Envato Elements - pobieraj co chcesz, ile chcesz

Dziś 1 kwietnia, a więc i prima aprilis dlatego dzisiejszą „prasówkę” trzeba traktować z dystansem, zwłaszcza gdy znajdźcie w niej jakieś sensacyjne wiadomości.

Właśnie dostałem od znajomego link do 2 wpisów w serwisie Niebezpiecznik, w których jest opisywany „rządowy tajny projekt” o kryptonimie ID29 (Projekt 29), czyli polski wojskowy wirus/trojan i to właśnie jemu (koledze, nie ID29) dedykuje ten wpis ;-)

Projekt 29 „prima aprilis 2015” w serwisie Niebezpiecznik

Jak zawsze ekipa z Niebezpiecznika przyłożyła się do swojego żartu, choć nie ustrzegli się też kilku wpadek.

Pierwszy wpis dotyczący ID29 został opublikowany już wczoraj w godzinach wieczornych, a dla uwiarygodnienia całej operacji znajdziemy w nim sporo prawdziwych informacji (Alladyn2 włamuje się do kancelarii premiera, prezydenta i MON) oraz „aktualnie nośnych tematów” jak choćby NATO, Rosja, inwigilacja, seryjny samobójca…

Zapewne by dodatkowo podkręcić napięcie pojawiały się aktualizacje wpisu, oraz zapowiedź publikacji wyników analizy trojana wraz ze sposobem sprawdzenia, czy również nasz komputer został zainfekowany.

Ogólnie wpis bez większych „wpadek”, choć może troszkę „zbyt sensacyjny” ;-)

Wyniki analizy wirusa/trojana Projekt 29 (ID29)

Dziś pojawił się kolejny wpis – z wynikami analizy działania trojana/wirusa, oraz – zgodnie z zapowiedziami – sposobem na sprawdzenie czy i nasz komputer jest zainfekowany.

Tu już mam wrażenie, że troszkę przesadzono i miejscami ma się wrażenie, że to żart.

f14950b970bc87ca183072dcdc40.pl

Kluczem jest domena pod która znajduje się serwer-matka (C&C):

f14950b970bc87ca183072dcdc40.pl

Domen zarejestrowana pod koniec marca – ale w końcu co tydzień jest nowa, więc to nie powinno dziwić. I to właśnie sprawdzając czy w cache DNS mamy odwołanie do niej ma upewnić nas w przekonaniu, że padliśmy ofiarą ID29.

Np. w systemie Windows możecie skorzystać z takiej komendy:

ipconfig /displaydns | findstr f1495

Nic u Was nie znalazło? Możecie odetchnąć z ulgą… Choć od razu wiadomo, że nie byliście ostatnio na Niebezpieczniku ;-)

WhoIS

Domena zarejestrowana jest w Aftermarket na firmę, ale niestety danych abonenta nie sprawdzimy – 10 zł wydane na ochronę prywatności robi swoje ;-)

CloudFlare

Ale z WhoIS dowiemy się, że domena jest schowana za CloudFlare, a więc łatwo nie poznamy faktycznego adresu IP serwera – zwłaszcza, że domyślna subdomena „pomijająca CloudFlare” została skasowana:

direct.f14950b970bc87ca183072dcdc40.pl

Słusznie :-)

admin.f14950b970bc87ca183072dcdc40.pl

Ale ekipie z Niebezpiecnzika „udało się wytropić” za pomocą przeszukiwania „popularnych subdomen” niezabezpieczony adres:

admin.f14950b970bc87ca183072dcdc40.pl

Pod którym zgłasza się strona błędu:

niebezpiecznik_prima-aprilis-2015_01

Adres wskazuje na rządowy serwer:

IP: 91.208.93.177

Na którym znajdziemy m.in. hosta:

wp.mil.pl

A wp.mil.pl to:

Ministerstwo Obrony Narodowej

Przyznam, że pomysł z spreparowaniem tej subdomeny odpowiednim wpisem w DNSach bardzo dobry :-)

Wikimedia

Ale wystarczy wejść na adres bez „admin.” by zobaczyć troszkę mniej profesjonalnie przygotowaną stronę:

niebezpiecznik_prima-aprilis-2015_02

Na której znajduje się grafika z… Wikimedia:

<img src="http://upload.wikimedia.org/wikipedia/commons/thumb/b/b7/JWK_oznk_rozp_%282014%29_mund-pust.gif/93px-JWK_oznk_rozp_%282014%29_mund-pust.gif">

Co już wygląda trochę mniej profesjonalnie… ;-)

Jak to żart? Sprawdziłem i komputer faktycznie się łączył z podanym adresem!

Jeśli ktoś z Was sprawdził – zgodnie z radami w serwisie Niebezpiecnzik – czy system jest zainfekowany, to prawdopodobnie się okazało, że faktycznie jest… A przynajmniej tak wynika z historii zapytań DNS.

Jeśli ktoś z Was nie był ostatnio na Niebezpiecnziku, i zrobi test – zapewne w systemie nie znajdzie śladów tej infekcji…

A sprawcą jest sam Niebezpiecnzik, który kodzie strony dodał „obrazek”:

<img src='http://xxxxx.f14950b970bc87ca183072dcdc40.pl/pa.gif' width=3px height=3px>

Gdzie „xxxxx” to cyfry generowane prawdopodobnie losowo, a mające odpowiadać nadanemu nam „numerowi ofiary” ;-)

(!) Zgłoś błąd na stronie
Potrzebujesz profesjonalnej pomocy? Skontaktuj się z nami!
Spodobał Ci się artykuł? Zapisz się do naszego Newslettera - ZERO SPAMu, same konkrety, oraz dostęp do dodatkowych materiałów przeznaczonych dla subskrybentów!
Na podany adres e-mail otrzymasz od nas wiadomość e-mail, w której znajdziesz link do potwierdzenia subskrypcji naszego Newslettera. Dzięki temu mamy pewność, że nikt nie dodał Twojego adresu przez przypadek. Jeśli wiadomość nie przyjdzie w ciągu najbliższej godziny (zazwyczaj jest to maksymalnie kilka minut) sprawdź folder SPAM.
Roztańczona Karolina dzięki motywowi Divi od Elegant Themes właśnie skończyła pierwszą stronę
WebInsider poleca księgowość wFirma
WebInsider korzysta z VPSa w HitMe.pl
WebInsider poleca VPSy DigitalOcean
WebInsider poleca serwis Vindicat
Napisz komentarz
wipl_napisz-komentarz_01Jeśli informacje zawarte na tej stronie okazały się pomocne, możesz nam podziękować zostawiając poniżej swój komentarz.

W tej formie możesz również zadać dodatkowe pytania dotyczące wpisu, na które – w miarę możliwości – spróbujemy Ci odpowiedzieć.
Linki partnerskie
Niektóre z linków na tej stronie to tzw. „linki partnerskie”, co oznacza, że jeśli klikniesz na link i dokonasz wymaganej akcji (np. zakup/rejestracja) możemy otrzymać za to prowizję. Pamiętaj, że polecamy tylko te produkty i usługi, z których sami korzystamy, i uważamy, że są tego na prawdę warte… :-)
Znaki towarowe i nazwy marek
W niektórych wpisach (oraz innych miejscach na stronie) mogą być przedstawione/użyte znaki towarowe i/lub nazwy marek, które stanowią własność intelektualną tych podmiotów, a zostały użyte wyłącznie w celach informacyjnych.
Na WebInsider.pl korzystamy z motywu Extra od Elegant Themes. Zobacz dlaczego...