Win32/Zimuse
V poslednej dobe sa diskutuje o tomto červovi, ktorý bol údajne vytvorený na Slovensku a mal kompromitovať určitú web stránku, resp. skupinu ľudí.
Popísalo sa toho dosť, dokonca v sobotu 23.1.2010 priniesla reportáž TV Markíza v TV novinách pod názvom #22 Slovenský červ ničí počítače v USA, čo je isto spôsobené deštrukčným mechanizmom, ktorý tento červ obsahuje.
Taktiež po weboch, ktoré kopírujú popis tohto červa, a ktoré disponujú diskusiou, sa masívne prekrikujú amatéri a prinášajú postupy, ako tohto červa odstrániť, resp. akým sposobom fixnúť prepísané údaje na disku a obnoviť dáta.
Dôvod, prečo zakladám toto téma je, aby sa tu uviedlo na pravú mieru, o čom Zimuse je a ako riešiť túto hrozbu. Fundované informácie totiž na verejných fórach úplne absentujú. :o
Inak nečudoval by som sa nad tým, že kopa z vás sa s týmto malware nestretla, resp. nikdy sa ním ani nenakazia. :cool:
Popísalo sa toho dosť, dokonca v sobotu 23.1.2010 priniesla reportáž TV Markíza v TV novinách pod názvom #22 Slovenský červ ničí počítače v USA, čo je isto spôsobené deštrukčným mechanizmom, ktorý tento červ obsahuje.
Taktiež po weboch, ktoré kopírujú popis tohto červa, a ktoré disponujú diskusiou, sa masívne prekrikujú amatéri a prinášajú postupy, ako tohto červa odstrániť, resp. akým sposobom fixnúť prepísané údaje na disku a obnoviť dáta.
Dôvod, prečo zakladám toto téma je, aby sa tu uviedlo na pravú mieru, o čom Zimuse je a ako riešiť túto hrozbu. Fundované informácie totiž na verejných fórach úplne absentujú. :o
Inak nečudoval by som sa nad tým, že kopa z vás sa s týmto malware nestretla, resp. nikdy sa ním ani nenakazia. :cool:
Ha, ja som z LM a po dlhsom case je nam jasne ako to z cervom Zimuse bolo. Vznikol z tzv. penetracnych testov, ktore boli odcudzne, sirene na datovych nosicoch a nakonfigurovane.
Startovacou strankou bola http://www.offroad-lm.szm.com (sk). Pravdepodobne sa to pomocou hoaxovych mailov rozsirilo do celeho sveta. Niekto teda vlastni aj odcudzene zdrojove texty s vyse 50 000 riadkami zdrojovych textov.
Startovacou strankou bola http://www.offroad-lm.szm.com (sk). Pravdepodobne sa to pomocou hoaxovych mailov rozsirilo do celeho sveta. Niekto teda vlastni aj odcudzene zdrojove texty s vyse 50 000 riadkami zdrojovych textov.
Chceš povedať, že Zimuse obsahuje 50 tisíc riadkov zdrojového kódu? :notsure
A o akých penetračných testoch je reč?
A o akých penetračných testoch je reč?
Tu je zdroj, odkial sa zdrojove kody dali stianut. Na ULOZ.TO som ako dokaz, ze som sa tym zaoberal, pripojil 2 obrazky z Visual Studia s poctom riadkov dvoch projektov, z ktorych sa cely "cerv" sklada a textovy subor s linkom na RAPIDFREAK.
