» »

"Safety browser" oziroma nov IM napad

"Safety browser" oziroma nov IM napad

Slashdot - Napadi na nič hudega sluteče uporabnike preko programov/servisov za hitro sporočanje, niso nič novega, vendar pa je nov napad, ki ga preko Yahoo! Messengerja izvaja črv, poimenovan yhoo32.explr, nekaj posebnega. Kaj torej počne?

Črv po okužbi nekega računalnika avtomatsko razpošlje vsem kontaktom URL, na katerem se nahaja izvedljiva datoteka, ki nato na računalnik namesti spletni brskalnik, poimenovan precej ironično - Safety Browser. Ta "varni brskalnik" nato zamenja bližnjice do Internet Explorerja z lastnimi, pri čemer pa obdrži IE ikono. Brskalnik je sicer samo "shell" za IE pogon, ima pa privzeto vključene nekatere "zanimive" nastavitve, kot je recimo dovoljenje za odpiranje pop-up oken. Ob namestitvi uporabnika razveseli še glasba, ki se nato pojavlja v različno dolgih izvedbah ob vsakem zagonu računalnika. Brskalnik ugrabi domačo stran in jo nadomesti s stranjo, na kateri čaka nič hudega slutečega uporabnika zvrhana mera ostalih dobrot v obliki še več zle kode™. Podroben opis nadloge lahko najdete tukaj.

7 komentarjev

Matevžk ::

Živel administratorski account! :))
lp, Matevžk

Nejc Pintar ::

Nekateri smo raje root-i:D
Lahko je biti prvi, če si edini!

TekO ::

^^ Link :
Bandwidth Limit Exceeded
The server is temporarily unable to service your request due to the site owner reaching his/her bandwidth limit. Please try again later. :D

A link katerega ta črv pošilja naokol se pa nebi dalo dobit?:D
Ideas are bulletproof.

Izi ::

Hehe, vojna med Koreninarji in Upravniki :D

Mislim, da Koreninarji pišejo te črve, da bi uničili Upravnike >:D

amigo_no1 ::

posnetek z google cache :
Klik

EDIT: Ni slik :(

Zgodovina sprememb…

  • spremenilo: amigo_no1 ()

Izi ::

Tukaj imaš linke, ki pa ne delajo več (zaradi prevelikega navala >:D ), sicer je pa vse delovalo, kot ponavadi, samo če si uporabljal stari dobri IE :D

Safety Browser (yhoo32.explr) Facetime

Also known as: yhoo32.explr Ysnd

This infection comes from a .COM file, which is launched from a rogue webpage (Lamanweb. com) when the user visits it using IE.
When run, files are then dropped in the infected PC's TEMP Folder and in a folder called YSND (hidden from view by default).
The infection is twofold - first, a rogue browsing application called "Power Browser" / "Safety Browser" is installed with no uninstall facility.
It also changes your homepage to Demoplanet.tv in IE, though this sometimes randomly changes to the Lamanweb website.
Music is also played on the infected PC every time it boots up. The Ysnd file recieves commands from an additional file on the PC to spam the Lamanweb link via Yahoo IM, normal web-based chat and also IRC.
This appears to be a re-worked and updated version of an older, existing piece of malware.

Translation:

Okužba prihaja od .COM datoteke, katera se zažene ob obisku strani (Lamanweb. com), če uporabnik uporablja IE.
Ko se zažene se datoteke prenesejo v začasno mapo okuženega PCja in v mapo imenovano YSND (ki je skrita).
Okužba je dvakratna - prvič, zlobna koda imenovana "Power Browser" / "Safety Browser" se instalira brez opcije uninstal.
Hkrati spremeni domačo stran IE-ja v Demoplanet.tv, včasih pa jo naključno spremeni tudi v Lamanweb-ovo stran.
Glasba se predvaja na okuženem PCju ob vsakem zagonu. Ysnd datoteka dobiva ukaze z dodatne datoteke na PCju, da naj "spama" Lamanwebovo povezavo prek Yahoo IM, prek normalnih mrežnih klepetalnic in tudi prek IRCja.
Izgleda, da je to predelana in posodobljena različica starejše že obstoječe zlobne kode.

MrStein ::

Okužba prihaja od .COM datoteke, katera se zažene ob obisku strani (Lamanweb. com), če uporabnik uporablja IE.

A to gre za kako novo (staro) luknjo v IE ?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Zla programska oprema tudi na macih

Oddelek: Novice / Varnost
3411305 (9252) bluefish
»

Slovenija: Firefox prevzel vodstvo (strani: 1 2 3 )

Oddelek: Novice / Brskalniki
13119490 (13505) poweroff
»

Nenehni napadi na porte (strani: 1 2 3 )

Oddelek: Informacijska varnost
10022222 (18696) Jst
»

Nov napad na Firefox: Firefox ne zagotavlja anonimnosti

Oddelek: Novice / Varnost
386129 (4069) Matevžk
»

Firefox z napako (strani: 1 2 3 )

Oddelek: Novice / Varnost
10614784 (10981) veteran

Več podobnih tem