אתר ישראלי מפיץ וירוסים

לפני קצת יותר משבוע התבקשתי מידיד טוב לבדוק מחשב מסויים שקופצות בו פרסומות (ככל הנראה נדבק ב-AdWare), לאחר בדיקה קצרצרה הוירוס אותר והוסר, לא מדובר במשהו גאוני, הוירוס לא השתמש בשום טכניקה מגניבה ששווה לחקור אותה, ובכלל, הייתה הרגשה כללית שהוירוס הזה שייך להיסטוריה.

אז למה אני מספר לכם את זה בכל זאת? מפני שדבר אחד הפתיע אותי בוירוס הזה- הוירוס הזה נכתב ומופץ על ידי אתר ישראלי.

מדובר באתר שמפרסם קישורים לסרטים בתצורת Streaming, כתובת האתר: http://www.sratim4u.com. אני לא מעריץ של כל העולם הזה, אבל לפי מיטב הבנתי, רב הסרטים שמועלים, מאוחסנים על שרתי Streaming שמאפשרים צפייה עד לכמות זמן מסויימת בחינם. כמובן שניתן להרשם/לשלם ולקבל חשבון “Premium” שמאפשר צפייה ללא כל הגבלת זמן וכו’.

לא חקרתי את הנושא, אבל לפי איך שזה נראה, אותם שרתים מזהים את הגולש אך ורק על-ידי כתובת IP, מה שאומר שבמידה ונתנתק לאחר שעברה כמות הזמן שצפינו- ונתחבר מחדש- נוכל לצפות בהמשך הסרט כאילו היינו גולש חדש.

מה עשה האתר Sratim4u? יצא בפרסום הבא:

הלינק מוביל לקובץ התקנה בשם “Setup59.exe” (שעבר Packing בעזרת UPX):

כאשר ניגשים להתקין את הקובץ מופיעה השגיאה הבאה:

(תסלחו לי שאני אפילו לא אתאמץ להתקין עברית על ה-VM, הוירוס כל כך לא שווה את זה…)

וכאן כביכול נגמר הסיפור- הגולש לא מבין למה ההתקנה לא עובדת, מתעצבן כמה גרעים, שותה מים, ושוכח מכל הסיפור.

אבל מה, פתאום, כל פרק זמן מסויים, נפתח לו חלון דפדפן, שמוביל לכתובת: “http://sratim4u.com/ad.asp” - ומשם מתבצע Redirect לכל מני עמודי נחיתה ישראלים שונים.

מבחינה טכנית, מה שקורה מאחורי הקלעים לאחר ניסיון התקנת הקובץ הוא:

שלב ראשון:

נוצרים שני קבצי exe בשם “appcmd.exe” ו-“append.exe” בתיקיה: c:windows:

שלב שני:

נוצר מפתח בשם Userlog עם ערך שמוביל ל-append.exe במיקום: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

בכדי לשרוד Reboot של העמדה:

שלב שלישי:

מורץ הקובץ append.exe.

הרצת הקובץ הנ”ל גורמת לשני דברים: א- הוספת משימות מתוזמנות (AT):

ב- הרצת appcmd.exe שיוצר קובץ bat עם הפקודות:

מריץ אותו, ולאחר מכן- מוחק אותו.

מי ששואל את עצמו למה לעזאזל פתחתי את Olly בשביל השטות הזאת- התשובה היא מפני שהוירוס מריץ את ה-Bat ומוחק אותו ממש לאחר מכן- ורציתי לתפוס צילום מסך של הפקודות :)

לא חקרתי את הקובץ לעומק, מפני שהוא ממש לא נראה מעניין, למרות שאנטי-וירוסים רבים נותנים לו שמות מעניינים במיוחד:

אופן הסרה:

• מחיקת הקבצים appcmd.exe ו-append.exe מתיקית ה-Windows.
• מחיקת המפתח Userlog מהמיקום בעורך הרישום שהוצג קודם לכן.
• ביטול המשימות המתוזמנות ע”י הפקודה: at X /delete.

למרות שבסופו של דבר מדובר בחתיכת שטות גמורה, מעצבן לראות אתרים (בייחוד שהם ישראלים!) שעושים שימוש בדרכים כאלה בכדי להשיג צפיות בפרסומות וכדומה. זה האתר הראשון שראיתי שעושה בזה שימוש, ואני מקווה שגם האחרון…