Распространение ISTbar через подложные уpлы Gnutella2

Нашествие недобросовестных дельцов в P2P. ISTbar must die.

Как в сказке ”Терем - теремок”, в P2P сети пришла беда в виде медведя - ISTbar. В открытых сетях появились узлы, которые на любой поступивший запрос возвращают ссылку на архив, содержащий AdWare, или зараженный файл wma, который, используя уязвимость Windows Media Player, выкачивает ISTbar из Интернет. Причем результаты поиска неизменно представлены rar, zip, ace архивами с названием файла, полностью соответствующим строке запроса. Для увеличения привлекательности для конечного пользователя результату присваивается максимальный рейтинг.
Мир свободных сетей оказался не готов к такой подлости, количество зараженных файлов растет в сети как снежный ком, особенно для популярных запросов. Количество зараженных машин так же возрастает с катастрофической скоростью.

Что бы не быть голословным, предлагаю всем желающим повторить следующий эксперимент:
1.) Вводим в строку поиска произвольные цифры и буквы, в моем случае это были ”14554215 srvzh kdkjf”.
2.) Через некоторое время оказывается, что файлы с таким именем существуют, их даже довольно много и все имеют рейтинг *****.
3.) Скачиваем один из файлов и смотрим, что внутри архива. А там оказывается либо файл setup.exe c ISTbar, либо файл 1.wma, при попытке прослушать который опять же происходит заражение компьютера IST bar.

Но как говорится, чем дальше в лес, тем толще партизаны. Через некоторое время оказывается, что файлы ”14554215 srvzh kdkjf” очень популярны у народа ;) и их начинают качать чуть ли не каждые три - четыре минуты. Этот парадокс вызван тем, что практически во всех P2P сетях поиск источников для известных файлов ведется не по именам, а по содержанию (вернее, по контрольным суммам). «Вражеский» узел возвращает в ответ на запрос ссылку на зараженный файл у себя и контрольную сумму этого файла, а ваш p2p клиент находит такие же файлы на других узлах сети (которые уже скачивали подобные файлы, но по другим запросам). В результате ваш компьютер включается в сеть распространения этого вируса.

В опыте использовалась Shareaza 2.2.1.0. Описанный способ распространения ISTbar проявлялся в основном при работе с сетями Gnutella2 и eDonkey 2000. Причем узлы, подменяющие запрос, скорее всего расположены именно в Gnutella2. Однако описанная уязвимость присуща всем пиринговым сетям.

//====================================================================================================
Итоги обсуждения:
1. Подложные ссылки распространяются с узлов с IP адресами в диапазоне 85.88.9.1-85.88.9.63, имена файлов в точности соответствуют строке поиска.
2. Отличить подложные результаты можно по высокому приоритету (5 звезд), размеру файла 1-85 Кб, имени файла, которое точно соответствует запросу, расширению фала (rar, zip реже ace) и неправдоподобно широкому каналу передачи (минимум 120 Мбит/с).
4. Архивы могут содержать файлы 1.wma, 1wmv или setup.exe
5. Для обхода фильтрации по контрольной сумме в крнец архива дописываются пустые строки.

Методы борьбы:
1. Настроить фильтры p2p клиента на блокирование подсети 85.88.9.0 с маской 255.255.255.192 (подробнее ниже).
2. Критично подходить к результатам поиска и не скачивать файлы, которые соответствуют описанным критериям.
3. Что-бы не стать вторичным источником указанной заразы надо обновить/установить хороший антивирус и удалить с его помощью все зараженные файлы из общих папок.

P.S. Мост и Alexey P. огромное спасибо за помощь.

Да уж, такой гадости даже борцы с пиратской музыкой не придумали. Похоже это может нанести серьёзный удар по пиринговым сетям. А еще это говорит о том что хорошими антивирусами мало кто пользуется.

