Sider

tirsdag 8. november 2011

Gave fra KGB - spyware

Maxim Cherniavsky var administrator av gruppen "Vi er lei av Lukasjenko" på "VKontakte" og skaperen av nettstedet Gonzo-by. 13. juli ble han invitert til KGB for en "forebyggende samtale", men i stedet ble havnet han i et fem timers langt avhør. Resultatet ble at han ble tvunget til å godta det påståtte samarbeidet. Han fikk med seg en CD med spyware.

Maxim skulle installere programvaren på maskinene til "Revolusjon gjennom sosiale nettverk"-aktivister som for øyeblikket holder til i Polen og alle andre opposisjonelle som han fikk mulighet til.

Da han ankom Polen, gjorde han det stikk motsatte av det som KGB forventet. Han fortalte om t han var blitt rekruttert av KGB og at han hadde en slik CD.

Charter97.orgs spesialister analyserte filen. Det bør bemerkes at slike spyware-programmer finnes i ulike versjoner. Allikevel var det interessant å se hvordan akkurat dette programmet fungerte.

Programmet ser ut som en installasjon av Skype.
Figur A

1. Hva er dette programmet?
Programmet består av en selvutpakkende 7zip-arkiv som inneholder en setup til "Remote Manipulator System". Den offisielle nettsiden til produsenten av programmet er http://rmansys.ru
Utvikler: det russiske selskapet TeknotIT
Programikonet er logoen til programmet Skype, men resten av informasjonen i egenskapene inneholder den skikkelige leverandøren og selv navnet. Se figur A.

2- Hvis det er lovlig, hvorfor kommer det ingen vinduer?
Installasjonen foregår i passiv modus, noe som er spesielt fastsatt av utviklerne. Derfor får ikke brukeren noe varsel om at det foregår en installasjonsprosess, og programmet spør heller ikke om tillatelse.

3. Hvilken mappe installerer det seg til?
Hovedfilene kan finnes i mappen "C:\Program Files\Remote Manipulator System - Server".
En ekstra komponenet blir installert i systemkatalogen "C:\WINDOWS\system32\RWLN.dll".

4. Hvem kan styre programmet og hvordan?
Etter at programmet er installert, sjekker det at PCen har internett-tilgang ved å sende http://rmansys.ru/utils/inet_id_notify.php?test=1

Deretter sender programmet informasjon om operasjonssystemet til serveren. Bruker-IDen til programmet blir da tilgjengelig. Det bruker følgende e-mail: vbybcnthcndjcn@mail.ru.
Forresten, navnet på postboksen "vbybcnthcndjcn" vil på et russisk tastaturoppsett gi "departementst" (Departementet for sport og turisme??)

5. Hva kan gjøres med dette programmet?
Her er noen funksjoner:
- Fjernstyring av datamaskinen
- Fjernovervåking av skrivebordet
- File Manager
- Modul for overføring og filbehandling
- Ekstern administrasjon av oppgaver og verktøy
- Fjernendring av register
- Terminal
- Tilgang til kommandolinje
- Power Management
- Ekstern kjøring av programmer
- Ekstern tilkobling til ditt webkamera og/eller mikrofon
- Ekstern filming av skrivebordet

Figur B
6. Hvordan finne ut om systemet er infisert?
Det er mulig å finne ut om hvorvidt programmet finnes på datamaskinen ved å se etter noen prosesser. Se figur B.

7. Hva med antivirus? Beskytter den systemet?
Programmet er klassifisert som potensielt farlig programvare, ettersom det kan brukes til å få uatorisert tilgang til data som er lagret i et datasystem eller nettverk. Kaspersky Antivirus, for eksempel, oppdager programmet som RemoteAdmin. Win32.RMS i kategorien Riskware. Men påvisning av slike programmet krever at innstillingene til antivirusen er endret slik at den gir deg beskjed.

8. Hvordan fjerne programmet fra systemet?
Det beste og enkleste vil være å avinstallere det manuelt via Kontrollpanelet.
- Gå til Kontrollpanel - Legg til / fjern programmer - Avinstaller Remote Manipulator System
- Restart systemet
- Finn og slett filen C:\WINDOWS\system32\RWLN.dll

Dersom du ikke er sikker på hvordan du skal gjøre dette, burde du få hjelp av noen som er datakyndig.

9. Hvordan hindre infisering av systemet i fremtiden?
Du bør ha riktig konfigurert og oppdatert antivirusprogramvare og overvåke oppdatering av alle systemkomponenter og nettleser.
For å unngå at fremtidige versjoner av "Remote Manipulator System" tar kontakt med eieren, kan du bruke Notepad til å legge til denne linja på slutten av filen C:\WINDOWS\system32\drivers\etc\hosts :

127.0.0.1 rmansys.ru

Igjen, dersom du ikke er sikker på hvordan du gjør dette, bør du be om hjelp fra en som er datakyndig.

Ingen kommentarer:

Legg inn en kommentar