Programeri širom Srbije uključili su se u analizu koda SNS-ovog bot programa “Valter”. Ovo su njihovi nalazi.
PROGRAMER 1
Bavim se programiranjem i želeo bih da Vam pomognem u analizi programa “Valter” koji koriste SNS botovi.
Naime, program koji ste okačili (za računar, nisam proveravao verziju za Android) ne sadrži virus, ali on komunicira sa eskternim serverom te je, teoretski, moguće da “SNS Internet Tim” sazna ukoliko neko ko nije njihov član počne da koristi program.
Server sa kojim program komunicira je http://kostic.headsgreen.com/ i od njega program dobija na koje komentare treba da glasa, što potom radi automatski. Ovo su informacije o vlasniku domena headsgreen.com (u ovom trenutku javno dostupne):
Registrant Name: Milorad Stojkovic
Registrant Organization:
Registrant Street: Radeta Spasica 29
Registrant City: Zitkovac
Registrant State/Province: Serbia
Registrant Postal Code: 18210
Registrant Country: Serbia
Registrant Phone: +381.642186057
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: ja@mikispeed.com
PROGRAMER 2
Dekompajlirao sam kod valter.jar aplikacije i ovo su moja zapažanja.
Ono što sam uočio gledajući kod je da aplikacija služi za automatsko glasanje po komentarima.
Nakon startovanja aplikacija radi u pozadini, nema nikakvih opcija za podešavanje, jednostavno koristi računar da sam glasa po komentarima.
Svaki ostavljeni komentar se identifikuje preko identifikacionog broja komentara.
Aplikacija u svakoj iteraciji sa sledeće adrese http://kostic.headsgreen.com/uuid.php povlači identifikacioni broj ostavljenog komentara i obavlja automatsko glasanje.
Kako se identifikacioni brojevi komentara ubacuju u bazu sa kojeg php skripta sa ove adrese povlači taj identifikacioni broj ne znam.
Aplikacija je napravljena za automatsko glasanje na Blicu, B92, Kuriru i Novostima.
PROGRAMER 3
Program “Valter”, radi tako što čita jedinstveni ID sa adrese http://kostic.headsgreen.com/uuid.php (adresa trenutno nedostupna), zatim čita podatke sa adrese http://kostic.headsgreen.com/voter.php šaljući na ovu adresu prethodno dobijen ID (verovatno zbog praćenja pokrenutih instanci programa “Valter”)
Gledajući kod programa zaključujem da podaci dobijeni sa pomenute adrese bi trebalo da sadrže linkove koji se pozivaju pri glasanju (pozitivno ili negativno) na komentare na sajtovima sledećih novina:
-Blic
-B92
-Novosti
-Kurir
Potom manipulišući identitet kompjutera na kome se program izvršava(predstavljajući se sajtovima kao jedan od 12 slučajno odabranih browser-a), pozivaju se pomenuti linkovi, glasajući pozitivno ili negativno na komentare.
Ovim se dobija potencijalno onoliko glasova za ili protiv koliko ima kompjuera na kojima je “Valter” pokrenut.
Izgleda da cela ova mašinerija trenutno nije u funkciji, jer na adresi: http://kostic.headsgreen.com/voter.php trenutno nema podataka.
Domen headsgreen.com, na whois servisu je na ime “Milorad Stojković” (http://whois.domaintools.com/headsgreen.com).
PROGRAMER 4
Ukratko, program je “siguran”.
Evo šta radi, ukratko:
1. Prilikom pokretanja ako je u pitanju Windows XP, Vista, 7, ili 8 kopira se u odgovarajuci folder tako da se pokreće prilikom starta sistema (ovo nije moguce iskljuciti drugacije nego brisanjem fajla koji je kopiran) – ako je uključen windows UAC program nema mogućnost potpuno
automatskog kopiranja.
Ako je u pitanju Windows XP program se nalazi: C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Valter.jar
Vista, 7, 8: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Valter.jar
2. Pokreće timer koji svakih 10 minuta proverava da li ima novih elemenata za glasanje. (Prvo glasanje pocinje nakon 1 sekunde)
2a. Timer pokrece UUIDIdenifier funkciju koja ili vraca UUID (identifier) koji je sačuvan na računarau ili dobija novi sa http://kostic.headsgreen.com/uuid.php (ako je novi preuzet cuva se u
registry – za to se koristi settings.java)
3. Tray ikona, ako je to moguće, se postavlja.
Dobijanje instrukcija i glasanje: Linkovi za glasanje se dobijaju preko http://kostic.headsgreen.com/voter.php url-a tako sto program otvara link sa dodatnim parametrom koji oznacava UUID koji je dodeljen u prvim koracima. (Checker.java)
Taj URL vraća jednostavan xml sa linkovima do komentara.
Lista komentara za koje je program glasao se čuva u jednostavnoj listi koja nije nigde sačuvana (možda negde na serveru, ali sudeći po kvaliteti koda čisto sumnjam) i ako je program već glasao za komentar preskace ga. (Voter.java)
Sto se tiče samog procesa glasanja, to je jednostavno.
Program nasumicno bira jedan od user-agenta koji obicni browseri koriste, postavlja neke normalne header-e da izgleda kao obicni browser i “otvara” link za glasanje. Jedina razlika je sto za blic.rs ima
funkciju koja vraca session id.
Evo vam jos samo primer odgovora koji je server slao sa voter.php – stranica je trenutno offline.
Ima i kvotu, ali proveravanje iste nije implementirano u kodu ovog programa sto vi imate tako da je moguce da komentari dobiju vise glasova nego sto je naglaseno u xml odgovoru ali me ne bi cudilo da postoji dodatna verzija koja i to proverava.
PROGRAMER 5
Program koji automatski ocenjuje komentare na sajtovima B92, Blic, Kurir i drugim.
Program je namenjen za Windows, Linux i Mac. Oznaka programa je “trayvoter.devlabs.rs”.
U pitanju je grafički Java program koji ostaje pokrenut u pozadini kao ikonica pored sata. Na Windowsu se pri prvom pokretanju dodaje se u programe koji će biti automatski startovani.
Sa stranice http://kostic.headsgreen.com/uuid.php preuzima jedinstvenu identifikaciju koja se trajno čuva u postavkama programa kako bi se pratio dalji učinak.
Dok je pokrenut program na svakih 10 minuta sa stranice http://kostic.headsgreen.com/voter.php preuzima linkove za ocenjivanje komentara na sajtovima novinskih kuća i instrukciju da li treba da se glasa za ili protiv.
Program zatim automatski odrađuje glasanje, lažirajući interakciju sa sajtom (postavlja lažno Referer zaglavlje i bira slučajnu oznaku browsera, tj. User-agent zaglavlje). Za Blic izbegava kontrolu lažnog glasanja tako što postavlja session cookie.
Program je dovoljno pametan da za svaki komentar glasa samo jednom. Quota polje se ne koristi.
Koristi Proxy podešen u Java i sistemskim podešavanjima. Ako se pokrene sa ispravno konfigurisanim Tor softverom, program će menjati IP adresu sa koje glasa.
PROGRAMER 6
Program je napisan u Java programskom jeziku koji dobro poznajem. Program sa drugog linka je isti program samo napravljen za Android telefone.
Ovaj prvi koji sam dekompajlirao je program koji se sam loguje na sajtovima Blic, Novosti i Kurir i tamo automatski glasa ili ostavlja komentare. Međutim, postoje dva dela koda koji su sumnjivi.
Prvi deo koda odnosno programa, se najpre konektuje na nepoznatu web stranicu “http://kostic.headsgreen.com/uuid.php” i odatle učitava neke podatke, tačnije neki univerzalni kod “UUID”, a pritom ko zna jos sta. Stranicu mozete i sami posetiti preko web browsera ali vam se neće nista učitati.
Drugi deo koda uzima “Cookies” odnosno kolačiće koji se koriste prilikom logovanja na neki sajt. Verujem da sami znate o čemu govorim, to je ono kada ne morate da ukucavate username i password da bi se ulogovali na neki sajt. Vrlo je rizično manipulisati time jer onaj koji ima kolacice može se ulogovati na bilo koji sajt za koji kolačići čuvaju podatke o logovanju. PHPSESSID je ID sesije kojom se korisnik preko kolačića loguje na neki sajt.
Zahvaljujemo se svim programerima koji su se odazvali našem pozivu i uložili vreme i trud.