[QUOTE=Geser]Да уж, такой гадости даже борцы с пиратской музыкой не придумали. Похоже это может нанести серьёзный удар по пиринговым сетям. А еще это говорит о том что хорошими антивирусами мало кто пользуется.[/QUOTE]
Многие антивирусы новые версии IST bar еще не видят, за P2P сетями мало кто постоянно слидит, там всегда свежачек найти можно.
Вот результат проверки одного из 14554215_srvzh_kdkjf__4_.rar файлов.

AntiVir 6.32.0.6 11.27.2005 no virus found
Avast 4.6.695.0 11.26.2005 no virus found
AVG 718 11.25.2005 no virus found
Avira 6.32.0.6 11.27.2005 no virus found
BitDefender 7.2 11.27.2005 no virus found
CAT-QuickHeal 8.00 11.25.2005 no virus found
ClamAV devel-20051108 11.25.2005 no virus found
DrWeb 4.33 11.27.2005 no virus found
eTrust-Iris 7.1.194.0 11.27.2005 no virus found
eTrust-Vet 11.9.1.0 11.25.2005 no virus found
Fortinet 2.48.0.0 11.26.2005 suspicious
F-Prot 3.16c 11.24.2005 no virus found
Ikarus 0.2.59.0 11.26.2005 no virus found
Kaspersky 4.0.2.24 11.27.2005 no virus found
McAfee 4637 11.25.2005 no virus found
NOD32v2 1.1305 11.25.2005 no virus found
Norman 5.70.10 11.25.2005 no virus found
Panda 8.02.00 11.27.2005 no virus found
Sophos 4.00.0 11.26.2005 no virus found
Symantec 8.0 11.27.2005 no virus found
TheHacker 5.9.1.044 11.24.2005 no virus found
VBA32 3.10.5 11.26.2005 no virus found

Весело...

Маленькое уточнение: хосты обманщики находятся только в сети Gnutella2, однако файлы с вредоносным программным обеспечением доступны и в Donkey2000.

Я такие видел, не скачал только потому что архив подозрительно маленький был.

юзай антиспай с монитором вот и все )) я кстати теперь файлы через bearshare suilsik i e-donkey только с виртуальной машины качаю, КСТАТИ ОЧ КРУТАЯ ТЕма, причм востанвовить можно просто распокова архив, подробнее wmware набери в инете, вообще нужно какнить про нее статейку накатать, а то не видел тут, думаю пользуется больше половины уже точно кто здесь сидит

Раз пошла такая пьянка,я тоже поделюсь.Для начала вопрос,я правильно понял,то есть я соединился с Гнутеллой и поймал этот бар?
А теперь,подозрительно маленких архивов очень много,обычно они вылезают при поиски какого либо софта(игру и т.п.)при поике каких то очень популярных видео матерьялов...ну чтоз а мвидео клип размером 1 мега...а то и меньше.И это конечно же звери.НО хотел подлеистя наблюдениями,иногда когда ищэшь что то чего либо нет,либо оно очень редкое то в гнутелле происходит такая штука,фаил с таким анзванием находится,но это архив,маленького размера,со скоростью скачки около гигабайта с чемто(скромненько так...)и в 5 звездами.Так вот,эти файлы определённо кто то или что генерирует,как дуамте что это может быть?

Об этих "звезданутых" файлах и идет речь, их генерируют с именем которое точно соответствует запросу. Т.е. можно ввести произвольный набор символов и их якобы найдет, только ответ будет содержать одни сгенерированные архивы с ISTbar.

[QUOTE=Arkadiy]Я такие видел, не скачал только потому что архив подозрительно маленький был.[/QUOTE]
Видимо, на это можно ориентироваться - стоит хотя бы примерно знать размер того, что ищешь.

ЗЫ: Хотя как-то попадался файл 74мБ с Parite.2 :).
Сейчас посмотрел - оно до сих пор там лежит:
hxxp://www.irradiance.net/NewStuff/Animation/ATI9700_Demo/ATI-9700-Animusic-Movie-v1.0.exe (73868256 bytes)
Не знаю только, с вирем еще или вылечили уже.