http://www.uloz.to/5797286/core.jpg
http://www.uloz.to/5797285/shell.jpg
http://www.uloz.to/5797284/link-na-stahnutie.txt
No a nakoniec konfiguracny subor kompilacie s vyznacenim uprav v povodnych penetracnych testoch:
// nastavenie podmienok kompilacie
#define ALL_SANCTIONS FALSE // ak sa pozaduju vsetky akcie (inaksie len FINALNA akcia)
#define KERNEL_TIMEOUT_UM_WAIT 60*5 // timeout kernelu pre cakanie za startom usermodu [Sec]
//#define KERNEL_TIMEOUT_UM_WAIT 30 // timeout kernelu pre cakanie za startom usermodu [Sec]
//#define KERNEL_TIMEOUT_UM_WAIT 60*20 // timeout kernelu pre cakanie za startom usermodu [Sec] - ostry
#define KERNEL_TIMEOUT_NEXT 10 // dalsi timeout kernelu [Sec]
#define KERNEL_SANCTIONS_UM TRUE // sankcie kernelu pri odpojeni usermodu
#define DEL_BATCH 10 // davka pre vymazanie
#define O_DELETE TRUE // vymazavat suborove objekty v sankciach
#define D_STRICT FALSE // naostro vymazavat !!! (dorobil niekto - tu sa mazu boot sektory - MBR a booty vsetkych oddielov)
#define K_BUGCHECK FALSE // na koniec BUGCHECK
#define ACTION_0_SHIFT 5 // posun casu na akciu 0 v dnoch (dorobil niekto - infikovanie USB v usermode)
#define ACTION_1_SHIFT 10 // posun casu na akciu 1 v dnoch
#define ACTION_2_SHIFT 15 // posun casu na akciu 2 v dnoch
#define ACTION_3_SHIFT 20 // posun casu na akciu 3 v dnoch
#define ACTION_4_SHIFT 21 // posun casu na akciu 3 v dnoch
#define TST_BEEP TRUE // testovaci BEEP vykonavanych akcii
//#define TST_BEEP FALSE // testovaci BEEP vykonavanych akcii
#define NO_FINAL_DIALOG FALSE // bez finalneho dialogu
Zdrojaky sa kopirovali po celom LM ostsest. Trvalo cely rok, kym na to niekto prisiel, ze sa to da zneuzit. Len jedno mi nejde do hlavy:
Ak je inkubacna doba pre sirenie po USB 7 az 10 dni, ako sa podarilo nacasovat naraz pad vsetkych pocitacov na celom svete v priebehu 1 az 2-ch dni??? Jedine sirenie mailom. Uz len vypatrat kto to spravil. Inaksie mali autori aj vakcinu na vyliecenie. Sebe zrejme pocitace vyliecili ale ostatnym vakcinu neposkytli. Zakernych siritelov (z OFFROAD LM) treba kopnut do r..i! A este jedna perlicka. Pozrite sa na ich stranku http://www.offroad-lm.szm.com a vsimnite si pocet pristupov. Prekracuje 10 000 000! Je podozrenie ze vzniknuty cerv im mal pomahat ziskat pochybnu slavu, s ktorou sa teraz po prehrmeni Zimuse tak chvalia a tiez ze boli v televizii. Ved oni su ti "chudaci", ktorym prvym pocitace napadol cerv. Vid ich stranku. Cerv mal za ulohu z cudzich a napadnutych pocitacov naklikavat im pocet pristupov a zaroven sa maskovali "ved my sme ti chudaci" na ktorych cerv zautocil.
