Kali ini, kita akan menganalisis sebuah aplikasi, yang menginstal sejenis program adware pada komputer pengguna.
Kami menerima file yang tampaknya menjadi celah Pinnacle Studio HD Ultimate.
Setelah menampilkan splash screen awal, ia menawarkan pengguna untuk menginstal Pinnacle Pixie Aktivasi 500.
Setelah konfirmasi, retak terinstal, tetapi selain retak, program lain dan toolbar tiba-tiba muncul pada komputer dikompromikan.
Pinnacle bukan satu-satunya target serangan semacam ini.
Celah untuk program seperti Sims, Nero, Rosetta Stone, dan Pro Evolution Soccer 2013 juga digunakan dalam distribusi.
Mari kita lihat jauh ke dalam file retak .Setelah membongkar , kita bisa
melihat tiga file dengan nama alfanumerik acak : gljle.7z , yang dilindungi
password 7 - zip arsip , qkonddba.exe , yang merupakan retak asli, dan qsrr.exe
, yang merupakan versi konsol 7 -aplikasi zip .
File retak kami adalah arsip Installer Nullsoft dan setelah penggalian header,
kita dapat mengamati beberapa string teks yang menarik.
Perhatikan kotak merah pada gambar di bawah.
Kita bisa melihat aplikasi konsol 7-zip (qsrr.exe) dieksekusi pada file qljle.7z dengan parameter-pocsqdrjrhx, di mana-p berarti kata sandi dan ocsqdrjrhx adalah password.
The diekstrak file dari qljle.7z arvhive bernama RAMIGI.exe dan kemudian dieksekusi.
File qkonddba.exe juga dieksekusi.
Kita bisa melihat bahwa asli retak berkas qkonddba.exe dibundel dengan aplikasi 7-zip dan .7 z arsip, dari mana payload diekstrak dan dieksekusi.
Monetisasi didasarkan pada membayar per install skema.
Banyak perusahaan menawarkan program afiliasi, di mana setiap orang dapat mendaftar dan mulai mempromosikan produk mereka.
Dalam contoh ini, penggunaan program afiliasi RealNetworks dicoba, http://www.realnetworks.com/affiliate-program/products-payouts.aspx.
Jika promosi ini berhasil, perusahaan membayar afiliasinya sejumlah uang untuk setiap instalasi.
Penyerang karena itu mencoba untuk menginstal aplikasi untuk komputer sebanyak mungkin untuk memaksimalkan keuntungan mereka.
Kemungkinan kedua untuk mendapatkan penghasilan dapat berasal dari plugin BasicSearch, yang dapat mengarahkan atau menyesatkan korban untuk mengunjungi situs-situs yang tidak diinginkan, atau menawarkan link sponsor bukan dari link yang paling relevan.
Perilaku ini menghasilkan lalu lintas, yang kemudian dapat dijual atau disalahgunakan untuk berbagai keperluan.
Siapa di belakang ini cara menipu mendistribusikan program yang tidak diinginkan ke komputer pengguna?
Salah satu aplikasi yang terinstal, Raven Bleu (dalam bahasa Inggris: Blue Raven) berisi file copyright.txt, dimana baris pertama berkata: "Seekmo Cari Asisten", "Hak Cipta (c) 2000-2007 Zango Technologies LLC.
Semua hak dilindungi. ".
Menurut Wikipedia, pada tahun 1999 sebuah perusahaan bernama ePIPO didirikan, kemudian menjadi 180solutions, Zango dan saat ini beroperasi di bawah nama Pinball Corporation.
Kesimpulan:
Men-download retak dari torrents file berbagi server adalah metode yang populer yang banyak pengguna komputer mencoba untuk menghemat uang dengan mendapatkan lisensi penuh produk komersial dibayar secara gratis.
Selain melanggar aturan lisensi, men-download file dari sumber yang tidak dipercaya dan curiga sering menyebabkan mengorbankan mesin pengguna.
Retak program komputer sering dibundel dengan malware tambahan atau downloaders adware, sehingga upaya untuk menyelamatkan beberapa dolar pada lisensi komputer dapat mengakibatkan kerugian jauh lebih tinggi bila malware terinstal atau privasi yang hilang ketika aplikasi seperti BasicScan diinstal.
