Echo słynnego polskiego botnetu powraca w chińskiej kamerze

dodał 11 kwietnia 2016 o 11:58 w kategorii Top  z tagami:
Echo słynnego polskiego botnetu powraca w chińskiej kamerze

W chińskiej elektronice użytkowej natrafić można na najróżniejsze ciekawostki. I nie mówimy tu tylko o ukrytych tylnych furtkach, ale także o śladach złośliwej działalności prawdopodobnie największego botnetu autorstwa Polaka.

Chińska elektronika staje się coraz bardziej popularna. Fantastyczne ceny, przyzwoita jakość, ciekawe pomysły producentów zachęcają do zakupów. Czasem jednak można natrafić na ukrytą niespodziankę.

Polski link w chińskiej kamerze

Kilka tygodni temu Wykopowicz piter19937 opublikował ciekawy wpis. Pokazuje w nim fragment kodu źródłowego strony WWW chińskiej kamery IP, a w tym fragmencie wstrzykniętą ramkę z adresu

Skąd w chińskiej kamerze adres polskiego serwisu – i to najwyraźniej doklejony w jakimś niecnym celu? Udało nam się tę zagadkę rozwiązać. Aby poznać odpowiedź na to pytanie musimy cofnąć się do roku 2006, kiedy to powstał botnet Virut. Być może nawet o nim nigdy nie słyszeliście – a szkoda, bo był to bardzo ciekawy przypadek. Sporo o Virucie możecie wyczytać w raporcie zespołu CERT.PL. U szczytu swojej popularności miał pod kontrolą co najmniej kilkaset tysięcy komputerów na całym świecie, z czego większość w krajach takich jak Pakistan, Egipt czy Indie. Prawdopodobnie dzięki temu przetrwał tak długo – został wyłączony dopiero w roku 2013.

Virut w kamerze (źródło

Virut w kamerze (źródło piter19937)

Teraz Polska

Virut jest według naszej wiedzy największym botnetem stworzonym do tej pory przez Polaka. Autor robaka jest znany – uniknął jednak odpowiedzialności karnej ze względu na niepoczytalność (i nie był to tylko wybieg adwokatów). Sam robak był ciągle rozwijany – CERT doliczył się co najmniej 20 różnych wersji. Choć nie znaleźliśmy pełnej analizy kodu wirusa, to słyszeliśmy opinie fachowców wyrażających się z uznaniem dla talentów jego twórcy. Jak pisał Dr Web:

Najnowsza wersja Win32.Virut.56 wykorzystuje kilka technik infekcji, w zależności od struktury pliku, który zostanie zarażony. Jednak zaszyfrowany kod ciała wirusa jest zawsze napisany na końcu pliku. Kod do deszyfracji jest umieszczany w nieużywanych segmentach zainfekowanego pliku. Polimorficzny kod oznacza jego zmienną budowę w zależności od typu pliku. Dodatkowo, kod polimorficzny może zawierać kod pliku zainfekowanego, jeżeli jest wymagany do jego infekcji.

Virut posiadał wiele funkcji. Stosował m. in. mechanizmy DGA, kryptografię asymetryczną w celu uwierzytelnienia, infekował pliki wykonywalne a także pliki HTML – co tłumaczy znalezisko na stronie WWW kamery. Jedna z wersji Viruta do każdego pliku HTML znalezionego na komputerze ofiary doklejała kawałek kodu, powodujący wczytanie strony kontrolowanej przez autora botnetu. Strona ta mogła następnie dzięki błędom w przeglądarkach lub ich wtyczkach infekować kolejne ofiary. Najwyraźniej Virut znajdował się również na komputerze, na którym przygotowywano oprogramowanie kamery.

Mapa infekcji (źródło: CERT.PL)

Mapa infekcji (źródło: CERT.PL)

Virut w ostatnim kwartale roku 2012 odpowiadał wg Kaspersky’ego za ponad 5% globalnych infekcji komputerów. Zarabiał głównie poprzez instalowanie cudzego oprogramowania, promocję fałszywych antywirusów oraz spam. Swój zywot zakończył na początku roku 2013, kiedy to CERT wraz z innymi zespołami wyłączył kawałek po kawałku jego infrastrukturę, przejmując domeny.

Podsumowanie

Choć Virut już od kilku lat dogorywa, to jak widać agresywne złośliwe oprogramowanie potrafi na długo zostawiać swoje ślady w sieci i być zagadką również poza granicami Polski. Dzięki przechwyceniu domen nawet jeśli kupicie zainfekowane kamery nie powinno Wam grozić nic oprócz lekkiego zdziwienia.