28.09.2017 | 22:45

Adam Haertle

Tajemnicze wpisy z internetu, czyli skąd bierze się mutex/ocfipreoqyfb/mutex

Dzisiaj przez polski internet przetoczyła się fala tajemniczych wpisów w różnych popularnych serwisach. Unikatowy ciąg znaków pojawiał się w zupełnie niespodziewanych miejscach. Po wielu godzinach śledztwa wytropiliśmy jego pochodzenie.

Od rana spływały do nas wiadomości od czytelników wskazujące, że w sieci dzieje się coś dziwnego. W wielu miejscach pojawił się tajemniczy ciąg znaków o treści „mutex/ocfipreoqyfb/mutex”. Można go było znaleźć na stronach wielu portali, na forach, w ogłoszeniach Allegro i prywatnych wpisach, najczęściej autorstwa polskich internautów. Co ciekawe, pojawiał się zawsze pod koniec pola tekstowego. Ofiarami incydentu padły serwisy takie jak Pudelek.tv (a także Pudelek.pl):

Cyberdefence24.pl:

czy Eska.pl:

Wyszukiwanie w Google pokazuje, że podobnych wydarzeń były setki, a wszystkie miały miejsce w ciągu ostatnich 24 godzin. Tę zagadkę trzeba było koniecznie rozwiązać.

Krok po kroku

Mimo wnikliwego przyglądania się ofiarom trudno było ustalić źródło incydentu. Czasem wpis pojawiał się w formie tekstowej, czasem w kodzie HTML takim jak np.:

<div id="jsseunrwnoeo" style="display: none;">
<div class="simple_mutex" id="ocfipreoqyfb" style="display: none;">mutex/ocfipreoqyfb/mutex</div>
</div>

Tekst pojawiał się na końcu pól tekstowych wysyłanych do internetu przez użytkownika. Za atak mogła zatem opowiadać oszalała wtyczka do jednej z przeglądarek. Przełomem okazało się odkrycie wnikliwych kolegów z CERT.PL, którzy natrafili na fragment kodu zawierający następujący ciąg:

<div class="simple_mutex" id="ocfipreoqyfb" origin="safe_url_2" style="display: none;">

Wyszukiwanie ciągu „safe_url_2” doprowadziło naszych Anonimowych Analityków do witryny:

https://www.reasoncoresecurity.com/safe_url_2.exe-8dfd006db611eadbc01244741fa99ab3a25878eb.aspx

a wyszukiwanie firmy Vondos Media GmbH do strony wtyczki do Firefoksa Browser-Security. Wtyczka ta została wczoraj zaktualizowana, zatem została głównym podejrzanym i celem dalszej analizy.

Feralna wtyczka

Wtyczka Browser-Security okazała się być oprogramowaniem typu adware, czyli wstrzykującym reklamy na strony oglądane przez użytkownika. Ktoś jednak w aktualizacji jej wersji popełnił błąd i wtyczka zaczęła modyfikować pola tekstowe wysyłane na serwer przez przeglądarkę. Na dokładkę błąd był tak przypadkowo dziwny, że wstrzykiwany kod objawiał się właśnie obserwowanymi napisami w artykułach, aukcjach czy wpisach na forach. Fragment kodu wtyczki wygląda następująco:

var checkContent = 'mutex'+'/'+key+'/'+'mutex';
 docMutexDiv.textContent = checkContent;
 docMutexDiv.setAttribute('origin', localVars.appName);
 docMutexDiv.style.display = 'none';
 mWrapper.appendChild(docMutexDiv);

Skąd złośliwa wtyczka brała się na komputerach ofiar, w tym redaktorów wielu polskich portali? Podejrzewamy, że była instalowana wraz z innym, popularnym w Polsce oprogramowaniem, jeszcze w swojej wersji nie powodującej takich skutków ubocznych. Na razie głównym kandydatem na winowajcę jest K-Lite Codec Pack. Wtyczka przez wiele miesięcy „niewinnie” wyświetlała swoje reklamy, by wczoraj zostać zaktualizowana i namieszać w sieci.

