Jaa


Ku przestrodze: Jak to mój "zabezpieczony" domowy komputer, został zainfekowany czymś złośliwym

Niniejsza historia to opis tego, co spotkalo mój domowy komputer w ostatnim czasie. Mam nadzieje, ze przekona ona Was do tego, iz nie ma dzis bezpiecznego komputera i ze ZAWSZE nalezy uwazac co, i z jakimi uprawnieniami, wykonujemy... Do rzeczy.

UWAGA: Ponizsza historia to opis zdarzenia, który mial miejsce na moim prywatnym sprzecie. Ponizszy tekst nie jest zadnym oficjalnym dokumentem czy tez wytycznymi firmy Microsoft. Jest to prywatny punkt widzenia autora niniejszego posta.
Przedstawione linki maja jedynie charakter informacyjny i nie sugeruja, ani nie preferuja, zadnych rozwiazan. Uzywalem tego, co bylo najprostsze do uzycia w danym momencie i to, co udalo mi sie najszybciej znalezc. Ponizszy opis nie daje zadnych gwarancji zadzialania w innych przypadkach. Nie biore odpowiedzialnosci za zadne skutki spowodowane ewentualnymi próbami nasladowania moich kroków.

W zeszlym tygodniu (pierwszy tydzien kwietnia 2011) przebywalem za granica naszego kraju. W tym czasie, w poniedzialek po poludniu, moja malzonka wyslala mi SMSa, iz przy logowaniu do strony banku pokazuje sie dziwne biale okno z trescia (mniej wiecej) nastepujaca:

We do not recognize the computer you are using.

To continue with Online Banking, please provide the information requested below.

Confirm Your Identity

Instructions: Provide your Card Security Code and as much additional security information as you can. Your entries must match the information on the account record and will be used solely to confirm your identity.

Przyznacie, iz powyzsze wzbudza obawy. Mój komputer domowy posiada (jakzeby inaczej) Windows 7, z wszystkimi wymaganymi poprawkami + darmowego wirusa od Microsoft: Microsoft Security Essentials (MSE). Oczywiscie bazy do MSE byly równiez najnowsze. Malzonka pracowala na lokalnym koncie z prawami administratora i standardowymi ustawieniami UAC. Prawdopodobnie jak wiekszosc z Was, czytajacych teraz ten tekst.

Pierwszym podejrzeniem byla infekcja przegladarki WWW, wiec zostala ponowiona próba otwarcia strony banku (tym razem z loginem i haslem niemajacymi sensu) na innej przegladarce. Efekt byl ten sam.
Od tej chwili juz wiedzialem, iz w komputerze zagniezdzil sie jakis wirus lub malware. Oczywiscie moja malzonka jest swiadomym uzytkownikiem i zadne podejrzane strony nie sa przez nia odwiedzane. Jej aktywnosci to w 90% przegladanie internetu przez przegladarke WWW, a pozostale to 10% to komunikowanie sie ze mna mailowo i przez komunikator internetowy…
Stad tez moje zaskoczenie infekcja bylo wieksze. W kazdym razie wiadomo bylo juz, iz mam zlosliwe oprogramowanie, które przechwycilo mój login i haslo do konta bankowego, oraz ze zapewne owe dane zostaly juz gdzies wyslane. Co prawda zabezpieczenia banku nie pozwalaja na przelanie pieniazków na zewnatrz bez dodatkowej autoryzacji (SMS), jednakze wszystkie inne dane transakcyjne, które dostepne sa po zalogowaniu, byly dostepne dla osób, do których ów login dotarl. To wszystko oznaczalo natychmiastowa koniecznosc:

· Zablokowania dostepu do konta przez internet (przez telefoniczny kontakt z Bankiem).

· Zablokowania wszystkich kart, których numery mozna by bylo zobaczyc poprzez zalogowanie sie do systemu przed blokada dostepu.

