pondělí 21. května 2012

Worm 2,0 nebo LilyJade v akci


To je docela vzácné analyzovat nebezpečný soubor napsaný v podobě multiplatformního prohlížeče pluginu. Je však ještě vzácnější setkat pluginů vytvořených pomocí cross-browser motory. V tomto příspěvku se podíváme do červa Facebook, která byla napsána s použitím Crossrider systém - systém stále v beta testování.


Zdroj obrázku: http://crossrider.com
Jak to všechno začalo ...
Zatímco jsme sledování činnosti určité botnet druhý den jsme zjistili podivné instalátor se stáhli. Je navázáno spojení s webu http://stats.crossrider.com, byla žádost ID 4761, a instalovat aplikace do složky Program Files pod názvem "Facebook LILY systém". Systém Crossrider je určen pro psaní jednotné pluginy pro Internet Explorer od verze 7 výše), Mozilla Firefox 3.5 a Google Chrome. V tomto škodlivého programu, plugin pro Google Chrome je nejjednodušší analyzovat - to sestává z pouhých dvou řádků:


Obsah souboru extension.js instaluje do složky plugin v prohlížeči Google Chrome
První řádek zavede pravidelné iQuery funkce, a druhý načte hlavní skupinu škodlivého programu.


První řádek zavede pravidelné iQuery funkce, a druhý načte hlavní skupinu škodlivého programu.
Tohoto škodlivého programu je hlavní funkce je spoof reklamních modulů na Yahoo, YouTube, Bing / MSN, AOL, Google a Facebook. Kromě toho, jeho užitečné zatížení zahrnuje proliferaci mechanismus, který funguje přes Facebook.

Šíření semen

Škodlivého programu se šíří prostřednictvím zveřejňování spamu z napadených účtů. Tato funkce je zprostředkovaná následující kód:


Vlastní propagace kód v škodlivým programem
Odkazy v nevyžádaných zpráv vést ke kompromitaci těchto míst, kde skrytý iframe uživatele přesměrovat na NuclearPack Exploit soupravy. Tato sada obsahuje zdrojový instalátor tohoto škodlivého programu, stejně jako pluginy.


Fragment kódu ze stránek ohrožena
Po provedení stručnou analýzu C & C serveru, jsme také sledoval někdo prodává tento škodlivý program on-line, software byl uveden do prodeje na hackerských fórech včera. Malware byl jmenován LilyJade jeho tvůrcem. Cena je 1000 dolarů, 500 dolarů se platí za zdrojového instalačního programu.


LilyJade reklama na hackerské fórum

Závěr

Tento škodlivý program je vynikajícím příkladem programů Malware 2.0 třídy založené na moderních webových technologií, využívajících sociální sítě k propagaci sebe a vytváření nelegálních příjmů pro jejich vlastníků službami spoofing různé.
Na jejich stránkách, Crossrider tvůrci oznámit, že API podporuje v současné době k dispozici pro Facebook brzy k dispozici pro Twitter. Nelze čekat na to.

Žádné komentáře:

Okomentovat