Dzisiaj przez polski internet przetoczyła się fala tajemniczych wpisów w różnych popularnych serwisach. Unikatowy ciąg znaków pojawiał się w zupełnie niespodziewanych miejscach. Po wielu godzinach śledztwa wytropiliśmy jego pochodzenie.
Od rana spływały do nas wiadomości od czytelników wskazujące, że w sieci dzieje się coś dziwnego. W wielu miejscach pojawił się tajemniczy ciąg znaków o treści „mutex/ocfipreoqyfb/mutex”. Można go było znaleźć na stronach wielu portali, na forach, w ogłoszeniach Allegro i prywatnych wpisach, najczęściej autorstwa polskich internautów. Co ciekawe, pojawiał się zawsze pod koniec pola tekstowego. Ofiarami incydentu padły serwisy takie jak Pudelek.tv (a także Pudelek.pl):
Cyberdefence24.pl:
czy Eska.pl:
Wyszukiwanie w Google pokazuje, że podobnych wydarzeń były setki, a wszystkie miały miejsce w ciągu ostatnich 24 godzin. Tę zagadkę trzeba było koniecznie rozwiązać.
Krok po kroku
Mimo wnikliwego przyglądania się ofiarom trudno było ustalić źródło incydentu. Czasem wpis pojawiał się w formie tekstowej, czasem w kodzie HTML takim jak np.:
<div id="jsseunrwnoeo" style="display: none;"> <div class="simple_mutex" id="ocfipreoqyfb" style="display: none;">mutex/ocfipreoqyfb/mutex</div> </div>
Tekst pojawiał się na końcu pól tekstowych wysyłanych do internetu przez użytkownika. Za atak mogła zatem opowiadać oszalała wtyczka do jednej z przeglądarek. Przełomem okazało się odkrycie wnikliwych kolegów z CERT.PL, którzy natrafili na fragment kodu zawierający następujący ciąg:
<div class="simple_mutex" id="ocfipreoqyfb" origin="safe_url_2" style="display: none;">
Wyszukiwanie ciągu „safe_url_2” doprowadziło naszych Anonimowych Analityków do witryny:
https://www.reasoncoresecurity.com/safe_url_2.exe-8dfd006db611eadbc01244741fa99ab3a25878eb.aspx
a wyszukiwanie firmy Vondos Media GmbH do strony wtyczki do Firefoksa Browser-Security. Wtyczka ta została wczoraj zaktualizowana, zatem została głównym podejrzanym i celem dalszej analizy.
Feralna wtyczka
Wtyczka Browser-Security okazała się być oprogramowaniem typu adware, czyli wstrzykującym reklamy na strony oglądane przez użytkownika. Ktoś jednak w aktualizacji jej wersji popełnił błąd i wtyczka zaczęła modyfikować pola tekstowe wysyłane na serwer przez przeglądarkę. Na dokładkę błąd był tak przypadkowo dziwny, że wstrzykiwany kod objawiał się właśnie obserwowanymi napisami w artykułach, aukcjach czy wpisach na forach. Fragment kodu wtyczki wygląda następująco:
var checkContent = 'mutex'+'/'+key+'/'+'mutex'; docMutexDiv.textContent = checkContent; docMutexDiv.setAttribute('origin', localVars.appName); docMutexDiv.style.display = 'none'; mWrapper.appendChild(docMutexDiv);
Skąd złośliwa wtyczka brała się na komputerach ofiar, w tym redaktorów wielu polskich portali? Podejrzewamy, że była instalowana wraz z innym, popularnym w Polsce oprogramowaniem, jeszcze w swojej wersji nie powodującej takich skutków ubocznych. Na razie głównym kandydatem na winowajcę jest K-Lite Codec Pack. Wtyczka przez wiele miesięcy „niewinnie” wyświetlała swoje reklamy, by wczoraj zostać zaktualizowana i namieszać w sieci.
Ofiarom infekcji proponujemy usunięcie feralnej wtyczki i większą uwagę w trakcie instalowania darmowego oprogramowania. A sami musimy przyznać, że było to jedno z ciekawszych śledztw w historii naszego serwisu.
Komentarze
Osoby, które zaobserwowały efekt doklejania magicznego fragmentu do swoich wypowiedzi prosimy o potwierdzenie:
– czy faktycznie mają zainstalowany K-Lite Codec Pack (w jakiej wersji oraz kiedy został zainstalowany),
– czy mają w Dodaj/Usuń Programy albo dodatkach do przeglądarki „Browser Security” (oraz jakiej przeglądarki używają).
niebardzo-Anonimowi Analitycy z CERT.PL ;)
Mam najnowszego K-Lite (aktualizuje zawsze do najnowszej wersji) i nigdy nie dostałem takiego adware’u na żaden z moich komputerów. :)
Problem tez wystepuje na mac os X yosemite.
