Adobe Systems Incorporated © na shet viruse ;)

Pershendetje….
Tema eshte pak e hidhur, dhe goxha serioze. Si introduksion po e nis me diçka goxha misterioze qe me pati ndodhur vite me pare… Ka qene dhe nje nga faktoret qe ndikuan qe te kaloja ne linux.
Mbasi mbarova formatimin e kompiuterit tim , instalova windows dhe drejtpersedrejti driverat e sistemit.
Mbas kesaj, ende pa e lidhur me internetin dhe pa i futur ndonje flash apo hardisk te jashtem i bera nje skanim me Norton ( kete perdorja atehere :S ), dhe ç’te shoh, njeri nga driverat qe kisha instaluar permbante viruse.
Akoma me interesante ishte se ne C:\windows\ ishte krijuar nje direktori qe nuk e kisha pare ndonjehere ne sistemet e tjera, hyra ne te dhe nder te tjerash gjeta:
Aplikacione gjysem te koduara, winrar me krak te gatshem dhe serial, nje aplikacion ku dilte fotoja e nje kinezi me syze e te gjitha keto ne nje kompiuter te “virgjer” te sapoformatuar..
Mbas kesaj eksperience te çuditshme, dhe nje lajmi tjeter ne Indonezi ku Maxtor shiste hardisqe (500G) me trojane brenda mu be e qarte qe keto firma kerkojn te na kene nen kontroll dhe se informacioni realisht eshte Fuqi.

Le te kalojm tek tema e dites, vendosa te shkarkoja versionin trial te Adobe Creative Suite Master Collection 4 per ta provuar ne kompiuterin personal, dhe shkarkimi funksionon zakonisht ne kete lloj frome. Ti shkarkon nje aplikacion nga akamai.com (me redirect nga adobe) dhe quhet AdobeDownloadManagerInstaller.exe dhe me ane te ketij pastaj shkarkon programin qe te nevoitet ne kete rast Creative Suite Master Collection.
Ja se ç’fare ndodhi:

Si fillim , per egzekutim aplikacioni kerkoi privilegjet e administratorit gje qe nuk me pelqeu per nje download manager, e dyta duke pasur comodo internet security te instaluar ne kompiuter kontrolloja levizjet dhe gjerat e para qe bere ishte te modifikonte \\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\ dhe ti jepte vetes privilegje te “papame” sepse startonte automatikisht me sistemin, etj etj etj keshtu qe me terhoqi vemendjen, dhe ja :) :
Faza 1 e backdoorit
Pjesa 2 – eshte duke u lidhur dhe duke shkarkuar backdoor-in dhe “programin e shkarkimit” nderkohe qe modifikon regjistrat e sistemit.

Adobe shet backdoors

Pjesa 3 – Rastesisht kapet nga Comodo Internet Security, kjo sepse adobe nuk ka shkruajtes viruesesh te mire.

Comodo Internet Security kap Backdoorin

Pse?
Sepse kane marre nje Win32.PcClient dhe e kane modifikuar paksa nderkohe qe mund te benin diçka si miqte e tyre (dmth te kodonin diçka vet, ku hashi te mos jete neper db antivirusesh).

E instalova ne kompiuter sepse isha kurioz te shikoja funksionet dhe e dergova per analiz dhe tek virus total, i vetmi qe e kapte ishte comodo, pra mos ti shajm shume se dhe aq keq nuk kane punuar.

Me shume info:
Gjate instalimit programi perdor service.exe per te pasur kontroll te plote mbi sistemin, rast ky shume i zakonshem tek trojanet.
Per ata qe e kane instaluar mund ta gjejn tek C:\Program Files\Common Files\Akamai\rswin_3629.dll
Shkarkoni Comodo Internet Security, dhe instaloni AkamaiDownloadManager dhe shikoni levizjet qe ben ne regjistrin e sistemit.
Provoni ta fshini 😀 (eshte e pamundur) duhet te çinstaloni programin ose te hyni me live cd linux dhe ta fshini nderkohe qe windows eshte fikur. Kjo eshte mbrojtja tipike e nje backdoori.
Modifikimet qe behen ne regjister jane:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Akamai\type
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Akamai\start
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Akamai\ErrorControl
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Akamai\ImagePath
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Akamai\DisplayName
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Akamai\ObjectName
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Akamai\Description
Si dhe ne nendirektorin parameters.
Ja dhe 2 foto:
Regjistri i infektuar

Backdoori (tek regjistri)

Zgjidhja

Shkoni tek : www.kernel.org
Shkarkoni kernelin e fundit, lexoni kodin (i gjith sistemi ne doren tuaj)
Kompiloni duke selektuar vetem hardwarin e kompiuterit.
Enjoy YOUR systM

Nese vazhdoni te perdorni winXozz, atehere shkoni tek direktoira \Akamai, çinstaloni panvarsisht se kjo nuk kam frike se nuk e ndryshone shume gjendjen.
Pastaj >Start>Run>regedit
Dhe do hapet registry editor, shkoni tek HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\ dhe fshini direktorin Akamai, kjo do u lejoj me vone qe te fshini edhe ato qe nuk jane fshire tek C:\Program Files\Common Files\Akamai\*

One thought on “Adobe Systems Incorporated © na shet viruse ;)

  1. aspak per tu quditur kur perdor nje pako te mbyllor si winlol 😛 po mendoj “5up3r W1nd0w5” 😀
    sqarim tipik kuriozi 😛 nga une do e kishte I guess a skip :$

Leave a Reply

Your email address will not be published. Required fields are marked *