Post Syndicated from Григор original http://www.gatchev.info/blog/?p=1940
Напоследък буквално не съм видял е-майл, който да не прелива от вируси. И преди е имало кампании, но тази направо смайва с мащабите си.
Почти месец вече нямам време да се огледам и всеки ден отлагам писането за тази опасност, с надеждата пороят да секне и да ми спести усилието. Той обаче продължава. Слава Богу, нощта срещу Великден е, така че мога да заделя половин час. 
Който е шаран в тези неща сигурно се е хванал вече, но все пак по-добре късно, отколкото никога.
Е-майлите се изпращат от масивен ботнет – мисля, че е поне 200 000 компютъра. Разпространението му е по целия свят – засякъл съм машини в Северна и Южна Америка, Европа, Русия, Индия, Китай… Изглежда като да е под контрола на руска кибербанда. Не съм успял да пипна лично заразена машина, нито съм имал времето да заразя и тествам някоя, но май системата му е модулна P2P. Линуксите май не са в опасност, за Маковете не съм имал възможност да проверя.
Получените е-майли са адресирани както до реални акаунти по списък, така и до предполагаеми често срещани акаунти в домейни – office@ и прочее. Всички съдържат прикрепен ZIP файл и текст, който да подлъже получателя да отвори файла. Разнообразието на текстовете е огромно – „неплатени фактури“, „снимки“, „сканирани изображения“, „съобщения от шефа“, „застрахователни полици“, „сметки за плащане“, дори немалко „прикрепен файл“, „прикрепена картинка“ и прочее. „Изпращачът“ също е най-различен – някакво име, или е-майл адрес в същия или друг домейн, или дори адресът на получателя…
Съдържанието на ZIP-а e .js файл. Най-често името му е от десетина цифри, долно тире и още десетина цифри. Размерът варира, обикновено около 10-20 КБ некомпресиран. Голямата част от съдържанието му е някакъв текст, сложен да заблуди скенерите на антивирусите. Пак със същата цел променливите в малкото (около 1 К) реален код са с дълги (често над 50 знака), генерирани на случаен принцип имена, а присвояваните на тях стойности са обфускирани по наглед некадърно прост, но често успяващ да заблуди антивируса начин. Написан е от руски киберкримки.
Единствената задача на JavaScript кода е свалянето (от предварително пробит легален сървър) и изпълнението на определен файл. (Тъй като JS файлът се изпълнява през браузер, сваленият файл се изпълнява с правата на браузера, обикновено това ще рече с тези на текущия юзер.) Нямах време да го чопля подробно – видимото на пръв поглед е, че пробва срещу Windows набор експлойти, повечето от тях май вече запушени от ъпдейтове. Логично е да се очаква, че успешно заразените машини стават част от ботнета.
Какво може да се очаква от вируса? За каквото бъде изкомандван да си свали и стартира модул. Очевадното до момента е, че компютърът ще започне да сее спам от описания по-горе. Възможно е и всичко друго, от шифроване на информацията ви и искане на откуп, през използване на компютъра ви за DDOS атаки, та до събиране на уличаваща ви в каквото и да е информация и изпращането ѝ на някой, който ще може да ви изнудва с нея после. (Нямате такава? А оня филм, дето го изпиратствахте? Знаете ли какви наказания предвижда законът за пиратство?…)
Накратко:
– ако получите е-майл с прикрепено нещо, го стартирайте само ако познавате изпращача и той ви се е обадил да ви предупреди, че ви изпраща нещото. Ако то изглежда дори най-малко подозрително, му звъннете да попитате пращал ли го е.
– настройте си Windows и разархивиращите програми да ви показват разширенията на файловете. (И „благодарете“ на Майкрософт, че в последните версии на Windows те по подразбиране са скрити.) Ако нещото съдържа какъвто и да е изпълним код (например е документ на Microsoft Office), то е вирус до лично гласово или визуално потвърждение от познат ви изпращач за противното.
– ако нещото пристига от непознат и се опитва да ви убеждава в нещо или да ви кара да „отворите“ нещо, то е вирус, без право на обжалване. (Ако наистина е писмо от български данъчни, че им дължите пари, според мен е особено опасен вирус. Имам опит с такъв – ако мислите, че има на кого да обясниш къде точно са сбъркали, не живеете на този свят.)
– ако нещото се опитва да ви бие по емоциите (и особено по страха или желанието за секс), то е вирус, независимо как изглежда. (Или наистина писмо от шефа или любовницата, но тогава ще научите за него и по гласов и т.н. път. Въпросът дали тези пратки не са сред най-опасните вируси също го оставяме настрана.)
Успех и най-вече бистра глава! Данните ви не са Христос – умрат ли, няма да възкръснат дори на Великден.