Łańcuszkowy atak na Gadu-Gadu
Dziennik Internautów ostrzegł przed wirusem, który rozprzestrzenia się przez Gadu-Gadu. I choć ja takiego linku nie dostałem, to jednak postanowiłem się wirusem zająć. A robakiem właściwie, bo zdaje się, że jedyne co robi, to rozprzestrzenia się. A co ciekawe, korzysta z listy kontaktów Gadu-Gadu, co jest nowością, i co jest specyficzne tylko dla polskiego Internetu.
Wszystko zaczyna się od linku ze stroną, która podobno otwiera się tylko pod Internet Explorerem. I jest to prawda, bo strona wykorzystuje kilka luk w najpopularniejszej przeglądarce, w celu skopiowania na komputer użytkownika oraz uruchomienia pliku o nazwie win32.exe. Sam kod strony został potraktowany jakimś obsfukatorem, ale po chwili zabawy da się odtworzyć wygląd skryptu i ustalić sposób jego działania.
Wykorzystywane są luki w ADODB.Stream (opisana przez US-CERT w alarmie TA04-184A już 2 czerwca 2004), którą także wykorzystywał na przykład trojan Downloader.Ject, do której dostępna jest poprawka. Warto spojrzeć do bazy danych Microsoft, do artykułu KB870669; luki w WScript.Shell; luka opisana w biuletynie MS06-014 i kilka innych. Cały skrypt exploita, oznaczony jako krytyczny i pochodzący z sierpnia 2006 dostępny jest na securitydot.net (wersja w VBScript).
Po ściągnięciu pliku, jest on wykonywany i dociągane są kolejne pliki wykonywalne. Potem następuje właściwa część ataku, program Gadu-Gadu jest uruchamiany, a jego lista kontaktów jest wykorzystywana do rozesłania automatycznej wiadomości o treści w stylu:
Odwiedź stronę [adres] :D Otwiera się tylko w IE
Wykorzystane adresy zawierają człon “kaczynski”, co sugeruje, że mogą być to jakieś dowcipy o urzędującym prezydencie. Popularność tychże to także popularność dla robaka. Większość programów antywirusowych nie reaguje na sam plik wykonywalny, BitDefender reaguje na atak dokonywany przez stronę internetową (słusznie uznaje to za Generic.XPL.ADODB.8D2C2D8A). Program BitDefender powiedział, ze jest to Trojan.Sillydl.B, Kaspersky Anti-Virus iż Trojan-Downloader.Win32.Vidlo.aj. Co oznacza, że jeden ze znanych wirusów został wykorzystany po prostu do pobrania innej aplikacji, która to wykonuje właściwy atak. Tutaj dziękuję balbardagramowi za to, że pobawił się z tym, i ustalił jak programy antywirusowe na to reagują.
Ze względu na to, że wykonanie tejże aplikacji odbywa się poprzez ntvdm.exe, to wskazuje, że została ona napisana w trybie 16-bitowym. Nie przetestowałem, czy wykorzystuje ona fakt, ze hasło użytkownika GG jest zapisywane w banalny sposób w pliku konfiguracyjnym, ale raczej jest wykorzystywane, bo wiadomości rozsyłane są z numeru zaatakowanego użytkownika (co może uśpić czujność znajomych). Być może nie zapisywanie hasła w programie może uchronić przed atakiem, tak jak i praca bez konta administratora, nie przetestowałem jeszcze takiej sytuacji.
Przygotowałem jednak wczoraj wieczorem screencast (WMV, 2,5 MB, Xvid, 1,4 MB, OGG/Theora, 1,9 MB lub Google Video) obrazujący przebieg ataku, na kompletnie “gołym” Windows XP SP2, z zainstalowanym Gadu-Gadu 7.6, na wbudowanym koncie administratora (tak, aby były wszystkie uprawnienia możliwe), z włączoną zaporą, bez antywirusa. Nie sprawdzałem jak zachowuje się to na koncie z ograniczonymi uprawnieniami, nie demonstrowałem też samego ataku przez przeglądarkę.