Дальнейшее изучение этой проблемы выявило, что по сети на вечер 28.11.2005 распространяется 60 разных архивов содержащих 5 разновидностей вредоносного кода (2 эксплоита и 3 разных Setup.exe, устанавливающих ISTbar). В настоящий момент всю распространяемую гадость обнаруживают DrWeb и VBA ;).
Базы CLAMAV (ist.rar) основанные на MD5 контрольных суммах приложены к этому соообщению.

В качестве отличительных особенностей потделок можно назвать:
1. большое количество "завезд" в оценках;
2. размер от 1 Kb до 85 кб;
3. тип архивов zip, rar, ace;
4. огромная заявленная скорость канала для скачивания (меньше 100 Мб/с не встречал).

Кроме того для настройки фильтров выкладываю ссылки на заразу в формате Gnutella2 и Donkey2000.

P.S. Может кто поможет отловить хосты-"обманщики"?

Minos реально респект а то тут малок то выкладывает ) очень помог спасибо !!

кстати в p2p качает счас ОЧЕНЬ МНОГО НАРОДУ но тут первый раз вижу про это, это как минимум тянет на статью на главную старницу ))

[quote=Tra1toR]кстати в p2p качает счас ОЧЕНЬ МНОГО НАРОДУ но тут первый раз вижу про это, это как минимум тянет на статью на главную старницу ))[/quote]
в P2P зараза распространяется уже долгие годы. причем речь не о червях, а именно о троянцах. просто раньше это были отдельные пользовательские хосты, с которых шла зараза.
теперь все стало хуже. дело в том, что не имея _заранее_ на своем диске файла с таким именем пользовательский хост не сможет обмануть запрос. (запросы приходят на сервер, а тот сравнивает запрос со списком имеющихся файлов, без обращения к каждому из пользователей). таким образом имеет место p2p-сервер, который на любой запрос генерит ответ содержащий заразу.

[quote=Minos]Дальнейшее изучение этой проблемы выявило, что по сети на вечер 28.11.2005 распространяется 60 разных архивов содержащих 5 разновидностей вредоносного кода (2 эксплоита и 3 разных Setup.exe, устанавливающих ISTbar).
[/quote]
удалось отловить 1 wmv, 1 wma и 3 exe файла.

различия в размере архивов идут из-за дозаписи пустых строк в конец архива (и архиву не мешают, и crc файла меняют). видимо как только начинают блокировать по контрольным суммам (если этим вооще кто-то занимается), то сразу меняют файл на слегка другой. это и показывает слабость поиска по контрольной сумме ВСЕГО файла. искать нужно только от того куска, размер которого реально высчитывается исходя из полей заголовка.

обнаружилась слабость AVZ - трояны _реально_ распространяются в RAR, но AVZ не может проверять эти архивы :'-(

[QUOTE=MOCT]в P2P зараза распространяется уже долгие годы. причем речь не о червях, а именно о троянцах. просто раньше это были отдельные пользовательские хосты, с которых шла зараза.
теперь все стало хуже. дело в том, что не имея _заранее_ на своем диске файла с таким именем пользовательский хост не сможет обмануть запрос. (запросы приходят на сервер, а тот сравнивает запрос со списком имеющихся файлов, без обращения к каждому из пользователей). таким образом имеет место p2p-сервер, который на любой запрос генерит ответ содержащий заразу.[/QUOTE]
С тех пор, как P2P сети стали децентрализованы ситуация немного усложнилась. В gnutella2 узловых серверов как таковых нет, вместо них появились Hubы, на которые возложена функция по координации сети и перенаправлению запросов от конечных узлов (leaf). Усложняет все еще и то, что в результате запроса не представляется список всех узлов на которых найден файл.

