gbppsv.exe

Πρόσφατα έλαβα ένα mail από ένα λογαριασμό από την contact list μου. Φαινομενικά το μήνυμα ήταν ασφαλές προερχόταν από κάποιο γνωστό μου. Στην πραγματικότητα όμως ήταν ένα spam mail το οποίο με προέτρεπε να κατεβάσω ένα *.exe το οποίο θα εγκαθιστούσε ένα κακόβουλο πρόγραμμα αν το έτρεχα.

Το mail έφτασε σε μένα με τον εξής τρόπο:
Αρχικά η φίλη από την οποία το έλαβα, είχε πάρει το ίδιο μήνυμα από κάποιο δικό της γνωστό. Κατέβασε και έτρεξε το πρόγραμμα το οποίο εγκαταστάθηκε στον υπολογιστή της. Έπειτα έτρεξε τον messenger και προσπάθησε να κάνει login κανονικά με τον windows live λογαριασμό της. Η προσπάθεια ήταν ανεπιτυχής, ο κωδικός όμως του λογαριασμού της είχε αποκαλυφθεί και χρησιμοποιήθηκε για την εξάπλωση του προγράμματος στέλνοντας το ίδιο mail στην contact list της φίλης μου (όπου υπήρχε και το δικό μου e-mail). Επίσης χρησιμοποιήθηκε για αυτόματη αποστολή spam μηνυμάτων στο msn.

Εδώ σας παρουσιάζω το περιεχόμενο του mail:
Ólha as fotos estao tudo ae…
pelo amor de deus nao mostra pra ninguem
so to passando pra voce vou confiar…
vejas as fotos.

Το οποίο θα πει με την αυτόματη μετάφραση από Πορτογαλικά σε Ελληνικά:
Ólha οι φωτογραφίες όλων των ε…
την αγάπη του Θεού, μην πάρετε κανείς δεν δείχνει
ώστε να περάσουν, θα αναθέσει σε σας…
δείτε τις φωτογραφίες.

Όχι οτι κατάλαβα αλλά δεν έχει σημασία. Στο τέλος του μηνύματος υπήρχε ένα link, το οποίο είναι και αυτό που μας ενδιαφέρει… Δεν θα δώσω τη διεύθυνση για ευνόητους λόγους… Πατώντας το ο browser με ειδοποιεί πως πάω να κατεβάσω ένα αρχείο με όνομα fotos.exe το οποίο και κατεβάζω για να συνεχίσω αυτό το άρθρο.

Το αρχείο έχει μικρό μέγεθος και είναι προφανώς ένας downloader για το κυρίως πρόγραμμα. Δε θα προχωρήσω σε reverse engineering ανάλυση, γιατί ούτε είμαι ο κατάλληλος ούτε είναι σκοπός του άρθρου τέτοιου είδους εμβάθυνση. Θα ήθελα όμως να σημειώσω πως το exe είναι packed με μια από τις εκδώσεις του γνωστού packer aspack. Οι packers είναι νόμιμα προγράμματα τα οποία κατά βάση συμπιέζουν εκτελέσιμα αρχεία τα οποία μετά τη συμπίεση συνεχίζουν να είναι εκτελέσιμα και να λειτουργούν κανονικά. Η συχνή χρήση τους σε κακόβουλα προγράμματα οφείλεται στους παρακάτω λόγους:
-με τη συμπίεση μειώνετε προφανώς το μέγεθος του αρχείου και αυξάνεται έτσι η ταχύτητα μεταφοράς του
-δυσκολεύει ελαφρώς την reverse engineering ανάλυση
-αυξάνει ελαφρώς τις πιθανότητες το αρχείο να μην εντοπιστεί από κάποιο antivirus αφού αλλάζει το περιεχόμενο του αρχείου

Τα δύο ελαφρώς που διαβάσατε οφείλονται στο γεγονός πως μετά την εμφάνιση κάποιου packer παρουσιάζεται τις περισσότερες φορές και ο αντίστοιχος unpacker του οποίου η δουλειά είναι προφανής. Επίσης κυκλοφορούν προγράμματα τα οποία αναγνωρίζουν αν κάποιο αρχείο είναι packed, την έκδοση του packer και κάποια από αυτά προτείνουν και τον κατάλληλο unpacker. Η όλη διαδικασία έχει ενσωματωθεί σε όλα τα σοβαρά antivirus τα οποία κάνουν unpack τα πακεταρισμένα αρχεία προτού τα ελέγξουν.