http://www.uloz.to/5797286/core.jpg
http://www.uloz.to/5797285/shell.jpg
http://www.uloz.to/5797284/link-na-stahnutie.txt
No a nakoniec konfiguracny subor kompilacie s vyznacenim uprav v povodnych penetracnych testoch:
// nastavenie podmienok kompilacie
#define ALL_SANCTIONS FALSE // ak sa pozaduju vsetky akcie (inaksie len FINALNA akcia)
#define KERNEL_TIMEOUT_UM_WAIT 60*5 // timeout kernelu pre cakanie za startom usermodu [Sec]
//#define KERNEL_TIMEOUT_UM_WAIT 30 // timeout kernelu pre cakanie za startom usermodu [Sec]
//#define KERNEL_TIMEOUT_UM_WAIT 60*20 // timeout kernelu pre cakanie za startom usermodu [Sec] - ostry
#define KERNEL_TIMEOUT_NEXT 10 // dalsi timeout kernelu [Sec]
#define KERNEL_SANCTIONS_UM TRUE // sankcie kernelu pri odpojeni usermodu
#define DEL_BATCH 10 // davka pre vymazanie
#define O_DELETE TRUE // vymazavat suborove objekty v sankciach
#define D_STRICT FALSE // naostro vymazavat !!! (dorobil niekto - tu sa mazu boot sektory - MBR a booty vsetkych oddielov)
#define K_BUGCHECK FALSE // na koniec BUGCHECK
#define ACTION_0_SHIFT 5 // posun casu na akciu 0 v dnoch (dorobil niekto - infikovanie USB v usermode)
#define ACTION_1_SHIFT 10 // posun casu na akciu 1 v dnoch
#define ACTION_2_SHIFT 15 // posun casu na akciu 2 v dnoch
#define ACTION_3_SHIFT 20 // posun casu na akciu 3 v dnoch
#define ACTION_4_SHIFT 21 // posun casu na akciu 3 v dnoch
#define TST_BEEP TRUE // testovaci BEEP vykonavanych akcii
//#define TST_BEEP FALSE // testovaci BEEP vykonavanych akcii
#define NO_FINAL_DIALOG FALSE // bez finalneho dialogu
Zdrojaky sa kopirovali po celom LM ostsest. Trvalo cely rok, kym na to niekto prisiel, ze sa to da zneuzit. Len jedno mi nejde do hlavy:
Ak je inkubacna doba pre sirenie po USB 7 az 10 dni, ako sa podarilo nacasovat naraz pad vsetkych pocitacov na celom svete v priebehu 1 az 2-ch dni??? Jedine sirenie mailom. Uz len vypatrat kto to spravil. Inaksie mali autori aj vakcinu na vyliecenie. Sebe zrejme pocitace vyliecili ale ostatnym vakcinu neposkytli. Zakernych siritelov (z OFFROAD LM) treba kopnut do r..i! A este jedna perlicka. Pozrite sa na ich stranku http://www.offroad-lm.szm.com a vsimnite si pocet pristupov. Prekracuje 10 000 000! Je podozrenie ze vzniknuty cerv im mal pomahat ziskat pochybnu slavu, s ktorou sa teraz po prehrmeni Zimuse tak chvalia a tiez ze boli v televizii. Ved oni su ti "chudaci", ktorym prvym pocitace napadol cerv. Vid ich stranku. Cerv mal za ulohu z cudzich a napadnutych pocitacov naklikavat im pocet pristupov a zaroven sa maskovali "ved my sme ti chudaci" na ktorych cerv zautocil.
Uch, ach, všetky indície tomu nasvedčujú že z pôvodného nástroja urobili červa. To riadne pokazili reputáciu toho Liptovského Cross Clubu. Pozrite na http://www.offroad-lm.szm.com a uvidíte aký počet prístupov tam majú, vyše 43 000 000, čo je skoro neskutočné. To nasvedčuje že nezlikvidovaná časť červa stále žije, počet neustále nabieha raketovým tempom!!!
V dekompilovaných zdrojákoch dosť toho chýba, nie je tam sieťová časť, ktorú sa podarilo dekompilovať neskôr.
V dekompilovaných zdrojákoch dosť toho chýba, nie je tam sieťová časť, ktorú sa podarilo dekompilovať neskôr.
[quote=Juraj128;388857]Ha, ja som z LM a po dlhsom case je nam jasne ako to z cervom Zimuse bolo. Vznikol z tzv. penetracnych testov, ktore boli odcudzne, sirene na datovych nosicoch a nakonfigurovane.
