2006-12-26: Trojan rozpowszechnia się przez sieć Gadu-Gadu

We wtorek wieczorem wielu użytkowników komunikatora Gadu-Gadu otrzymało pojedyncze wiadomości, w których znajdował się jedynie link do strony internetowej. Wiadomość możemy dostać nawet od nieznajomego, wystarczy, że on ma nas na swojej liście kontaktów.

Rozsyłane są wiadomości:

1. np. „www.hsqvyrpzeh.info/?awbiby.jpg” (adres w domenie .info prawdopodobnie generowany losowo, ciąg znaków składający się na niego jest przypadkowy i nie ma sensu)
2. www.google.pl – dla „niepoznaki”

Fakt, że link przychodzi jako pojedyncza wiadomość, każe przypuszczać, że do użytkowników GG trafia jako zagnieżdżony w rozmowie obrazek. Ludzie, którzy rozsyłają linki, nie mają pojęcia, o co chodzi, bo – jak twierdzą – nic nie wysyłali.

Problem dotyczy również użytkowników przeglądarki Mozilla Firefox z aktywną wtyczką Windows Media Player, przez którą uruchamiany jest kod robaka. Można się przed tym uchronić poprzez wyłączenie wtyczki WMP. Można to zrobić wpisując w pasek adresu about:config. Odnajdujemy klucz plugin.scan.WindowsMediaPlayer i ustalamy jego wartość na 12.0.

Po uruchomieniu robak skanuje dysk w poszukiwaniu plików profilu Gadu-Gadu – gromadzi hasła do kont oraz kontakty. Dane te są następnie wykorzystywane do rozesłania złośliwych linków. Takie działanie może powoduje złudną obsługę komunikatorów innych niż Gadu-Gadu, gdyż wielu z ich użytkowników posiada na swoich dyskach profile programu Gadu-Gadu.

Warto wspomnieć że sposób rozprzestrzeniania się robaka sam w sobie zawiera mechanizm automatycznej aktualizacji – każda z ofiar pobiera na swój dysk najbardziej aktualną wersję. Nie jest znane szkodliwe działanie (poza rozprzestrzenianiem się) obecnych wersji, lecz kolejne wersje robaka mogą zawierać kod, którego szkodliwość będzie dużo wyższa.

W kodzie robaka znaleziono tagi kilkunastu emotikon, co wskazuje na to że wiadomości mogą znacznie różnić się od wymienionych wyżej schematów (chociaż nie jest to potwierdzone).

Robak krążył po Internecie już od początku listopada, ten atak to jego nieco bardziej rozwinięta wersja, której pierwsze symptomy (jak atak na Firefoksa) pojawiły się około miesiąca temu.

Masowe wysyłanie wiadomości do użytkowników z listy kontaktów komunikatora powoduje także, że działanie zaczyna filtr antyspamowy serwerów Gadu-Gadu i wiadomości wychodzące i przychodzące do konta zarażonego zostają zablokowane na jakiś czas.

Exploit jest, przynajmniej na ten moment, ściągany zawsze z tego samego adresu. Wystarczy więc na firewallu wyciąć adresy zamieszane w aferę (64.202.189.170 - strona do której prowadzi pierwszy link, 66.185.126.34 - ostateczny kod robaka), by zaznać chwilowego przynajmniej spokoju. Dokonano już tego w wielu sieciach osiedlowych.

Jedna z osób, które zaatakował trojan, mówi: "W moim przypadku link od osoby z kontaktów wygląda tak www.hsqvyrpzeh.info/?ewioei.jpg, u mnie drastycznie spadła wydajność programów sieciowych zaczynając od Tlenu, Firefoxa. Zeskanowanie Nodem niewiele dało, polecam użyć Ewido, bo mam wrażenie że link powoduje wysyp trojanów (wykryłem 60 pomimo tego że skanuje komputer dość regularnie). Jak na razie sieć nie wróciła do właściwego stanu!"

Trojan może wykraść hasło edytuj

Prawdopodobnie robak zawiera w swoim kodzie mechanizm automatycznej aktualizacji za pomocą adresu 66.185.126.34. Przy okazji pobierania nowszej wersji, wysyła na serwer informacje o zainfekowanym numerze GG i (prawdopodobnie) rozszyfrowane hasło.

Jeśli padłeś ofiarą i usunąłeś trojana, jak najszybciej zmień hasło do swojego konta Gadu-Gadu.