Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Nowy robak rozprzestrzeniający się przez Twittera przekierowuje do fałszywego programu antywirusowego

Nicolas Brulez
Kaspersky Lab Expert
Dodany 21 stycznia 2011, 10:02 CET

Na Twitterze szybko rozprzestrzenia się nowy robak, wykorzystując do dystrybucji szkodliwych odsyłaczy usługę skracania adresów URL “goo.gl”.

Szkodliwe odsyłacze przechodzą przez wiele przekierowań, które zostały opisane poniżej. Łańcuch przekierowań może zaprowadzić użytkowników Twittera na stronę fałszywego oprogramowania antywirusowego “Security Shield”. Strona internetowa wykorzystuje dokładnie te same techniki zaciemniania co poprzednia wersja (Security Tool) – implementację szyfrowania RSA w JavaScript w celu zaciemnienia kodu strony.

Nasze programy chronią użytkowników przed tym robakiem, a wszystkie wykorzystywane przez niego adresy są umieszczone na czarnej liście.

Poniżej przedstawiamy szczegóły techniczne:

  1. Łańcuchy przekierowań
    Odsyłacze skrócone przy użyciu “goo.gl” przekierowują użytkowników do różnych domen ze stroną “m28sx.html”:

    Strona html przekierowuje następnie użytkowników na statyczną domenę ukraińską najwyższego poziomu:

    Jakby było tego mało, domena ta przekierowuje użytkowników na inny adres IP związany z dystrybucją fałszywych programów antywirusowych:

    Następnie adres ten wykonuje ostatnie zadanie przekierowania – na stronę fałszywego programu antywirusowego.

  2. Strona fałszywego programu antywirusowego

    Gdy użytkownik znajdzie się na tej stronie, otrzyma ostrzeżenie, że na jego komputerze znajdują się podejrzane aplikacje i zaleca się przeskanowanie go.

    Jeżeli użytkownik zgodzi się, rozpocznie się skanowanie:

    Użytkownik jest zachęcany do usunięcia wszystkich zagrożeń ze swojego komputera i pobrania aplikacji antywirusowej o nazwie “Security Shield”:

    Graficzny interfejs aplikacji jest przetłumaczony na język systemu operacyjnego, w którym działa fałszywy program antywirusowy. Podczas testów użyłem francuskiej wersji systemu Windows XP, stąd francuskie tłumaczenie interfejsu.

  3. Strona internetowa fałszywego oprogramowania antywirusowego wykorzystuje RSA w celu zaciemnienia kodu.

    Techniki zaciemniania są bardzo powszechnie stosowane na szkodliwych stronach internetowych. Poniżej krótki opis techniki wykorzystanej na omawianej stronie fałszywego oprogramowania.

    Analizując zaciemnienie, odkryłem, że można wyróżnić w nim dwa kroki:

    • Funkcja dekodująca Base64 (trywialny)
    • RSA z bardzo małym modułem

    Poniżej fragment kodu z zaciemnionej strony:

    Zarówno zastosowana Klasa jak i Metoda wykorzystują losowe nazwy. Metoda “camunqjr” wykorzystuje parameter zdekodowany przy pomocy BASE64.

    Jeśli zbadamy klasę, dotrzemy do algorytmu RSA:

    Każdy, kto zna się na kryptografii, rozpozna tu algorytm RSA. Mamy funkcję o 3 parametrach: C, D oraz N, która wykorzystuje operator “powmod”.

    Parametry wykorzystują RSA w celu lokalnego zdekodowania JavaScript.

    • ‘c’ to tzw. szyfrogram
    • ‘d’ to tzw. tajny wykładnik lub wykładnik deszyfrowania
    • ‘n’ to tzw. moduł

    Aby uzyskać ‘m’ (Wiadomość), należy przeprowadzić deszyfrowanie, które przebiega tak: m = cd mod n

    RSA jest najczęściej wykorzystywaną techniką zaciemniania, ponieważ prywatny klucz jest dostępny na stronie JavaScript. Moduł “N” ma najczęściej długość 26 bitów – jest śmiesznie krótki.

    Poniżej parametry pobrane z JavaScript:

Niech incydent ten posłuży za przestrogę, aby nie klikać ślepo wszystkich odsyłaczy, gdyż może to spowodować infekcję komputera.