Исследование плагина Вконтакте WebPlugins

akok

Команда форума
Администратор
Сообщения
16,365
Реакции
13,006
Баллы
2,203
Amator, похоже анализ застопорился на уровне легитимной подписи.
 

Amator

Активный пользователь
Сообщения
209
Реакции
79
Баллы
418
Ндяяя. Не радует меня работа всех этих центров.
Если не секрет, как нашли этот гугл кеш? Вернее, по какому критерию нашлась именно эта страница?
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,072
Реакции
8,130
Баллы
793
доверие не внушает, просто удивился результату работу КСН
Так он же формируется на отзывах-отсылах, а их мало пока.

Только у чатеров, а они вряд ли будут палить своё.

Антивирусы особо не возникают, видимо потому, что изначальный установщик подписан.
После установки в %AppData% дропаются файлы WebPlugins.exe, WebPluginsLauncher.exe

Накрыты upx'ом, как и начальный установщик. При запуске, видимо, качают и ставят плагин для соотв. браузера.
Качают отсюда http://download.web-plugins.ru/plugins/

Если скачать, например, плагин для файрфокса и посмотреть содержимое, то там из интересного есть файл good.txt (видимо со списком id) и файл injector.js

Детально не смотрел, но видимо в нем хранится рассылаемая картинка в Base64, код рассылающий её по друзьям, ну и код врезающий доп. рекламу на при работе с сайтами
vk.com, vkontakte.ru, yandex.ru, mail.ru, youtube.com.
 

Amator

Активный пользователь
Сообщения
209
Реакции
79
Баллы
418
Дроп в AppData я уже видел(спасибо akok'у за рассказ о BSA). У меня ставился плагин для оперы, но там такого файлика я на нашел.
 

akok

Команда форума
Администратор
Сообщения
16,365
Реакции
13,006
Баллы
2,203
SNS-amigo, там все уткнулось в легитимную ЭЦП.... вот почему я выключил это в КИС
 

Amator

Активный пользователь
Сообщения
209
Реакции
79
Баллы
418
Мне интересно - сработает ли вариант прикрытия этого дела через абузу в хостинг, который предоставил дедик под этот сайт? Он(хостинг) вроде бы не абузоустойчивый, расположен в Германии.
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,072
Реакции
8,130
Баллы
793
SNS-amigo, там все уткнулось в легитимную ЭЦП.... вот почему я выключил это в КИС
Я понял, потому и написал про "доверие" в первом посте и привёл кусочек диалога чатеров: """видимо потому, что изначальный установщик подписан""".

Подписан - одно, а чем и когда - другое. ;)

Касперычам надо хотя бы дату подписи идентифицировать. И все те, что подписаны ранее появления Интернета, ЭЦП, центров выдачи и пр., уничтожать на лету. А то сами лошаются, а потом на юзеров плюются. :D

Добавлено через 4 минуты 50 секунд
сработает ли вариант прикрытия этого дела через абузу в хостинг, который предоставил дедик под этот сайт?
Для этого надо хотя бы сделать скриншоты, а они все на русском языке и на ломаном сленге. И хотя русскоязычных в Германии как минимум 3 миллиона, вряд ли немцы будут разбираться в этом "русском" вопросе. Но, если есть желание...
 

gjf

Ассоциация VN
Разработчик
Сообщения
646
Реакции
643
Баллы
478
Ну не знаю, что Вам сказать. Исходный файл setupWP.exe подписан ставшей печально известной COMODO Code Signing CA 2:
Код:
CN = Chernyshov Victor
O = Chernyshov Victor
STREET = Stancionnaya str, 3-2, app. 31
L = Mytischi,
S = Moscow Region
PostalCode = 000000
C = RU
Файл упакован UPX, имеет размер 400*392 байт
Код:
CRC32	474d1019
MD5	4028128db46e8f63a3fdd4df8d283a4e
SHA-1	9ece06e3afaa71c0a3905ec96cccd14652f8505b
После запуска пихает в %appdata% два файла, также упакованные UPX:
Код:
WebPlugins.exe
239*488 байт
CRC32	fd243fe3
MD5	ef5fdd65d44e99b0fd8d0efe62893ced
SHA-1	c37704b8b887fb593602641e017b14dc43a5344f
Код:
WebPluginsLauncher.exe
67*456 байт
CRC32	e0605bd8
MD5	16ca4708932d4d7c5a7ea7cebd9d6047
SHA-1	503d5b30e5d3308ac4e061d689a0002e7a86f55f
Файлы написаны на Microsoft Visual C++ 8. Подписаны той же подписью.

WebPluginsLauncher.exe, похоже, является инсталлятором: связывается с офсайтом на наличие обновлений:
Код:
Got user name information
Internet connection: Connects to "217.172.177.31" on port 80.
Internet connection: Connects to "download.web-plugins.ru" on port 80.
Internet connection: Connects to "ref.web-plugins.ru" on port 80.
создаёт рабочее тело:
Код:
Created process: D:\WebPlugins.exe,"D:\WebPlugins.exe" ,D:\
Defined file type created: C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\IOOUVCSJ\WebPlugins[1].exe
и аддон на браузер по умолчанию:
Код:
Created file in defined folder: C:\Documents and Settings\Администратор\Application Data\Mozilla\Firefox\Profiles\z65hwjfj.Fixxxer\extensions\{91cbe447-0cab-4798-b096-45e5e33ac229}.xpi
webplugins.exe просто создаёт расширения:
Код:
CreateDirectory(C:\DOCUME~1\9335~1\LOCALS~1\Temp\WebPlugins) [d:\webplugins.exe]
RegCreateKeyEx(HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders,(null)) [d:\webplugins.exe]
RegCreateKeyEx(HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders,(null)) [d:\webplugins.exe]
RegSetValueEx(HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData, REG_SZ: C:\Documents and Settings\Администратор\Application Data) [d:\webplugins.exe]
CreateFile(C:\Documents and Settings\Администратор\Application Data\Mozilla\Firefox\Profiles\z65hwjfj.Fixxxer\extensions\{91cbe447-0cab-4798-b096-45e5e33ac229}.xpi) [d:\webplugins.exe]
RegSetValueEx(HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Local AppData, REG_SZ: C:\Documents and Settings\Администратор\Local Settings\Application Data) [d:\webplugins.exe]
Основной функционал, видимо, находится в самом аддоне. Разбирать жабаскрипты уже не стал. Кому интересно - ковыряйте архив.