Παρακολουθώντας τώρα το registry, το δίσκο και το δύκτιο με εργαλεία monitoring τρέχουμε το fotos.exe. Το αρχείο αντιγράφει των εαυτό του στο φάκελο c:\windows\system και δημιουργεί ένα κλειδί στο registry για να εκτελείται το αρχείο κατά την εκκίνηση των windows. Κατεβάζει από κάποιο ip πέντε αρχεία και τα αποθηκεύει στο φάκελο c:\Program Files\GbPluggin. Tο ip είναι βραζιλιάνικο και πιθανό να εξηγεί και τα πορτογαλικά στο mail…
Τα αρχεία έχουν τα παρακάτω ονόματα:
gbiehdst.dll
gbppsv.exe
gbplib.dll
gbppdist.dll
svchost
Το exe και κάποια από τα dll είναι επίσης packed.
Το svchost παραπέμπει στο γνωστό svchost.exe το οποίο είναι αρχείο του συστήματος των windows και χρησιμοποιείτε πολύ συχνά από malware.

Αφού κατεβούν τα αρχεία το πρόγραμμα δημιουργεί ένα ένα MSDOS.INI στο φάκελο c:\ και ένα στο φάκελο στον οποίο βρίσκεται και το ίδιο del.bat το οποίο και τρέχει στο τέλος. Το del.bat περιέχει τις εντολές:
@ECHO OFF
: INICIO
IF EXIST «(Η τοποθεσία του αρχείου)\fotos.exe» GOTO DELAPP ELSE GOTO DELBAT
: DELBAT
DEL «‘(Η τοποθεσία του αρχείου)\del.bat»
: DELAPP
DEL «(Η τοποθεσία του αρχείου)\fotos.exe»
DEL «c:\windows\system\fotos.exe»
DEL «c:\windows\sharedapp.reg»
GOTO INICIO

(για περισσότερα περί bat αρχείων διαβάστε εδώ)
Το αρχείο bat προφανώς χρησιμοποιείται για την αυτοκαταστροφή του fotos.exe, το οποίο σκοπό είχε όπως προείπα να κατεβάσει το βασικό πρόγραμμα και δεν είναι πλέον χρήσιμο. Η δυσκολία που υπάρχει το ίδιο το αρχείο που εκτελείται να διαγράψει τον εαυτό του οδηγεί στη δημιουργία αυτού του .bat το οποίο εκτελείται στο τέλος, σβήνει το fotos.exe και έπειτα τον εαυτό του.
Η προηγούμενη αντιγραφή του fotos.exe στο c:\windows\system από όπου θα εκτελούνταν κατά την εκκίνηση προφανώς θα χρησίμευε στην περίπτωση που δεν ολοκληρωνόταν το download των αρχείων και πιθανών σε αυτήν την περίπτωση να παραλειπόταν η διαδικασία του del.bat.

Αν τώρα τρέξουμε το gbppsv.exe, επιχειρεί μια εξωτερική σύνδεση με κάποιο βραζιλιάνικο ip και πάλι…

12 Μαρτίου, 2009
Κατηγορίες: malware analysis . Ετικέτες: , . Συντάκτης: sprocket . Comments: 3 Σχόλια

Gpcode.ak

Κατά την πρώτη εμφάνιση του ιού gpcocode πριν από δύο χρόνια, η Kaspersky είχε καταφέρει να τον αντιμετωπίσει και είχε προειδοποιήσει για την επικίνδυνη εξέλιξη των ιών. Φέτος τα πράγματα είναι λίγο διαφορετικά..

Ο νέος gpcode.ak είναι ένας ιός που μεταδίδεται μέσω mail, και κατά την εκτέλεσή του κρυπτογραφεί αρχεία στο δίσκο με επέκταση doc, txt, jpg και άλλα σχετικά και σβήνει τα αρχικά αρχεία. Έπειτα δημιουργεί ένα αρχείο txt σε κάθε φάκελο το οποίο περιέχει ένα κείμενο που προτρέπει το θύμα να επικοινωνήσει με κάποιο e-mail για να αποκρυπτογραφηθούν τα αρχεία του και φυσικά όχι δωρεάν.