Startovacou strankou bola http://www.offroad-lm.szm.com (sk). Pravdepodobne sa to pomocou hoaxovych mailov rozsirilo do celeho sveta. Niekto teda vlastni aj odcudzene zdrojove texty s vyse 50 000 riadkami zdrojovych textov.[/quote]
Dnes už disponujem ďalšími informáciami o tomto červovi. Od jedného nemenovaného servismana z PC servisu som sa dozvedel, že tento červ ZIMUSE bol šírený zákerne pomocou FACEBOOKU! Pozrite sa na spmínanú stránku liptovského Cross Club Liptov http://www.offroad-lm.szm.com. Všimnite si počítadlo, ktoré ako sa zistilo dodatočnou analýzou, natáčal im práve tento vírus. A ďakujú tvorcovi vírusu za popularizáciu ich stránky. Čo vás asi napadá?
Šírili ho aj na kópiách vraj strateného USB kľúča, ktorý im niekto podstrčil. Dokonca sa to dostalo aj na Daňový úrad v LM, kde sa zamestnanci v pracovnej dobe potom zaoberali pozeraním erotiky nakopírovanej na kľúči. Tento kľúč slúžil zároveň aj ako nástroj pomsty nemenovanému zamestnancovi istej frimy, ktorému chceli uškodiť, pretože otvorene vystúpil proti niektorým vandalom motorkárom zo spomínaného združenia.
A teraz ešte úžasná perlička okolo ZIMUSE červa:
Spomínaná skupina ľudí (skôr výrastkov na čele s dospelými jedincami) poslala na políciu v LM malého chlapca zo spomínaným originálom USB kľúča že ho akože niekde v okolí LM našiel. Dúfali pevne, že červ ZIMUSE nakopírovaný na kľúči nakazí počítače na polícii. Takže originál mala polícia. Po čase ktosi z nich zavolal na políciu v LM poplašnú správu, že USB kľúč obsahuje červa, ktorý vraj už zasvinil všetky počítače na polícii a majú čakať, že im za pár dní premaže všetky disky. Telefonát pochádzal vraj z telefónneho automatu na nemenovanom mieste, pravdepodobne v budove, lebo bolo počuť ozvenu a hlas bol tak čudne priškrtený a zmodifikovaný, že hovor prijímajúci policajt sa nemohol zdržať smiechu. No ale za chvíľu všetkým došlo, že je to doslova bomba na polícii a bolo potrebné konať. Vypli sa všetky počítače v kanceláriách a a Bratislavy štartoval vrtulník letky Ministerstva vnútra na palube s počítačovými špecialistami. Kým potom skontrolovali všetky počítače, bolo zastavené spracovanie a vydávanie občianskych preukazov, EČ motorových vozidiel a vlastne celá administratívna činnosť vykonávané na počítačoch bola zastavená. No proste vznikli škody za prestoje, let vrtulnika a náklady na expertov rádovo až v desiatkach miliónov korún. Nakoniec ale experti nezistili nič a nespadol ani jeden počítač. Prečo asi? Bol to obyčajný hoax, lebo niekto z popisovanej skupiny liptovských záškodníkov nepredpokladal, že policajti nechodia na ich stránku a podobné stránky, kde boli ďalšie články červa, napríklad šifrované kapsuly so zoznamom motovandalov z popisovaného združenia, zazipovaný archív a pod. A hlavne má Ministerstvo vnútra vytvorený bezpečnostný projekt pre počítačové siete na políciách a jednotlivé počítače majú realizované tzv. bezpečnostné nastavenia, na ktoré je väčšina vírusov a malware krátka. Keď potom záškodníci zistili že na polícii neuspeli, podnikali ešte ďalšie protiprávne kroky, ktoré popíšem inokedy. A keď neuspeli ani pri nich, začali to šíriť agresívne do celého sveta FACEBOOKOM. Veď ako by sa za pár dní rozšíril červ s inkubačnou dobou 7 a 10 dní do celého sveta po USB kľúčoch?