Nie wiem, czy robak robi cokolwiek jeszcze oprócz rozesłania się, zajmuje procesor, ale z pobieżnego badania File Monitorem wynikło, że nie ściąga nowych plików, a tylko i wyłącznie “zżera” czas procesora.
Domeny, z których dokonywany jest atak to jak dotąd:
- arunalu.net (prawdopodobnie atak już niemożliwy)
- bahwal.com
- www.rue6.de
Jak pisał Luke Mica – trzeba po prostu myśleć, i uważać. Dla pewności zapytać naszego znajomego co to za link nam wysłał. No i oczywiście – najlepiej nie korzystać z Internet Explorera.
[tags]screencast, Internet Explorer, worm, Gadu-Gadu, attack, security[/tags]
PS. Obiecuję, że jeszcze jeden download filmiku w innym formacie udostępnię, na Google Video jakość jest słaba, wiem.
PPS. Dostępne dwa nowe formaty screencastu do pobrania, jeśli kogoś interesuje.
Dodane: Wczoraj, 26 grudnia, swój atak zaczął nowy wariant robaka. Działa dokładnie tak samo jak poprzedni, ten sam mechanizm ataku typu JS.Downloader, atak na Firefoksa poprzez wtyczkę do Windows Media Player. Opery z mojej wiedzy atak nie dotyka.
To, że ktoś ma Tlen czy cokolwiek innego, nie jest ważne, ważne jest, że posiada na dysku program Gadu-Gadu, oraz profile z zapisanymi kontaktami i hasłem. Gdy tego nie ma, to atak się nie może powieść. Ze względu na to, że robak wysyła linki do siebie samego z konta zaatakowanego użytkownika, to działanie zaczyna filtr antyspamowy GG i wiadomości wychodzące i przychodzące są blokowane na jakiś czas (bodajże 72 godziny). Trzeba zwrócić się do tech@gadu-gadu.pl z prośbą o pomoc, jeżeli chcecie odblokować swoje konto.
Rozwiązanie problemu jest jasne. Nie klikać w nieopisane linki.
Październik 28, 2006 godzina 19:59
niezła analiza
ale mimo zabezpieczeń i tak wiadomo, że najsłabszym ogniwem jest ciało między monitorem a krzesłem ;-)
Październik 29, 2006 godzina 00:31
spotkalem sie z masowym rozsylaniem emaili, zmianami adresu mac, restartowaniem i uszkodzeniem (nie wstawal) systemu przez tego wirusa. Rozsylany byl do komputerow w mojej sieci z jeszcze innych adresow niz podane przez Ciebie.
Październik 29, 2006 godzina 18:35
trzeba po prostu myśleć… nigdy nie otwieram linków, nawet od znajomych… chyba że widzę link typu adres.pl/folder/coś.jpg cos.swf itp….
trzeba po prostu myśleć…
Październik 30, 2006 godzina 18:56
Lisiak: a słyszałeś o mod_rewrite?
Październik 30, 2006 godzina 19:00
…albo po prostu “coś.jpg” może to być katalog, a w nim index.php z odpowiednią zawartością.
// sorry, za drugi post.
Październik 30, 2006 godzina 23:04
Lisiak: Albo czy słyszałeś o dziurach w module GDI+ przez co JPEG potrafił wykonać zdalnie kod? Albo o dziurach w obsłudze plików WMF? Nawet niewinne pliki graficzne mogą być niebezpieczne ;-)
A tak swoją drogą to Coldpeer niezły pomysł podsunął…
Listopad 4, 2006 godzina 03:03
A ja używam FIREFOXA i KONNEKTA i u mnie nic złego się nie działo :) Nie dość że firefox tego nie łapał to konnekt inaczej zapisuje dane użytkownika przez co wirus mimo wszystko by się nie mógł rozprzestrzenić :) Dobrze rozumuje? Kolejny powód aby nie używać IE i GG
Listopad 5, 2006 godzina 11:19
No i znowu atakuje ;))
Wiadomosc
“mój album http://album.e-designweb.com/album16089.php”
Dostalem juz kilka razy..