Przyznacie, iz to bolesna operacja, gdyz wydanie nowych kart troche trwa.. Zas malzonka do czasu mego powrotu nie mogla korzystac z komputera.
Skoro juz blokady zostaly wykonane, przyszedl czas na pozbycie sie nieprzyjaznego zyjatka. Zaczalem od szybkiego skanu (Quick scan) komputera przez MSE.. Nic nie zostalo znalezione. Wykonalem wiec pelne skanowanie (Full Scan) .. Tym razem w Temporary Internet Files byly obecne dwa pliki. Jeden z nich zawieral jakis nieszkodliwy AdWare, zas drugi jakis exploit do wirtualnej maszyny Java. Jednakze zaden z nich nie byl tym, czego szukalem (wniosek wyciagnalem na podstawie przeczytania artykulów opisujacych ich zachowanie).

Kolejny krok, jaki podjalem, to sprawdzenie przy pomocy programu Autoruns jakie podejrzane elementy (i kiedy) sa uruchamiane podczas startu systemu i logowania. Znalazlem tam dwa dziwne wpisy prowadzace do dwóch plików DLL. Owe pliki mialy ten sam rozmiar i zawartosc, ale rózne byly ich nazwy i polozenie: jeden byl w katalogu glównym profilu uzytkownika, drugi zas w katalogu z Menu start \ programy \ autostart. Jako autor (wydawca) w tych plikach DLL figurowala firma Microsoft, ale polozenie i nazwa tych plików, oraz to ze ich cyfrowe podpisy (w Autoruns mozna to zweryfikowac) byl nieprawidlowe sugerowalo, iz maja one wiele wspólnego z tym, co sie dzieje obecnie na tym komputerze. Co ciekawe, daty tych plików byly ustawione na grudzien 2009, wiec nie pozwalalo to na ustalenie czasu infekcji.

Postanowilem wiec przeskanowac te pliki bezposrednio przy pomocy MSE: nic nie zostalo znalezione…Uzylem wiec jednej z witryn internetowych, które skanuja przeslany plik przy pomocy dostepnych na rynku programów antywirusowych. Wynik testu pokazal, iz 20% silników (z aktualnymi bazami) rozpoznaje ten kod, jako zlosliwy.

Skoro owe dwa pliki (lload54.dll oraz scanddiskmg83.dll) byly juz w 100% podejrzane, to postanowilem spróbowac ich sie jakos pozbyc. Skasowanie ich oczywiscie nie bylo mozliwe – pliki byly w uzyciu. Dodatkowo skasowanie znalezionych wpisów Autostart nic nie dawalo: wpisy pojawialy sie z powrotem. Za pomoca narzedzia Process Monitor okazalo sie, iz owe wpisy startowe dodaje… prawie kazdy process. Krótkie spojrzenie na pliki DLL, obecne w tych procesach, ukazalo kolejne wystapienie pliku lload54.dll, tym razem w katalogu c:\windows\system32 .

Skoro owe zle oprogramowanie bylo nieznane przez wiekszosc dostepnego oprogramowanie antywirusowego , w celu szybkiego i efektywnego rozwiazania problemu zostalo uzyte Narzedzie Przywracania Systemu (System Restore), do najwczesniejszego punktu jaki byl dostepny (sprzed 10 dni w moim wypadku).

Przed przywróceniem jednak owe pliki zglosilem do Microsoft Malware Protecion Center - skoro MSE byl jednym z tych antywirusów, który nie wykrywal „zyjatka”, to warto bylo przeslac próbke z plikiem do badan, co powinno potem zaowocowac wprowadzeniem sygnatur wirusa do baz antywirusa (które sa wspólne dla rozwiazan antywirusowych Microsoft). <ów wirus jest rozpoznawany od wersji sygnatur 1.101.980.0, które ukazaly sie 7go kwietnia 2011).