Дык а в чём проблема? Читаем лицензионное соглашение:
8. Реклама. "WebPlugins" может изменять рекламные блоки сайта vkontakte.ru при его
использовании. Способ, режим и продолжительность изменения рекламы на данном сайте
в Программном обеспечении может меняться.
При использовании "WebPlugins" Вы соглашаетесь с тем, что
компания Web Plugins не несет ответственность ни за какие потери или ущерб, связанные
с деятельностью сторонних рекламодателей.
 

akok

Команда форума
Администратор
Сообщения
16,365
Реакции
13,006
Баллы
2,203
Вывод - читайте лицензионные соглашения или терпите назойливую рекламу и спам :)
 

Amator

Активный пользователь
Сообщения
209
Реакции
79
Баллы
418
gjf, вы все так проанализировали пройдя курс анализа вредоносного ПО? Выходит что номер "дохлый" и пользователь сам виноват, что разрешил такой программке добавлять рекламу и т.п. Хитро сделано.
Severnyj, ссылка на карты мертвая и я не могу уловить смысл сообщения.

Добавлено через 4 минуты 59 секунд
Для этого надо хотя бы сделать скриншоты, а они все на русском языке и на ломаном сленге.
Постараюсь с ними пообщаться на английском)
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,401
Реакции
8,751
Баллы
743
Да не, не мертвая.

Там адрес из цифровой подписи, указанной gjf.

Код:
CN = Chernyshov Victor
O = Chernyshov Victor
STREET = Stancionnaya str, 3-2, app. 31
L = Mytischi,
S = Moscow Region
PostalCode = 000000
C = RU
 

gjf

Ассоциация VN
Разработчик
Сообщения
646
Реакции
643
Баллы
478
Amator, да, именно благодаря тому, что я прошёл курс анализа вредоносного ПО :)

Номер не дохлый - про спам в соглашении ни слова.
 

Amator

Активный пользователь
Сообщения
209
Реакции
79
Баллы
418
Хм. Предыдущий раз открыл - 404, сейчас в норме. Можеш у кого то одолжить биту и пойти прогулятся?:D
Отсылки на ваши исследования можно в письме отметить(в частности SNS-Amigo, как ни как, а авторитетный производитель ПО:))?
 

akok

Команда форума
Администратор
Сообщения
16,365
Реакции
13,006
Баллы
2,203

Amator

Активный пользователь
Сообщения
209
Реакции
79
Баллы
418
Я так тоже хасю)) (в смысле уметь анализировать)
Так что насчет отсылок в письме? Я уже составил.

Добавлено через 1 час 2 минуты 49 секунд
Кто то "попользовался" всем нашим трудом http://habrahabr.ru/blogs/infosecurity/131181/ (( я так хотел получить себе аккаунт через песочницу, а то ридонли не в кайф юзать. Как всегда в прочем, одни ищут другие тырят. И скриншоты мои.
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
16,365
Реакции
13,006
Баллы
2,203
Amator, посмотри на имя автора.
 

gjf

Ассоциация VN
Разработчик
Сообщения
646
Реакции
643
Баллы
478
C подобной дрянью надо бороться методом шумихи. Хабр шумиху поднимать может - к сожалению, SafeZone пока не обладает такой популярностью. Поэтому там и опубликован краткий анализ. С ссылкой на этот ресурс, кстати.

Очень хочется надеяться что это предотвратит новые заражения и создаст проблемы "умельцам".

Кстати, скрины Ваши откритиковали в первом комменте :)
 

Amator

Активный пользователь
Сообщения
209
Реакции
79
Баллы
418
Упс) я с обиды не дочитал и закрыл.[off] Коль на то пошло - нет ли у кого картинки "выполненной в духе супрематизма"?)[/off]
Не нравится - пусть сами делают))) я ашампу снепом сделал в джипеге, конвертить лень. А какой формат тогда лучше?
ЗЫ Я уже написал абузу в хостинг, ждите новые материалы. И еще - можете дополнить, что администрация(после моего сообщения:)) закрыла все ссылки и редиректы на адреса с этим "плагином"
 
Последнее редактирование:

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,072
Реакции
8,130
Баллы
793
Amator, не переживайте по поводу комментов. Это завистники — позавидовали, что НЕ ОНИ ПЕРВЫЕ выявили и описали. ;)

Ваш труд ненапрасен, а порыв прекрасен.

По этому поводу вспомним слова Классика А.С. (т.е. Пушкина):

Пока свободою горим,
...Пока сердца для чести живы,
......Мой друг, отчизне посвятим
.........Души прекрасные порывы!
 
Сверху Снизу