Listopad 5, 2006 godzina 11:49
no chyba zaczyna działać pod innymi, dostałem od kumpla coś takiego, http://www.yojane.com/img18992.jpg uruchomiłem pod firefoxem, gg też mi wtedy odpaliło (używam tlena), no to zainstalowałem antywirusa i w katalogu firefoxa jakiś trojan się znalazł
Listopad 5, 2006 godzina 14:46
Mam gg 6.0 i nie zauważyłem nic niepokojącego, czyżby atakował tylko nowsze wersje gg ?? Może ktoś zna odpowiedź.
Listopad 5, 2006 godzina 19:36
Czy macie jakis skuteczny sposob zeby pozbyc sie teggo wirusa? skanowalem juz chyba wszystkimi antywirusami,niby znajduje jakies wirusy i je usuwa ale dalej to samo sie dzieje :-( blokuje http://www.Tydzien wydawalo mi sie ze go usunolem bo byl spokoj ale od wczoraj znowu zaczelo mi blokowac www .dziekuje za pomoc
Listopad 6, 2006 godzina 01:02
Ja mam gg7.6 z power projectem blokującym spam, ff2.0 i antywirus – avast. Ani razu nie dostałem takiej wiadomości, dowiedziałem sie o tym dopiero od kumpla w klasie pare dni temu. Wniosek ? Jak korzysta sie z dobrego oprogramowania i umie sie myśleć, to nic nam nie grozi. No chyba, że musiałby to być bardzo sprytny trojan, ale to sie zdarza raz na 1000 lat :P
Listopad 6, 2006 godzina 23:40
hahah i poradzilem sobie :-) to nie jest wirus a program :-)
Listopad 11, 2006 godzina 11:29
To to samo… [oczywiscie nie otwierajcie ich]
http://www.jettechcorp.com/link11747.jpg
http://www.districttherapy.com/img19056.jpg
Listopad 11, 2006 godzina 15:20
http://www.jettechcorp.com/link17447.jpg
jak usunac to ciulstwo z kompa pomoze ktos?
Listopad 11, 2006 godzina 17:46
Trafiłam tu bo mam problem ;/ prosze niech ktoś napisze co z tym zrobić….. :(
http://www.districttherapy.com/img19224.jpg
Listopad 11, 2006 godzina 17:49
A co sie dzieje jesli stronka zostanie otwarta pod netscape 8.1?
Listopad 11, 2006 godzina 18:00
Acha zapomniałam dodać ze stało sie to pod Firefoxem ;/
Listopad 11, 2006 godzina 20:04
apsik: Widać gotowy jest nowy wariant ataku poprzez jakieś błędy przeglądarki Firefox. Nie potwierdzam co prawda, u mnie na Firefox 2.0 nie pojawiło się nic, oprócz błędu JS na podanej stronie. Być może nie masz zaktualizowanej wersji przeglądarki.
Andrzej: Jeżeli są błędy w przeglądarce Netscape 8.1, to może atak zostać wykonany, skoro na Firefoksa podobno się udał.
apsik, deba: Wirus z jakim ja miałem do czynienia po wykonaniu ataku jedyne co robił, to autodestrukcja. Jak to wygląda obecnie – nie podpowiem, trzeba popatrzeć po jakiś forach w poszukiwaniu rozwiązania.
Choć spróbuję spojrzeć co to robi teraz.
Listopad 11, 2006 godzina 22:35
Witam
Tez dostalem tego trojana (albo wirusa) z linku w tym stylu: http://www.jettechcorp.com/link17447.jpg
to jest chyba cis innego niz wyzej opisany trojan poniewaz bitdefender nic nie znajduje :( ta wersja jest chyba gorsza bo za kazdym razem jak wlaczam kompa to probuje rozsylac jakies wiadomosci mailem (pokazuje mi sie ponad 30 skanow poczty przez norton internet security). nie wiem co z tym zrobic :/ wkurza mnie to… moze ktos napisac jak to zwalczyc i usunac? z gory dzieki.
Pozdro, Rafał
Listopad 12, 2006 godzina 00:46
Wersja pod netscape przekierowuje na inna stronke na ktorej jest obiekt otwierany windows media playerem, nie czekalem az sie wlaczy ;) skan clamwinem i mksem nic nie pokazal, zadnych podejrzanych procesow, komp zachowuje sie normalnie, bylbym spokojniejszy jak bym cos znalazl.