Ο ιός χρησιμοποιεί τον αλγόριθμο κρυπτογράφησης RC4 που είναι ενσωματωμένος στα windows. Το κλειδί που χρησιμοποιείται, κρυπτογραφείται με ένα δημόσιο RSA κλειδί 1024 bit. Το ιδιωτικό κλειδί γνωρίζει προφανώς μόνο ο κατασκευαστής του gpcode (το gp του ονόματος που δόθηκε στον ιό νομίζω πως είναι εμπνευσμένο από το pgp).

Τα προβλήματα είναι τα εξής:
– Η δεύτερη έκδοση του gpcode χρησιμοποιεί κλειδί 1024 bit και όχι 660 όπως η πρώτη, που σημαίνει πως δε σπάει που να χτυπάμε τον κ… κάτω.
– Δεν έχει ατέλειες στον κώδικα κρυπτογράφησης που θα μπορούσαν να οδηγήσουν στο ιδιωτικό κλειδί.

Προσπαθώντας λοιπόν να βρει λύση η Kaspersky που ήταν και η πρώτη εταιρία που ανακοίνωσε την εμφάνιση του gpcode.ak, κάλεσε μέσα από το forum της όλους όσους ασχολούνται με το αντικείμενο και μπορούν να βοηθήσουν να επικοινωνήσουν με αυτούς ή να κάνουν post στο forum.

Το καλό της υπόθεσης είναι πως ο ιός απλά σβήνει χωρίς να κάνει ασφαλή διαγραφή των αρχικών αρχείων (κάτι που μάλλον δε θα ισχύει στην επόμενη έκδοση του ιού). Έτσι μπορεί όποιος έχει μολυνθεί να επιχειρήσει να ανακτήσει τα χαμένα του αρχεία με κάποιο ανάλογο πρόγραμμα όπως το PhotoRec που είναι και free 😉 .

Τελικά η Kaspersky δημιούργησε ένα πρόγραμμα με το όνομα stopgpcode2 με το οποίο είναι δυνατό να αποκρυπτογραφήσετε τουλάχιστον ένα μέρος των αρχείων, με την προϋπόθεση πως διαθέτετε τουλάχιστον ένα από τα κρυπτογραφημένα αρχεία στην αρχική του μορφή, το οποίο προφανώς ανακτήσατε ή είχατε κάνει backup.

Για αναλυτικότερες οδηγίες για την αντιμετώπιση του gpcode.ak διαβάστε εδώ.

4 Ιουλίου, 2008
Κατηγορίες: VX . Ετικέτες: , , , , , , . Συντάκτης: sprocket . Comments: 1 σχόλιο

Αναφορά στο «ημερολόγιο ενός hacker»

Ένα mail πριν από λίγες μέρες από ένα φίλο με οδήγησε στο παρακάτω κείμενο
Το ημερολόγιο ενός hacker
Και επειδή σίγουρα σας άρεσε σας δίνω και το link για τη συνέχεια…
Το Ημερολόγιο ενός Ηacker (μέρος 2ο)
Ελπίζω μόνο η ιστορία να μην τελειώσει εδώ. Περιμένω part3 οπωσδήποτε. Ο τύπος που τα γράφει (fubar είναι το nick που χρησιμοποιεί) έχει φοβερό χιούμορ.

Με την ευκαιρία να δώσω και μερικά link ακόμα «σοβαρού» περιεχομένου με συμβουλές για το πως να γίνετε hacker!
How To Become A Hacker
Πώς Να Γίνεις Hacker
Όπως καταλάβατε θα πρέπει οπωσδήποτε να μιλάτε 8 ξένες γλώσσες, να γνωρίζετε 13 γλώσσες προγραμματισμού, Tae Kwon Do, να ακούτε κλασική μουσική και άλλα πολλά, αφού η λίστα τελειωμό δεν έχει….
Μήπως τα παραλέμε λίγο βρε παιδιά;;
ΟΚ κι εγώ συμφωνώ πως στόχος πρέπει να είναι η γνώση και τίποτα παραπάνω, αλλά τέτοιου τύπου λίστες με συμβουλές τύπου 1, 2, 3… δε νομίζω πως είναι απαραίτητες.