Shas:
Pinnacle Pixie 500.exe Aktivasi
E0B46F79C8A815C4E3267853719D2FC684C94B45546D433BAE0A4EE3F586B2B9
RAMIGI.exe
9B33E6831EDA8A9CCDE0CD02E728BAEF30A2239B696E6F2CCD992AF3224020B7
XvidSetup.exe
5F68D0E4F1C9C8442AEB424F851BDEA36802B6BCC3F00B4E9ADBBAAEFCBD3CEE
BasicScan.exe
292C07DCD772F00677FBF069BCAD8ADB38ED0917A645D470525D9A0B06256AB7
BasicScan.dll
2EC6292A89CCE33D3390E5B1230118D2D8AEE361D15D1B1D24191186B691B119
Perhatikan kotak merah pada gambar di bawah.
Kita bisa melihat aplikasi konsol 7-zip (qsrr.exe) dieksekusi pada file qljle.7z dengan parameter-pocsqdrjrhx, di mana-p berarti kata sandi dan ocsqdrjrhx adalah password.
The diekstrak file dari qljle.7z arvhive bernama RAMIGI.exe dan kemudian dieksekusi.
File qkonddba.exe juga dieksekusi.
Kita bisa melihat bahwa asli retak berkas qkonddba.exe dibundel dengan aplikasi 7-zip dan .7 z arsip, dari mana payload diekstrak dan dieksekusi.
RAMIGI.exe adalah downloader , ditulis dalam Visual Basic , dikompilasi
dengan Visual Basic P -Code .Ukuran dari downloader adalah 806.912 byte.Setelah
decompiling , kita dapat mengamati potongan kode yang sama seperti pada gambar
di bawah .Ia mencari jendela dengan nama-nama tertentu , dan ketika jendela ini
ditemukan , mereka tersembunyi dengan memanggil sistem ShowWindow fungsi dengan
parameter 0 .Bila perlu , ia dapat menemukan tombol melalui FindWindowEx dan "
tekan" tombol dengan memanggil PostMessage fungsi sistem .
Dalam file RAMIGI , kita dapat melihat dua alamat URL di plaintext .
File poo.txt berisi beberapa teks antara " [ . ] " Dan " [ .. ] " tanda
tangan .Teks ini dikodekan dalam base64 .Pada awalnya harus diterjemahkan , maka
nilai 0x0f dikurangi dari masing-masing karakter dan akhirnya kita bisa
mendapatkan URL dari file yang akan di-download oleh RAMIGI downloader .
Sebelum melihat ke dalam file yang didownload, saya harus menyebutkan telur
Paskah menarik dalam RAMIGI.exe downloader.
Downloader itu sendiri cukup sederhana, tidak menawarkan terlalu banyak fungsi, hanya men-download, decode dan mengeksekusi file lain.
Namun, ukurannya adalah (seperti yang disebutkan di atas) 806.912 bytes.
Ketika aku melihat lagi di RAMIGI.exe, aku melihat gumpalan biner dimulai dengan GIF89 penanda, yang merupakan tanda tangan ajaib dari gambar GIF.
Karena itu saya diekstrak file ini, yang disebut Goooooooooogle_img dan Anda bisa melihatnya di bawah ini.
Ini adalah sebuah animasi GIF menampilkan Victoria Coren, penulis terkenal, presenter dan pemain poker, dari British TV show "QI Seri J Episode 1 - Jargon", waktu sekitar 5:00, link di Youtube di sini, di mana dia mengatakan kalimat berikut "Orang
jangan mengeluh bahwa tidak ada kata-kata yang baik untuk vagina.
Tidak ada cara untuk mengatakan itu yang terdengar bagus. "
Downloader itu sendiri cukup sederhana, tidak menawarkan terlalu banyak fungsi, hanya men-download, decode dan mengeksekusi file lain.
Namun, ukurannya adalah (seperti yang disebutkan di atas) 806.912 bytes.
Ketika aku melihat lagi di RAMIGI.exe, aku melihat gumpalan biner dimulai dengan GIF89 penanda, yang merupakan tanda tangan ajaib dari gambar GIF.
Karena itu saya diekstrak file ini, yang disebut Goooooooooogle_img dan Anda bisa melihatnya di bawah ini.
Ini adalah sebuah animasi GIF menampilkan Victoria Coren, penulis terkenal, presenter dan pemain poker, dari British TV show "QI Seri J Episode 1 - Jargon", waktu sekitar 5:00, link di Youtube di sini, di mana dia mengatakan kalimat berikut "Orang
jangan mengeluh bahwa tidak ada kata-kata yang baik untuk vagina.
Tidak ada cara untuk mengatakan itu yang terdengar bagus. "
Aku tidak tahu apa tujuan dari ini termasuk gambar, mungkin hanya lelucon, atau
disebut telur Paskah, tapi GIF gambar animasi ini memiliki 770.049 bytes, yaitu
sekitar 770049/806912 = 95 persen dari ukuran seluruh RAMIGI downloader
.
