SafeGroup

Na blogu badaczy z kalifornijskiej firmy Palo Alto Networks ukazała się wczoraj informacja o zagrożeniu zwanym PWOBot i którego działalność notowana jest już od 2013...niby nic nowego więc, ale informacja jest związana z masowym wysypem szkodnika na dodatek jeszcze notowanego na polskich stronach narodowych instytucji badawczych, firm IT, przewozowych i sklepów wysyłkowych.
Dodatkowego smaczku dodaje sprawie fakt, że źródło rozprzestrzeniania się szkodnika związane jest z polskim serwisem Chomikuj.pl....poniżej lista przykładowych adresów oraz lista najczęstszych plików (głównie exe) powiązanych z instalowaniem PWOBOta

Cytat:s6216.chomikuj[.]pl/File.aspx?e=Pdd9AAxFcKmWlkqPtbpUrzfDq5_SUJBOz
s6102.chomikuj[.]pl/File.aspx?e=Hc4mp1AqJcyitgKbZvYM4th0XwQiVsQDW
s8512.chomikuj[.]pl/File.aspx?e=h6v10uIP1Z1mX2szQLTMUIoAmU3RcW5tv
s6429.chomikuj[.]pl/File.aspx?e=LyhX9kLrkmkrrRDIf6vq7Vs8vFNhqHONt
s5983.chomikuj[.]pl/File.aspx?e=b5Xyy93_GHxrgApU8YJXJlOUXWxjXgW2w
s6539.chomikuj[.]pl/File.aspx?e=EH9Rj5SLl8fFxGU-I0VZ3FdOGBKSSUQhl
s6701.chomikuj[.]pl/File.aspx?e=tx0a8KUhx57K8u_LPZDAH18ib-ehvFlZl
s6539.chomikuj[.]pl/File.aspx?e=EH9Rj5SLl8fFxGU-I0VZ3ISlGKLuMnr9H
s6539.chomikuj[.]pl/File.aspx?e=EH9Rj5SLl8fFxGU-I0VZ3OFFAuDc0M9m0
s6179.chomikuj[.]pl/File.aspx?e=Want-FTh0vz6www2xalnT1Nk6O_Wc6huR
s6424.chomikuj[.]pl/File.aspx?e=o_4Gk0x3F9FWxSDo4JWYuvGXDCsbytZMY

Cytat:

• favicon.png
  
• Quick PDF to Word 3.0.exe
  
• XoristDecryptor 2.3.19.0 full ver.exe
  
• Easy Barcode Creator 2.2.6.exe
  
• Kingston Format Utility 1.0.3.0.exe
  
• uCertify 1Z0-146 Oracle Database 8.05.05 Premium.exe
  
• Six Sigma Toolbox 1.0.122.exe
  
• Fizjologia sportu. Krtkie wykady.exe [Physiology of sports. Short lectures.exe]
  

Sprawę na naszym gruncie opisuje Zaufana Trzecia Strona, która samodzielnie próbuje też zanalizować problem w artykule "Ponad 260 000 plików EXE w serwisie Chomikuj.pl zainfekowanych koniem trojańskim"

Cytat:Złośliwy program zaczyna od poszukiwań swojej wcześniejszej wersji i jeśli taką znajdzie to ją usuwa. Następnie tworzy na dysku swoją kopię pod nazwą pwo[numer wersji] i dopisuje jej uruchomienie do odpowiedniego klucza w rejestrze. Na ślady wpisów w rejestrach odpowiadających tej definicji natrafiliśmy np. na forum Elektrody w czerwcu 2014, serwisie wklej.org w lutym 2014 czy na forum FixitPC w styczniu 2014. Sam program posiada budowę modułową i dysponuje następującymi możliwościami:

• pobieranie i uruchamianie wskazanych plików wykonywalnych
  
• uruchamianie serwera WWW na zainfekowanym komputerze
  
• zapisywanie naciskanych klawiszy
  
• kopanie BTC za pomocą procesora lub karty graficznej
  
• wykonywanie kodu Pythona
  
• odpytanie wskazanego adresu URL
  

Program posiada także dwa pliki konfiguracyjne. Jeden z nich wskazuje podstawowe parametry działania takie jak np. nazwy plików EXE pod którymi uruchomione są poszczególne moduły, a drugi informacje o serwerach C&C. Serwery C&C znajdują się w sieci Tor – złośliwy kod zawiera także odpowiednie pliki obsługujące te połączenia.
(...)
Zaczynając naszą analizę od kilku nazw plików zawierających złośliwy kod szybko zlokalizowaliśmy konta w serwisie Chomikuj.pl, które zawierały próbki konia trojańskiego dołączone do przeróżnych programów użytkowych. Zauważyliśmy także pewne cechy wspólne tych kont, które pozwoliły na zlokalizowanie ich większej liczby. Jak do tej pory namierzyliśmy 7 kont które zawierają praktycznie wyłącznie pliki EXE zainfekowane opisywanym koniem trojańskim. Te konta to Kimaoson, KuroMan29, KarolKrol, OranzowyBol, be36ber, soneaakarin oraz Paolapopo. W sumie te 7 kont zawiera 262 314 plików o łącznej objętości dokładnie 99,99 GB. Przypadek czy precyzyjnie zaplanowany projekt?

Artykuł źródłowy Palo Alto Networks

[Aby zobaczyć linki, zarejestruj się tutaj]

Artykuł na ZTS

[Aby zobaczyć linki, zarejestruj się tutaj]