О "блокировании" вконтакте, одноклассников и других

[B][CENTER]В контакте с Trojan.Hosts.75[/CENTER][/B]

Компания «Доктор Веб» сообщает, что в начале июня 2009 года в популярной социальной сети «ВКонтакте» был обнаружен очередной троянец. Данная вредоносная программа принадлежит к семейству Trojan.Hosts и вымогает деньги у зараженных пользователей. На сегодняшний день насчитывается около сотни различных модификаций этой угрозы.

Trojan.Hosts.75 перенаправляет пользователя на фишинговую страницу, оформленную в фирменном стиле этой социальной сети. Здесь, будто бы от лица администрации сайта, пользователю предлагается зарегистрироваться в системе при помощи SMS-активации. Объясняется это «нововведение» увеличением количества спам-рассылок.

[IMG]http://www.av-desk.com/static/new-www/pic_Trojan.Hosts.75_1.jpg[/IMG]

После запуска Trojan.Hosts.75 вирус распаковывает на диск bat-файл, который, в свою очередь, модифицирует файл hosts. После изменения он выглядит следующим образом:

При посещении одного из ресурсов, приведенных выше, с зараженного компьютера, пользователь перенаправляется на фальшивую страницу на сервере http://211.xx.xx.xx/index.html. Прописав в файл hosts множество популярных интеренет-ресурсов, киберпреступники попытались тем самым увеличить вероятность попадания зараженного пользователя на сайт вымогателей.

В последнее время служба вирусного мониторинга компании «Доктор Веб» констатирует увеличение числа программ-вымогателей. Этот факт был отмечен и в нашем обзоре вирусной обстановки за май 2009 года.

Мы в очередной раз призываем пользователей не поддаваться на фишинговые провокации злоумышленников и не перечислять на их счета запрошенные суммы.

[URL="http://news.drweb.com/show/?i=366&c=5"]DrWeb[/URL]

В "Помогите!" такого довольно много проскакивает.

[QUOTE]После запуска Trojan.Hosts.75 вирус распаковывает на диск bat-файл, который, в свою очередь, модифицирует файл hosts[/QUOTE]
его кодили суровые Челябинские хакеры?:)

Я, конечно, допускаю, что работа идет через батник, что бы хипса/проактивка не поняла, что данное действие делается по наущению все-таки стороннего файла, а не системы. Но...

Тем не менеее.. В "Помогите" уже далеко не одна тема была..
Как бы он не был выполнен, он "работает" и это настораживает

[COLOR="Gray"]Именно по этому я тему создал здесь а не в "Новости компьютерной безопасности"[/COLOR]

[QUOTE]Как бы он не был выполнен, он "работает" и это настораживает[/QUOTE]
Понимаю, что он работает, но я оцениваю с другой точки зрения. Это можно сравнить с тем, когда малваре, написанная, на ВБ создает и втихую экспортирует reg-файл, вместо того, чтобы винапи юзать))
:)

WinAPI "палится" проактивками/HIPSами...
Как помнится мне то, что стартует с консоли - запускается [B]user[/B]ом
Вся ответственность - на нем, значит "сам себе злобный буратин"

Этот метод именно на это и рассчитан - СИ во всей красе

С другой стороны - работает? Зачем напрягаться, придумывать...
Придумки с обходами стОят денег, а здесь - дешево и сердито

я не случайно упомянул ВБ - там есть некие траблы с работой с реестром, поэтому НАМНОГО проще записать файл и экспортировать.

[QUOTE]WinAPI "палится" проактивками/HIPSами...[/QUOTE]
Если правила не автосоздаются, то проактивка все равно заорет, а хипсу такой примитивный прием обойти не должен в теории :)

[QUOTE]С другой стороны - работает? Зачем напрягаться, придумывать...
Придумки с обходами стОят денег, а здесь - дешево и сердито[/QUOTE]
Поздравляю!
Вы в двух строках очень четко охарактеризовали российскую хак-сцену :)

[QUOTE=priv8v;414882]
Если правила не автосоздаются, то проактивка все равно заорет, а хипсу такой примитивный прием обойти не должен в теории :)


Поздравляю!
Вы в двух строках очень четко охарактеризовали российскую хак-сцену :)[/QUOTE]
Небольшие "извращения при запуске" и все как бы санкционировано пользователем. Это скорее вопрос о том, против кого/чего "заточено"

Это скорее принцип "Работает - не трогай" :D
Не "сцена" первой его применила

Хм...
В свете всего этого у меня возникла идея сделать пробное небольшое тестирование хипс/пдм систем - сравнить их реакцию на стандартное поведение (вызов API - при этом кодить все это дело на асме, что бы им легче было) и их через_одно_местных аналогов (добавление в автозагрузку через батник (как в реестр, так и копирование в папку), через reg-файл, через vbs, через запуск системных утилит с параметрами, вызов system (экспортируется msvcrt.dll), дропанье другого ехе-файла с переносом части деятельности на него, ...может еще чего...).
Интересно было бы посмотреть на результат... :)
Будет время - реализую.

