Вирус в модеме от мегафона на
Обновлено: 16.04.2024
Если выхожу в интернет через модем Мегафона, то каждый четверг в папках с общим доступом создаются зараженные файлы с расширением EXE, BAT, PF, SCR в качестве имени имя папки. Все установленные антивирусные программы их отлавливают и удаляют. При выходе в интернет через другого провайдера этого не происходит. На данный момент на все папки/диски назначил права доступа на только чтение теперьв них все в порядке, а на одной папке оставил полный доступ сегодня в этой папке ситуация повторилась. Данный момент изменил сеть с "Общественная" на "Домашняя" с доступом по паролю буду ждать следующего четверга.
Посоветуйте, что ещё можно сделать в данной ситуации.
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.
Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig
Найден вирус "Heuristic.Dialer.RAS!A2" в объекте "c:\program files\internet explorer\connection wizard\icwconn2.exe".
Найден вирус "Heuristic.Dialer.RAS!A2" в объекте "c:\program files\outlook express\setup50.exe".
Найден вирус "Heuristic.Dialer.RAS!A2" в объекте "c:\windows\servicepackfiles\i386\icwconn2.exe".
Найден вирус "Heuristic.Dialer.RAS!A2" в объекте "c:\windows\servicepackfiles\i386\rasphone.exe".
Найден вирус "Heuristic.Dialer.RAS!A2" в объекте "c:\windows\servicepackfiles\i386\setup50.exe".
Найден вирус "Heuristic.Dialer.RAS!A2" в объекте "c:\windows\system32\rasphone.exe".
Найден вирус "Heuristic.Dialer.RAS!A2" в объекте "c:\system volume information\_restore\rp44\a0010587.exe".
Найден вирус "Heuristic.Dialer.RAS!A2" в объекте "c:\system volume information\_restore\rp44\a0011139.exe".
Найден вирус "Heuristic.Dialer.RAS!A2" в объекте "c:\system volume information\_restore\rp44\a0011140.exe".
Найден вирус "Heuristic.Dialer.RAS!A2" в объекте "c:\system volume information\_restore\rp44\a0011141.exe".
Найден вирус "Heuristic.Dialer.RAS!A2" в объекте "c:\system volume information\_restore\rp44\a0011142.exe".
Найден вирус "Heuristic.Dialer.RAS!A2" в объекте "c:\system volume information\_restore\rp44\a0011143.exe".
Найден вирус "Heuristic.Dialer.RAS!A2" в объекте "c:\system volume information\_restore\rp44\a0011144.exe".
Найден вирус "Heuristic.Dialer.RAS!A2" в объекте "e:\system volume information\_restore\rp44\a0011145.exe".
Найден вирус "Heuristic.Dialer.RAS!A2" в объекте "e:\megafon internet\addpbk.exe".
Найдено вирусов: 15
Cookies: 0
Ошибок: 0
При новой установке Мегафоновский софт ЛОМИТСЯ в карантин к заражённому файлу
Юрий, я лучше антивирусу поверю, чем китаёзному модему с кривым софтом
Может и так (вирус уже был) тогда это что
Найден вирус "Heuristic.Dialer.RAS!A2" в объекте "e:\megafon internet\addpbk.exe".
Здравствуйте мы преобрели модем мегафон 26 числа вечером прийдя домой сначало просканировали антивирусом сразу же показало что модем заражёт трояном. При выходе в интертет сразу стали выскакивать предупреждающие окна антивируса файл заражён и попытки программы выхода на вреданосные сайты. в течение часа начали некоректно работать остальные программы,некоторые перестали работать вообще. Мы вынули модем мегафон из компьютера а саму программу удалили.Вирус удалить не удалось.На следующий день принеся модем в офис к тому продавцу у которого брали модем я попросила протестировать на вирусы мне сказали что у них нет ни программиста ни антивируса.Возвращать деньги или обменивать модем на другой той же модели нам отказались. Придя домой мы позвонили оператоту там составили заявку на решение проблемы. Прошло 5 дней нам ни разу не позвонили.