Ofiarom infekcji proponujemy usunięcie feralnej wtyczki i większą uwagę w trakcie instalowania darmowego oprogramowania. A sami musimy przyznać, że było to jedno z ciekawszych śledztw w historii naszego serwisu.

Powrót

Komentarze

  • 2017.09.28 22:53 Rev

    Osoby, które zaobserwowały efekt doklejania magicznego fragmentu do swoich wypowiedzi prosimy o potwierdzenie:
    – czy faktycznie mają zainstalowany K-Lite Codec Pack (w jakiej wersji oraz kiedy został zainstalowany),
    – czy mają w Dodaj/Usuń Programy albo dodatkach do przeglądarki „Browser Security” (oraz jakiej przeglądarki używają).

    niebardzo-Anonimowi Analitycy z CERT.PL ;)

    Odpowiedz
    • 2017.09.28 23:54 Bartosz

      Mam najnowszego K-Lite (aktualizuje zawsze do najnowszej wersji) i nigdy nie dostałem takiego adware’u na żaden z moich komputerów. :)

      Odpowiedz
    • 2017.09.29 00:57 Bart

      Problem tez wystepuje na mac os X yosemite.

      Odpowiedz
      • 2017.09.29 14:53 Rev

        Oczywiście chodziło mi o wysyłane przez Was wypowiedzi, a nie to, że widzicie je w internecie (bo widzą to wszyscy).

        Odpowiedz
  • 2017.09.28 23:07 mutex/ocfipreoqyfb/mutex

    mutex/ocfipreoqyfb/mutex

    Odpowiedz
  • 2017.09.28 23:19 Hau Hau

    „jedno z ciekawszych śledztw w historii naszego serwisu”
    .
    Ciekawsze śledztwo to będzie jak pomożecie drapnąć popaprańca Thomasa;)

    Odpowiedz
  • 2017.09.29 00:46 Mix

    Nie żeby jakaś teoria spiskowa ale czemu takie kwiatki pojawiają się na popularnych programach na windowsa które nie są po drodze w tej chwili tej firmie?

    Odpowiedz
  • 2017.09.29 07:43 dzienciou

    Zauważyłem to na Firefox Focus w wersji na Android-a.

    Odpowiedz
  • 2017.09.29 09:02 Tomek

    Ten słowokluczowy „feature” nie radzi sobie chyba z kodem pisanym od prawej do lewej i następują powtórzenia, ale to tylko hipoteza bo przecież internet jest od lewa do prawa:

    Może to znak żebyśmy przestawili się na pisanie od prawej do lewej :)
    Adres strony do znalezienie w internecie:

    Na miejscu tego który napisał ocficośtam wybrałbym np. znacznik yogi.bear albo gcc.cpp.h – byłoby trudniej szukać.

    اللهم صل علی محمد و آل محمد و عجل فرجهمmutex/ocfipreoqyfb/mutexmutex/ocfipreoqyfb/mutexmutex/ocfipreoqyfb/mutexmutex/ocfipreoqyfb/mutexmutex/ocfipreoqyfb/mutexmutex/ocfipreoqyfb/mutexmutex/ocfipreoqyfb/mutexmutex/ocfipreoqyfb/mutexmutex/ocfipreoqyfb/mutexmutex/ocfipreoqyfb/mutexتشییع شهدای مدافع حرم در مشهد مقدس تشییع شهدای مدافع حرم در مشهد مقدس تشییع شهدای مدافع حرم در مشهد مقدس تشییع شهدای مدافع حرم در مشهد مقدس تشییع شهدای مدافع حرم در مشهد مقدس تشییع شهدای مدافع حرم در مشهد مقدس تشییع شهدای مدافع حرم در مشهد مقدس تشییع شهدای مدافع حرم در مشهد مقدس تشییع شهدای مدافع …

    Odpowiedz
  • 2017.09.29 09:24 Janusz

    Używam Windows XP black edition, żadne wirusy mi nie straszne.