Злобные хосты найдены: все они распологаются в диапазоне от 85.88.9.1/26, для их блокировки надо заблокировать в фильтре P2P клиента подсеть 85.88.9.0 с маской 255.255.255.192. В Shareaza 2.2.x это делается путем добавления правила в разделе "Безопасность"(Вид/Безопасность или View/Security). На появившейся форме кликнуть правой кнопкой мыши и в появившемся контекстном меню выбрать "Добавить правило/Add Rule...". В форме создания правила хадаем следующие параметры (Русская/Английская версии):
Тип/Type: Адрес сети (IP)/Network (IP) Address
Заметка/Comment: Вводите название правила, например block IstBar
IP адрес/IP Address: 85.88.9.0
Маска сети/Netmask: 255.255.255.192
Действие/Action: Запретить/Deny
Истекает/Expire: Никогда/Never

Пользователи Shareaza 2.2.x могут импортировать правило из приложенного к сообщению архива. Для этого надо:
1.Скачать архив приложенный к сообщению
2. Извлечь файл IstBlock.xml из архива.
3. Кликнуть правой кнопкой на закладке "Безопасность"(Вид/Безопасность) и выбрать Импорт.
4. В появившемся окне найти наш извлеченный IstBlock.xml

[QUOTE=MOCT]обнаружилась слабость AVZ - трояны _реально_ распространяются в RAR, но AVZ не может проверять эти архивы :'-([/QUOTE]
А как троян вылезает из этого rar, чтобы реально заразить машину? Я очень сомневаюсь, что человек, пользующийся avz, способен натравить avz на архив, но не способен проверить разархивированные файлы. :)

[QUOTE=userr]А как троян вылезает из этого rar, чтобы реально заразить машину? Я очень сомневаюсь, что человек, пользующийся avz, способен натравить avz на архив, но не способен проверить разархивированные файлы. :)[/QUOTE]
я поздравляю всех людей, пользующихся AVZ, но данные трояны еще не детектируются. ничем. поэтому проверка файлов ничего не даст.

[QUOTE=MOCT]я поздравляю всех людей, пользующихся AVZ, но данные трояны еще не детектируются. ничем. поэтому проверка файлов ничего не даст.[/QUOTE]
Все обнаруженные варианты уже точно видят DrWeb и VBA; KAV видит 4 объекта из 5-ти.

[B]Setup1.exe[/B]:
AntiVir 6.32.0.6 11.29.2005 TR/Dldr.IstBar.nj.1
Avast 4.6.695.0 11.29.2005 no virus found
AVG 718 11.29.2005 no virus found
Avira 6.32.0.6 11.29.2005 TR/Dldr.IstBar.nj.1
BitDefender 7.2 11.29.2005 no virus found
CAT-QuickHeal 8.00 11.29.2005 TrojanDownloader.IstBar.nk
ClamAV devel-20051108 11.29.2005 no virus found
DrWeb 4.33 11.29.2005 Trojan.Isbar.391
eTrust-Iris 7.1.194.0 11.29.2005 no virus found
eTrust-Vet 11.9.1.0 11.29.2005 no virus found
Fortinet 2.48.0.0 11.29.2005 W32/Istbar.NK!dldr
F-Prot 3.16c 11.28.2005 no virus found
Ikarus 0.2.59.0 11.29.2005 no virus found
Kaspersky 4.0.2.24 11.29.2005 Trojan-Downloader.Win32.IstBar.nk
McAfee 4639 11.29.2005 no virus found
NOD32v2 1.1307 11.28.2005 Win32/TrojanDownloader.IstBar.NK
Norman 5.70.10 11.29.2005 no virus found
Panda 8.02.00 11.29.2005 no virus found
Sophos 4.00.0 11.29.2005 no virus found
Symantec 8.0 11.29.2005 no virus found
TheHacker 5.9.1.046 11.29.2005 no virus found
VBA32 3.10.5 11.29.2005 Trojan-Downloader.Win32.IstBar.nk