Подскажите какие меры можно принят в отношении продавца и всей этой ситуации .Сегодня 2.12.11 пришла смс от мегафон (Уважаемый Клиент! В ответ на Ваше обращение от 26.11.2011 сообщаем, что в результате выяснения ситуации было установлено, что специалисты действовали в соответствии с Инструкцией. Оборудование сотрудниками было протестировано, в ходе тестирования вирусов в USB-Модеме не обнаружено. В результате чего просим Вас обратиться в сервисный центр для устранения неполадок. С уважением, МегаФон.) Интересно где это они тестировали если мегафон модем попрежнему у нас.
Вы - Потребитель! При обращении к продавцу - должны взять заявление от Вас + принять и провести тестирование (экспертиза). Нужно настаивать! А так - можете провести свою экспертизу и сделать заключение. Если Вы правы - Претензию. Если молчат - в суд.
Дело в том что у меня отказались в офисе мегафон принять какое либо заявление
Если отказали - можно составить Акт, подписанный Вашими свидетелями о том, что Вам отказали в приеме заявления.
В районе есть отдел по защите прав потребителей. Вам помогут, в т. ч. составить заявление, в т. ч. в суд.
В исследовании также описан наиболее полный набор векторов атак на клиентов телекома, использующих данные модемы — это может быть идентификация устройств, внедрение кода, заражение пользовательского компьютера, к которому подключен модем, подделка SIM-карты и перехват данных, определение местоположения абонента и доступ к его личному кабинету на портале оператора, а также целевые атаки (APT). Слайды презентации данного исследования с ZeroNights 2015 представлены здесь.
Оборудование
Было рассмотрено 8 модемов следующих производителей:
- Huawei (2 разных модема и 1 роутер),
- Gemtek (1 модем и 1 роутер),
- Quanta (2 модема),
- ZTE (1 модем).
Статистика по уязвимым модемам
Найденные уязвимости
Во всех рассмотренных моделях присутствовали те или иные критически опасные уязвимости, которые приводили к полной компрометации системы. Практически все из них можно было эксплуатировать удаленно (см. общую таблицу по модемам). Описание найденных уязвимостей, ранжированных по степени опасности:
1. Удаленное выполнение кода в веб-сценариях, 5 устройств (RCE)
Все рассмотренные веб-серверы на модемах работают на базе простых CGI-скриптов, которые практически нигде не проходили должную фильтрацию (кроме модемов Huawei, и то спустя несколько обновлений после оглашения уязвимостей).
И конечно же все модемы работают с файловой системой: им необходимо отправлять AT-команды, читать и писать смс, настраивать правила на фаерволе и т. п.
Кроме того, практически нигде не использовалась защита от атак класса CSRF, что позволяло выполнять код удаленно с помощью методов социальной инженерии и удаленной отправки запросов через зловредный сайт. Для некоторых модемов возможно проведение атаки XSS.
Сочетание этих трех факторов дает неутешительный результат: более 60% модемов уязвимы к удаленному выполнению кода. Причем обновленную прошивку без этой уязвимости можно получить только для модемов Huawei (есть публичные описания уязвимостей): остальные уязвимости пока считаются 0-days.
2. Произвольная модификация прошивки, 6 устройств (Integrity attacks)
Только три модема имели криптографическую защиту прошивок от модификации. Два модема работали по одинаковому алгоритму с помощью асимметрично зашифрованного RSA в режиме digital signature контрольной суммы SHA1, третий модем шифровал содержимое прошивки с помощью потокового шифра RC4.
На все реализации криптоалгоритмов удалось совершить атаки, приводящие к нарушению целостности и конфиденциальности: в первом случае мы можем модифицировать прошивку, внедряя в нее произвольный код, во втором случае из-за слабостей реализации алгоритма удалось извлечь ключ и определить алгоритм шифрования, что также приводит к возможности произвольно изменять содержимое прошивки.
Еще три модема не имели защиты от модификации прошивок, однако для обновления прошивки необходим локальный доступ к интерфейсам COM.
