Virus

Ver o tópico anterior Ver o tópico seguinte Ir em baixo

Virus

Mensagem  marcio em Seg Jun 14, 2010 3:25 am

Contador de Visitas
Descrição
Carga Maliciosa
Recomendações
Remoção

Altieres Rohr | 28/04/2005 - 16h33

Resumo
Tipo Trojan [Exploit]
Aliases ContadorDeVisitas.com.br
Trojan.DesktopHijack
Trojan-Spy.HTML.Smitfraud.c
HotOffers
NewGenLook

Sistemas Afetados Windows
Internet Explorer

Tamanho Variado
Dano Médio
Remoção Média
Notas Essa página detalha o que acontece com um computador que visita a página ContadorDeVisitas.com.br utilizando o navegador Internet Explorer sem o patch.
Não visite nenhum domínio ou página descrita aqui caso elas não possuam um link, pois você pode ser infectado!

Descrição
O serviço de contador de visitas do SuperTráfego [SuperTrafego.com] é utilizado por diversos sites na Internet brasileira. No serviço, o SuperTráfego mantém a contagem de visitas para todos estes sites e o mesmo pode chamar o contador remotamente, utilizando diversos modelos de imagens e textos. Desse modo, o webmaster não necessita programar o contador nem se preocupar em fazer figuras para os números, utilizando os scripts já prontos do SuperTráfego.

Os contadores são carregados a partir do domínio ContadorDeVisitas.com.br, que pertence ao SuperTráfego. Seguindo reclamações de usuários, investigamos o site e descobrimos que um IFRAME malicioso era incluído na página principal do ContadorDeVisitas.com.br e também encontramos o mesmo IFRAME em contadores de usuários, ou seja, o SuperTráfego estava infectando seus usuários e os usuários dos sites que utilizavam os seus serviços. Como diversos sites com diferentes conteúdos utilizam estes serviços, sites direcionados ao público infantil, games, notícias e até mesmo sites pessoais passaram a infectar seus visitantes da forma que vamos descrever nessa página.

A Resposta do SuperTráfego
No dia 16 de Junho recebemos uma resposta oficial do SuperTráfego, explicando o motivo pelo qual o problema ocorreu. O servidor foi comprometido, ou seja, tudo foi causado por pessoas mal intencionados que atacaram o servidor que hospedava os contadores.

Você pode conferir, na íntegra, a respostaque recebemos:

O problema realmente aconteceu, mas de forma alguma foi um ato deliberado ou mau intencionado de nossa parte. Nosso site é bastante visado por hackers, por prestar serviços para webmasters e afins.

Quanto [ao] episódio do vírus, tivemos o servidor [em] que se encontra o contador invadido. Com acesso ao servidor (a senha foi alterada, mas nada adiantava), os responsáveis pelo ato alteram o arquivo do contador, colocando o iframe descrito no site.

Após várias tentativas de remoção, finalmente foi alcançado o objetivo final, que era a ‘vedação’ do servidor, evitando que desocupados alterassem o arquivo novamente.
Infecção
Um IFRAME é um código HTML capaz de chamar outra página HTML hospedada em um servidor remoto ou no mesmo servidor. O ContadorDeVisitas chama um IFRAME na página OR.HTML em WWW.TGP.LA. Essa página, por sua vez, chama a página WOW.HTML em REALIZEIT.BIZ. Esse redirecionamento duplo acontece para que o código na página WOW.HTML seja executado sem intervenção do usuário. Na página OR.HTML também é mencionado o ADDFREESTATS.COM, que é um gerador de estatísticas.

O IFRAME é definido com zero pixels, ou seja, ele não é visível na página.

Quando a página WOW.HTML é carregada, o Internet Explorer fará o download do arquivo DROPPER.CHM através da falha de parsing de documentos MHTML. Este CHM contém uma página chamada XXX.HTML que será executada com privilégios totais, ou seja, capaz de tudo que o usuário logado pode fazer.

Utilizando esses privilégios, um arquivo DROPPER.EXE será criado. DROPPER.EXE ficará encarregado de:

Instalar 20 ícones na área de trabalho
Criar e instalar uma variante do HotOffers
Criar e instalar o trojan conhecido como SmitFraud.c
Como o exploit é executado como se fosse um ActiveX, o DROPPER.EXE pode ser encontrado na pasta Downloaded Program Files.

Detalhes Técnicos
Nota: %SystemDrive% e %SYSTEM% são variáveis. SystemDrive geralmente se refere ao C: enquanto %SYSTEM% se refere a C:\WINDOWS\System32 no Windows 2000/XP e C:\WINDOWS\System no Windows 98/ME. Eles podem estar localizados em outras pastas, dependendo da configuração do sistema.

Dropper.exe
Depois que o exploit na página WOW.HTML é executado, diversos arquivos são criados. Na área de trabalho são criados diversos ícones com links para sites de material adulto, jogos de azar e até um “Remove Spyware”.

No %SystemDrive%, o trojan cria os seguintes arquivos:

wp.exe
wp.bmp
Estes arquivos estão relacionados com o SmitFraud.c.

Dropper.exe também cria diversos arquivos na pasta %SYSTEM%, sendo a maioria deles ícones para os atalhos colocados na área de trabalho. Além dos ícones, ele também cria os seguintes arquivos:

wldr.dll
searchdll.dll
param32.dll
guninst.exe
popup_bl.dll
Diversos arquivos são criados na pasta temporária do Windows. Estes arquivos serão usados pelo wldr.dll para mostrar anúncios. Os arquivos possuem nomes aparentemente aleatórios, mas possuem quatro letras, extensão GIF e 100.962 bytes.

