BadBunny, први црв за OpenOffice

Доста времена је прошло од како постоји OpenOffice, канцеларијски пакет отвореног кôда заснован на SunStarOffice. И све до сада важио је за парче софтвера одпорно на вирусе.

Времена се мењају, софтвер се развија, шири, а имплементацијом нових функција добија мање или веће сигурносне рупе, па је тако и OpenOffice постао „шупаљ”…

BadBunnySB/BadBunny-A je мултиплатформски црв писан у више скриптинг језика (JavaScript, Perl и Ruby), дистрибуира се унутар OpenOffice документа који садржи StarBasic макро. Црв са мреже скида слику „злочестог зеке” и показује је кориснику који је отворио проблематични документ и прихватио извршавање макроа у њему.

Шири се захваљујући аутоматизованим скриптинг могућностима програма за ћаскање X-Chat и mIRC тако што поставља скрипте badbunny.py, односно script.ini за поменуте програме и самостално се шири када су они покренути. Да би се рачунар жртва заразио, корисник на њему мора да прихвати badbunny.odg датотеку преко DCC file transfer од инфицираног рачунара.

Црв такође поставља и одговарајуће малициозне скрипте на циљаним оперативним системима (badbunny.js на Windows, badbunny.pl на GNU/Linux и badbunny.rb и/или badbunnya.rb на MacOS), које су задужене за скидање и показивање „зеке”.

Црв је у основи само концепт злоупотребе могућности OpenOffice пакета и да би обавио свој посао корисник мора лично три пута да га „позове” како би он деловао. Први пут да прихвати пријем путем IRC-а, други пут да отвори инфицирани документ и трећи пут да прихвати извршавање макроа у инфицираном документу. Такође, да би се мисија успешно окончала, на GNU/Linux-у корисник мора да има инсталиран Perl, а на MacOSRuby. Корисници Windows-а не морају да брину за функционалност платформе јер је све потребно за функционисање овог црва већ на систему (JavaScript).

За линуксаше још податак да морају ручно и поставити exec flag за поменуту Perl скрипту како би иста могла да буде покренута… а можда и не мора? :)

Светски магазини о теми: APC Magazine, Web Monkey и The INQUIRER

Објављено од стране

Александар

Самостални веб програмер. Дугогодишње искуство у развоју веб софтвера коришћењем WordPress, PHP, jQuery, HTML5, CSS3 (SASS/LESS).

6 мишљења на „BadBunny, први црв за OpenOffice“

  1. Уф бре, Урке, а ја помислио да ће требати мање труда да се заразим ;) Можда као демонстрација концепта и има смисла, али ценим да је реална опасност од заразе релативно мала. Хмм, можда да искористимо концепт на О3Транслиту :D

  2. Па било како било, још један доказ да Линукс и није баш тако сигуран систем како се прича около. :D Иначе, имао сам „визију” за OOoTranslit да урадим инсталациону рутину и спакујем га у посебан модул, и такође да генеришем дијалог у лету, али због комплексности сам одустао (читај: чекам да то неко други уради ;)).

  3. Kao što reče Brane, ovo više potseća na „Albanski virus“ fazon koji je kružio mejlom pre… Jel’ treba sam i da ga napišem?
    Dobro, činjenica je da je ovo iako virus, ipak dobronamerna ali efektna demonstracija rupe, i nadajmo se da će Sun što pre da zakrpi OO.org da i likovi koji na sve klikću OK mirno spavaju…

  4. Mogucnost od „hvatanja“ ovog virusa je bas mala. Ne zelim da verujem da su ljudi toliko nepismeni da ce preko mIRCa prihvatiti sve i svasta sto ide preko DCCa.

    Meni AVG pregleda bilo koji Office program pre nego sto se otvori, da li isto radi sa OO ne znam.

  5. Па нема закрпљавања, ценим, јер колико сам ја схватио, једноставно се користи рутина за писање по диску (open, write i слично) која када дозволиш извршавање макроа у документу, има дозволу да било где на диску где корисник има дозволу писања запише шта год пожечлиш. И дако може да се формира било који скрипт и постави било где.

    Углавном, то сам користио на послу када сам радио апликацију за обрачун личних зарада у Calc-у, за прављење слога за уплате зарада запослених на текуће рачуне код Поштанске штедионице.

  6. Дакле Урке, ко хоће већу плату, зна шта му је чинити :)) Упутство је ту и тако… :))

    Иначе, сад могу да се хвалим да OO.org ипак Има један (1) „шатро“ вирус :))

Оставите одговор

Ваша адреса е-поште неће бити објављена. Неопходна поља су означена *