В оставшихся двух модемах предусматривалась возможность обновления только через сеть оператора c помощью технологии FOTA (Firmware Over-The-Air).
3. Межсайтовая подделка запросов, 5 устройств (CSRF)
Атаки CSRF можно использовать для разных задач, но в первую очередь — для удаленной загрузки модифицированной прошивки и внедрения произвольного кода. Эффективной защитой от этой атаки является использование уникальных токенов для каждого запроса.
4. Межсайтовое выполнение сценариев, 4 устройства (XSS)
Поверхность применения данных атак также достаточно широка — от инфицирования узла до перехвата чужих СМС, однако в нашем исследовании основное их применение — это также загрузка модифицированных прошивок в обход проверок antiCSRF и Same-Origin Policy.
Векторы атак
1. Идентификация
Для проведения успешной атаки на модем необходимо его идентифицировать. Конечно же, можно отправлять все возможные запросы для эксплуатации уязвимостей RCE или пытаться загрузить все возможные версии прошивок по всем возможным адресам, однако это представляется неэффективным и может быть заметно для атакуемого пользователя. Кроме того, в реальных, нелабораторных условиях, которые рассматриваются в этом исследовании, достаточно важным является время заражения — от момента обнаружения пользователя до момента внедрения кода, изменения настроек модема.
Именно поэтому на первоначальном этапе необходимо правильно определить атакуемое устройство. Для этого используется простой набор адресов изображений, наличие которых говорит о той или иной версии модема. Таким образом нам удалось определить все рассматриваемые модемы со 100%-ной точностью. Пример кода ниже:
2. Внедрение кода
Данный этап уже подробно описан в предыдущем разделе, в пунктах 1 и 2. Внедрить код можно либо через уязвимость выполнения произвольного кода в веб-сценариях, либо через обновление на зараженную прошивку. Первым способом мы смогли проникнуть на 5 модемов.
Опишем подробно векторы для реализации второго способа.
В двух модемах использовался одинаковый алгоритм обеспечения целостности прошивки: шифрование асимметричным ключом RSA хеш-суммы SHA1 осуществлялось с помощью библиотеки openssl. Проверка проводилась некорректно: загрузив прошивку, являющуюся по сути архивом, веб-сервер извлекал из нее два основных файла — файл, указывающий на размер проверяемых данных, и файл с подписанной хеш-суммой этих данных. Далее, взяв с файловой системы публичный ключ, сценарий проверки обращался к функциям библиотеки openssl для дешифровки подписи и в дальнейшем сравнивал хеш-суммы, и в случае совпадения прошивка устанавливалась. Алгоритм сжатия прошивки обладал особенностью: к существующему архиву возможно было добавить дополнительные файлы с теми же именами, при этом никак не изменились бы начальные байты архива, а при распаковке прошивки произошла замена более поздним файлом более раннего. Благодаря этому можно очень просто изменить содержимое прошивки, никак не изменив целостность проверяемых данных.
В третьем модеме прошивки были зашифрованы по алгоритму RC4 c константной гаммой. Так как в интернете было доступно три разных версии этой прошивки, можно получить несколько байт plain-text — в тех местах, где в одном из файлов незашифрованной прошивки располагаются байты 0x00.
Дальнейшее извлечение ISO-образа виртуального CD-ROM позволяло извлечь частично бинарный файл с алгоритмом шифрования образов прошивки и адрес, по которому располагался ключ шифрования. Дальнейший XOR двух прошивок давал возможность получить plain-text именно по адресу ключа шифрования и успешно его извлечь.
Поддержку и помощь в атаках на криптопротоколы обеспечивал Дмитрий Скляров, заслуженный криптоаналитик и reverse engineer компании Positive Technologies
В дальнейшем для удаленной загрузки можно использовать атаку CSRF и функций HTML5 для передачи multipart/form-data либо атаку XSS, если приложение защищено от CSRF (для модема Huawei). От CSRF были защищены только три модема Huawei, и именно в них можно было эксплуатировать XSS для обхода этой защиты. Во всех остальных случаях загрузку можно было осуществить с помощью HTML5-кода, размещенного на специальной странице.
