PDA

Просмотр полной версии : Новый метод распространения троянов



Зайцев Олег
20.06.2005, 08:19
Сегодня я наблюдал новую методику "впаривания" троянской программы LdPinch. Сегодня мне по почте прислали следующее письмо с адреса [email protected] (адрес подделан):


На Ваше имя пришла открытка!
Вы можете увидеть ее:
хттп://postcardz.hotmail.ru/h95uiv5sd49rt/getid=uf56ws40hnc5/postcard.scr (http://postcardz.hotmail.ru/h95uiv5sd49rt/getid=uf56ws40hnc5/postcard.scr)
Открытку можно просмотреть в течение 90 дней.
Эта услуга абсолютно бесплатна! Приятного просмотра!
__________________________________________________ __________
Открытки@Mail.Ru. Обрадуй друзей!
http://cards.mail.ru/

Почтовые антивири такое письмо естественно пропускают, т.к. вложений, скриптов и прочего там - простое текстовое письмо. Текстовка типовая для открыток сервиса mail.ru. Если внимательно посмотреть на адрес "открытки", то легко заметить, что он ссылается на файл postcard.scr. Если скачать и посмотреть данный файлик, то обнаружится, что это Trojan-PSW.Win32.LdPinch.pq, сжатый FSG. Собственно, дальше смешнее - в подписи указан адрес http://cards.mail.ru/ (это правильный адрес службы открыток), а вот в ссылке - postcardz.hotmail.ru - это просто сайт с именем postcardz на халявном хостинке hotmail.ru.
Выводы:
1. Начинающий юзер может запросто щелкнуть такую ссылку и заполучить трояна, мало кто из пользователей будет внимательно анализировать адрес в ссылке - в службам открыток все привыкли ...
2. Админам сетей стоит внести postcardz.hotmail.ru в черные списки для блокирования данной заразы ... плюс не повредит проанализировать логи прокси
-------
Подобная методика естественно не является новой - я уже много раз видел подобное, но с такой "качественной" маскировкой из области социальной инженерии еще ничего не попадалось. Адрес "кулхацкера" - [email protected], отправка письма идет через сервис mail.ru ... Интересной особенностью этой разновидности трояна является то, что он имитирует
открытие "открытки", отображая на экране какую-то картинку

RiC
20.06.2005, 09:24
Не такой он и новый, я впервые с этим "ноу-хау" столкнулся пару месяцев назад. Ну в этот раз фальшивка действительно достойна похвалы.

А вот "это" уже не сильно "радует" ... половина пока ещё не в курсе :(
AntiVir 6.31.0.7 06.17.2005 no virus found
AVG 718 06.14.2005 no virus found
Avira 6.31.0.7 06.17.2005 no virus found
BitDefender 7.0 06.20.2005 BehavesLike:Trojan.FirewallBypass
ClamAV devel-20050501 06.19.2005 Trojan.LdPinch-19
DrWeb 4.32b 06.19.2005 Trojan.PWS.LDPinch.438
eTrust-Iris 7.1.194.0 06.19.2005 no virus found
eTrust-Vet 11.9.1.0 06.17.2005 no virus found
Fortinet 2.35.0.0 06.18.2005 suspicious
Ikarus 2.32 06.18.2005 no virus found
Kaspersky 4.0.2.24 06.20.2005 Trojan-PSW.Win32.LdPinch.pq
McAfee 4516 06.17.2005 no virus found
NOD32v2 1.1145 06.18.2005 a variant of Win32/PSW.LdPinch
Norman 5.70.10 06.17.2005 W32/EMailWorm
Panda 8.02.00 06.19.2005 no virus found
Sybari 7.5.1314 06.20.2005 W32/EMailWor
Symantec 8.0 06.19.2005 no virus found
TheHacker 5.8-3.0 06.20.2005 Posible_Worm32
VBA32 3.10.3 06.20.2005 suspected of Trojan.LdPinch.3

Geser
20.06.2005, 09:42
VBA32 Пинча эвристиком детектит железно :)

Sanja
20.06.2005, 22:10
>VBA32 Пинча эвристиком детектит железно
там если прогладется - детектить можно лехко... ибо никто там не меняет код получения паролей... поэтому можно легко ловить пинча по например - грабберилке паролей от Миринда :)

Зайцев Олег
22.06.2005, 15:13
Интересно, но у методики есть продолжение :)


You have received a greeting card!