Mungkin penulis RAMIGI downloader adalah penggemar besar dari Victoria.
Selain menulis dan menyajikan dia adalah pemain poker profesional terkenal dan mungkin penulis RAMIGI suka poker juga.
Mencurahkan 95% dari ukuran downloader untuk Victoria dapat dianggap sebagai penghargaan kepadanya.
Hanya dia yang tahu kenapa gambar ini animasi disertakan.
Pencipta malware sering mencoba untuk menulis program mereka sebagai kecil dan seefisien mungkin untuk tinggal kurang mencurigakan, tetapi tampaknya RAMIGI downloader adalah pengecualian.
Itu bisa memiliki hanya beberapa puluh kilobyte, tetapi berkat telur Paskah, ia memiliki hampir 1 megabyte
.
Download RAMIGI.exe dan mengeksekusi file lain yang disebut XvidSetup.exe.
Seperti disebutkan sebelumnya, RAMIGI.exe aktif di memori, akan mencari jendela dengan nama dan menyembunyikan mereka tertentu, oleh karena itu screenshot berikut ini tidak terlihat oleh pengguna pada komputer yang diserang.
Aplikasi RAMIGI mengemulasi pengguna mengklik sangat cepat sehingga jendela berikut segera menghilang.
Namun, sebagai ilustrasi yang lebih baik, saya akan menunjukkan kepada Anda semua screenshot ini karena Anda akan melihat mereka jika Anda download dan dieksekusi XvidSetup.exe manual.
Installer ini memiliki satu properti menarik - itu ditandatangani secara digital oleh appbundler.com dan tanda tangan yang berlaku.
.
Mungkin penulis RAMIGI downloader adalah penggemar besar dari Victoria.
Selain menulis dan menyajikan dia adalah pemain poker profesional terkenal dan mungkin penulis RAMIGI suka poker juga.
Mencurahkan 95% dari ukuran downloader untuk Victoria dapat dianggap sebagai penghargaan kepadanya.
Hanya dia yang tahu kenapa gambar ini animasi disertakan.
Pencipta malware sering mencoba untuk menulis program mereka sebagai kecil dan seefisien mungkin untuk tinggal kurang mencurigakan, tetapi tampaknya RAMIGI downloader adalah pengecualian.
Itu bisa memiliki hanya beberapa puluh kilobyte, tetapi berkat telur Paskah, ia memiliki hampir 1 megabyte
. Download RAMIGI.exe dan mengeksekusi file lain yang disebut XvidSetup.exe.
Seperti disebutkan sebelumnya, RAMIGI.exe aktif di memori, akan mencari jendela dengan nama dan menyembunyikan mereka tertentu, oleh karena itu screenshot berikut ini tidak terlihat oleh pengguna pada komputer yang diserang.
Aplikasi RAMIGI mengemulasi pengguna mengklik sangat cepat sehingga jendela berikut segera menghilang.
Namun, sebagai ilustrasi yang lebih baik, saya akan menunjukkan kepada Anda semua screenshot ini karena Anda akan melihat mereka jika Anda download dan dieksekusi XvidSetup.exe manual.
Installer ini memiliki satu properti menarik - itu ditandatangani secara digital oleh appbundler.com dan tanda tangan yang berlaku.
Xvid adalah codec video yang dapat didownload secara gratis dari situs web asli.
Namun, dalam XvidSetup.exe kami diberitahu bahwa kita memiliki versi premium Xvid, dengan sponsor tawaran dari RavenBleu.
Aku tidak ingin menginstal apa-apa tapi Xvid codec (atau setidaknya saya ingin memilih apa yang saya inginkan untuk menginstal), jadi saya memilih "Instalasi XviD Kustom dengan RavenBleu" dan menekan "Next".
Pertama, XvidSetup.exe turun dan dieksekusi check_offer_rp.exe, yang merupakan checker tawaran dari program afiliasi RealNetworks.
Namun itu tidak download atau menginstal apapun dari program afiliasi.
Mungkin afiliasi ini ID sudah diblokir.
Namun, dalam XvidSetup.exe kami diberitahu bahwa kita memiliki versi premium Xvid, dengan sponsor tawaran dari RavenBleu.
Aku tidak ingin menginstal apa-apa tapi Xvid codec (atau setidaknya saya ingin memilih apa yang saya inginkan untuk menginstal), jadi saya memilih "Instalasi XviD Kustom dengan RavenBleu" dan menekan "Next".
