Informace - VIRUS ZE STRÁNEK EQUICHANNELU

9. 7. 2010 Martin Blazek

Zcela jistě jste zaregistrovali, že v posledních 48 hodinách měl server Equichannel.cz technické potíže způsobené napadením našeho webu hackrem a zavlečením škodlivého kódu do reklamního systému a jeho následné šíření na PC našich čtenářů. Tento článek shrnuje oněch 48 hodin, které nám opravdu přidělaly mnoho vrásek na čele..

Hned v úvodu tohoto článku bych se chtěl všem čtenářům jménem celé redakce omluvit za potíže, které tento problém nejednomu návštěvníkovi serveru mohl způsobit. Věřte, že tento incident nás všechny velmi mrzí, nicméně žijeme ve světě, ve kterém se vyskytuje určitá skupina lidí, která má za svůj životní cíl škodit a ničit a také krást. Proto se takové věci bohužel stávají a jak jsem během pátrání po příčině problému zjistil, od března 2010 bylo stejným způsobem napadeno několik stovek tisíc webů na celém světě využívajících stejný systém pro prodej internetové reklamy.

Proč to ti lidé dělají?

Tato otázka asi napadla nejednoho našeho čtenáře. Jak jsem v úvodu napsal, žijeme ve světě, kde někteří lidé mají radost z toho, že mohou škodit. To je jedna sorta lidi. Mnohem horší a nebezpečnější je skupina lidí, kteří z těchto útoků chtějí mít prospěch. Viry, které se po internetu šíří mají za úkol zpravidla jedinou věc - po ovládnutí koncového PC získat přístup k vašim citlivým údajům, které máte na disku, a jejich odesílání tvůrcům viru. Mezi nejcenější údaje samozřejmě patří vaše hesla, údaje o platebních kartách, přístupy do banky včetně elektronických certifikátů a adresy vašich přátel. Dalším úkolem těchto virů bývá přesměrovávání vašeho brouzdání na webu, kdy zadáte do vyhledavače např. adresu www.mojebanka.cz, stále uvidíte tuto adresu, ale virus zajistí, že fyzicky budete připojeni na adresu někde v rusku, která bude na první pohled vypadat naprosto stejně. Vy se přihlásíte a tím předáte své přístupové údaje autorům viru, kteří následně stáhnou z vašeho účtu veškeré peníze...

Jak se to dostalo na Equichannel?

Equichannel, stejně jako další napadené weby, nebyl cílem tohoto útoku, jak by se mohlo na první pohled zdát. Tím byly koncové PC stanice našich čtenářů. Equichannel byl pouze jakýmsi bacilonosičem. Jak se nákaza přesně na web dostala se už asi nedopátráme, ale mohu přesně říci, kdy to bylo. Podle logů se tak stalo 7.7.2010 ve 4:01 ráno. Podle logů využil hacker díru v zabezpečení reklamího systému OpenX a podařilo se mu zapsat do interní databáze odkaz, který zajistil, že krom zobrazení obrázku reklamy, se v tzv. <iframe...> tagu spustil CGI skript z cizího serveru. Ten udělal to, že začal do PC uživatele bez jeho vědomí stahovat nejdříve hlavičku viru a následně i jeho tělo.

Jaká jsme přijali opatření?

Ač se Vám to zřejmě zdálo nekonečné, my jsme zažívali horké chvilky a rozhodně nám čas útíkal velmi rychle. V první řadě bylo velmi složité zjistit, co se vůbec děje a který modul webu problémy způsobuje. Naštěstí již existuje spousta dobrých debugovacích nástrojů, které dokáží profilovat chování webu a jeho jednotlivých skriptů během načítání do prohlížeče. Pomocí těchto nástrojů byl odhalen nakažený skript. Za ten byl označen právě systém OpenX. Pak následovalo prohledávání internetu a hledání provozovatelů se stejným problémem. Vzhledem k množství podobných útoků to nebylo tak těžké. Nalezl jsem i spoustu návodů co s tím, ale většina z nich nezabírala. Naštěstí jeden pomohl. Nalezl jsem databázovou tabulku, kde byla nákaza zahnízděna a všechny výskyty promazal. Pak jsem v databázi udělal taková opatření, aby se tam již nedal podobný kód zapsat. Stejný útok bychom tedy již měli snadno odrazit. Čímž ale neříkám, že se to nemůže opakovat na jiném místě systému, hackeři vždy bývají o krok napřed...

Co se tedy odehrávalo ve vašem PC?

Na úvod nutno říci, že tento probém (ostatně jako 99,9% podobných útoků) se týkal pouze uživatelů s nainstalovaným operačním systémem Windows. Počítače Apple s Mac OSX či PC s nainstalovaným linuxem zůstaly útoku imunní i bez jakýchkoli antivirových programů. Navíc virus potřeboval k životu dvě základní podmínky a to aby krom Windows byl na PC nainstalovaný Adobe PDF Reader - který stále obsahuje nebezpečnou bezpečnostní díru, případně byla instalována Java. Bez těchto programů se pouze stáhl na disk, ale již nedošlo k jeho aktivaci. (Trochu mi děsí, že v takovém případe jej neodhalil ani antivirus Eset NOD) Virus bude čekat, než si Reader nebo Javu nainstaluji, což většina uživatelů dříve nebo později udělá, neboť bez toho se nedá dlouhodobě s PC pracovat.

