Jdi na obsah Jdi na menu
 


IM Spread Malware: Butterfly Effect

18. 11. 2010

Tento víkend, nejmenovaný červ nuceni Microsoft dočasně pozastavit aktivní odkazy v Live Messenger 2009, aby se zabránilo agresivní červ dalšímu šíření. To je docela překvapivé opatření, protože červi šíří přes Instant Messaging (IM), např. Skype, Yahoo! Messenger a Microsoft Live Messenger nejsou vůbec nové! Například, červ AimVen objevil v roce 2003 a byla zaměřená na America Online Instant Messenger platformu.

Modus operandi pro tento typ útoku je jednoduchý:

   1. Oběť obdrží zprávu, která obsahuje hypertextový odkaz z jednoho z      jejich kontaktů
   2. oběť klikne na hypertextový odkaz
   3. oběť nakazí.

Jediným účelem hypertextový odkaz je dostat škodlivý program nainstalován do počítače oběti. Hypertextový odkaz může vést k přímé spustitelný soubor, na stránku nakažených prohlížeči využívat kit, jako je například sada Eleonore (viz
tento článek Brian Krebs), nebo na stránce určené nalákat uživatele na stahování a spouštění škodlivého programu prostřednictvím sociálního inženýrství.

Toto rozšíření mechanismus je velmi efektivní způsob pro malware, aby zůstali aktivní a prosperovat. A jak čas plyne, zlí hoši jsou vylepšování jejich techniky, aby přesvědčily potenciální oběti, aby skutečně navštívit nebezpečné hypertextové odkazy. Například červ Butterfly čeká, dokud oběť vstupuje do rozhovoru s někým před odesláním zprávy nebezpečný, spíše než posílat jim z ničeho nic. Červ může také používat geo-lokalizace za účelem využití oběti jazyk a dokonce se týkají zprávy nebo události týkající se oběti země. Tyto pokročilé techniky, aby škodlivý zprávy vypadají mnohem méně podezřelé, a může trik i ty opatrné uživatelů.

Jedním z aktivních červy, který používá tato technika je červ za slavným botnet Mariposa, volal Butterfly a také známý jako Win32/Bflient, Win32/Peerfrag, Win32/Palevo a Win32/Rimecud. Překvapivě, Butterfly je stále velmi rozšířená hrozba navzdory zatčení jejího údajného autora, slovinština,
dříve v tomto roce a odstraňování botnet Mariposa. Ve skutečnosti, ESET ThreatSense z října Zpráva ukazuje, že Win32/Bflient.K vstoupil do top 10 nejrozšířenějších s jeho 8. místo.

Zde je skutečný život příklad Butterfly pomocí Microsoft MSN šířit sám. Minulý týden, ohrožena stroj dostal rozkaz od svého operátora aktivovat botnetu MSN šíření složka s následující zprávou:

 

http://kucera.petrik.sweb.cz/uploaded/web_files/msg.png

Jak vidíme, je zvyklý na zkracovač URL poplést o skutečném místě určení. Když oběť otevře hypertextový odkaz, to vidí falešné video přehrávač a pop-up výzvy k instalaci aktualizace přehrávače Flash Player. Je zřejmé, že soubor je všichni ale Aktualizace programu Flash Player, ale nejnovější verze červa. V tomto případě škodlivého souboru byl hostitelem ohrožena, low-profile kanadské internetových stránkách.

http://kucera.petrik.sweb.cz/uploaded/web_files/Screen-shot-2010-11-15-at-9.22.59-AM-300x212.png

To bylo vypuknutí červa Butterfly, který způsobil společnosti Microsoft, aby přijaly opatření a zablokovat aktivních odkazů v aplikaci Microsoft Live Messenger 2009? Kdo ví? Ale jedna věc je jistá, odkaz blokování technologie musí být rychle integrovány do IM klienty, protože protivníci budou nadále používat tento mocný infekce vektor a úspěšně infikovat nové oběti každý den. Takže skóre Microsoft bonusový bod pro integraci Link bezpečnost v jejich Live Messenger 2011.


via ESET

 

Komentáře

Přidat komentář

Přehled komentářů

Zatím nebyl vložen žádný komentář