You`ll see the personal greeting by using the following
web location

http://uploadhut.com/view.php/171295.scr

Your greeting card will be available for the next 90 days.
There is no charge for this service. Have fun!
и


На Ваше имя пришла открытка!
Вы можете увидеть ее:

http://uploadhut.com/view.php/171295.scr

Открытку можно просмотреть в течение 90 дней.
Эта услуга абсолютно бесплатна! Приятного просмотра!
__________________________________________________ __________
Открытки@Mail.Ru. Обрадуй друзей!
http://cards.mail.ru/
__________________________________________________ __________


171295.scr упакован FSG и KAV его уже не ловит (поправка - теперь видит - Trojan-PSW.Win32.LdPinch.pw) ...
Самое анекдотичное в том, что все они идут с одного адреса где-то в Сочи,
это этот же самый пинч, и шлет он пароли на тот-же адрес - [email protected] :)

Shu_b
22.06.2005, 15:33
А давно так на virusscan? :
Norman Virus Control -
Found Sandbox: W32/EMailWorm; [ General information ]

* File might be compressed.
* File length: 13824 bytes.

[ Changes to filesystem ]
* Creates file C:\temp\ole320.

[ Changes to registry ]
* Reads value "SMTP Email Address"="" in key "HKCU\Software\Microsoft\Internet Account Manager\Accounts\unreal".

[ Changes to system settings ]
* Read RAS entry properties.

[ Network services ]
* Connects to "194.67.23.114" on port 25 (TCP).
* **Connects SMTP server.

[ Spreading through EMail ]
* To : [email protected]
* From : .
* Subject: Passes from FAKE.
* Mass-mailer; spreads through SMTP.

[ Process/window information ]
* Enumerates running processes.

Зайцев Олег
22.06.2005, 15:37
Давно - но срабатывает не всегда ...

Shu_b
22.06.2005, 16:03
На 17,00 Dr.Web®
171295.scr обнаружен вирус Trojan.PWS.LDPinch.442

ScratchyClaws
28.06.2005, 12:18
Мммм.. ну теперь понятно откуда на компе вирус... Открытка блин... Жаль письмо не сохранила... Там уже новая версия трояна - Trojan-PSW.Win32.LdPinch.pc
Каспер её тока сегодня увидел, хотя вирус на компе уже минимум неделю... Причем в касперском есть тока название... Лечить он эту штуку не умеет...
Кто-нибудь знает как вылечится??? У меня этот гад прописался в C:/windows/scvhost.exe

Нет, всё-таки это не открытка... а попытка закачать халявку - http://virusinfo.info/showthread.php?t=2837
Хотя и открытки странные имели место...

ScratchyClaws
28.06.2005, 12:21
У меня вот такая штука появилась - Trojan-PSW.Win32.LdPinch.pc DrWeb её не знает, а Каспер тока может название выдать а лечить не умеет....
Кто-нибудь знает как теперь лечиться???

Geser
28.06.2005, 12:41
Кто-нибудь знает как вылечится??? У меня этот над прописался в C:/windows/scvhost.exe
Удалить

ScratchyClaws
28.06.2005, 13:32
:?
Удалить
А разве scvhost.exe не очень нужный файл для винды?

Geser
28.06.2005, 14:16
:?
А разве scvhost.exe не очень нужный файл для винды?
Не очень :)

Iceman
28.06.2005, 15:08
Издевалцы ;-)))))).
2CePguTKa, сравни:
C:/windows/scvhost.exe
и то, что должно быть в системе:
C:\WINDOWS\system32\svchost.exe
Почувствуйте разницу...