Είναι πολλά τα σημεία στα κείμενα αυτά που θεωρώ αφέλειες αλλά δε θα ήθελα να επεκταθώ, γιατί θα μου χαλάσει τη διάθεση που μου έφτιαξε ο fubar 🙂

28 Ιουνίου, 2008
Κατηγορίες: Cybercult, Uncategorized . Ετικέτες: . Συντάκτης: sprocket . Comments: 1 σχόλιο

Το Spore είναι έτοιμο για pre-order..

Το Spore, το νέο παιχνίδι της Maxis που πολλοί ανυπομονούσαν να παίξουν, είναι επιτέλους έτοιμο. Πρόκειται για ένα παιχνίδι εξαιρετικά πρωτοποριακό, το οποίο κατά τη γνώμη μου θα αποτελέσει πηγή έμπνευσης για πολλά από τα παιχνίδια που θα ακολουθήσουν. Για όσους δεν το γνωρίζουν δείτε το παρακάτω trailer

για περισσότερες λεπτομέρειες δείτε αυτήν την 35λεπτη παρουσίαση.

Στη σελίδα του παιχνιδιού διατίθεται δωρεάν μια demo έκδοση του Creature Creator για να πάρετε μια γεύση και να κάνετε upload τις δημιουργίες σας στην sporepedia..

*Το Spore θα διατίθεται κανονικά το Σεπτέμβριο για PC (windows..), Mac, Nintendo DS και Mobile!

18 Ιουνίου, 2008
Κατηγορίες: Gaming . Ετικέτες: , , , . Συντάκτης: sprocket . Comments: 1 σχόλιο

Cracking WPA – ασφαλέστερη ασύρματη δικτύωση

Μετά τη δημοσίευση πολλών άρθρων, video tutorial και λοιπά για το σπάσιμο της WEP (Wired Equivalent Privacy) κρυπτογράφησης για την ασύρματη δικτύωση (βλ. cracking WEP in 10 minites), οι περισσότεροι έχουν αρχίσει να χρησιμοποιούν WPA (Wi-Fi Protected Access) ή WPA2.

Το WPA είναι σαφέστατα καλύτερο από το WEP. Στην περίπτωση του WEP το πρόβλημα βρίσκετε στον αλγόριθμο κρυπτογράφησης. Το αποτέλεσμα είναι, πως όσο μεγάλος ή δύσκολος και να είναι ο κωδικός που χρησιμοποιείτε, μπορεί να βρεθεί μετά το “πιάσιμο” ενός αριθμού πακέτων.

Με το WPA τα πράγματα είναι διαφορετικά. Τα προβλήματα του WEP έχουν διορθωθεί, που σημαίνει πως η διαδικασία για την απόκτηση του κωδικού κρυπτογράφησης είναι τελείως διαφορετική. Αρχικά πρέπει να κάνετε capture ένα full authenication handshake μεταξύ του AP και κάποιου client, που θα πει πως πρέπει να κάνετε capture τα δεδομένα την ώρα που κάποιος υπολογιστής συνδέεται σε κάποιο router κλπ. Για να το πετύχετε αυτό, μπορείτε να χρησιμοποιείτε το airodump ή το airodump-ng (ng= next generation).

Είναι δυνατόν να εξαναγκάσετε τη συγκεκριμένη διαδικασία, σε περίπτωση που οι υπολογιστές είναι ήδη συνδεδεμένοι στη συσκευή χρησιμοποιώντας το airreplay ή το airreplay-ng αντίστοιχα. Στο full handshake που κάνατε capture περιέχεται το κρυπτογραφημένο hash του κωδικού που ψάχνετε. Μετά από αυτό, δε χρειάζεται να snifαρετε άλλα πακέτα αφού δε θα βοηθήσει σε τίποτα.

Έχοντας τώρα το hash, με το aircrack ή aircrack-ng μπορείτε να επιχειρήσετε να βρείτε τον κωδικό με dictionary ή brute force attack. Όσοι κατάλαβαν τι είπα, επίσης θα κατάλαβαν πως μπορεί να χρειαστεί να περιμένετε πολύ και τελικά να μην καταφέρετε τίποτα. Και αυτό γιατί ένα password με μεγάλο αριθμό χαρακτήρων, χρειάζεται και πολύ μεγάλο χρονικό διάστημα για να βρεθεί με τη συγκεκριμένη διαδικασία.