Здравствуйте! Скажите как бороться с этим чудом,его можно удалить??

[url]http://virusinfo.info/pravila.html[/url]

Ради эксперимента решил открыть сейчас редактор и набросать немного, то я совсем обленюсь :)

###############################
Вот что вышло:
dump.ru/file/2897743 - архив.
slil.ru/27754924 - зеркало на всякий пожарный.
Пароль на архив: 123
###############################

Там 2 файла, в ридми все подробно описано. Сейчас скажу (не качать же кота в мешке, к тому же под паролем 123:)): отличия от того, что в описании у этих файлов нет - методика работы такая же. Только перед доменом прописывается не ip-адрес злоумышленников, а реальный адрес этого сайта. :)

Интересно глянуть как на это отреагируют супер-хипсы и проактивки. Если не сложно - напишите о результатах. Это будет интересным дополнением к обсуждению данной новости:)

Malware Defender 2.2.1 с настройкой под меня (то есть, настройки не по умолчанию )
[URL=http://radikal.ru/F/i040.radikal.ru/0906/eb/17e801d6aec9.jpg.html][IMG]http://i040.radikal.ru/0906/eb/17e801d6aec9t.jpg[/IMG][/URL]
[URL=http://radikal.ru/F/s46.radikal.ru/i114/0906/6c/8c130e53d489.jpg.html][IMG]http://s46.radikal.ru/i114/0906/6c/8c130e53d489t.jpg[/IMG][/URL]
[URL=http://radikal.ru/F/s48.radikal.ru/i120/0906/d0/b7b6ba7fd9fd.jpg.html][IMG]http://s48.radikal.ru/i120/0906/d0/b7b6ba7fd9fdt.jpg[/IMG][/URL]
[URL=http://radikal.ru/F/s44.radikal.ru/i104/0906/5c/0842da57157a.jpg.html][IMG]http://s44.radikal.ru/i104/0906/5c/0842da57157at.jpg[/IMG][/URL]

[B]senyak[/B], спасибо за информацию. Интересно...
Теперь я постараюсь словами описать то, что мы видим на картинках и подробно прокомментировать.

[B]Видим следующее:[/B]

[B]1).[/B] Защита заругалась на создание исполняемого файла (сразу видно, что это параноидальные настройки, причем это срабатывание именно проактивки, а не какой-то внутренней эмуляции, такая защита будет ругаться на любой инсталлятор - он ведь тоже создает исполняемые файлы).

[B]2).[/B] Защита заругалась на попытку изменения конфигурации системы (причем заругалась на то, что это делает cmd.exe - т.е связи с нашим трояном или даже батником не прослеживается - все очень примитивно - кто обращается, на того и ругаемся; на этом этапе даже у такой защиты могла быть брешь - cmd.exe вполне мог быть добавлен в исключения и его деятельность в системе могла не мониторится).

[B]3).[/B] Возмущение защиты по поводу установки атрибута скрытый (спорная ругань защиты - ругань на такое - редкость, но если программ ставится на комп немного, то имеет полное право на жизнь).
Например у меня на компьютере уже давно сформирован набор программ, если что и ставлю, то на ВМварю - погонять. Так что для меня, например, такая проактивная защита в плане надоедливости не была бы абузой - я бы такие предупреждения видел редко очень.

[B]4).[/B] Удаление исполняемого файла (Хм... после [B]такого[/B] меня мучает один вопрос: почему защита не заругалась на функцию lstrcat (эта функция соединяет две строки - образует из двух строк одну строку) - по-моему очень опасное действие и его нужно обязательно обнаруживать и предупреждать об этом пользователя :)
Стоп...
Вспомнил - там была еще одна очень опасная функция - Sleep() - делает задержку в выполнении программы на указанное время. Программа же секунд 5 ничего не делала - ууубить ее за это мало - раз ничего не делает - значит думает и замышляет что-то нехорошее :)
Ну, в последних двух абзацах у меня были в основном шутки:)
Просто дал фантазии разгуляться немного...