[B]Setup2.exe[/B]:
AntiVir 6.32.0.6 11.29.2005 TR/Dldr.IstBar.nj.1
Avast 4.6.695.0 11.29.2005 no virus found
AVG 718 11.29.2005 no virus found
Avira 6.32.0.6 11.29.2005 TR/Dldr.IstBar.nj.1
BitDefender 7.2 11.29.2005 no virus found
CAT-QuickHeal 8.00 11.29.2005 no virus found
ClamAV devel-20051108 11.29.2005 no virus found
DrWeb 4.33 11.29.2005 Trojan.Isbar.390
eTrust-Iris 7.1.194.0 11.29.2005 no virus found
eTrust-Vet 11.9.1.0 11.29.2005 no virus found
Fortinet 2.48.0.0 11.29.2005 suspicious
F-Prot 3.16c 11.28.2005 no virus found
Ikarus 0.2.59.0 11.29.2005 no virus found
Kaspersky 4.0.2.24 11.29.2005 no virus found
McAfee 4639 11.29.2005 no virus found
NOD32v2 1.1307 11.28.2005 no virus found
Norman 5.70.10 11.29.2005 no virus found
Panda 8.02.00 11.29.2005 no virus found
Sophos 4.00.0 11.29.2005 no virus found
Symantec 8.0 11.29.2005 no virus found
TheHacker 5.9.1.046 11.29.2005 no virus found
VBA32 3.10.5 11.29.2005 Trojan-Downloader.Win32.IstBar.nk

[B]Setup3.exe[/B]:
AntiVir 6.32.0.6 11.29.2005 TR/Dldr.IstBar.nj.1
Avast 4.6.695.0 11.29.2005 no virus found
AVG 718 11.29.2005 no virus found
Avira 6.32.0.6 11.29.2005 TR/Dldr.IstBar.nj.1
BitDefender 7.2 11.29.2005 no virus found
CAT-QuickHeal 8.00 11.29.2005 TrojanDownloader.IstBar.nj
ClamAV devel-20051108 11.29.2005 no virus found
DrWeb 4.33 11.29.2005 Trojan.Isbar.392
eTrust-Iris 7.1.194.0 11.29.2005 no virus found
eTrust-Vet 11.9.1.0 11.29.2005 no virus found
Fortinet 2.48.0.0 11.29.2005 W32/Istbar.NJ!dldr
F-Prot 3.16c 11.28.2005 no virus found
Ikarus 0.2.59.0 11.29.2005 no virus found
Kaspersky 4.0.2.24 11.29.2005 Trojan-Downloader.Win32.IstBar.nj
McAfee 4639 11.29.2005 no virus found
NOD32v2 1.1307 11.28.2005 Win32/TrojanDownloader.IstBar.NJ
Norman 5.70.10 11.29.2005 no virus found
Panda 8.02.00 11.29.2005 no virus found
Sophos 4.00.0 11.29.2005 no virus found
Symantec 8.0 11.29.2005 no virus found
TheHacker 5.9.1.046 11.29.2005 no virus found
VBA32 3.10.5 11.29.2005 Trojan-Downloader.Win32.IstBar.nh

[B]1.wma\1.wmv[/B]
Antivirus Version Update Result
AntiVir 6.32.0.6 11.29.2005 no virus found
Avast 4.6.695.0 11.29.2005 no virus found
AVG 718 11.29.2005 no virus found
Avira 6.32.0.6 11.29.2005 no virus found
BitDefender 7.2 11.29.2005 no virus found
CAT-QuickHeal 8.00 11.29.2005 no virus found
ClamAV devel-20051108 11.29.2005 no virus found
DrWeb 4.33 11.29.2005 Trojan.Isbar.389
eTrust-Iris 7.1.194.0 11.29.2005 no virus found
eTrust-Vet 11.9.1.0 11.29.2005 no virus found
Fortinet 2.48.0.0 11.29.2005 Downloader_UA.C-tr
F-Prot 3.16c 11.28.2005 no virus found
Ikarus 0.2.59.0 11.29.2005 no virus found
Kaspersky 4.0.2.24 11.29.2005 Trojan-Downloader.WMA.Wimad.d
McAfee 4639 11.29.2005 Downloader-UA.c
NOD32v2 1.1307 11.28.2005 no virus found
Norman 5.70.10 11.29.2005 no virus found
Panda 8.02.00 11.29.2005 no virus found
Sophos 4.00.0 11.29.2005 no virus found
Symantec 8.0 11.29.2005 no virus found
TheHacker 5.9.1.046 11.29.2005 no virus found
VBA32 3.10.5 11.29.2005 Trojan-Downloader.WMA.Wimad.d