Podejrzany kod (wget na dysk a potem cat) pokazuje ze wszystko sie opiera na skryptach javy, moze pora je wylaczyc dla strefy “untrusted” ;)
Listopad 14, 2006 godzina 23:44
Witam!
I ja sie wpakowalem w to gowno !!! Zanim skapnolem sie, ze to wirus, otworzylem wszystkie mozliwe linki :/ Uzywam najnowszego TLENa, ale i IE uzywam.
Dostalem linki:
http://www.districttherapy.com/ img13596.jpg
http://www.districttherapy.com/ img12416.jpg
http://www.jettechcorp.com/ link10586.jpg
http://www.jettechcorp.com/ link20130.jpg
http://www.jettechcorp.com/ link10085.jpg
(dalem spacje, aby nikt nie nacisnal przypadkiem)
Oczywiscie kliknelem wszystkie 5. Co sie stalo?
Zaatakowalo mi proces Svhost. Sfiksowal mi i mam aktywnosc na portach (dosc egzotycznych) Laczy sie z serwerami poczty. Antywirus skanuje poczte (Avast!), chociaz nic nie wysylam.
Uzylem skanerow on-line i nic. A maile sie sla. Jak narazie zablokowalem proces firewallem i ucichlo. Ale zagrozona jest przezemnie wiara. Slyszal ktos cos o jakiejs odtrutce?
Niezle sie ktos zabawil ;) Moze narazie nic nie robi? A co bedzie, jezeli niszczy po czasie :> ? POGROM!!!
Pozdrawiam i licze na odpowiedz! Slew
Listopad 15, 2006 godzina 00:04
Poczukalem w necie!
Wirusy takie i trojany zasypuja siec juz od kilku lat. Ale teraz to chyba jakos masowo. U mnie w budzie co chwila ktos.
http://www.elektroda.pl/rtvforum/topic413214-30.html
http://di.com.pl/news/15030,Uwaga_na_lancuszkowy_wirus_na_Gadu-Gadu.html
http://forum.webhelp.pl/viewtopic.php?t=112741
Listopad 19, 2006 godzina 01:41
Ja dostałem 2:
to jest bardzo dziwne http://www.sunlitspace.com/artykul10784.html
i
artykuł http://www.dearbernard.com/dobre13407.shtml
Listopad 19, 2006 godzina 13:12
I jeszcze
wybuch w niemczech http://www.supercqb.com/material_2006_19_11_20618.html
Listopad 19, 2006 godzina 13:47
Shmi, tez to dostalem i… kliknalem:/ Masz jakas rade?
Pozdrawiam
Listopad 19, 2006 godzina 15:53
ja wszedlem na to i nie moge właczyc kompa bo jest bład i dysk siada
Listopad 19, 2006 godzina 18:20
zrobcie sobie przywrocenie systemu do poprzedniej wersji, np sprzed dwoch dni, wirus sie nadpisal nad plik systemowy i dlatego wiekszosc anty wirow go nie widzi…ja dostalem o katastrofie w niemczech…ale na szczescie nie otoworzylem, ale i tak samo sie rozeslalo…
zycze powodzenia
Listopad 19, 2006 godzina 18:24
ROTFL :D DOBRZE WAM TAK!
PYTAJCIE TERAZ O ANTYWIRY, SPYREMOVY I INNE BADZIEWIA :D TYLKO NIE KRAŚĆ! ZAPŁACIĆ ZA PRODUKTY… PROGRAMIŚCI SIĘ NAPRACOWALI, A WY CO? WINDOWSY TEŻ LEGALNE POKUPOWAĆ, A NIE BIEDNEGO BILLA OKRADAĆ :)
I POMYŚLEĆ, ŻE WYSTARCZY MIEĆ LINUXA I MOŻNA ŚMIAĆ SIĘ Z ATAKÓW NA WASZE GG I INTERNET EXPLORERY I INNE SMIECI :) NAWET ANTYWIRUSA NIE MAM :D
ALE ZABY NIE BYLO – NA KAZDY LINK, KTÓRY DOSTALEM KLIKALEM… JESTEM SOLIDARNY :)
JEST TAKA MODA, ŻE USERZY LINUXA I INNYCH LEPSZYCH SYSTEMÓW WYSYŁAJĄ SOBIE WIRUSY HONOROWE KIEDY JEST PLAGA NA WINDOWSIE – BRZMIĄ TAK:
Dla wszystkich użytkowników Linuksa, uniksow, BeOSa, OS/2, MacOSa i innych systemów, którzy poczuli się w ostatnich dniach wyłączeni z ogólnoświatowej wspólnoty użytkowników komputerów i chcą wyrazić swoja solidarność:
To jest wirus honorowy.