Зайцев Олег
28.06.2005, 17:03
Издевалцы ;-)))))).
2CePguTKa, сравни:
C:/windows/scvhost.exe
и то, что должно быть в системе:
C:\WINDOWS\system32\svchost.exe
Почувствуйте разницу...
Файлик этот пришел - очередная разновдность LDPinch ...

ScratchyClaws
30.06.2005, 09:57
Во-первых огромное спасибо Олегу, за помощь в борьбе с пинчем :*

Во-вторых стали попадаться в одном из ящиков странные пиьсма.
The Bat! их отображает вот так -
ОТ : Orders & Registration Dept. <[email protected]>
КОМУ : (мой имейл)
ТЕМА : Your eBay Offer Receipt - Response Required

или вот так -
ОТ : Processing & Tracking Dept. <[email protected]>
КОМУ : (мой имейл)
ТЕМА : eBay Offer Confirmation #EBAY21nr0212ro67

(всего таких писем пока 3 штуки)

В теле письма отображается 3 некие картинки из инета (точнее БЭт лишь отображает что они есть, но не грузит их) текст отутствует, но зато в коде html файла имеется небольшое рекламное сообщение (причем не в body а в head) что это может быть? Кому-нибудь попадался подобный спам?

P.S. Сохраняю все 3 html в одни архив и шлю Олегу

Alexey P.
30.06.2005, 18:17
Угу, есть одно такое письмецо.
Имхо, ничего страшного в нем самом нет, просто фишеры так зазывают народ на свой поддельный сайт в надежде раскрутить там на ввод критичных данных о своих средствах - номера, пины кредитных карточек, интернет-деньги и т.п.
Там в адресе страницы написана нормальная ссылка, а при щелчке по ссылке откроется другой адрес, (у меня - на сервере 82.146.34.24), который уже сейчас недоступен, видимо, прикрыли лавочку.
Никакого отношения к eBay сервер этот не имел:

% Information related to '82.146.32.0 - 82.146.35.255'

inetnum: 82.146.32.0 - 82.146.35.255
netname: ISPSYSTEM
descr: ISPsystem UUNET collocation
country: BE

person: Dmitry Sidorov
address: PoBox 74, 1410 - Waterloo, Belgium
phone: +3204 7438 7349
e-mail: [email protected]
nic-hdl: DS2036-RIPE
source: RIPE # Filtered

person: Didier Windmeulen
address: PoBox 74, 1410 - Waterloo, Belgium
phone: +3204 7438 7349
e-mail: [email protected]
nic-hdl: DW758-RIPE
source: RIPE # Filtered

% Information related to 'DS2036-RIPE'

route: 82.146.32.0/22
descr: ISPsystem-BRU
origin: AS29182
mnt-by: ISPSYSTEM-MNT
remarks: **************************************
remarks: * For spamming or other abuse issues
remarks: * please send your requests to
remarks: * [email protected]
remarks: **************************************
source: RIPE # Filtered

ScratchyClaws
16.08.2005, 20:30
приходит письмо с вот такими данными -
от - Novostevpear <[email protected]>
тема - The picture is sent on SMS
внутри пустое message.html и некий In_park.zip
а внутри него Email-Worm.Win32.Bagle.By

Вот такой вот подарочек :D

(если кому интересно могу переслать письмо и файлик, мне не жалко :) )

azza
16.08.2005, 20:52
CePguTKa

если кому интересно могу переслать письмо и файлик, мне не жалко
Будьте любезны, на [email protected] в rar-архиве с паролем virus.

ScratchyClaws
25.08.2005, 00:11
CePguTKa

Будьте любезны, на [email protected] в rar-архиве с паролем virus.
Ага.. обязательно... Только я винду недавно переставила... До архиваторов не добралась ещё :) вот винзип проинсталлю и сразу скину