A new virus is currently being released on Facebook. The malware, the friendly website was promoted for analysis www.safer-internet.gr.. O νέος ιός είναι κρυπτογραφημένος για να δυσκολέψει την ανάλυση και να αποφύγει τον εντοπισμό από τα antivirus, αλλά η τεχνική ομάδα του iGuRu.gr κατάφερε να "δει" την λειτουργία του κακόβουλου προγράμματος.
Let's take the things from the beginning.
The virus comes in a .zip archive όπως φαίνεται στην παρακάτω φωτογραφία - κλικ για μεγέθυνση. Το όνομα του μπορεί να είναι τυχαίο και να έρχεται με διαφορετικό κάθε φορά. Ο ιός για να τρέξει θα πρέπει να υπάρχει εγκατεστημένη η java στον υπολογιστή σας,
Το συγκεκριμένο αρχείο που εξετάσαμε ονομάζεται Form_0910.zip.To zip περιέχει ένα εκτελέσιμο αρχείο .jar (αρχείο Java) το οποίο δεν το αναγνωρίζουν τα antivirus (το σκανάραμε με δύο διαφορετικά και δεν "χτύπησε"). Το αρχείο jar περιέχει τα ακόλουθα αρχεία
Folder .settings
META-INF file
.classpath
.project
and the malicious file (encrypted) DOYUMGEOGFVKNBO.class
If someone runs the .jar file, the malware will create a folder in C:\ named temp. As soon as it creates the folder (it's not that fast) it starts downloading a large Windows executable (.exe) file. (We ran the jar in one Interactive machine with Windows 7).
In our case the file name was QNIDSUE.VZZ, but that does not matter as the name was random (the second time we ran it it was called VEKDGH.CXV). The file size impressed us as it was 3.8MB, big enough for a malicious program.
The malicious exe was recognized by ESET as Win32 / Injector.AZFL trojan, a fairly new malware for ESET that first recorded it on March 7, 2014.
Detection created | 2014-03-07 |
The exe contains contains many subprograms (it is a kind of wrapper), so it can perform many functions. It can send emails, connect with ftps, it contains a lot points with usernames and passwords, which shows us that it can connect to remote computers and download other files.
One of his most dangerous features is that he can read the cookies of the victim's computer. This means that it can steal all the codes stored on the computer.
But it does not end here.
There is another file, pthreads.dll. This .dll is used to see what Windows is running on. Windows Task Manager runs the same dll. This can serve the malicious user for different things.
1. see what the victim's computer is running and adjust the attack accordingly, or
2. to hide the malicious program from Windows processes.
If you've run jar, look for a temp folder on your Windows disk. Delete the folder and scan your entire system with a trusted and up-to-date antivirus. After scanned, change the passwords on webpages and services you use.
Προσοχή σε αυτόν τον ιό καθώς είναι πολύ επιθετικός και σκοπεύει στην κλοπή των διαπιστευτηρίων σας. O ιός αν και έρχεται σε αρχείο που μπορεί να εκτελεστεί σε όλες της πλατφόρμες, προσβάλει machineματα με Windows.
Thank the friendly website www.safer-internet.gr. για την άμεση ενημέρωση και τον τεχνικό και φίλο μας Paul Delia, για την "εξερεύνηση" του ιού.
Ο control that we did with her VirusTotal is here. (last) and Real here
And analysis by Malwr
* We also thank our friends from SecNews for further examination of the virus. The opinion of our friends from SecNews is that the virus writer just does not know scheduling.