Είμαστε στο Facebook και μας έρχεται μήνυμα από κάποιον φίλο, με ένα σύντομο μήνυμα και ένα αρχείο με κατάληξη .rar. Αυτός είναι ο τρόπος με τον οποίο διαδίδεται ο πρόσφατος ιός facebook. Στο παρόν άρθρο θα αναλύσουμε τον συγκεκριμένο ιό, με σκοπό να καταλάβουμε ακριβώς πώς λειτουργεί.

Για να βλέπεις ΟΠΟΙΑ ταινία και σειρά θέλεις ΟΤΑΝ θέλεις, σε Ελλάδα ή εξωτερικό, και για απόλυτη ασφάλεια και ανωνυμία, βάλε Cyberghost μόνο με €2,75 το μήνα και με bonus +6 μήνες δωρεάν στην ετήσια συνδρομή:





Πριν συνεχίσουμε με την ανάλυση του ιού, να δούμε πρώτα πώς να τον αφαιρέσουμε από ένα σύστημα που έχει μολυνθεί.

Το πρώτο βήμα είναι να αφαιρέσουμε το πρόγραμμα sapsalo από την έναρξη των Windows.

Για αναλυτικές πληροφορίες σχετικά με την αφαίρεση ενός προγράμματος από την έναρξη οποιασδήποτε έκδοσης των Windows, δείτε τον οδηγό:

Εκκίνηση Προγραμμάτων στα Windows: Αφαιρούμε τα Άχρηστα!

Στη συνέχεια, θα αφαιρέσουμε τον ιό από τον browser μας.

Αφαίρεση ιού στον Google Chrome

Αν χρησιμοποιούμε τον Chrome, γράφουμε στη μπάρα των διευθύνσεων chrome://extensions

Η επέκταση Flash Player 2.0 είναι ο ιός facebook.

Κάνουμε κλικ στον κάδο αχρήστων για να την αφαιρέσουμε.

Αφαίρεση ιού στον Mozilla Firefox

Στο Firefox κάνουμε κλικ στο κουμπί του Firefox, και επιλέγουμε "Πρόσθετα"

Κάνουμε κλικ στις "Επεκτάσεις"

Η επέκταση Flash Player 0.1 είναι ο ιός facebook.

Επιλέγουμε "αφαίρεση" για να την αφαιρέσουμε.

Αφού ολοκληρώσαμε τις παραπάνω διαδικασίες, κάνουμε επανεκκίνηση στον υπολογιστή μας.

Μόλις ανοίξει ξανά, πηγαίνουμε στο δίσκο c: και διαγράφουμε το φάκελο "MyFolderakis".

Ο ιός facebook αφαιρέθηκε με επιτυχία!

Προσοχή! Μην επιχειρήσετε να αναπαράγετε τις διαδικασίες που θα δείξουμε σε αυτόν τον οδηγό. Υπάρχει κίνδυνος, αν τρέξετε καταλάθος κάποιο αρχείο, ο ιός facebook να μολύνει το σύστημά σας.

Προσωπικά έκανα το μεγαλύτερο μέρος της παρακάτω ανάλυσης στο λειτουργικό σύστημα Ubuntu, το οποίο είναι αδύνατον να προσβληθεί από έναν ιό γραμμένο για Windows.

Η πρώτη επαφή: ένα αρχείο .rar με ένα .vbs

Μας έρχεται λοιπόν, σε ανύποπτο χρόνο, ένα μήνυμα που γράφει μια μικρή φράση και συνοδεύεται από ένα αρχείο .rar.

Μέχρι στιγμής μου έχουν έρθει δύο σχετικά μηνύματα, με διαφορετική φράση και διαφορετικό όνομα αρχείου. Το ένα ήταν σε greeklish...

Το άλλο στα Ελληνικά.

Τώρα, έτυχε και οι δύο αυτοί χρήστες να είναι άτομα που να μην γνωρίζω προσωπικά. Θα μπορούσαν όμως αυτά τα μηνύματα να έχουν έρθει από τον λογαριασμό κάποιου συγγενή, κολλητού φίλου, οποιουδήποτε.

Κατεβάζοντας λοιπόν το αρχείο .rar και ανοίγοντάς το, βλέπουμε πως στο εσωτερικό του έχει ένα αρχείο με το όνομα ΔΕΣ ΤΟ!!!.vbs.

Ακόμα κι αν δεν ήταν ύποπτο το ότι μας έστειλε ένας γνωστός μας ένα αρχείο .rar, τα αρχεία με καταλήξεις .vbs ανήκουν στην επικίνδυνη κατηγορία εκτελέσιμων αρχείων.

