За пятнадцать минут

[migmit]

Тут у ivan_gandhi обнаружилась запись¹ примерно такого содержания:

Всем, кому неловко ощущать себя "диванной сотней", которая возмущается в интернете, но не может сделать ничего практического в борьбе с российскими оккупантами. Теперь такая возможность есть. Группа адекватной русской молодежи, не имеющей ничего общего с путиноидным быдлом, начинает кибервойну против путинского режима. Участвовать в ней может любой желающий - достаточно зайти на <ссылка удалена — migmit>, скачать и запустить маленькую программку. Понимаю рефлекторный ужас, вызываемый таким предложением, но НЕТ, это не вирус, программа никуда не устанавливается и не запускается автоматически при перезагрузке компьютера. Она включается ТОЛЬКО руками пользователя. Вы полностью контролируете, когда она работает, а когда - нет. Вы можете в любое время ее включать и выключать.
Программа НЕ меняет никакие файлы на Вашем компьютере, не загружает его память или процессор, и использует только свободную ширину канала Интернет. Другими словами, ее работа никак не повлияет на работу Вашего компьютера. Программа проверена IT-шниками из Правого сектора, которому нет никакого резона дискредитировать себя, агитируя на своем официальном сайте за установку программы, которая могла бы повредить его сторонникам.
Что она делает - ну, вы уже поняли ;) Если нет - читайте по ссылке выше. Атомные реакторы не взрывает и данные не крадет.
Опасно ли, что "за вами придут"? В мире не было прецедентов, чтобы приходили за пользователями, чей компьютер используется для DDoS-атак. Пользователь в таких случаях считается заведомо невиновной стороной, которая знать ничего не знает, да и слишком таких пользователей много.
Кибервойна продолжится до тех пор, пока российские оккупанты не покинут Крым и вообще территорию Украины.
Учитывая возможность блокировок, прошу максимально широко распространять данную инф-цию.

Що мы тут видим. Во-первых, сам факт "скачайте мою программку и запустите" — это уже тревожный звоночек. Необходима дальнейшая работа. Ладно, идём на сайт.

Скачиваем. Версия — только под винду, исходников нет. Ладно, тем лучше — случайно я её точно не запущу. Лежит на depositfiles (почему не на собственном сайте?). Лежит в виде ЗАПАРОЛЕННОГО АРХИВА, с именем "что-то-там_Pass_123.rar". Вы знаете, зачем выкладывать на depositfiles файл, защищённый паролем, включая сам пароль в имя файла? А я знаю. Чтобы антивирус на depositfiles не залез внутрь и не заорал благим матом.

Ладно, скачали, распаковали. Там один exeшник. Открываем его в emacs, и видим строчки "UPX", "UPX1"... Ладно, sudo port install upx +lzma, распаковываем и это. Открываем снова, и видим множество строчек типа "TImageList". Понятно, дельфи.

Дальше смотреть на файл глазами мне надоело. Взял я IDA Pro, загрузил. Смотрю для начала секцию импорта. Интересно, если на сайте написано

Но мы гарантируем, в нашей программе нет никаких функций вируса, кражи паролей, блокировки Windows, спама или чего-либо подобного. Есть только одна функция - периодическая отправка запросов на блокируемый сайт, что при большом количестве пользователей вызывает перегрузку и временную неработоспособность сайта. Ничего больше в этой программе нет.

то зачем в этой программе WriteFile? Нет, конечно, может быть, линкер не выкинул лишнее, или пишется какой-нибудь простенький конфиг... но почему бы не посмотреть? Смотрим... и находим процедуру, создающую VB-скрипт, собирающий информацию об установленных антивирусах. Упс.

Дальше стало неинтересно. До кучи я загрузил программку на malwr.com. Антивирусы распакованный вариант не тронули, но сайт отрапортовал три вещи: во-первых, программка никакого DDoS-а даже не попыталась сделать, во-вторых, этот VB-скрипт действительно создала (то есть, это не дохлый код), и, в третьих, таки прописалась в автозагрузку.

Вот так вот.

Update:

¹Перепост был случайным, по-видимому.

Comments

[migmit.livejournal.com]

Кому?

[thedeemon.livejournal.com]

Это про Ганди.

[migmit.livejournal.com]

А. Ему я отписался, в соседнем посте.

[nealar.livejournal.com]

Коммент не нашёл. Он тоже случайно¹ пропал?

[migmit.livejournal.com]

http://ivan-gandhi.livejournal.com/2664564.html?thread=38750068#t38750068

[nealar.livejournal.com]

Access is denied. Потому и не нашёл.

[migmit.livejournal.com]

Ясно, я не заметил, что там замок.

[riftman.livejournal.com]

Какое очарование...

Пассаж про "Правый Сектор" позволяет заподозрить руку кровавого режЫма.

[voidex.livejournal.com]

Так, может, она по команде ддосит

[sopkina.livejournal.com]

> Что она делает - ну, вы уже поняли ;)
Я не поняла. Не, серьезно, что это могло быть, кроме вируса?

[migmit.livejournal.com]

Ну, ivan_gandhi — человек не без мозгов, теоркат студентам читает.

[sopkina.livejournal.com]

Это не ответ. Что там еще могло быть, все-таки?
Или ты предлагаешь этот вопрос переадресовать?

[migmit.livejournal.com]

Да не знаю я, что там могло быть. Жизнь полна неожиданностей. Если что-то ходит, как утка, плавает, как утка, и крякает, как утка, то это почти наверняка утка; но если кто-то умный говорит, что это инопланетный робот, то, возможно, стоит всё-таки посмотреть поближе.

[thedeemon.livejournal.com]

Декларировалась программа как инструмент для DDOS атак на сайты путинского режима. Каждая запущенная копия посылала бы без устали запросы на сайты-цели, они бы под наплывом запросов падали.

[sopkina.livejournal.com]

А, ок. Спасибо!

[juan-gandhi.livejournal.com]

Э, я не очень-то понимаю, как это у меня случилось перепостить эту фигню (нечаянно нажал мышкой?), но я её удалил из жж, конечно. Спасибо!

[udpn.livejournal.com]

Товарищ, поменяйте пароль на ЖЖ и мыле, а то если это не вы случайно мышкой нажали, то я так могу и без одного из немногих интересных журналов в ленте остаться.

[migmit.livejournal.com]

Присоединяюсь к udpn выше. Пожалуйста!

[yatur.livejournal.com]

Круто. Я не знаком и с половиной этих инструментов.