Oczywiście chodziło mi o wysyłane przez Was wypowiedzi, a nie to, że widzicie je w internecie (bo widzą to wszyscy).
mutex/ocfipreoqyfb/mutex
„jedno z ciekawszych śledztw w historii naszego serwisu”
.
Ciekawsze śledztwo to będzie jak pomożecie drapnąć popaprańca Thomasa;)
Nie żeby jakaś teoria spiskowa ale czemu takie kwiatki pojawiają się na popularnych programach na windowsa które nie są po drodze w tej chwili tej firmie?
Zauważyłem to na Firefox Focus w wersji na Android-a.
Ten słowokluczowy „feature” nie radzi sobie chyba z kodem pisanym od prawej do lewej i następują powtórzenia, ale to tylko hipoteza bo przecież internet jest od lewa do prawa:
Może to znak żebyśmy przestawili się na pisanie od prawej do lewej :)
Adres strony do znalezienie w internecie:
Na miejscu tego który napisał ocficośtam wybrałbym np. znacznik yogi.bear albo gcc.cpp.h – byłoby trudniej szukać.
اللهم صل علی محمد و آل محمد و عجل فرجهمmutex/ocfipreoqyfb/mutexmutex/ocfipreoqyfb/mutexmutex/ocfipreoqyfb/mutexmutex/ocfipreoqyfb/mutexmutex/ocfipreoqyfb/mutexmutex/ocfipreoqyfb/mutexmutex/ocfipreoqyfb/mutexmutex/ocfipreoqyfb/mutexmutex/ocfipreoqyfb/mutexmutex/ocfipreoqyfb/mutexتشییع شهدای مدافع حرم در مشهد مقدس تشییع شهدای مدافع حرم در مشهد مقدس تشییع شهدای مدافع حرم در مشهد مقدس تشییع شهدای مدافع حرم در مشهد مقدس تشییع شهدای مدافع حرم در مشهد مقدس تشییع شهدای مدافع حرم در مشهد مقدس تشییع شهدای مدافع حرم در مشهد مقدس تشییع شهدای مدافع حرم در مشهد مقدس تشییع شهدای مدافع …
Używam Windows XP black edition, żadne wirusy mi nie straszne.
mutex/ocfipreoqyfb/mutex
A mnie ciekawi podejście ontologiczne, dlaczego zawsze jest ocfi… a nie jakaś inna nazwa?
Doszedłem, że kod zacytowany przez niebezpiecznik (bo nie będę sobie instalował tych browser-szmauzer cudów, istniał już 7 stycznia 2017 roku: https://pastebin.com/Y9TPNA3a
createRandomElementId : function(salt){
var result = 'i’;
var key = parseInt(this.clientId);
key = key + 'x’ + key;
for( var i = 0; i < key.length; i++){
var x = parseInt(key[i]);
if( i < salt.length ){
var charc = salt[i];
x += charc.charCodeAt(0) % 25;
}
if( x < 25 ){
charc = String.fromCharCode(97+x);
result += charc;
}
}
return result;
Co to daje ten listing?
Doszedłem do malwareu z 20 lutego 2k17 zawierającego napis z komentarza „heuristic approach” – z kodu pastedbin podanego przeze mnie wyżej, to jakiś egzek – pewnie pod firefoxa.
Może da sie dojść do pastedbin żeby się dowiedzieć w jakich okolicznościach ktoś tam wkleił ten „malwr.com -1” – może twórca podzielił się kodem z kolegami tuż przed releasem :).
https://www.hybrid-analysis.com/sample/8fe3d46a39fefd979fc792000d3109b2033b43dfa45e93af3ac5163883bf4899?environmentId=100
Ja to raczej odradzam korzystanie z firefoxa, jeszcze nie tak dawno nie dało się tego cuda zaktualizować o ile nie uruchomiłeś jako admin, żenadny błąd.
Ten mój wpis o pisaniu od prawej do lewej można pominąć :), zrehab i litowałem się.