Η εκτέλεση του .vbs

Ανοίγοντας το αρχείο με έναν επεξεργαστή κειμένου, βλέπουμε τον κώδικα που θα εκτελεστεί τρέχοντάς το.

Με μια ματιά στον κώδικα είναι εμφανές πως ο δημιουργός είναι Έλληνας (α, ρε πατρίδα!). Κατ' αρχάς, δημιουργεί έναν φάκελο \MyFolderakis.

Δεύτερον, αναφέρεται ένα αρχείο \sapsalo.jar

Τρίτον, βλέπουμε παρακάτω στον κώδικα αρκετές φράσεις στα Ελληνικά.

Εν συντομία, ο συγκεκριμένος κώδικας κάνει τα εξής:

Επιλέγει τυχαία μία από αυτές τις ιστοσελίδες Κατεβάζει το αντίστοιχο αρχείο .zip Αποσυμπιέζει το αρχείο Ελέγχει αν έχει αποσυμπιεστεί το αρχείο sapsalo.jar. Αν ναι, τρέχει ένα αρχείο run.bat

Αξίζει επίσης να σημειωθεί πως όλες οι παραπάνω σελίδες φαίνεται να ανήκουν στον ίδιο δημιουργό, καθώς έχουν κατοχυρωθεί από την ίδια εταιρεία και δείχνουν στο ίδιο hosting.

Το νέο αρχείο .zip

Απ' όσο μπόρεσα να διαπιστώσω, τα αρχεία σε όλες τις ιστοσελίδες είναι πανομοιότυπα.

Περιέχουν το sapsalo.jar, το run.bat καθώς και ένα αρχείο εγκατάστασης Java.

Το πρώτο αρχείο που εκτελεί ο ιός facebook είναι το run.bat, το οποίο ελέγχει αν υπάρχει εγκατεστημένη η Java στο σύστημά μας.

Αν δεν υπάρχει, πολύ εξυπηρετικά, αναλαμβάνει να την εγκαταστήσει τρέχοντας το αρχείο jre-8u5-windows-i586-iftw.exe με την παράμετρο "/s" για σιωπηλή (silent) εγκατάσταση.

Αν υπάρχει η Java ή αφού την εγκαταστήσει, ο ιός facebook τρέχει το sapsalo.jar

Τα αρχεία .jar ουσιαστικά είναι συμπιεσμένα αρχεία της Java, τα οποία όμως μπορούν να τρέξουν και σαν εκτελέσιμα. Γι' αυτό ήταν απαραίτητη η εγκατάσταση της Java.

Υπενθυμίζουμε πως και τα αρχεία .jar ανήκουν στην ομάδα με τις επικίνδυνες καταλήξεις.

Το αρχείο sapsalo.jar

Εδώ είναι που τα πράγματα αρχίζουν και σοβαρεύουν.

Χρησιμοποιώντας τη σελίδα http://jd.benow.ca/ θα μπορέσουμε να αναλύσουμε όλο τον κώδικα που περιέχεται στο αρχείο sapsalo.jar.

Το κύριο αρχείο είναι το JavaApplication2.class.

Το πρώτο που κάνει ο ιός facebook, στις γραμμές 43-46 του κώδικα, είναι να κάνει ένα αντίγραφο του εαυτού του στην εκκίνηση των Windows.

Με αυτόν τον τρόπο, ακόμα κι αν αφαιρέσουμε τις επεκτάσεις που θα βάλει στο browser (τις οποίες θα δούμε παρακάτω) να τις επαναφέρει στην επόμενη επανεκκίνηση.

Στη συνέχεια, στις γραμμές 56 έως 83 ο ιός facebook τοποθετεί και αποσυμπιέζει κάποια αρχεία στο φάκελο με τις επεκτάσεις του Google Chrome.

Το αμέσως επόμενο κομμάτι του κώδικα είναι ιδιαίτερα έξυπνο. Πρώτα καλεί το αρχείο ourt.json, που βρίσκεται μέσα σε έναν από τους υποφακέλους του sapsalo.jar.

Στη συνέχεια ο ιός facebook "σκοτώνει" την διεργασία chrome.exe (taskkill), και το πρόγραμμα εισάγει τα περιεχόμενα του ourt.json, εγκαθιστώντας ουσιαστικά μια νέα επέκταση με το όνομα flash player 2.0.