[B]А[/B] если по делу - то многое написано выше, а добавить хочу то, что я не сомневался в прохождении такого теста утилитами такого класса - класса, где все решает пользователь, а тулза только спрашивает о каждом чихе и вздохе файла. :)

######################
[B]PS:[/B] Интересно еще будет посмотреть на результаты проверки этих двух троянов на вирустотале (данные файлы антивирусы и их эвристики и просто сигнатурные базы никак не могут отличить от реальных - т.к с их точки зрения разницы нет).
Вот один результат (только панда назвала этот файл подозрительным):
[url]http://www.virustotal.com/ru/analisis/998aa9e807fa1c37f1da47a16755c5d5371890116b93a46655deedfdad981411-1244927630[/url]
И вот второй файл (вирустотал чист как слеза младенца - ни одного срабатывания):
[url]http://www.virustotal.com/ru/analisis/58fb937ea02508740c8a4bc4596cc85102161df77b5928177bccc2e266ef5970-1244927833[/url]

[B]Итого:[/B]
Мы можем видеть, что данный метод редактирования файла hosts дает некоторые возможности по скрытию не только от PDM и эмуляторов, но и от сигнатурно-эвристического детекта (если бы мы без всяких ухищрений просто "в лоб" написали троян, который бы редактировал hosts через вызовы WinApi (CreateFile -> WriteFile), то на вирустотале было бы не менее 5 детектов этого трояна.

Настройки у меня и вправду немного параноидальные. Но я уже для основных программ создал правила и она меня не спрашивает, а только спрашивает о новых.
Может у кого-то с другими настройками будет другой результат. Пробуйте, отпишитесь

А мне лично больше хотелось бы увидеть как на это отреагируют KIS, NIS, Outpost, Comodo...
С малваре_дефендер все вроде понятно :)

И туда же Comodo. Интересно, то что называют в ESS хипсом - хоть что-то ловит?

Да, точно, спасибо. Про комодо забыл, а ведь там очень мощные технологии проактивного обнаружения (спать пора, уснул бычок - лег в кроватку на бочок.. :)).
А по поводу хипса в ESS - поищите на АМ в разделе есета, там обсуждали эту тему и пришли к выводу, что их у них лексическое значение аббревиатуры HIPS далеко не такое как у нас. У них он вроде выходит на борьбу с определенными видами червей направлен - только это удалось выдавить из знатоков есета :)
А если пытаться там найти, например, какой-то анализ активности приложений, то его нет, они и сами это признают.

[B]Online Armor 3.5.0.32 (платная версия)[/B]

[URL=http://ipicture.ru/Gallery/Viewfull/22301139.html][IMG]http://pic.ipicture.ru/uploads/090815/thumbs/2z4TGR9zQh.png[/IMG][/URL]

[URL=http://ipicture.ru/Gallery/Viewfull/22301232.html][IMG]http://pic.ipicture.ru/uploads/090815/thumbs/wyXOrg52zC.png[/IMG][/URL]

[URL=http://ipicture.ru/Gallery/Viewfull/22301308.html][IMG]http://pic.ipicture.ru/uploads/090815/thumbs/kStjbRMoVq.png[/IMG][/URL]

Только эти три алерта, после чего bat файл благополучно удалился, но хост файл не был изменен. В настройках Армора эта программа как неизвестная - на скрине это видно, кроме того видно что батик удален (серый цвет - программа удалена).

[URL=http://ipicture.ru/Gallery/Viewfull/22301369.html][IMG]http://pic.ipicture.ru/uploads/090815/thumbs/H22vHsVj5g.png[/IMG][/URL]


Попробовал дать разрешение программе - пометил как доверенную, но алерты выдавать (Status - Ask). Те-же самые окна алертов.

И хост опять не изменен (хост остался девственно чистым).

[URL=http://ipicture.ru/Gallery/Viewfull/22301447.html][IMG]http://pic.ipicture.ru/uploads/090815/thumbs/ukv11Q4LGl.png[/IMG][/URL]

[URL=http://ipicture.ru/Gallery/Viewfull/22301499.html][IMG]http://pic.ipicture.ru/uploads/090815/thumbs/UnlTg1ZG6W.png[/IMG][/URL]


Вот такие опции мониторинга хост файла. Как видно опций немного.

[URL=http://ipicture.ru/Gallery/Viewfull/22301552.html][IMG]http://pic.ipicture.ru/uploads/090815/thumbs/W8WDLVQJVp.png[/IMG][/URL]