    mutex/ocfipreoqyfb/mutex

    Odpowiedz
  • 2017.09.29 09:31 Tomek

    A mnie ciekawi podejście ontologiczne, dlaczego zawsze jest ocfi… a nie jakaś inna nazwa?
    Doszedłem, że kod zacytowany przez niebezpiecznik (bo nie będę sobie instalował tych browser-szmauzer cudów, istniał już 7 stycznia 2017 roku: https://pastebin.com/Y9TPNA3a

    createRandomElementId : function(salt){
    var result = 'i’;
    var key = parseInt(this.clientId);
    key = key + 'x’ + key;
    for( var i = 0; i < key.length; i++){
    var x = parseInt(key[i]);
    if( i < salt.length ){
    var charc = salt[i];
    x += charc.charCodeAt(0) % 25;
    }
    if( x < 25 ){
    charc = String.fromCharCode(97+x);
    result += charc;
    }
    }
    return result;

    Odpowiedz
    • 2017.09.29 13:53 Dariusz

      Co to daje ten listing?

      Odpowiedz
  • 2017.09.29 09:47 Tomek

    Doszedłem do malwareu z 20 lutego 2k17 zawierającego napis z komentarza „heuristic approach” – z kodu pastedbin podanego przeze mnie wyżej, to jakiś egzek – pewnie pod firefoxa.

    Może da sie dojść do pastedbin żeby się dowiedzieć w jakich okolicznościach ktoś tam wkleił ten „malwr.com -1” – może twórca podzielił się kodem z kolegami tuż przed releasem :).

    https://www.hybrid-analysis.com/sample/8fe3d46a39fefd979fc792000d3109b2033b43dfa45e93af3ac5163883bf4899?environmentId=100

    Ja to raczej odradzam korzystanie z firefoxa, jeszcze nie tak dawno nie dało się tego cuda zaktualizować o ile nie uruchomiłeś jako admin, żenadny błąd.

    Ten mój wpis o pisaniu od prawej do lewej można pominąć :), zrehab i litowałem się.

    Odpowiedz
    • 2017.09.29 12:34 japiernicze

      2k17???? 2017 pisze się trzy razy wolniej???
      no ale grunt to być „orygynalny”…

      Odpowiedz
  • 2017.09.29 10:27 Jnczesko

    Bzdury jakieś, nic takiego nie miało miejsca, wszystko działa normalnie i nic się nigdzie nie dokleja.
    mutex/ocfipreoqyfb/mutex

    Odpowiedz
  • 2017.09.29 11:38 Voe

    U mnie nie ma tego problemu :)

    mutex/ocfipreoqyfb/mutex

    Odpowiedz
  • 2017.09.29 12:30 e X t 7 3

    ten wpis mnie 'rozczulił’ … „i większą uwagę w trakcie instalowania darmowego oprogramowania.” Nie no w odpłatnych aplikacjach się to na pewno nie zdarzy ;) Tu podstawowy problem to brak analizy kodu w tym wynikowe = sumy przez dostawców oprogramowania. Tu jednak środowisko Windows słynie z 'bezpieczeństwa i właściwego podejścia do tego tematu’ ;)

    Odpowiedz
  • 2017.09.29 12:48 BBGreg

    Parę dni temu instalowałem właśnie te kodeki i podczas przechodzenia instalacji była zakładka Browse Security a zatwierdzenie było po niemiecku.Jak ktoś z automatu kliknął to to zatwierdził.Na szczęście jestem przezorny i nie klikam z automatu .Co raz częściej dodają jakieś programy podczas instalacji.

    Odpowiedz
    • 2017.10.08 08:52 Krzysiu

      Skąd miałeś instalator? W moim nie było :)

      Odpowiedz
  • 2017.09.29 14:34 Rafal łoniak

    Ja napewno mam czystego kompa bo avast na zielono sie swieci

    mutex/ocfipreoqyfb/mutex

    Odpowiedz
  • 2017.09.29 14:40 abc

    Najnowsza wersja K-lite i firefoxa i nie ma problemu u mnie

    Odpowiedz
  • 2017.09.29 15:07 Mar.

    A ja to mam.
    Ktoś podpowie co z tym zrobić?
    Moja wiedza na temat kompa kończy się na włączeniu…

    Odpowiedz
  • 2017.09.29 19:01 hymkun

    wirusy srusy.. co wy łopowiadacie?!
    mutex/ocfipreoqyfb/mutex

    Odpowiedz
  • 2017.09.29 22:07 zyga

    ja jestem czysty
    xetum/bfyqoerpifco/xetum

    Odpowiedz
  • 2017.09.30 21:49 Przemko

    K-Lite Codec Pack – sooo 2000s.