Pertama, XvidSetup.exe turun dan dieksekusi check_offer_rp.exe, yang merupakan checker tawaran dari program afiliasi RealNetworks.
Namun itu tidak download atau menginstal apapun dari program afiliasi.
Mungkin afiliasi ini ID sudah diblokir.
Installer tidak menawarkan saya pilihan lain dan segera mulai men-download
dan menginstal BasicScan , maka RavenBleu , dan akhirnya ditawarkan untuk
menginstal codec Xvid .
The Xvid codec sendiri adalah aplikasi yang sah .Distribusi ini dilakukan
tanpa izin dari penerbit .
Kedua RavenBleu serta BasicScan mendapat dieksekusi .
BasicScan bahkan muncul sebagai perpanjangan di Firefox dan itu dll juga
dipetakan ke Internet Explorer ruang alamat .Hal ini memungkinkan BasicScan
untuk melacak permintaan pencarian pengguna masuk ke address bar dan menerima
daftar URL yang diterima dari server basicscan.com .
BasicScan dieksekusi sebagai sebuah layanan sistem , dimuat basicscan.dll
dan disebut fungsi ekspor yang bernama jocodefo .
Ketika aku kemudian mengetik kata ke address bar Firefox, diarahkan saya
untuk www.basicscan.com , yang berisi link iklan .
Hal ini juga dimodifikasi " keyword.URL " item dalam file user_pref
.Preferensi keyword.URL memungkinkan untuk menambahkan mesin pencari default di
Mozilla Firefox .Item ini juga diubah dan diganti dengan BasicScan .
Banyak perusahaan menawarkan program afiliasi, di mana setiap orang dapat mendaftar dan mulai mempromosikan produk mereka.
Dalam contoh ini, penggunaan program afiliasi RealNetworks dicoba, http://www.realnetworks.com/affiliate-program/products-payouts.aspx.
Jika promosi ini berhasil, perusahaan membayar afiliasinya sejumlah uang untuk setiap instalasi.
Penyerang karena itu mencoba untuk menginstal aplikasi untuk komputer sebanyak mungkin untuk memaksimalkan keuntungan mereka.
Kemungkinan kedua untuk mendapatkan penghasilan dapat berasal dari plugin BasicSearch, yang dapat mengarahkan atau menyesatkan korban untuk mengunjungi situs-situs yang tidak diinginkan, atau menawarkan link sponsor bukan dari link yang paling relevan.
Perilaku ini menghasilkan lalu lintas, yang kemudian dapat dijual atau disalahgunakan untuk berbagai keperluan.
Siapa di belakang ini cara menipu mendistribusikan program yang tidak diinginkan ke komputer pengguna?
Salah satu aplikasi yang terinstal, Raven Bleu (dalam bahasa Inggris: Blue Raven) berisi file copyright.txt, dimana baris pertama berkata: "Seekmo Cari Asisten", "Hak Cipta (c) 2000-2007 Zango Technologies LLC.
Semua hak dilindungi. ".
Menurut Wikipedia, pada tahun 1999 sebuah perusahaan bernama ePIPO didirikan, kemudian menjadi 180solutions, Zango dan saat ini beroperasi di bawah nama Pinball Corporation.
Kesimpulan:
Men-download retak dari torrents file berbagi server adalah metode yang populer yang banyak pengguna komputer mencoba untuk menghemat uang dengan mendapatkan lisensi penuh produk komersial dibayar secara gratis.
Selain melanggar aturan lisensi, men-download file dari sumber yang tidak dipercaya dan curiga sering menyebabkan mengorbankan mesin pengguna.
Retak program komputer sering dibundel dengan malware tambahan atau downloaders adware, sehingga upaya untuk menyelamatkan beberapa dolar pada lisensi komputer dapat mengakibatkan kerugian jauh lebih tinggi bila malware terinstal atau privasi yang hilang ketika aplikasi seperti BasicScan diinstal.
Shas:
Pinnacle Pixie 500.exe Aktivasi
E0B46F79C8A815C4E3267853719D2FC684C94B45546D433BAE0A4EE3F586B2B9
RAMIGI.exe
9B33E6831EDA8A9CCDE0CD02E728BAEF30A2239B696E6F2CCD992AF3224020B7
XvidSetup.exe
5F68D0E4F1C9C8442AEB424F851BDEA36802B6BCC3F00B4E9ADBBAAEFCBD3CEE
BasicScan.exe
292C07DCD772F00677FBF069BCAD8ADB38ED0917A645D470525D9A0B06256AB7
BasicScan.dll
2EC6292A89CCE33D3390E5B1230118D2D8AEE361D15D1B1D24191186B691B119