Takže teraz polícia pátra po vinníkoch a za poplašnú správu vinníkovi hrozí až 12 rokov basy. Všetky stopy smerujú k administrátorovi uvedenej stránky a osobám mu blízkym a nápomocným pri vykonývaní tejto záškodníckej činnosti (s nickami TOMOIQ, DANGER... pozrite AZET a FACEBOOK a uvidíte ich fotky). Viď na stránkach SYMANTECU je tiež dešifrovaný DOC súbor s fotkami a menami týchto vandalov, ktoré sa na červa z ich stránok nalepili.
Červ ZIMUSE ako taký je geniálny kus softvéru, ktorý odkryl niekoľko závažných bezpečnostných dier Windows, ktoré už Microsoft stihol zaplátať. No trvalo mu to dosť dlho. A tak isto sa poučil aj Eset, že aj takéto víry existujú. Žiaľ aj schopnosti odborníkov sú len obmedzené. Dosť dlho im trvalo, kým uznali že je to červ. Nakoniec na tom zarobili dosť pekne. A zarobili aj servismani PC.
Aj vyše 73 000 000 prístupv na stránku je asi celosvetový rekord! Všetko zlé je aj na niečo dobré.
A heslo: pozatvárajte všetkých výrobcov zápaliek, lebo ich pokradli aj deti, ktoré potom s nimi pozapaloval požiare?, platí aj tu. Nie ten kto vírus vyvinie z dôvodov testov penetrávie v lokálnych sieťach je vinný, ale ten kto ho ukradne a hlavne zákerne šíri do celého sveta. Tam už motív záškodníctva evidentne existuje.
Startovacou strankou bola http://www.offroad-lm.szm.com (sk). Pravdepodobne sa to pomocou hoaxovych mailov rozsirilo do celeho sveta. Niekto teda vlastni aj odcudzene zdrojove texty s vyse 50 000 riadkami zdrojovych textov.[/quote]
Dnes už disponujem ďalšími informáciami o tomto červovi. Od jedného nemenovaného servismana z PC servisu som sa dozvedel, že tento červ ZIMUSE bol šírený zákerne pomocou FACEBOOKU! Pozrite sa na spmínanú stránku liptovského Cross Club Liptov http://www.offroad-lm.szm.com. Všimnite si počítadlo, ktoré ako sa zistilo dodatočnou analýzou, natáčal im práve tento vírus. A ďakujú tvorcovi vírusu za popularizáciu ich stránky. Čo vás asi napadá?
Šírili ho aj na kópiách vraj strateného USB kľúča, ktorý im niekto podstrčil. Dokonca sa to dostalo aj na Daňový úrad v LM, kde sa zamestnanci v pracovnej dobe potom zaoberali pozeraním erotiky nakopírovanej na kľúči. Tento kľúč slúžil zároveň aj ako nástroj pomsty nemenovanému zamestnancovi istej frimy, ktorému chceli uškodiť, pretože otvorene vystúpil proti niektorým vandalom motorkárom zo spomínaného združenia.