    Odpowiedz
  • 2017.10.01 09:03 Adam

    K-Lite Codec Pack in 2017 XDD

    Odpowiedz
  • 2017.10.01 17:55 rpdshr

    Czy winowajcą jest jakaś określona wersja K-Lite? Wszystkie? Czy instalacja tego śmiecia działa się w sposób kontrolowany (ktoś czegoś nie odznaczył przy instalacji), czy też instalowało się to to niezależnie od woli użytkownika? To dosyć ważne kwestie Droga Redkacjo, czyż nie? Warto byłoby rozwiać takie wątpliwości…

    Odpowiedz
    • 2017.10.01 18:49 Adam

      Nie wiemy. Wtyczkę można znaleźć jako normalnie zainstalowaną aplikację.

      Odpowiedz
      • 2017.10.01 20:50 rpdshr

        Czyli nie tyle złośnik-złośnik, co rasowy adware, instalowany na wolę, bądź przez nieuwagę użyszkodnika. A jak zwie się plik wykonywalny – tj. czego szukać na takim komputerze? Zakładając oczywiście, że spojrzenie w listę zainstalowanych dodatków do firefoxa nie zwraca niczego podejrzanego.

        Odpowiedz
      • 2017.10.08 08:51 Krzysiu

        K-Lite nie jest wtyczką, nie jest aplikacją. To de facto instalator dla rzeczy związanych z wideo – odtwarzacze, kodeki DS i VFW itd. Co prawda proponowało reklamy przez jakiś czas (http://i.imgur.com/qRdF8wf.png), ale jeśli sama propozycja czyni z czegoś adware, to jest nim także Flash i Java. W dodatku K-Lite nie manipulował i reklamy były opt-in, nie opt-out. Autor o nich wyraźnie informował przed instalacją. Jeśli ktoś sobie zainstalował przy tym reklamy, to nie powinien mieć dostępu do firmowego komputera i tyle. To jak oskarżyć twórcę rf, że niektórzy sobie wpiszą rm -rf, potwierdzą enterem, potwierdzą drugi raz i potem się im coś stanie.

        Korzystam z K-Lite od wielu lat. Jeśli ktoś pracuje przy wideo, nawet amatorsko i rzadko, to jest to bardzo wygodne – zamiast szukać aktualizacji dziesiątek składników (dla mnie wszystko w wersjach 86 i 64 oraz ds i vfw, jeśli dotyczy: mpc-hc, lav, ffdshow, x264, x265, mediainfo, icaros ph, icaros th, vsfilter), dostajemy wszystko w paczce. Nie każdy używa komputera, żeby sobie puścić film i tyle. Też mogę napisać „kto instaluje to pojedynczo w 2017 roku”, a łącznie z kombinacjami to mamy z 30 rzeczy do ściągnięcia.

        Odpowiedz
  • 2017.10.01 23:52 nice

    >2017
    >K-Lite
    SERIO?
    https://github.com/Nevcairiel/LAVFilters/releases
    Nie dziękujcie

    Odpowiedz
    • 2017.10.02 19:39 Przemko

      VLC, nie dziękuj.

      Odpowiedz
      • 2017.10.07 21:51 nice

        Nie jestem fanem VLC, dziekuję, postoję

        Odpowiedz
  • 2017.10.03 22:38 markac

    Mam aktualne oprogramowanie antywirusowe, firewalla i oryginalnego Windowsa.
    Jak ktoś jest Januszem internetu, to niestety… :-)

    mutex/ocfipreoqyfb/mutex

    Odpowiedz
  • 2017.10.16 18:58 pajonk

    mam makbuczka najnowszego w kolorze różowym. w japkowym rezerwacie nie ma wirusów bo sam jobs mój idol zabronił ich pisać
    mutex/ocfipreoqyfb/mutex

    Odpowiedz

Zostaw odpowiedź do rpdshr

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Tajemnicze wpisy z internetu, czyli skąd bierze się mutex/ocfipreoqyfb/mutex

Komentarze