2k17???? 2017 pisze się trzy razy wolniej???
no ale grunt to być „orygynalny”…
Bzdury jakieś, nic takiego nie miało miejsca, wszystko działa normalnie i nic się nigdzie nie dokleja.
mutex/ocfipreoqyfb/mutex
U mnie nie ma tego problemu :)
mutex/ocfipreoqyfb/mutex
ten wpis mnie 'rozczulił’ … „i większą uwagę w trakcie instalowania darmowego oprogramowania.” Nie no w odpłatnych aplikacjach się to na pewno nie zdarzy ;) Tu podstawowy problem to brak analizy kodu w tym wynikowe = sumy przez dostawców oprogramowania. Tu jednak środowisko Windows słynie z 'bezpieczeństwa i właściwego podejścia do tego tematu’ ;)
Parę dni temu instalowałem właśnie te kodeki i podczas przechodzenia instalacji była zakładka Browse Security a zatwierdzenie było po niemiecku.Jak ktoś z automatu kliknął to to zatwierdził.Na szczęście jestem przezorny i nie klikam z automatu .Co raz częściej dodają jakieś programy podczas instalacji.
Skąd miałeś instalator? W moim nie było :)
Ja napewno mam czystego kompa bo avast na zielono sie swieci
mutex/ocfipreoqyfb/mutex
XDD
Najnowsza wersja K-lite i firefoxa i nie ma problemu u mnie
A ja to mam.
Ktoś podpowie co z tym zrobić?
Moja wiedza na temat kompa kończy się na włączeniu…
wirusy srusy.. co wy łopowiadacie?!
mutex/ocfipreoqyfb/mutex
ja jestem czysty
xetum/bfyqoerpifco/xetum
K-Lite Codec Pack – sooo 2000s.
K-Lite Codec Pack in 2017 XDD
Czy winowajcą jest jakaś określona wersja K-Lite? Wszystkie? Czy instalacja tego śmiecia działa się w sposób kontrolowany (ktoś czegoś nie odznaczył przy instalacji), czy też instalowało się to to niezależnie od woli użytkownika? To dosyć ważne kwestie Droga Redkacjo, czyż nie? Warto byłoby rozwiać takie wątpliwości…
Nie wiemy. Wtyczkę można znaleźć jako normalnie zainstalowaną aplikację.
Czyli nie tyle złośnik-złośnik, co rasowy adware, instalowany na wolę, bądź przez nieuwagę użyszkodnika. A jak zwie się plik wykonywalny – tj. czego szukać na takim komputerze? Zakładając oczywiście, że spojrzenie w listę zainstalowanych dodatków do firefoxa nie zwraca niczego podejrzanego.
K-Lite nie jest wtyczką, nie jest aplikacją. To de facto instalator dla rzeczy związanych z wideo – odtwarzacze, kodeki DS i VFW itd. Co prawda proponowało reklamy przez jakiś czas (http://i.imgur.com/qRdF8wf.png), ale jeśli sama propozycja czyni z czegoś adware, to jest nim także Flash i Java. W dodatku K-Lite nie manipulował i reklamy były opt-in, nie opt-out. Autor o nich wyraźnie informował przed instalacją. Jeśli ktoś sobie zainstalował przy tym reklamy, to nie powinien mieć dostępu do firmowego komputera i tyle. To jak oskarżyć twórcę rf, że niektórzy sobie wpiszą rm -rf, potwierdzą enterem, potwierdzą drugi raz i potem się im coś stanie.
Korzystam z K-Lite od wielu lat. Jeśli ktoś pracuje przy wideo, nawet amatorsko i rzadko, to jest to bardzo wygodne – zamiast szukać aktualizacji dziesiątek składników (dla mnie wszystko w wersjach 86 i 64 oraz ds i vfw, jeśli dotyczy: mpc-hc, lav, ffdshow, x264, x265, mediainfo, icaros ph, icaros th, vsfilter), dostajemy wszystko w paczce. Nie każdy używa komputera, żeby sobie puścić film i tyle. Też mogę napisać „kto instaluje to pojedynczo w 2017 roku”, a łącznie z kombinacjami to mamy z 30 rzeczy do ściągnięcia.
>2017
>K-Lite
SERIO?
https://github.com/Nevcairiel/LAVFilters/releases
Nie dziękujcie
VLC, nie dziękuj.
Nie jestem fanem VLC, dziekuję, postoję
Mam aktualne oprogramowanie antywirusowe, firewalla i oryginalnego Windowsa.
Jak ktoś jest Januszem internetu, to niestety… :-)
mutex/ocfipreoqyfb/mutex
mam makbuczka najnowszego w kolorze różowym. w japkowym rezerwacie nie ma wirusów bo sam jobs mój idol zabronił ich pisać
mutex/ocfipreoqyfb/mutex