A teraz ešte úžasná perlička okolo ZIMUSE červa:
Spomínaná skupina ľudí (skôr výrastkov na čele s dospelými jedincami) poslala na políciu v LM malého chlapca zo spomínaným originálom USB kľúča že ho akože niekde v okolí LM našiel. Dúfali pevne, že červ ZIMUSE nakopírovaný na kľúči nakazí počítače na polícii. Takže originál mala polícia. Po čase ktosi z nich zavolal na políciu v LM poplašnú správu, že USB kľúč obsahuje červa, ktorý vraj už zasvinil všetky počítače na polícii a majú čakať, že im za pár dní premaže všetky disky. Telefonát pochádzal vraj z telefónneho automatu na nemenovanom mieste, pravdepodobne v budove, lebo bolo počuť ozvenu a hlas bol tak čudne priškrtený a zmodifikovaný, že hovor prijímajúci policajt sa nemohol zdržať smiechu. No ale za chvíľu všetkým došlo, že je to doslova bomba na polícii a bolo potrebné konať. Vypli sa všetky počítače v kanceláriách a a Bratislavy štartoval vrtulník letky Ministerstva vnútra na palube s počítačovými špecialistami. Kým potom skontrolovali všetky počítače, bolo zastavené spracovanie a vydávanie občianskych preukazov, EČ motorových vozidiel a vlastne celá administratívna činnosť vykonávané na počítačoch bola zastavená. No proste vznikli škody za prestoje, let vrtulnika a náklady na expertov rádovo až v desiatkach miliónov korún. Nakoniec ale experti nezistili nič a nespadol ani jeden počítač. Prečo asi? Bol to obyčajný hoax, lebo niekto z popisovanej skupiny liptovských záškodníkov nepredpokladal, že policajti nechodia na ich stránku a podobné stránky, kde boli ďalšie články červa, napríklad šifrované kapsuly so zoznamom motovandalov z popisovaného združenia, zazipovaný archív a pod. A hlavne má Ministerstvo vnútra vytvorený bezpečnostný projekt pre počítačové siete na políciách a jednotlivé počítače majú realizované tzv. bezpečnostné nastavenia, na ktoré je väčšina vírusov a malware krátka. Keď potom záškodníci zistili že na polícii neuspeli, podnikali ešte ďalšie protiprávne kroky, ktoré popíšem inokedy. A keď neuspeli ani pri nich, začali to šíriť agresívne do celého sveta FACEBOOKOM. Veď ako by sa za pár dní rozšíril červ s inkubačnou dobou 7 a 10 dní do celého sveta po USB kľúčoch?
Takže teraz polícia pátra po vinníkoch a za poplašnú správu vinníkovi hrozí až 12 rokov basy. Všetky stopy smerujú k administrátorovi uvedenej stránky a osobám mu blízkym a nápomocným pri vykonývaní tejto záškodníckej činnosti (s nickami TOMOIQ, DANGER... pozrite AZET a FACEBOOK a uvidíte ich fotky). Viď na stránkach SYMANTECU je tiež dešifrovaný DOC súbor s fotkami a menami týchto vandalov, ktoré sa na červa z ich stránok nalepili.
Červ ZIMUSE ako taký je geniálny kus softvéru, ktorý odkryl niekoľko závažných bezpečnostných dier Windows, ktoré už Microsoft stihol zaplátať. No trvalo mu to dosť dlho. A tak isto sa poučil aj Eset, že aj takéto víry existujú. Žiaľ aj schopnosti odborníkov sú len obmedzené. Dosť dlho im trvalo, kým uznali že je to červ. Nakoniec na tom zarobili dosť pekne. A zarobili aj servismani PC.
Aj vyše 73 000 000 prístupv na stránku je asi celosvetový rekord! Všetko zlé je aj na niečo dobré.
A heslo: pozatvárajte všetkých výrobcov zápaliek, lebo ich pokradli aj deti, ktoré potom s nimi pozapaloval požiare?, platí aj tu. Nie ten kto vírus vyvinie z dôvodov testov penetrávie v lokálnych sieťach je vinný, ale ten kto ho ukradne a hlavne zákerne šíri do celého sveta. Tam už motív záškodníctva evidentne existuje.
Kurkumseh link: http://datafocus.sk.data20.websupport.sk/
Fúha, sila. Prečo však nikto nepovie že červ sa šíril len v aktualizáciami nezabezpečených PC. Čo to znamená? Asi len to, že nezabezpečené a neaktualizované verzie Windows boli pravdepodobne "čierne". Asi preto to bol penetračný test pirátskych verzií OS. Nainštalovať to však bolo možné lokálne aj na aktualizovaný OS. IQ test pre blbcov a falošne zaheslovaný ZIP selfextract. Gratulujem, fakt dobrý PENETRÁK pre odhalenie pirátov. A oni sa k tomu ešte priznali! Potom zostáva už len LAMPÁREŇ pre prijímanie sťažností.