Po przeczytaniu roześlij go komu tylko możesz i skasuj sobie na chybił trafił trochę plików.
ALE MĘCZCIE SIĘ NA WINDOWSIE :D JAK WSZYSCY BĘDA NA LINUXIE TO NIE BĘDZIE SIĘ Z KOGO ŚMIAĆ :)
NARAZIE
Listopad 19, 2006 godzina 18:32
Lisiak napisał(a):
> chyba że widzę link typu
> adres.pl/folder/coś.jpg cos.swf itp.
W minutę można zrobić stronkę która będzie zawierała zwykłą strone html (z wirusem) pod takim adersem jak podajesz :)
BTW świetne zabezpieczenie – nie otwierać linków :D Może wyłącz komputer :D Wot myślenie :D
Listopad 19, 2006 godzina 18:59
wlasnie dostalam o tym artykule w niemczech i klknelam;/ bo przeslal mi to kumpel;/;/ probowalam przez przywracanie systemu i nie pomaga;/ zaden komunikator nie dziala tzn nie ludzie nie dostaja tego co do nich pisze ehh….macie jakąs rade??
Listopad 19, 2006 godzina 19:23
ja zrobilem restart systemu i jest ok, poskanuj sobie na mks vir na skanerze online, mi wywalilo kilka trojanow…
Listopad 19, 2006 godzina 20:11
Ja zostałęm zainfekowany ; ( Wysłała mi to dziewczyna a ja bez żadnych podejrzeń otworzyłęm link. Komp do formata i tyle.
Listopad 19, 2006 godzina 22:06
O rany, ale się komentarzy namnożyło. Obecnie powiem tak – faktem jest, że nowa wersja wirusa atakuje także Firefoksa oraz że wysyla masowo e-maile. Podobno mozna się szkodnika pozbyć programem Bezpiecznik od ludzi z Gadu-Gadu sp. z.o.o. i CERT (http://bezpieczne.gadu-gadu.pl/).
Możliwością zabezpieczenia, najlepszą, jest pytanie się znajomych co to za link wysłali, zanim się kliknie i go otworzy. Oczywiście używanie firewalla, konta z ograniczonymi uprawnieniami zamiast administratora, alternatywnych wobec Gadu-Gadu programów, czy systemów Linux/Unix/MacOS/Windows x64 czy jakichkolwiek innych też pomoże w pewnym stopniu ;-)
Listopad 21, 2006 godzina 17:23
Też zostałem zainfekowany – dostałem linka od znajomego. Kaspersky coś znalazł i usunął, potem Ad Aware jeszcze coś znalazł i usunął,potem bezpiecznik GG nic nie znalazł, a widze że otwarte jest kilka portów i ciągle pobierają się pakiety mimo że wszystko jest powyłączane.
Czy komuś udało się usunąć to paskudztwo?
Mam wrażenie że on się aktualizuje.
Listopad 21, 2006 godzina 18:38
zrob sobie przywrocenie systemu, po prostu nadpisal sie nad twoj plik systemowy i go inaczej nie wywalisz…
daj sobie date np spzed dwoch dni…
u mnie pomoglo, sprawdzalismy z kumplem czy dalej nie dziala na moich i jego portach i jest w porzadku…
zycze powodzenia
a tak wogole to wirus pochodzi z Ukrainy…sprawdzilismy IP:)
Listopad 21, 2006 godzina 19:04
Nie mam włączonego przywracania systemu ponieważ ostatnio jak sobie przywróciłem to mi pokasował wszystkie pliki exe które były zapisane na wszystkich partycjach po danej dacie.