System Restore pomógl. Po przywróceniu sprawdzilem, iz znalezione przeze mnie pliki nie sa obecne, tak samo jak wpisy w rejestrze odnoszace sie do tych plików. Nadal jednak odczuwalem potrzebe upewnienia sie, iz system operacyjny jest bez zlosliwego kodu. Musialem to jednak uczynic innym oprogramowaniem niz MSE. Po przejrzeniu paru witryn internetowych wybralem jednego faworyta. Ów wybrany program , w wersji darmowej, umozliwia skan systemu. Wersja platna umozliwia tez ochrone w systemie rzeczywistym.
Skan systemu wskazal mi jeszcze dwa pliki w katalogu tymczasowym w katalogu profilu mojej malzonki : jeden z nich to kopia (a raczej „oryginalne pochodzenie”) wczesniej znalezionych przez mnie plików.
Drugi zas mial wiekszy rozmiar i równiez nie byl wykrywany przez MSE. Jednakze owe pliki mialy juz daty rzeczywiste, co pozwolilo ustalic mi moment infekcji na pózny wieczór dnia 31go marca, czyli po tym, jak zostal wykonany punkt przywracania systemu uzyty do reanimacji). Ów nowy plik tez zostal zgloszony do MMPC.

Postanowilem tez sprawdzic historie witryn odwiedzanych. Natknalem sie z niej na dziwny adres. Witryna z tego adresu juz nie odpowiadala, ale wyszukiwarka internetowa wskazala mi raport odnosnie tej podejrzanej witryny, z którego wynikalo, iz byly obecnie na niej dwa exploity: do wirtualnej maszyny Java oraz do Adobe Reader’a.
W polaczeniu z wczesniejszym wykryciem pliku z exploitem do Javy w Temporary Internet Files podejrzewam, iz zlosliwy kod dostal sie do komputera wlasnie przez Jave.. Na komputerze domowym byla ona w wersji z 2009 roku…..

Czy komputer jest teraz „czysty”? mozna zalozyc, ze tak, ale, dla bezpieczenstwa, bedzie niedlugo przeinstalowany.

Jakie byly przyczyny infekcji systemu? Przeciez mial wszystkie poprawki do Windows Update i aktualne bazy antywirusa.. Wina lezy po stronie:

· Wylaczenia mechanizmu auto aktualizacji Javy: dosyc czesto pojawialy sie poprawki i nie bylo w nich opcji cichej i automatycznej aktualizacji. Bylo to irytujace.

· To samo tyczylo sie Adobe Reader’a

· Praca z prawami administratora: podczas próby usuniecia wirusa zapomnialem sie i pare razy uruchomilem rózne narzedzia z prawami administratora, czym pogorszylem sytuacje…
Sprawdzajac w Process Monitor’rze np. program RegEdit (który uruchamialem podczas walk z zyjatkiem), widzialem owe zle pliki DLL obecne w ramach tegoz procesu.
Mozliwe, iz do czasu uruchomienie pierwszego narzedzia z podniesionymi uprawnieniami , wirus rezydowal tylko w obszarze profilu uzytkownika..

· Nowosc wirusa, tzn. nie byl jeszcze znany przez mechanizmy antywirusa, wiec nie zostal zablokowany

Wnioski na przyszlosc?:

· Nie ma bezpiecznego komputera. Moze poza takim, który jest offline i nikt na nim nic nie robi.

· Absolutnie nalezy unikac pracy z uprawnieniami Administratora, gdy to nie jest wymagane.

· Warto posiadac dodatkowe oprogramowanie zabezpieczajace system przed oprogramowaniem typu malware.

· Czasem mija troche czasu nim zlosliwy kod jest rozpoznawany przez systemy antywirusowe, wiec komputer nie jest przed nim chroniony przez pewien czas

· Jak najbardziej warto dbac o to, by uzywane przez nas oprogramowanie bylo w jak najnowszej wersji i by nie uzywac (i nie instalowac) niczego, czego nie potrzebujemy.