Po stažení a aktivaci si v prvních vteřinách života virus zajistí podmínky pro svůj život. Zavede se do paměti počitače, udělá záznam v registrech, aby došlo k jeho spuštění i po restartu PC, rozkopíruje se na různá místa na dísku aby v případě odmazání některé instance dokázal přežít. Dále udělá díru ve firewallu a pokusí se ovlivnit antivirus počítače tak, aby při vyhledávání ignoroval jeho soubory. Když se mu tyto věci povedou začne ve volných chvílích prohledávat disk počítače a pokud narazí na něco zajímavého, odešle to svým tvůrcům. Hlavně ale čeká na určitou činnost uživatele. Například vyplňování poli s hesly, zadávání čísel kreditních karet nebo používání podpisových certifikátů. A opět tyto věci posílá..

Jak se tomu bránit?

Tak samozřejmostí je kvalitní a hlavně pravidelně aktualizovaný antivir a správně nastavený firewall s omezenými právy pro běžného uživatele. Ale ani to Vás nedokáže 100% ochránit. Sám se považuji za počítačového experta a i mě se několikrát stalo, že se mi do PC nějaká potvora dostala. Nejdůležitější je neustálá obezřetnost a pozornost nad tím, co odklikáváte a potvrzujete. Pokud se Vás počítač ptá, zda chcete něco nainstalovat nebo stáhnout či spustit, a vy jste si to nevyžádali, pak byste to neměli dovolit. Neměli byste klikat na všechno, co je pro vás zajímavé a přílohy v poště doporučuji otevírat pouze pokud přesně víte co a od koho jste dostali.

Neměli byste klikat na všechno, co je pro vás zajímavé a přílohy v poště doporučuji otevírat pouze pokud přesně víte co a od koho jste dostali.

Stejně tak ignorujte různá bezpečnostní varovaní vydávající se za varování renomovaných firem (Microsoft, Adobe, server kde máte poštu, Paypal apod. ) Téměř vždy se jedná o tzv. Fishing, tedy autor vás chce ulovit tím, že klinete, jste přesměrování na jeho nebezpečnou stránku a nakazíte se. Případně na ní zadáte své citlivé údaje. Dalším řešením je přestat používat Windows a přejít na jiný operační systém. Sám mohu vřele doporučit Apple Mac OSx, který je dle mého názoru daleko přívětivější pro běžného uživatele než nejvíce rozšířené Windows a existují na něj veškeré aplikace stejně jako pro Windows. Ale to je na jiný článek...

Jak zjistím, že jsem se nakazil?

Mnohdy velmi obtížně. Většinou Vás varuje antivirus, ale znám lidi, kteří žili s virem několik let a i přes nainstalovaný antivir o něm neměli ani ponětí. Zpravidla se ale Váš PC začne chovat podivně. Výrazně se zpomalí. Zpomalí se i internet (protože je zatížen odesíláním dat z vašeho PC). Sami se Vám otevírají okna prohlížeče na různé nechtěné (často erotické a nakažené) stránky, nebo naopak se vám okna sami zavírají. Nelze načíst některé vaše oblíbené stránky a místo nich jste přesměrováváni jinam. Prostě máte pocit, že v počítači máte šotka, který si dělá co chcce. Pokud pojmete podezření a Váš antivir nic nehlásí ani po důkladné kontrole, ozkoušejte proscanovat počitač ještě jiným antivirem.

Jak svůj počítač uzdravit?

Dokud leží neaktivní virus na disku a není zavedený do paměti je to snadné. Prostě tento soubor smažete nebo dáte pomocí antiviru do karantény. Jakmile je ale virus v paměti, zpravidla již soubor nelze tak snadno smazat. Dobré antiviry by si měli s většinou poradit tak, že si vyžádají restart do speciálního režimu a pak dokáží virus odstranit. Existuje však pár virů, se kterými si neporadí žádný antivirus. Dokáže je blokovat, ale ne odstranit. V takovém případě je jediným lékem reinstalace vašeho počítače. Rozhodně nedoporučuji nechávat svůj PC zavirovaný. Nehledě na únik informací z nakaženého počítače se spousta virů se dokáže samovolně naklonovat na další PC v síti či třeba přes USB Flash disky, nebo bude lidem z Vašeho adresáře posílat vaším jménem další viry....

Tolik tedy na vysvětlenou, snad jsem to napsal alesoň trochu lidskou řečí a pochopíte co se v posledních 48 hodinách odehrálo... Předem se omlouvám za překlepy a chybky, ale jsem poměrně unavený lečbou Vašeho oblíbeného Equichannelu.cz a v redakci v současné chvíli není nikdo, kdo by po mě článek přečetl. Informace považuji za tak důležité, že si dovolím publikovat i bez kontroly redakcí ;o).

Na základě žádostí čtenářů doplňuji názvy virů, dávám je jako odkazy na databázi virů s jejich podrobným popisem. Bohužel se nejedná pouze o jeden virus, ale celkem o 5 různých virů. 3 trojany a 2 malwary. Jejich jména: Mal/TDSSPack-Z, Mal/ObfJS-CR, Troj/BytVrfy-C, Troj/Clsldr-U,Troj/PDFJs-LE. Skript, který jejich šíření zprostředkovával si neprve očuchal Váš počítač a pak určil, které varianty budou pro Vaši konfiguraci nejvhodnější. Já mám na své testovací mašině Mal/ObfJS-CR a Troj/Cisldr-U.

Z redakce

Podobné články