(ναι, μόλυνα μια virtual machine με Windows για να σας δείξω πως λειτουργεί. Η ενημέρωση θέλει θυσίες...)

Ο λόγος που ο ιός facebook χρειάστηκε να σκοτώσει το chrome.exe είναι πως ο Chrome "κλοτσάει" αν πάει ένα πρόγραμμα να εγκαταστήσει μια επέκταση με το "έτσι θέλω".

Μετά την εγκατάστασή της, η επέκταση φαίνεται αρκετά αθώα. Όλοι ξέρουν τον Flash Player, και ταυτόχρονα αρκετοί αγνοούν πως ο Chrome διαθέτει ήδη ενσωματωμένο Flash Player (και άρα δεν χρειάζεται επέκταση, ή παραβλέπουν την ένδειξη "όχι από το Chrome Web Store".

Ο ιός facebook μάλιστα προβλέπει το ενδεχόμενο να αφαιρέσουμε ή να απενεργοποιήσουμε την επέκταση, και θα την ενεργοποιήσει ξανά στην επόμενη επανεκκίνηση των Windows.

Όλος ο υπόλοιπος κώδικας επαναλαμβάνει την ίδια διαδικασία εγκατάστασης "πειραγμένης" επέκτασης για τον Mozilla Firefox.

Η πειραγμένη επέκταση

Όλη η εκτέλεση του πραγματικού ιού γίνεται μέσω του αρχείου ourt.json, που είναι η πειραγμένη επέκταση.

Ουσιαστικά η επέκταση είναι ρυθμισμένη να τρέχει κάποια σκριπτάκια γραμμένα σε javascript σε όποια σελίδα είναι σχετική με το facebook.com.

Τα σκριπτάκια αυτά αναφέρονται με τις καταλήξεις .js

Τα σκριπτάκια και οι δυνατότητες του ιού

Το σημαντικότερο από τα σκριπτάκια που χρησιμοποιεί ο ιός facebook είναι το popup.js.

Στο σκριπτάκι αυτό βλέπουμε το βασικό σκοπό δημιουργίας του συγκεκριμένου ιού: το να προβάλλει επιπλέον διαφημίσεις στο facebook, από τα κλικ στις οποίες επωφελείται ο δημιουργός.

Οι διαφημίσεις αντλούνται από διάφορα αρχεία .php σε άλλα domain του δημιουργού.

Παρακάτω βλέπουμε να ορίζονται τα διάφορα functions, που αποτελούν τις δυνατότητες του ιού.

Ο ιός λοιπόν μπορεί:

να αντιγράψει τη λίστα των φίλων του θύματος στο Facebook.

να δημιουργήσει δημοσιεύσεις

να κάνει Like εκ μέρους του θύματος σε δημοσιεύσεις και σελίδες

να στείλει μηνύματα μέσω του chat, που είναι και ο τρόπος με τον οποίο διαδίδεται...

να διαγράψει το μήνυμα που μόλις έστειλε, για να μην υποψιαστεί το θύμα πως έχει κολλήσει ιό facebook.

Και φτάνουμε σε ένα από τα πιο σημαντικά σημεία του κώδικα, την διάδοση του ιού facebook μέσω του Chat.

To function get_config αντλεί τυχαία κείμενα για το chat και το όνομα του αρχείου rar από διάφορα site του δημιουργού, με μορφή JSON.

Ύστερα επιλέγεται τυχαία ένας από τους φίλους

και βεβαίως στέλνεται το attachment για τη διάδοση του ιού.

Αξίζει να σημειωθεί πως ο κώδικας προβλέπει την περίπτωση να έχει σταλεί ήδη ο ιός σε μια επαφή, οπότε και φροντίζει να μην ξανασταλεί.

Αναλυτικά στατιστικά για τη δράση του ιού

Ενδιαφέρον είναι το γεγονός πως ο ιός facebook κρατάει αναλυτικά στατιστικά μέσα από το σκριπτάκι analytics.js.

Έτσι, ο δημιουργός γνωρίζει ανά πάσα στιγμή πόσα μηνύματα έχουν σταλεί, πόσα attachments, καθώς επίσης και πόσες φορές έχει αφαιρεθεί το extension.

Μια αρκετά "καλή" δουλειά

Ενώ σε καμία περίπτωση δεν εγκρίνουμε τη δημιουργία ιών, από τεχνικής άποψης ο συγκεκριμένος ιός facebook είναι αρκετά περίπλοκος και φαίνεται πως ο δημιουργός του έχει επενδύσει αρκετό χρόνο στην ανάπτυξή του.

Δεν βλέπουμε κάθε μέρα ιούς που να αξιοποιούν ταυτόχρονα τόσες πολλές τεχνολογίες (VBS, Batch, Java, JavaScript).

Βέβαια, μέσα στην πολυπλοκότητα ξεφεύγουν και μερικά μικρά σφάλματα. Αν πχ υπάρχει ήδη ο φάκελος MyFolderakis στο c:\, το σκριπτάκι, και κατά συνέπεια ο ιός, δεν μπορεί να εγκατασταθεί.

Επίσης, το γεγονός πως είναι γραμμένο σε Java έχει το μειονέκτημα πως η Java πρέπει να είναι εγκατεστημένη στον υπολογιστή.

Ναι μεν το ίδιο το script επιχειρεί να την εγκαταστήσει, αλλά ο συγκεκριμένος installer δεν είναι συμβατός με τα Windows XP, λόγω της λήξης της υποστήριξης.

Συνολικά, πάντως, ο ιός αυτός έχει διαδοθεί ταχύτατα στους Έλληνες χρήστες, λόγω του ότι χρησιμοποιεί Ελληνικά μηνύματα και ονόματα αρχείων.

Αν λοιπόν σας έρθει κάποιο μήνυμα με συνημμένο αρχείο Rar, μην το ανοίξετε, ενημερώστε τον αποστολέα πως έχει μολυνθεί, και στείλτε του αυτό το άρθρο για να καθαρίσει τον υπολογιστή του.



Το νεότερο βίντεο του PCsteps

Το κανάλι του PCsteps στο YouTube

« Προηγούμενα 1 / 46 Επόμενα » Το Big Brother? ΤΡΟΜΕΡΗ ΙΔΕΑ! Πότε μια Τηλεόραση Αντί Για Οθόνη Υπολογιστή είναι ΓΙΑ ΗΛΙΘΙΟΥΣ! Οι Apple Maps? ΤΡΟΜΕΡΗ ΙΔΕΑ! Φονικό USB, Απίστευτη Υπερθέρμανση CPU και Άλλες Παράξενες Βλάβες ΓΙΑ ΗΛΙΘΙΟΥΣ! Οι νέες κάρτες γραφικών της NVIDIA ΠΑΤΑΝΕ ΚΑΤΩ την προηγούμενη γενιά Αγορά NAS / File Server: Η ΑΠΟΛΥΤΗ Λύση για Τοπικό Backup και Κοινή Χρήση Αρχείων « Προηγούμενα 1 / 46 Επόμενα »

Υποστηρίξτε τη λειτουργία του PCsteps

Θέλετε να υποστηρίξετε το PCsteps στη λειτουργία του, για να δημοσιεύουμε καθημερινά υψηλής ποιότητας οδηγούς και βίντεο σχετικά με την τεχνολογία?

Μπορείτε να κάνετε ένα like στη σελίδα μας στο Facebook, να μοιραστείτε τον οδηγό με τους φίλους σας, και να επιλέξετε τις φιλικές μας επιχειρήσεις για τις ηλεκτρονικές σας αγορές, από τους παρακάτω συνδέσμους:

Pigogo.gr Επιστροφή χρημάτων σε κάθε σου online αγορά από 450+ επώνυμα ηλεκτρονικά καταστήματα σε όλη την Ελλάδα, με μία δωρεάν εγγραφή!

E-shop.gr

E-Lenovo

Media Markt

Public

Με κάθε σας αγορά, και χωρίς να χρεώνεστε τίποτα επιπλέον, το site μας θα παίρνει μια πολύ μικρή προμήθεια, η οποία είναι σημαντική βοήθεια για την κάλυψη των λειτουργικών εξόδων και τις αμοιβές των συνεργατών.

Αν προτιμάτε αγορές από την Κίνα, για να πετύχετε καλύτερες τιμές, συνεργαζόμαστε με τα μεγαλύτερα κινέζικα e-shop:

Δείτε τι να προσέχετε στις αγορές από Κίνα για να αποφύγετε το τελωνείο.

Για την πλήρη προστασία όλων σας των συσκευών με Windows, Android, iOS, και MacOS, το PCsteps εμπιστεύεται, χρησιμοποιεί, και προτείνει τα προϊόντα ασφαλείας της Bitdefender.

Μάλιστα, μπορείτε σε αποκλειστικότητα να δοκιμάσετε το Bitdefender Internet Security δωρεάν για 90 ημέρες.