Ale mam obraz ghost’a więc sobie przywróce (tyle że kilka programów musze również doinstalować i zmienić troche ustawień) skoro nie ma innego sposobu.
Potem sobie włącze przywracanie systemu (ale tylko dla dysku c) -kiedyś może się przydać.
Listopad 23, 2006 godzina 10:30
wczoraj nastąpił kolejny atak, tym razem na stronie http://z 52gb1aknf8m.az.pl/ było coś ładnego ukrytego…nie otowrzyłem ale ostrzegam wszystkich gdyż nie wiem coż to za badziew…kumpel też dostał…
Grudzień 1, 2006 godzina 21:14
[...] Odnalazłem jeszcze parę innych interesujących informacji (np. tu i tu) i okazuje się, że nie tylko ja otrzymywałem takie wiadomości. Ciekawe jest tylko to, że ja otrzymałem taką wiadomość po przeszło 1,5 miesiąca od pierwszych sygnałów o takich działaniach. [...]
Grudzień 18, 2006 godzina 18:20
Wczoraj dostałem takie świństwo przez gg, potem rozesłało się dalej do osób z listy kontaktów… Otworzyłem Firefoxem niewinnie wyglądającego linka do obrazu JPG, jednak obraz nie chciał się odpalać, a później wywaliło mi zupełnie w kompie sieć. Tzn niby łączy się z siecią, mam adres IP, ale ani gg, ani nic innego nie chodzi i to zarówno pod Windą jak i pod Linuxem (mam dwa systemy na kompie). Jak sobie z tym poradzić?? Pierwszy raz się z czymś takim spotykam…
Grudzień 26, 2006 godzina 22:53
Hmm .. no nie powiem ładnie sobie ktoś zaszalał …. oczywiscie przywrocenie zapasówki pomaga ale nie zawsze.. np u mnei nie pomoglo .. wkurzylem sie i zrobielm formata bo i tak mialem nowego wina czystego zainstalowanego nico nie bylo ..
http://www.jhjhaliwgpee. info- Firefoxa atakuje rowniez
co do opery to nie wiem … xD
Grudzień 26, 2006 godzina 23:49
dzisia rozesłany został link do pewnej strony, kumpela otworzyła i od tego momentu ludzie nie dostaja tego co do nich pisze, a i do wszystkich z jej listy kontaktów został wysłany link ja sam otworzyłem ale naszczescie nic złego sie nie wydarzyło
postanowiła zmienic nr gg i po chwili doszedł do niej link od tej samej kumpeli co wczesniej ale juz go nie otwaorzyła
Grudzień 26, 2006 godzina 23:56
Nowy atakuje na operze i IE
I to ze ktos ma tlen nie pomaga.
Grudzień 27, 2006 godzina 03:23
Ludzie, proszę Was, MYŚLCIE! – czy wszyscy userzy gg to idioci?
- Jeżeli nie macie firewalla:
http://www.jetico.com/jpfwall.exe
darmowy,leciutki,skuteczny. I myślcie zanim wpuścicie jakiś syf do kompa, jeżeli program zapyta się o jakiś proces, a Wy go nie znacie to ciach bach do gugla, klikacie jego nazwę i voila.
- Nie macie antywira? OK, to przynajmniej skanujcie raz dziennie kompa online mks’em:
http://www.mks.com.pl/skaner/
- Atakuje firefox’a ? OK, zainstalujcie:
https://addons.mozilla.org/firefox/722/ (spróbujcie wejść na ‘dzisiejsze’ linki gg z włączonym noskriptem ;->, dobre nie? )
I pozwólcie tylko zaufanym stronom otwierać ‘js’
btw. noscript skutecznie filtruje różnorakie adeservery, więc macie narzędzie i do ochrony i do blokowania syfu reklamowego.
Co jeszcze hmmm, WINDOWS UPDATE,
Ja wiem, nie każdego stać na windowsa i takie tam blabla, ale kurcze jest tyle metod aby ściągnąć poprawki że głowa boli.
Pamiętajcie sp2 NIE WYSTARCZY – w ciągu tych kilkunastu miesięcy powstało mnóstwo exploitów na bazie luk na które MS WYDAŁ ŁATY.
