Dziś 1 kwietnia, a więc i prima aprilis dlatego dzisiejszą “prasówkę” trzeba traktować z dystansem, zwłaszcza gdy znajdźcie w niej jakieś sensacyjne wiadomości.

Właśnie dostałem od znajomego link do 2 wpisów w serwisie Niebezpiecznik, w których jest opisywany “rządowy tajny projekt” o kryptonimie ID29 (Projekt 29), czyli polski wojskowy wirus/trojan i to właśnie jemu (koledze, nie ID29) dedykuje ten wpis ;-)

Projekt 29 “prima aprilis 2015” w serwisie Niebezpiecznik

Jak zawsze ekipa z Niebezpiecznika przyłożyła się do swojego żartu, choć nie ustrzegli się też kilku wpadek.

Pierwszy wpis dotyczący ID29 został opublikowany już wczoraj w godzinach wieczornych, a dla uwiarygodnienia całej operacji znajdziemy w nim sporo prawdziwych informacji (Alladyn2 włamuje się do kancelarii premiera, prezydenta i MON) oraz “aktualnie nośnych tematów” jak choćby NATO, Rosja, inwigilacja, seryjny samobójca…

Zapewne by dodatkowo podkręcić napięcie pojawiały się aktualizacje wpisu, oraz zapowiedź publikacji wyników analizy trojana wraz ze sposobem sprawdzenia, czy również nasz komputer został zainfekowany.

Ogólnie wpis bez większych “wpadek”, choć może troszkę “zbyt sensacyjny” ;-)

Wyniki analizy wirusa/trojana Projekt 29 (ID29)

Dziś pojawił się kolejny wpis – z wynikami analizy działania trojana/wirusa, oraz – zgodnie z zapowiedziami – sposobem na sprawdzenie czy i nasz komputer jest zainfekowany.

Tu już mam wrażenie, że troszkę przesadzono i miejscami ma się wrażenie, że to żart.

f14950b970bc87ca183072dcdc40.pl

Kluczem jest domena pod która znajduje się serwer-matka (C&C):

f14950b970bc87ca183072dcdc40.pl

Domen zarejestrowana pod koniec marca – ale w końcu co tydzień jest nowa, więc to nie powinno dziwić. I to właśnie sprawdzając czy w cache DNS mamy odwołanie do niej ma upewnić nas w przekonaniu, że padliśmy ofiarą ID29.

Np. w systemie Windows możecie skorzystać z takiej komendy:

ipconfig /displaydns | findstr f1495

Nic u Was nie znalazło? Możecie odetchnąć z ulgą… Choć od razu wiadomo, że nie byliście ostatnio na Niebezpieczniku ;-)

WhoIS

Domena zarejestrowana jest w Aftermarket na firmę, ale niestety danych abonenta nie sprawdzimy – 10 zł wydane na ochronę prywatności robi swoje ;-)

Cloudflare

Ale z WhoIS dowiemy się, że domena jest schowana za Cloudflare, a więc łatwo nie poznamy faktycznego adresu IP serwera – zwłaszcza że domyślna subdomena “pomijająca Cloudflare” została skasowana:

direct.f14950b970bc87ca183072dcdc40.pl

Słusznie :-)

admin.f14950b970bc87ca183072dcdc40.pl

Ale ekipie z Niebezpiecnzika “udało się wytropić” za pomocą przeszukiwania “popularnych subdomen” niezabezpieczony adres:

admin.f14950b970bc87ca183072dcdc40.pl

Pod którym zgłasza się strona błędu:

Adres wskazuje na rządowy serwer:

IP: 91.208.93.177

Na którym znajdziemy m.in. hosta:

wp.mil.pl

A wp.mil.pl to:

Ministerstwo Obrony Narodowej

Przyznam, że pomysł z spreparowaniem tej subdomeny odpowiednim wpisem w DNSach bardzo dobry :-)

Wikimedia

Ale wystarczy wejść na adres bez “admin.” by zobaczyć troszkę mniej profesjonalnie przygotowaną stronę:

Na której znajduje się grafika z… Wikimedia:

<img src="http://upload.wikimedia.org/wikipedia/commons/thumb/b/b7/JWK_oznk_rozp_%282014%29_mund-pust.gif/93px-JWK_oznk_rozp_%282014%29_mund-pust.gif">

Co już wygląda trochę mniej profesjonalnie… ;-)

Jak to żart? Sprawdziłem i komputer faktycznie się łączył z podanym adresem!

Jeśli ktoś z Was sprawdził – zgodnie z radami w serwisie Niebezpiecnzik – czy system jest zainfekowany, to prawdopodobnie się okazało, że faktycznie jest… A przynajmniej tak wynika z historii zapytań DNS.

Jeśli ktoś z Was nie był ostatnio na Niebezpiecnziku, i zrobi test – zapewne w systemie nie znajdzie śladów tej infekcji…

A sprawcą jest sam Niebezpiecnzik, który kodzie strony dodał “obrazek”:

<img src='http://xxxxx.f14950b970bc87ca183072dcdc40.pl/pa.gif' width=3px height=3px>

Gdzie “xxxxx” to cyfry generowane prawdopodobnie losowo, a mające odpowiadać nadanemu nam “numerowi ofiary” ;-)