Hadd meséljem el, hogy sikerült két órát eltöltenem a saját farkam kergetésével, a jól megérdemelt pihenés helyett. Az egyik ismerősöm belinkelt egy cikket a Facebookon: „Java alapú kártevővel találkozhatnak a hamis VirusTotal webhelyen a netezők (link)” Java alapú kártevő? Na azt hogy?
Első gondolatom az volt, hogy egy olyan applet, ami letölt, és lefuttat valamilyen kártékony kódot. Az ilyen, körülbelül annyira vírus, mint bármelyik Facebook Scam (Igen, ez a vesszőparipám). Egy buta kis kódrészlet, ami a felhasználó hathatós segítségével terjed. Klasszikus PEBKAC. Gondoltam, önmagam igazolásaként azért elolvasom a cikket.
Hmm... Hamis oldal (lásd phishing) … Hoppá! „amely egy aláíratlan Java applet kódot próbál feltelepíteni a látogatók számítógépére.” A micsodát, a hova? Hűha!
No ez volt az a pont, ahol önként kértem az ostort, ugyanis csontig bekajáltam ezt a hírt. Próbáljátok követni mi zajlott le a fejemben: „Java kártevő, mi? Aláíratlan? És akkor hogy tölti le a kártékony kódot? Hogy lép ki a sandboxból? Hogyan futtat? Hiszen ezekre nincs joga! Jogosultság kiterjesztés! Huhúú, ez finom lesz.”
Mivel a Vírushíradó csak annyit említ, hogy Kaspersky Viruslist nyomán (Ezért amúgy óriási fekete pont hölgyek, urak!), ki kellett keresni az eredetit. Itt már okosabbak vagyunk annyival, hogy mutatnak egy HTML részletet, amiben beigazolódik a gyanum. Egy applet, egy url, és egy filenév paraméterrel. Ez a bot.exe a Worm.MSIL.Arcdoor.ov kódnevű rusnyaság, számomra tökéletesen érdektelen. Ami engem érdekel az a signedapplet.jar, hiszen ez juttatja be a trójait. Bár nem tudni miért, de kitakarták a forrás címeket, egy kis keresgélés után kiderítettem az eredeti URL, ahol persze már nem volt semmi. Kicsit komolyabb keresgélés, és billentyűcsapkodás árán megtaláltam pár másolatát az appletnek, közben hasznos tippeket kaptam arról, hogy lehetne hosszabb néhány testrészem, egyéb helyeket viszont csökkenthetnék. Az egyik klón indokolatlanul kevés ruhát viselő hölgyek közt rejtőzködött, a kis hamis.
Elég az hozzá, hogy hosszas viszontagságok után végre kezembe kaparintottam a kódot, beüzemeltem a virtuális játszóteremet, (Itt még merenghetünk egy kicsit azon, hogy miért nem virtuális gépben vadászok vírust, de szeretek veszélyesen élni) és szétkaptam mint Floki a lábtörlőt.
Csalódásomat nehéz szavakba önteni. Talán a Gyalog Galopp unalomig koptatott jelenete illik ide a legjobban:
- Tim: - Ott... (a szörnyeteg)
- Arthur: - A nyúlon túl?
- Tim: - Nem, a nyúl az!
Csakhogy az én szörnyetegem nem valami rettenetes vérnyúl, hanem a világ legártalmatlanabb java appletje. A paraméterben kapott URLről letölti a szintén paraméterben kapott filenevet a felhasználó home könytárjába (System.getProperty("user.home")), majd lefuttatja (Runtime.getRuntime().exec(command)). Még arra is figyelt a készítője, hogy ha a filename „jar”-ra végződik, akkor operációs-rendszertől függően meghívja a megfelelő java parancsot. Technikai finomság, hogy a letöltésre a POSIX fájl csatornát használják. Ennyi. Még egy felhasználási lehetőséget is el tudok képzelni neki, amikor kijátsszuk a böngésző fájlrendszer-hozzáférés korlátozását, és lefuttatunk valamilyen intranetes alkalmazást. Talán pont ilyesmire írták a szerencsétlent eredetileg. Annyira ártalmatlan, hogy akár ide is belinkelhetném a forrását.
Hogy mondod? „Hogy képes fájlt menteni, illetve rendszerparancsot futtatni, ha nincs aláírva?” Örülök, hogy figyelsz. A "trükk" döbbenetesen egyszerű. Alá van írva, egy self signed tanusítvánnyal:
udi@LTS-dev:~/signedapplet$ jarsigner -verify -verbose -certs signedapplet.jar
<...>
sm 2151 Sun Nov 21 11:29:32 CET 2010 Main.class
X.509, CN=http://sun.java.com, C=US
[certificate is valid from 2010.10.18. 4:58 to 2035.10.12. 4:58]
Bár kimondottan rossz a spanyolom, de ha le kéne fordítanom a cikkben lévő hibaüzenetet, ott az áll: Az alkalmazás aláírása nem megfelelő, biztosan futtatja? Csupán még egy ablak, amit a felhasználó olvasás nélkül elkattint. Ettől ez máris egy vírus?
PEBKAC. Már megint PEBKAC. Tanulság nincs.