Однако надеяться, что тот же производитель, который некорректно проверяет целостность при загрузке на модемы, хорошо защищает целостность прошивок — не стоит.
3. Перехват данных
Рассматриваемые модемы были двух типов — поддерживающие работу с СМС и не поддерживающие. В первых обнаружить возможность чтения СМС через AT-команды так же не удалось. Во втором возможно чтение с использованием межсайтового выполнения сценариев. СМС обычно хранятся на файловой системе, поэтому несложно получить к ним доступ, чтобы читать а так же отправлять СМС и USSD-запросы.
Перехват трафика — более интересная вещь. Ее можно реализовать несколькими путями: через изменение настроек DNS-сервера на модеме, а также через изменение шлюза на модеме на Wi-Fi-интерфейс и подключение к заранее включенной точке доступа. Первый путь, конечно, проще, поменять настройки это дело на 10 секунд: они, как правило, тоже находятся на файловой системе; везде, кроме одного модема, это удалось. Второй вариант рассматривался чисто теоретически: задача была изменить режим сетевой карты с ad hoc на активную, подключится к посторонней точке доступа, а также поменять маршрутизацию на модеме.
4. Подделка SIM-карты и перехват 2G-трафика
Переводим модем в диагностический режим
Сценарий PowerShell для отправки бинарной СМС
Следующий вектор атаки, который может быть использован в сочетании с точной геолокацией атакуемого, – использование FakeBTS. Если мы знаем достаточно точно местоположение жертвы, а также его IMSI, мы можем использовать поддельную базовую станцию в непосредственной близости и ждать, пока он подключится к нам, либо, если мы можем, принудительно задать базовую станцию (такая возможность доступна для 5 устройств). В случае успеха отправлять бинарные СМС можно на атакуемую сим-карту без ограничений со стороны оператора.
5. Заражение рабочих станций
Проникнув на модем, мы ограничены в векторах атак на телеком-абонента, но если мы инфицируем компьютер, к которому подключен модем, то сразу получаем неограниченные возможности по хищению и перехвату данных в пределах этого компьютера.
Ранее описывался основной вектор заражения — bad USB. Однако, если использовать методы социальной инженерии, возможны еще несколько вариантов:
Выполнение произвольного кода на клиентском ПО модема
6. Целевые атаки (APT)
Еще одна возможность, которую, к сожалению, не удалось реализовать, — доступ в модем из сети оператора. Поскольку большинство уязвимых веб-серверов слушают на *:80, есть вероятность того, что веб-сервер модема будет доступен из сети оператора, однако, эта возможность оказалась не слишком актуальна. Хотя, только некоторые модемы принудительно запрещают входящие соединения из сети оператора либо конкретно указывают адрес для listen 192.168.0.1:80.
7. Дополнительно
Результат эксплуатации XSS
Резюме
Что посоветовать клиентам, которые постоянно работают с такими устройствами? Самыми защищенными на сегодняшний день являются модемы Huawei, при условии что установлена последняя версия прошивки. Это единственная компания, которая сама поставляет прошивки (операторам дается возможность только добавлять визуальные элементы и отключать тот или иной набор функций). Кроме того, в отличии от других, компания Huawei регулярно исправляет уязвимости, которые находят в ее ПО.
Раскрытие информации
Хотя 90 дней с момента извещения телеком-операторов уже давно прошли, множество уязвимостей так и остались незакрытыми. Важный момент: уязвимости, найденные в процессе исследования необязательно принадлежат производителям модемов. Они могут добавляться в процессе кастомизации программного обеспечения телеком-провайдерами.
Автор: Тимур Юнусов, Positive Technologies
Благодарности за помощь и участие в исследовании: Алексей Осипов, Дмитрий Скляров, Кирилл Нестеров, Михаил Фирстов, SCADA Strangelove team
Читайте также: