Categorii
Arhivă
- Septembrie 2009 (2)
- October 2009 (3)
- November 2009 (5)
- December 2009 (1)
- Ianuarie 2010 (4)
- Februarie 2010 (5)
- Martie 2010 (1)
- Aprilie 2010 (1)
- Mai 2010 (5)
- Iunie 2010 (4)
Blogroll
YouTube Toolbars
Ieri am încărcat pentru prima oară pe YouTube un film HD. Imediat ce upload-ul s-a terminat, am primit un e-mail din partea site-ului cu pricina, cu subiectul „Felicitări pentru primul tău upload pe YouTube!” (“Congratulations on your first YouTube upload!”), în care mă învăţa diferite lucruri interesante despre cum să folosesc mai eficient serviciile de video-sharing. După vreo două ore, am primit un alt mesaj, cu subiectul „Hello, Have you tryed YouTube Toolbar?” („Salut, ai încercat YouTube Toolbar?”).
Greşeala gramaticală din propoziţia de mai sus (tryed în loc de tried) este un indiciu evident pentru oricine că persoana care a trimis mail-ul nu are nicio legătură cu YouTube. Într-adevăr, mesajul – care era şi foarte neglijent formatat – conţinea un link către o versiune a Backdoor.IRC.Zapchast.
e-mail-ul cu link la Backdoor.IRC.Zapchast.i
Executabilul către care direcţionează link-ul din e-mail este o arhivă de tip RAR SFX, care conţine un set de 18 fişiere:
Aproape toate versiunile de Zapchast arată la fel, cu diferenţe minore.
Ce ştim despre originile acestui backdoor? Există câteva indicii care ne arată că a fost creat de autori malware din România: parole specific româneşti sau link-uri către site-uri de profil din ţară.
Aceste versiuni de backdoor funcţionează prin intermediul script-urilor mIRC. Ele conţin o copie a unui executabil mIRC (versiunea 6.01, arhivat cu UPX, fişierul „crss.exe” din lista de mai sus), iar însuşi codul backdoor este scris ca un script mIRC. Odată activate, aceste componente se conectează la reţeaua Undernet pentru a primi comenzi prin intermediul unui anumit canal şi, în acelaşi timp, informează „administratorul” botnet-ului despre infectarea unui nou utilizator. Controlul comenzilor este implementat în fişierul „script.ini”.
Pe lângă controlul comenzilor mIRC primite de la „administrator”, nu există niciun alt cod creat pentru a fura date confidenţiale sau informaţii financiare de pe computerul-victimă. Această practică este destul de neobişnuită la momentul actual, iar ameninţări informatice precum Zapchast dispar treptat, făcând loc unor cai troieni mult mai avansaţi, precum Zbot sau Sinowal.
Comentarii
Pina la urma sa inteleg ca
Pina la urma sa inteleg ca YouTube a trimis beckdorul?
Zapchast
Foarte interesant. De cand caut informatii cu acest Zapchast.V-as ruga sa veniti cu cateva detalii mai amanuntite despre ceea ce ati descris aici. Citind mi-am dat seama ca este acelasi RAR.SFX intalnit pe canalele mIRC Undernet romanesti: #romania,#bucuresti,cat si altele mai obscure tot autohtone. Erau clone (drone) cu acest Zapchast (oare de ce se numeste asa?),care acum au disparut. Vad ca acum isi fac aparitia prin alt mod. As vrea sa stiu mai concret ce se intampla cand activezi SFX-ul acela ce face concret in sistemul infectat. Clonele (dronele) alea cum ajungeau acolo,daca se poate tot procesul infectarii si modalitatea de functionare. Eu am dezarhivat acele fisiere unde era si o poza (pacat ca nu am cum sa o pun aici) din care reiesea ca cel care scrisese textul in acel jpg. nu prea stia bine romaneste.
P.S. Imi aduc aminte ca acum 2 ani in urma pe aceleasi canale de mIRC circula o versiune de acest Zapchat care daca te infectai o scoteai si singur fara mari eforturi in lipsa unui AV. Asta din urma este mai elaborat. Se baga in fisere ascunse din sistem de nu-l mai gasesti.