Αυτό είχε ως αποτέλεσμα τη δημιουργία ενός άλλου εργαλείου, του cowpatty. To cowpatty είναι κάτι αντίστοιχο του aircrack, για dictionary ή brute force attack.του WPA. Η διαφορά είναι πως με το cowpatty μπορείτε να χρησιμοποιείτε precomputed hash files που είναι κάτι παρόμοιο με τα rainbow tables για τους κωδικούς χρήστη των Windows.

Για όσους δεν κατάλαβαν, τα precomputed hash files είναι αρχεία (αρκετά μεγάλου μεγέθους) τα οποία περιέχουν προϋπολογισμένα hash, για μια σειρά κωδικών. Η ουσία είναι πως με αυτά τα αρχεία μειώνεται πολύ ο χρόνος του dictionary ή brute force attack αφού ο υπολογισμός του hash για κάθε κωδικό έχει γίνει, και μένει να συγκριθεί με αυτό που έχετε κάνει capture. Μερικά από αυτά τα αρχεία που κυκλοφορούν είναι τα εξής:

7GB precomputed hash file για 1000 SSID’s και 170.000 κωδικούς από την ομάδα που δημιούργησε το cowpatty
cowf-wpa-psk-hash-tables-with-cowpatty-4.0_2006-10-19

33GB precomputed hash file και όχι μόνο..
http://umbra.shmoo.com:6969/

Κάτι τελευταίο που πρέπει να γνωρίζετε, είναι πως στο WPA, το hash προκύπτει από τον κωδικό που έχει επιλεχθεί σε συνδυασμό με το SSID. Οπότε τα hash που έχουν υπολογισθεί στα αρχεία αυτά ισχύουν για συγκεκριμένα SSID, τα οποία είναι αυτά που χρησιμοποιούνται συνήθως από προεπιλογή (πχ linksys, dlink).

Συμπερασματικά, με τη χρήση του WPA (ή WPA2 αν είναι συμβατό με τις συσκευές σας) σε συνδυασμό με ένα μεγάλου μήκους – σύνθετο κωδικό και με αλλαγμένο SSID σε κάτι μη προβλέψιμο, έχετε μια αρκετά ασφαλή ασύρματη δικτύωση. Αν όμως θέλετε να είστε απόλυτα καλυμμένοι σε αυτόν τον τομέα, απλά χρησιμοποιείστε το καλώδιο..

12 Απριλίου, 2008
Κατηγορίες: Crypto, Security . Ετικέτες: , , , . Συντάκτης: sprocket . Comments: 4 Σχόλια

Free Music for ALL

Μ’ αρέσει να κατηγορώ τον νόμο για έλλειψη προσαρμοστικότητας στις νέες συνθήκες και ίσως το χαρακτηριστικότερο παράδειγμα είναι η αδυναμία του να κατανοήσει ότι η ψηφιακή μουσική μέσω Ίντερνετ είναι ήδη παρόν (πόσο μάλλον το μέλλον) και πως οι χρήστες θα συνεχίζουν να κατεβάζουν μουσική όσο αυστηρός και να γίνει ο νόμος. Χρόνια τώρα το κενό ανάμεσα στη δράση των χρηστών και στη νομιμότητα αυτής παρέμενε αγεφύρωτο, μέχρι οι ίδιοι οι χρήστες (και δυστυχώς όχι ο νόμος) να προσφέρουν μια νόμιμη διέξοδο. Δείτε λοιπόν μερικούς τρόπους να ακούτε μουσική, κατά βάση απεριόριστα και βέβαια νόμιμα.