Depois de criar os arquivos, o trojan iniciará um processo para registrá-los no sistema, criando diversas chaves no registro.

wp.exe
wp.exe é um trojan encarregado de manter o papel de parede impossível de se trocar. Ele é iniciado pelo Dropper.exe e cria a seguinte chave no registro:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
WindowsFY = ‘C:\wp.exe’
Com isso o trojan vai ser inicializado junto com o Windows. Para garantir que o papel de parede não seja trocado, wp.exe criará as chaves:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
NoDispAppearancePage = 1
NoDispBackgroundPage = 1
Wallpaper = ‘c:\wp.bmp’
WallpaperStyle = 0
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoActiveDesktopChanges = 1
[HKCU\Control Panel\Desktop]
WallpaperStyle = 0
Wallpaper = ‘C:\wp.bmp’
Essas chaves vão desabilitar as opções para a troca do papel de parede nas propriedades de vídeo.

wldr.dll
Para registrar o WLDR.DLL, será criada a chave:

[HKCR\CLSID\{5C159CB6-BB87-48CE-A9A4-91C639AAB7ED}]
Nessa chave são encontrados diversos parâmetros para execução da DLL, incluindo uma chave chamada ‘pvt_AdvertisingData’ que lista os arquivos GIF de quatro letras criados pelo dropper.exe. Essa chave provavelmente controla os anúncios que WLDR.DLL mostrará.

WLDR.DLL é então registrada como uma extensão do shell chamada ‘Microsoft AntiSpyware helper’, mas não possui nenhuma relação com o programa da Microsoft.

searchdll.dll
O arquivo é registrado como um SearchHook para capturar as buscas feitas pelo usuários.

param32.dll
Este trojan é registrado como um SharedTaskScheduler, um método extremamente raro para iniciar programas no Windows, através das seguintes chaves no registro:

[HKCR\CLSID\{D56A1203-1452-EBA1-7294-EE3377770000}\InProcServer32]
(Default) = ‘%SYSTEM%\param32.dll’
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
{D56A1203-1452-EBA1-7294-EE3377770000} = ‘Interlinking Memory Support’
Esse arquivo também altera a página inicial para uma página em newgenlook.info.

guninst.exe
Este programa é registrado como o comando para a desinstalação do código malicioso. Para isso, a entrada ‘Internet Connection Update and HomeP KB234087′ é adicionada no menu Adicionar/Remover Programas.

popup_bl.dll
Aparentemente ajuda o param32.dll e cria pop-ups.

Carga Maliciosa

A primeira coisa notável é um círculo vermelho com um ‘X’ no canto da barra de tarefas, logo ao lado do relógio. Ao minimizar as janelas, o usuário verá o seu papel de parede alterado:



Security Warning

A fatal error in IE has ocurred at 0028:C0011E36 in VXD VMM<01> +
00010E36. Error was caused by Trojan-Spy.HTML.Smitfraud.c.

* System can not function in normal mode.
Please check you security settings.

* Scan your PC with any available antivirus / spyware remover
program to fix the problem.
Depois de alguns segundos também será possível notar a presença de pop-ups com conteúdo adulto e avisos dizendo que o seu computador está infectado com spywares:



Clicando em ‘Canelar’ na mensagem acima, nada acontece. Mas se você clica em OK, uma página em NewGenLook.info será aberta, fazendo propaganda do removedor de spywares BPS Spyware Remover. O BPS Spyware Remover é tratado como um programa duvidoso, sendo detectado como praga digital pelo Spybot-S&D.

Recomendações
Visite o Windows Update e atualize o Internet Explorer para o IE6 SP1 e instale qualquer patch disponível.

Alertas
-

Remoção
Ferramentas de Remoção
-

Remoção Manual
Para a remoção manual é necessário seguir os passos para remover o trojan que altera o o papel de parede — wp.exe — seguindo as instruções para a remoção do
SmitFraud-C.

Para o newgenlook.info, é necessário apagar os arquivos param32.dll e popup_bl.dll utilizando o KillBox com a opção Delete on Reboot. Você pode ver mais detalhes sobre a praga.

O SearchHook pode ser removido apagando-se a seguinte entrada no
HijackThis:

R3 - URLSearchHook: transURL Class - {C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70} - %SYSTEM%\SEARCH~1.DLL
Você também vai querer marcar outras entradas no HijackThis, tais como:

O9 - Extra button: Microsoft AntiSpyware helper - {5C159CB6-BB87-48CE-A9A4-91C639AAB7ED} - C:\WINNT\system32\wldr.dll
O9 - Extra ‘Tools’ menuitem: Microsoft AntiSpyware helper - {5C159CB6-BB87-48CE-A9A4-91C639AAB7ED} - C:\WINNT\system32\wldr.dll
O9 - Extra button: Microsoft AntiSpyware helper - {5C159CB6-BB87-48CE-A9A4-91C639AAB7ED} - C:\WINNT\system32\wldr.dll (HKCU)
O9 - Extra ‘Tools’ menuitem: Microsoft AntiSpyware helper - {5C159CB6-BB87-48CE-A9A4-91C639AAB7ED} - C:\WINNT\system32\wldr.dll (HKCU)
Após isso, basta apagar as chaves criadas pelo trojan (descritas nessa página) e apagar os arquivos relacionados que sobraram. Se precisar de ajuda, use o nosso fórum.

Links
A Symantec possui a descrição detalhada de um trojan muito parecido:

Trojan.DesktopHijack
What a Face

marcio

Mensagens : 115
Data de inscrição : 08/05/2010

Ver perfil do usuário

Voltar ao Topo Ir em baixo

Ver o tópico anterior Ver o tópico seguinte Voltar ao Topo

- Tópicos similares

 
Permissão deste fórum:
Você não pode responder aos tópicos neste fórum