Categorii
Arhivă
- Septembrie 2009 (2)
- October 2009 (3)
- November 2009 (5)
- December 2009 (1)
- Ianuarie 2010 (4)
- Februarie 2010 (5)
- Martie 2010 (1)
- Aprilie 2010 (1)
- Mai 2010 (5)
- Iunie 2010 (4)
Blogroll
YouTube Toolbars
Ieri am încărcat pentru prima oară pe YouTube un film HD. Imediat ce upload-ul s-a terminat, am primit un e-mail din partea site-ului cu pricina, cu subiectul „Felicitări pentru primul tău upload pe YouTube!” (“Congratulations on your first YouTube upload!”), în care mă învăţa diferite lucruri interesante despre cum să folosesc mai eficient serviciile de video-sharing. După vreo două ore, am primit un alt mesaj, cu subiectul „Hello, Have you tryed YouTube Toolbar?” („Salut, ai încercat YouTube Toolbar?”).
Greşeala gramaticală din propoziţia de mai sus (tryed în loc de tried) este un indiciu evident pentru oricine că persoana care a trimis mail-ul nu are nicio legătură cu YouTube. Într-adevăr, mesajul – care era şi foarte neglijent formatat – conţinea un link către o versiune a Backdoor.IRC.Zapchast.
e-mail-ul cu link la Backdoor.IRC.Zapchast.i
Executabilul către care direcţionează link-ul din e-mail este o arhivă de tip RAR SFX, care conţine un set de 18 fişiere:
Aproape toate versiunile de Zapchast arată la fel, cu diferenţe minore.
Ce ştim despre originile acestui backdoor? Există câteva indicii care ne arată că a fost creat de autori malware din România: parole specific româneşti sau link-uri către site-uri de profil din ţară.
Aceste versiuni de backdoor funcţionează prin intermediul script-urilor mIRC. Ele conţin o copie a unui executabil mIRC (versiunea 6.01, arhivat cu UPX, fişierul „crss.exe” din lista de mai sus), iar însuşi codul backdoor este scris ca un script mIRC. Odată activate, aceste componente se conectează la reţeaua Undernet pentru a primi comenzi prin intermediul unui anumit canal şi, în acelaşi timp, informează „administratorul” botnet-ului despre infectarea unui nou utilizator. Controlul comenzilor este implementat în fişierul „script.ini”.
Pe lângă controlul comenzilor mIRC primite de la „administrator”, nu există niciun alt cod creat pentru a fura date confidenţiale sau informaţii financiare de pe computerul-victimă. Această practică este destul de neobişnuită la momentul actual, iar ameninţări informatice precum Zapchast dispar treptat, făcând loc unor cai troieni mult mai avansaţi, precum Zbot sau Sinowal.