Na koniec zacytuje słowa niejakiego ‘Marcin1979′ z forum myapple:
‘
Zauwaz, ze jak wiesza sie Windows to wiekszosc ludzi pisze: “ale ten win$hit jest zrypany, caly czas sie wiesza”. Jezeli sa problemy z innym systemem to pytania sa innego typu: “moze to problem sprzetowy?”, “czy masz wszystkie aktualizacje?”. Polecam zadanie sobie tych pytan rowniez wtedy, gdy wiesza sie Windows’
Grudzień 27, 2006 godzina 12:13
Wczoraj, 26 grudnia, swój atak zaczął nowy wariant robaka. Działa dokładnie tak samo jak poprzedni, ten sam mechanizm ataku typu JS.Downloader, atak na Firefoksa poprzez wtyczkę do Windows Media Player. Opery z mojej wiedzy atak nie dotyka.
To, że ktoś ma Tlen czy cokolwiek innego, nie jest ważne, ważne jest, że posiada na dysku program Gadu-Gadu, oraz profile z zapisanymi kontaktami i hasłem. Gdy tego nie ma, to atak się nie może powieść.
Ze względu na to, że robak wysyła linki do siebie samego z konta zaatakowanego użytkownika, to działanie zaczyna filtr antyspamowy GG i wiadomości wychodzące i przychodzące są blokowane na jakiś czas (bodajże 72 godziny). Trzeba zwrócić się do tech@gadu-gadu.pl z prośbą o pomoc, jeżeli chcecie odblokować swoje konto.
Rozwiązanie problemu jest jasne. Nie klikać w nieopisane linki.
Grudzień 27, 2006 godzina 17:52
Też dostałem tego linka: jhjhaliwgpee.info a że mam linuxa toteż nic mi się nie stało.
Czyżby to był kolejny wirus typu proof-of-concept?
Z ciekawości muszę koniecznie sprawdzić co ten wirus zrobi na moim vmware z zainstalowanym WinXP.
Grudzień 29, 2006 godzina 13:55
Czy IE 7 też ma dziury w zabezpieczeniach?
Luty 19, 2007 godzina 20:06
Witam. Po pierwsze: przepraszam, ze odświezam stary temat. Po drugie: kiedys (listopad/grudzień) dostałem od znajomego wiadomość:
‘to jest mój album
http://link.do.jakies.strony/‘
Po wejsciu załadowala sie fotka jakiegos kiepskiego DJ. Myśle sobie ‘olać to’
Za jakis czas pisze do mnie znajomy. Jak zwykle mu odpisalem. Po jakims czasie napisal ‘Czemu nie piszesz?’
Okazało sie, ze jakis syf zablkowal mozliwość wysyłania wiadomośći (Miałem zainstalowanego Tlena, nie mialem gadu na kompie). Musialem pisac z nim przez opisy :P
Jeśli ktoś wie, co to byl za syf, to bede wdzięczny za info.
Lipiec 11, 2007 godzina 00:29
[...] jeszcze parę innych interesujących informacji (np. tu i tu) i okazuje się, że nie tylko ja otrzymywałem takie wiadomości. Ciekawe jest tylko to, że ja [...]
Wrzesień 15, 2007 godzina 02:04
World Wide Web Resources…
I couldn’t understand some parts of this article, but it sounds interesting…
Wrzesień 16, 2007 godzina 08:47
[...] być może jakieś trojany atakujące czy to Internet Explorera czy Firefoksa, jak pokazywał ten Łańcuszkowy atak na Gadu-Gadu sprzed blisko [...]
Marzec 25, 2008 godzina 20:02
Można w IE ustawić strefy zabezpieczeń na najwyższy oprócz stref zaufanych. To na pewno zwiększy bezpieczeństwo.
Poza tym na starych komputerach najszybciej chodzi IE.
Marzec 28, 2008 godzina 11:53
@Tomek: Szybkość działania IE to MIT. IE wydaje się działać szybko dlatego, że cały czas siedzi w pamięci, jak masz odpalony system operacyjny. Wszystko robi jednak o wiele wolniej niż alternatywne przeglądarki. Polecam poczytać http://browsehappy.pl/