MűhelyTitkok

Kimondani is furcsa -mintha tegnap történt volna-, de már több, mint 4 hónapja annak, hogy felfedeztem, a gépemen nem stimmel valami. Egy backdoor valamint egy általa “meginvitált” trójai csücsült szép csendben a gépen (az op-rendszeren) az egyik legszemtelenebb tevékenységet folytatva: a jelszólopkodást.

Gyanús előjelek

Október vége környékén találkoztam először az első gyanús jellel: a NOD32 antivírus kis ikonja eltűn a tálcáról. Hogy mikor történhetett -és leginkább arról, hogy mi okozta-, nem sok fogalmam van, nem nézem percenként a jobb alsó sarkot, hogy időben feltűnjenek az ilyen fajta anomáliák. A gép is 24 órában üzemel, tehát bármikor -akár éjjel is- bekövetkezhetett ez a dolog. Persze legelőször még csak egy hibás update-re gyanakodtam, ami “véletlenül” azt eredményezte, hogy a service ki lett lőve, majd nem lett újraindítva. Semmi baj -gondoltam akkor- manuálisan elindítottam a NOD-ot, frissítgetett, működött is szépen, gond nélkül az elkövetkező 2 hónapban anélkül, hogy egy árva hangot (figyelmeztetést) is adott volna!

Észlelés

A NOD32 ikon gyakori eltűnése mellett november végén - december elején a MűhelyTitkok.com-ot nézegetve lettem egyre biztosabb abban, hogy valami nagyon nem stimmel. A FireFox miután megjelenítette az oldalt, egyből a lap aljára ugrasztotta a böngészőablakot. Persze eleinte nem értettem, hogy miért, de néhányszor észlelve ezt belenéztem az oldal forrásába, hátha valamelyik postomnál elvétettem valamit, vagy esetleg nyitva maradt egy HTML elem és ezért bolondul meg a TűzRóka. A HTML-kód legvégében ez a horror fogadott:

Gyönyörű. Kódolt JavaScript. Első gondolatom az volt, hogy megnyomták, meghackelték az oldalt -a WordPress anyja is csuklott hevesen- és valami disznó dolgot művelnek ezzel a JavaScript kóddal (ebben nem tévedtem). Poodle barátunk sem segített a dologban, a kód minden egyes példánya más-más összetételű, gyakorlatilag “kereshetetlen” részeket tartalmaz. (Egyedüli támpont a kódban a =arguments.callee.toString().replace(/\w/g rész, erre most már dob néhány találatot a Google)

Boldog tudatlanság

Mondanom sem kell, hogy a kód kiirtása (az index.php-be “tették bele”) és jelszócserék után (FTP, WordPress, db) büszkeségel vegyített megnyugvás és hátradőlés következett. Most már persze tudom, hogy hiba volt, de akkor, abban a pillanatban meg sem fordult a fejemben, hogy bizony itt nem WordPress hack-ről volt szó. Néhány heti nyugalom után megint felfedeztem az előbbi kódot - de immáron az összes oldalamon!

Code red

Vörösödés, tarkózsibbadás és egy-két óráig tartó értelmetlen kapkodás után rájöttem, hogy -mivel az összes oldalam kódjába bekerült a képen szereplő JS kódszösszenet- csakis az FTP-Managerem (FAR Manager) lehet a ludas, valahogyan -tudtomon kívül- elküldözgette valahová az accountjaimat, jelszavaimat. Ilyenek ezek az oroszok, mindig hagynak egy backdoort a szoftvereikben “szükség esetére” :] Nesze neked 24 karakteres passwordök, ha eltárolom és ezeket lopják ki, tökmindegy milyen hosszú és milyen secure egy-egy jelszó!

Bár a tudat, hogy az összes oldalamat szétzúzták önmagában is elég lesújtó volt, de ennél sokkal nagyobb traumát okozott, hogy ügyfeleim szervereinek elérése is ugyanebben a szoftverben volt tárolva. Nagyjából elfehéredtem és a víz is levert azt a kérdést boncolgatva magamban, hogy hogy a fenébe fogom én ezt kimagyarázni?!

Rise of the machines

Őrült emailezgetés és jelszócserék után tűzfalszoftver-telepítés következett. Az egyetlen licenszelt szoftver a Kerio Personal Firewall nevű holmi volt a kezem ügyében, úgyhogy fel is dobtam gyorsan, majd a FAR Manager elől elzártam a kifelé és befelé irányuló net-csatornákat.

Ez idő alatt -némileg megnyugodva- igyekeztem alternatívát keresni az FTP-zésre. Elérkezett a december közepe, és felismerve, hogy a “hackerek” különösebb kárt -szerencsére, leszámítva a JS kód beillesztését- nem tettek az oldalaimban, szervereimen, lassan kezdtem megfeledkezni az egész agyrémről. Aztán december 16-án -ezt a dátumot a logokból tudom- az oldalaimat böngészve és a JavaScript kódot újra felfedezve leesett végre, hogy nem a FAR Manager a “ludas”, és kezdett bennem tudatosulni, hogy a rendszerembe vetett nyugalmamnak örökre vége: ez bizony valami vírus vagy spyware lokálban.