Czyniac powyzsze tylko minimalizujemy ryzyko! Nie gwarantujemy sobie bezpieczenstwa!

Mnie ta historia wiele nauczyla. Kosztowala niemalo nerwów… Pamietajcie o niej zawsze, gdy myslicie, ze Wam nic nie grozi. W moim wypadku skonczylo sie „tylko” na blokadzie dostepu do konta bankowego i kart platniczych..

Referencje:

· Microsoft Malware Protecion Center

· Raporty z witryny firmy 3ciej, która skanuje przeslany plik róznymi narzedziami antywirusowymi:

o https://www.virustotal.com/file-scan/report.html?id=acb4b38b034eac42279f3f72c15a14a76142650eba14a1371e6022b7319c4692-1301932415

o https://www.virustotal.com/file-scan/report.html?id=acb4b38b034eac42279f3f72c15a14a76142650eba14a1371e6022b7319c4692-1301947426

o https://www.virustotal.com/file-scan/report.html?id=f328900652a371edd881b6d8e7b283e647e6649694c8bb3895bb638f41f9eb93-1302069156

· Raporty z witryny firmy 3ciej, która skanuje przeslany plik pod katem zlych aktywnosci:

o https://www.threatexpert.com/report.aspx?md5=d9f56bbc76c50d9d04eb3b12b054a9bc

o https://www.threatexpert.com/report.aspx?md5=5f66a701e05037d5e85207b9d3ffd164

· Przeslana próbka do MMPC

o https://www.microsoft.com/security/portal/Submission/SubmissionHistory.aspx?SubmissionId=440d2f53-8faa-4350-8035-e700269d7d36&n=1

· Informacja o wirusie który zainfekowal mój domowy komputer

o https://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=PWS%3aWin32%2fSinowal.gen%21X

· IEHistoryView

Comments

  • Anonymous
    January 01, 2003
    A co da wirtualka przeciwko keylogerowi? Uważam że do Banku to najlepiej jest korzystać z klawiatury on-screen i za każdym razem zmieniać jej położenie ne ekranie. Część banków ma to w standardzie, reszta narazie nie ma. Poza tym w bankach są przecież kody jednorazowe. Co do klawiatury on-screen to wystarczy wybrać klawisz windows + r wpisac OSK i już :)

  • Anonymous
    January 01, 2003
    Dobrze, że ten disclaimer dodałeś :) A bardziej serio... Pewnie póki co myślę podobnie jak Ty, że u mnie to raczej nie może się zdarzyć :) Choć plus mojej sytuacji jest taki, że żona na kompie pracuje na koncie nie-admina :) Minus taki, że przy każdej instalacji czy innych rzeczach muszę biegać i wpisywac hasło lokalnego admina.

  • Anonymous
    January 01, 2003
    No no... ciekawa i pouczająca (dla innych również) historia. Właśnie odpaliłem profilaktycznie FEP w full scan... niech mieli przez noc. Co do VMs dla operacji "secure" to nie jest głupie i już u 3 klientów takie rozwiązanie widziałem.

  • Anonymous
    January 01, 2003
    :-) Ja się zastanawiam czy nie zrobić żonie virtualki do biegania po internecie po stronach "nowych", a do reszty stron (powiedzmy "znanych i zaufanych")  mogła by używać systemu z hosta. .... :)   Dzis gdy opowiadałem jednemu klientowi tą historię odpowiedział mi On, że do logowaniu do banku używa wirtualki i służy mu ona tylko do tego celu. Jeśli tylko jest ona w pełni "spaczowana", to takowe podejście jest chyba warte naśladowania. :

  • Anonymous
    January 01, 2003
    Przeciwko keylogerowi nic nie da. Chodzi o to, że taka wirtualka nie służy na co dzień do pracy i ma wyśrubowane polityki zabezpieczeń - praca na takich ustawieniach była by koszmarem.