Rozmieszczone w różnych miejscach sieci Orange Polska specjalne sondy regularnie rozglądają się za ruchem sieciowym noszącym znamiona złośliwego (ach jak ja uwielbiam to określenie 🙂 ). Uzyskane z nich informacje służą między innymi do wytypowania malware’u, który powstrzymujemy w ramach CyberTarczy i pomyślałem sobie, że fajnie by było raz na jakiś czas przygotować także dla Was „małe co nieco”, rozjaśniające Wam kulisy działania złośliwego oprogramowania i tego, skąd biorą się statystyki malware na naszej stronie. Oczywiście bez wsparcia merytorycznego kolegów by się nie udało, więc splendor i orzeszki dla nich 🙂
Typ złośliwego oprogramowania i sposób jego działania analitycy CERT Orange Polska identyfikują na bazie jego konstrukcji i instrukcji zapisanych w kodzie. Dopiero wtedy można zaplanować, opracować i opublikować na stronach CyberTarczy informacje o sposobie zapobiegania, bądź – w najgorszym przypadku – leczenia.
Badając zdarzenia identyfikowane na próbce użytkowników internetu szerokopasmowego najczęściej wykrywamy infekcje w czasie rzeczywistym, tzw. Malware Objects. Są to pliki, po otwarciu których wykonywany jest złośliwy kod na urządzeniu ofiary. Mogą to być zarówno pliki wykonywalne (m.in. exe, czy bin), biblioteki dll oraz wszelkiego rodzaju archiwa bądź pliki tekstowe. Stanowią one ok. 15% całkowitej liczby wykrywanych alertów, infekując 1% tej części sieci, której jest analizowana przez nasze sondy.
Panuje opinia, iż większość infekcji pochodzi z serwisów zawierających nielegalne oprogramowanie, czy pirackie filmy. Infekcje plikami stanowią istotny odsetek, jednak nie dominują w zestawieniu. Jednym z głównych źródeł infekcji są natomiast usługi w chmurze (ostatnio sporą popularnością cieszy się Amazon Web Services). Cyber-przestępcy często atakują „chmury” indywidualnych użytkowników, przejmując od nich dane uwierzytelniające i podmieniając lub wstawiając nowe pliki z niechcianą zawartością.
Na przełomie maja i czerwca w szerokopasmowej sieci Orange Polska wyjątkowo aktywny był plik everything.exe, bez cienia wątpliwości pochodzący z Chin. Udawał on legalny element systemu Windows, wspomagający wyszukiwanie plików w systemach Microsoft. Złośliwy plik tworzył nowy procesu ServiceEverything.exe oraz kilka podprocesów, m.in. everything.exe. Procesy działały z nowo utworzonego katalogu Everything zlokalizowanego w katalogu C:\Users\NAZWA_UŻYTKOWNIKA\AppData (prawdziwy plik działa w folderze c:\Program Files) i odpowiedzialne były za nawiązanie komunikacji z chińską domeną xa.xingcloud.com. Wśród transmitowanych pakietów eksperci CERT Orange Polska rozpoznali m.in. treść charakterystyczną dla oprogramowania szpiegującego – żądania udostępnienia informacji na temat zawartości dysków ofiary oraz regularną komunikacje z kilkoma domenami m.in – thefacebooksinfo.com, up.soft365.com czy downktrpm.com.
A co zrobić, gdy nie jesteście pewni, czy „Wasz” everything.exe jest tym właściwym, albo wręcz macie pewność, że nie jest?
- uruchom Panel Sterowania, sprawdź, czy na liście zainstalowanych programów jest everything.exe
- jeśli jest – możesz dalej nie czytać, jest dobrze 🙂
- w Menu Start w oknie wyszukiwania wpisz „Usługi”; gdy pojawi się pozycja „Usługi” lub „Znajdź usługi lokalne” kliknij ją, potwierdź uruchomienie w trybie administratora
- znajdź na liście usługę ServiceEverything (polecam kliknięcie najpierw w belkę „nazwa”, by uporządkować usługi alfabetycznie)
- jeśli jej nie ma – możesz dalej nie czytać, jest dobrze 🙂
- kliknij na nazwę usługi prawym przyciskiem myszy, wybierz „Właściwości”
- jeśli w oknie, które się pojawi, ścieżka dostępowa wskazuje na c:\program files – możesz dalej nie czytać, jest dobrze 🙂
- jeśli nie jest dobrze, w oknie wyszukiwania wpisz cmd, a gdy pojawi się program cmd.exe – kliknij na ikonie prawym przyciskiem i wybierz „Uruchom jako administrator”
- w oknie linii komend wpisz sc stop serviceeverything [ENTER] sc delete serviceeverything [ENTER]
- znajdź katalog Everything w lokalizacji C:\Users\Twoja_Nazwa_UŻzytkownia\AppData i usuń go
- nie zaszkodzi przeskanowanie komputera oprogramowaniem antymalware