5 Star Softwares

Újabb jelszócserék után -jelszavaim, accountjaim száma akkoriban úgy kb. 250 volt- minden alkalmazást blokkoltam -különös tekintettel az svchost.exe-re- majd elindult a hosszú órákig tartó deep scan a NOD32-vel, ami a mizéria teljes ideje alatt, másfél hónapig csücsült csendben a háttérben, úgyhogy éreztem, hogy nem fogja siker koronázni a víruskeresést. A FireFoxot kiengedtem a tűzfalon azért, majd következett a különféle rootkit detectorok, spyware killerek, egyéb “csúcs-szuper-ötcsillagos” alkalmazások letöltése. Igyekeztem olyan fórumokról információkat, felhasználható szoftvereket szerezni -bár a Google sem tartalmazott sem a vírusról, sem a JavaScriptről túl sok információt- ahol ezzel vagy hasonló problémával küzdöttek a látogatók. Kipróbáltam az összes “best” hackercracker spyware-gyilkolót, amit csak lehetett - beleértve az ismertebbeket (SpyBot) és a kevésbé elterjedteket is (SuperAntiSpyware, Rootkit Detector stb. kb 20-25 alkalmazást), mind, egytől-egyig kudarcot vallottak. Az órákon át tartó keresések semmi eredménnyel nem szolgáltak, még csak azt sem tudtam meg, hogy mi lapul a gépen. Használtam safe mode-ot, sőt még bootolható Windows XP CD-vel is próbálkoztam - semmi sikerrel.

Hátsó ajtó

Végső elkeseredésemben egy fizetős szoftver mellett döntöttem. Átnéztem a kurrens alkalmazások zömét -Norton, McAfee stb., sőt, még a Windows Malicious Software Removal Tool is szóba került- de végül a Sunbelt Software CounterSpy mellett döntöttem, erről ugynis semmit sem tudtam, sosem próbáltam ki még a demo verzióját sem, sőt még a nevét sem hallottam ezelőtt.

30 óra ébrenlét és spyware-keresés után a CounterSpy december 17-én végre szolgált valami eredménnyel: Backdoor.Win32.Small.lu. A kapuk kitárója, ami megnyitja az utat a trójaik, spyware-ek és egyéb “rosszindulatú” program előtt. A probléma ezzel persze még nem volt teljesen megoldva, a spyware-t továbbra sem találta semmi a gépen.

Szépen lassan bekerültek a Kerióba a trusted area-k és networkök, a böngészőn kívül kiengedtem az emailklienst is és visszavontam a FAR-ra hányt szidalmakat is :] Ugyanakkor a “kis szemét” folymatosan dolgozott a háttérben, a process monitorozásból minden aljas cselekedete nyilvánvaló lett. Logolta a leütött billentyűket és persze a clipboardot is szépen küldözgette szerteszét a világba.

Újévi malac

További 2 heti -immáron kissé nyugalmasabb- együttélés után a december 31-i (BÚÉK) CounterSpy firssítés végre megtalálta a “rohadékot”. Trojan-PWS.Ldpinch.P. Ez volt a felelős mindenért, ez a kis jól eldugott bájthalmaz okozta a több, mint 2 hónapos szenvedésemet. A cucc természetesen karanténban csücsül azóta is, megőriztem az utókornak :]

Mimi

Ezalatt az idő alatt egyre több dolog -a programok, kódok viselkedése stb.- vált egyértelművé számomra:

• a backdoor: valószínűleg QuickTime exploitot kihasználva jutott fel a gépemre, bár ezt már sosem fogom tudni teljes bizonyossággal kijelenteni. A jelek erre mutatnak, más érintett szoftvert nem használok a rendszeren.
• a JavaScript kód: 0 pixeles iframe-et nyitott az oldalban, majd ActiveX vezérlőket próbált telepíteni. Hátránya továbbá, hogy, ha nem észleltem volna időben, a Google-ben most az oldalaimra mutató linkekre kattintva egy “Rosszindulatú weboldal” figylemeztetés várná a látogatókat.
• a spyware: passwördöket lopott FireFoxból, IE-ből, logolta a leütött billentyűket és a vágólap tartalmát is rendszeresen küldözgette
• a “hackerek”: intelligens módon engem és az oldalaimat csak eszközként használtak, hogy minél több emberhez célbajuttassák a “csomagokat”, tényleges kárt a kódelhelyezésen kívül nálam, az oldalaimon, a gépemen és a szervereimen nem okoztak. Igyekeztek csendben maradni. A -gondolom, automatizált megoldás- végighaladt a könyvtárstruktúrákon és az összes index.html és index.php fájlba beletette a JS kódot. Az FTP logokban szíriai ip-ket találtam.

Tanulságok

- Egy jó jelszómenedzser még akkor is segít, ha a vágólap sincs biztonságban. Ajánlom a KeePass nevű kütyüt (ingyenes), valamint használom még az EWallet-et is (fizetős, ára kb. 30 dollár). Mindkettőnek van Windows Mobile változata, a PDA-val való szikronizálás megoldott, ezáltal a jelszavak mindig zsebben, kéznél vannak. Böngészőben fontos jelszavakat nem szabad tárolni. A kényelemnek később meg kell az árát fizetni.

- Az ötcsillagosra értékelt, agyonhype-olt szotverek kalap szart sem érnek, ha új, ismeretlen vírusról van szó. A sokak által istenített prevenciós technológiákat alkalmazó NOD32 teljesen leszerepelt nálam, ebből bizony nem lesz licensz megújítás.

- Bármiféle antivírus, tűzfal, spyware killer hamis biztonságérzetet ad! Egy védelmi szoftver akkor jó, ha viszonlyag gyorsan felismeri a már rendszeren levő kártevőt és teljes biztonsággal el is távolítja azt. Az 1-2 évvel ezelőtti, de az adott időben felbukkanó vírusokról adott piros ablakos figyelmeztetéssel nagyjából mindenki kitörölheti. Az új, friss dolgok ellen semmi nem véd!

- A FAR File Manager továbbra is jó szolgálatot tesz :]

No, asszem eleget koptattam az ujjaimat, ha bármi kérdés van, kommentben tegyétek fel!