нибудь простенький конфиг... но почему бы не посмотреть? Смотрим... и находим процедуру, создающую VB-скрипт, собирающий информацию об установленных антивирусах. Упс.
Дальше стало неинтересно. До кучи я загрузил программку на malwr.com. Антивирусы распакованный вариант не тронули, но сайт отрапортовал три вещи: во-первых, программка никакого DDoS-а даже не попыталась сделать, во-вторых, этот VB-скрипт действительно создала (то есть, это не дохлый код), и, в третьих, таки прописалась в автозагрузку.
Вот так вот.
Update:
1Перепост был случайным, по-видимому.
ivan_gandhi обнаружилась запись1 примерно такого содержания:
Всем, кому неловко ощущать себя "диванной сотней", которая возмущается в интернете, но не может сделать ничего практического в борьбе с российскими оккупантами. Теперь такая возможность есть. Группа адекватной русской молодежи, не имеющей ничего общего с путиноидным быдлом, начинает кибервойну против путинского режима. Участвовать в ней может любой желающий - достаточно зайти на <ссылка удалена — migmit>, скачать и запустить маленькую программку. Понимаю рефлекторный ужас, вызываемый таким предложением, но НЕТ, это не вирус, программа никуда не устанавливается и не запускается автоматически при перезагрузке компьютера. Она включается ТОЛЬКО руками пользователя. Вы полностью контролируете, когда она работает, а когда - нет. Вы можете в любое время ее включать и выключать.
Программа НЕ меняет никакие файлы на Вашем компьютере, не загружает его память или процессор, и использует только свободную ширину канала Интернет. Другими словами, ее работа никак не повлияет на работу Вашего компьютера. Программа проверена IT-шниками из Правого сектора, которому нет никакого резона дискредитировать себя, агитируя на своем официальном сайте за установку программы, которая могла бы повредить его сторонникам.
Что она делает - ну, вы уже поняли ;) Если нет - читайте по ссылке выше. Атомные реакторы не взрывает и данные не крадет.
Опасно ли, что "за вами придут"? В мире не было прецедентов, чтобы приходили за пользователями, чей компьютер используется для DDoS-атак. Пользователь в таких случаях считается заведомо невиновной стороной, которая знать ничего не знает, да и слишком таких пользователей много.
Кибервойна продолжится до тех пор, пока российские оккупанты не покинут Крым и вообще территорию Украины.
Учитывая возможность блокировок, прошу максимально широко распространять данную инф-цию.
Що мы тут видим. Во-первых, сам факт "скачайте мою программку и запустите" — это уже тревожный звоночек. Необходима дальнейшая работа. Ладно, идём на сайт.
Скачиваем. Версия — только под винду, исходников нет. Ладно, тем лучше — случайно я её точно не запущу. Лежит на depositfiles (почему не на собственном сайте?). Лежит в виде ЗАПАРОЛЕННОГО АРХИВА, с именем "что-то-там_Pass_123.rar". Вы знаете, зачем выкладывать на depositfiles файл, защищённый паролем, включая сам пароль в имя файла? А я знаю. Чтобы антивирус на depositfiles не залез внутрь и не заорал благим матом.
Ладно, скачали, распаковали. Там один exeшник. Открываем его в emacs, и видим строчки "UPX", "UPX1"... Ладно,
sudo port install upx +lzma, распаковываем и это. Открываем снова, и видим множество строчек типа "TImageList". Понятно, дельфи.Дальше смотреть на файл глазами мне надоело. Взял я IDA Pro, загрузил. Смотрю для начала секцию импорта. Интересно, если на сайте написано
Но мы гарантируем, в нашей программе нет никаких функций вируса, кражи паролей, блокировки Windows, спама или чего-либо подобного. Есть только одна функция - периодическая отправка запросов на блокируемый сайт, что при большом количестве пользователей вызывает перегрузку и временную неработоспособность сайта. Ничего больше в этой программе нет.
то зачем в этой программе WriteFile? Нет, конечно, может быть, линкер не выкинул лишнее, или пишется какой-нибудь простенький конфиг... но почему бы не посмотреть? Смотрим... и находим процедуру, создающую VB-скрипт, собирающий информацию об установленных антивирусах. Упс.
Дальше стало неинтересно. До кучи я загрузил программку на malwr.com. Антивирусы распакованный вариант не тронули, но сайт отрапортовал три вещи: во-первых, программка никакого DDoS-а даже не попыталась сделать, во-вторых, этот VB-скрипт действительно создала (то есть, это не дохлый код), и, в третьих, таки прописалась в автозагрузку.
Вот так вот.
Update:
1Перепост был случайным, по-видимому.