BEST OF:

Deezer: Απεριόριστη μουσική απλά και ξεκάθαρα. Αναζητάτε όποιον καλλιτέχνη ή κομμάτι θέλετε και το ακούτε. Μπορείτε να δημιουργήσετε δικές σας playlists, ενώ υπάρχει και η δυνατότητα να δημιουργήσετε έναν έξυπνο ραδιοφωνικό σταθμό που σας προτείνει κομμάτια ανάλογα με τις προτιμήσεις σας. Αρκετά μεγάλη ποικιλία τραγουδιών και πανεύκολο περιβάλλον χρήσης

RUNNER-UPs:

Q-Trax: Ξεκίνησε πολύ δυναμικά ισχυριζόμενο ότι είχε συμβόλαιο με τις 4 μεγαλύτερες δισκογραφικές του κόσμου (πρακτικά όλη τη μουσική παραγωγή εκτός από κατι ελληνικά ποντιακά και νησιώτικα), αλλά κατέληξε σε φιάσκο, όταν αναγκάστηκε να παραδεχτεί ότι ήταν ακόμη στις διαπραγματεύσεις… Anyway, τη σήμερον έχει -λέει- 25 εκ τραγούδια, οπότε μπορούμε με σιγουριά να πούμε ότι είναι η πληρέστερη πλατφόρμα δωρεάν μουσικής. Το κατεβάζετε and that’s all! Λειτουργεί ως πρόγραμμα P2P.

Last.fm: Από τις πολύ δημοφιλείς υπηρεσίες για δωρεάν μουσική. Λειτουργεί κυρίως ως σταθμός ο οποίος παίζει τραγούδια ανάλογα με τις προτιμήσεις σας και μαθαίνει από το γούστο σας. Μπορείτε να δημιουργήσετε και δικές σας playlists, ώστε προσθέτοντας κομμάτια εκεί να ακούτε μόνο τα τραγούδια που θέλετε.

Jamendo: 7500 δίσκοι και 4500 καλλιτέχνες είναι διαθέσιμοι σ’ αυτό το εύχρηστο project που βασίζεται πάνω στα Creative Commons. Στην ίδια γραμμή κινείται και το Opsound, ενώ το Freesound Project αποτελεί forum ανταλλαγής αρχείων υπό CC, οπότε εκεί μπορείτε να βρείτε και πολλούς ερασιτέχνες καλλιτέχνες.

Soundclick: Αν και λίγο δύσχρηστο γιατί απαιτεί πολλά clicks το soundclick έχει μεγάλη ποικιλία και είναι παραμετροποιήσιμο ώστε να μπορείτε να το φέρετε στα μέτρα σας.

Magnatune: Για έναν περιορισμένο κύκλο διαθέσιμων καλλιτεχνών και τραγουδιών το Magnatune σας δίνει τη δυνατότητα να ακούσετε δωρεάν απεριόριστα τη μουσική τους και αν επιθυμείτε να την αγοράσετε προσφέρετε όσα θέλετε με κατώτατη τιμή τα 5 δολλάρια/δίσκο. Ακριβώς επειδή οι καλλιτέχνες πληρώνονται μόνο όταν κάποιος αγοράσει τη μουσική τους και μάλιστα σε χαμηλή τιμή, το Magnatune δεν έχει μεγάλη ποικιλία, αλλά σίγουρα είναι μια καλή προσπάθεια.

Ποτέ δεν είπαμε ότι δεν μπορείτε να βρείτε ό,τι μουσική θέλατε στο ίντερνετ πανεύκολα. Τώρα όμως μπορείτε να το κάνετε και νόμιμα. Αν γνωρίζετε και άλλο αξιόλογο site στο είδος drop us a line.

27 Φεβρουαρίου, 2008
Κατηγορίες: Site reviews, Uncategorized . Ετικέτες: , , , , , , , , , , . Συντάκτης: stilia . Comments: Σχολιάστε

Πως φτάσατε να διαβάζετε αυτό το post

Εκτός από το ποιο είναι το πρώτο αποτέλεσμα που εμφανίζεται για το asdfg αναρωτηθήκατε ποτέ πως φτάνει αυτό το post στα μάτια σας (εκτός αν είμαστε στα RSS σας (thnx btw))? Το Wired σκιτσογράφησε την πορεία ενός post από τη συγγραφή του μέχρι τους αναγνώστες του, περνώντας μέσα από μηχανές αναζήτησης, φίλτρα, διαφημιστικές εταιρίες κτλ.

Για check it out εδώ.

3 Φεβρουαρίου, 2008
Κατηγορίες: Site reviews . . Συντάκτης: stilia . Comments: Σχολιάστε

Προηγούμενη σελίδα Επόμενη σελίδα: »