Вредоносное ПО вымогающее деньги через SMS.

Два вопроса к тем кто в теме. Тема - вредоносное ПО вымогающие деньги через SMS

[LIST=1][*]На нынешнем этапе своего развития, это вредоносное ПО поражает систему исключительно из под учетной записи с правами администратора или уже корректно работает под ограниченной учетной записью?[*]Наличие этого вредоносного ПО на ПК жертвы говорит о полной безграмотности администратора в плане безопасности?[/LIST]

1. Ограниченную учётку тоже может заразить. Правда, соседние остануся чистыми.
2. Не уверен, что о такой уж полной. О некоторой расслабленности и беспечности - пожалуй, да.

[QUOTE='pig;551989']1. Ограниченную учётку тоже может заразить. Правда, соседние остануся чистыми.[/QUOTE]

Про какого троянца вы говорите?

Про винлоки вообще. Есть же и такая разновидность среди банды акселераторов?

[QUOTE='pig;552023']Про винлоки вообще.[/QUOTE]

Если пишется в %windir% разве заинсталится?

Да есть там какой-то, пишется, куда получится.

[QUOTE='pig;551989']2. Не уверен, что о такой уж полной. О некоторой расслабленности и беспечности - пожалуй, да. [/QUOTE]
согласна.. еще это говорит о беспечности пользователей и возможно о слабой работе админа с пользователями, раз его пользователи клацают куда попало :)

[QUOTE=WinbowsXP;551914] 1. На нынешнем этапе своего развития, это вредоносное ПО поражает систему исключительно из под учетной записи с правами администратора или уже корректно работает под ограниченной учетной записью?[/QUOTE]
у меня под урезанной учеткой sms-вымогатель нормально не поставился и не заработал.
речь конкретно об этом вирусе
[url=http://www.pixshock.net/pic_b/9c1b0aa9de774781a8e590f2f5bfca21.jpg][img]http://www.pixshock.net/pic_s/9c1b0aa9de774781a8e590f2f5bfca21.jpg[/img][/url] [url=http://www.pixshock.net/pic_b/e0ecfadc45082671753167d76267704c.jpg][img]http://www.pixshock.net/pic_s/e0ecfadc45082671753167d76267704c.jpg[/img][/url]

[QUOTE='pig;552680']Да есть там какой-то, пишется, куда получится.[/QUOTE]

Хочется знать его название (kaspersky), если можно :)

Ну или по Dr. Web...

Спасибо, на этом ресурсе (pixshock.net) из рекламы стока выцепил блокеров
[url]http://www.virustotal.com/analisis/5ebf6f3d6c45e420cf337844c6e30f8f2841b01713a3b3d8892738a666406264-1262753894[/url]
[url]http://www.virustotal.com/analisis/514b5fb57d3337e5529f07c85ae4983d8cb1a8370a6c2ec404437324eb49edfb-1262753934[/url]
[url]http://www.virustotal.com/analisis/c9fec93cb4a2849a2f9129507daae602e27659ff1f77e05c30b38ccd1e822f40-1262753951[/url]
[url]http://www.virustotal.com/analisis/26c1be89d57990bb7a2782e954fe321513ee4256fe6eb41345cf5a5a032be9e3-1262753999[/url]
[url]http://www.virustotal.com/analisis/1f846312bed70443c5e5240f3a449942974e561ce4c7423f847823fbe18b9773-1262754020[/url]
[url]http://www.virustotal.com/analisis/24667e41aedd5ee4fba50a4f12a656da2bdb461cb4ebab038b98fdd71a276778-1262757214[/url]
[url]http://www.virustotal.com/analisis/c459f2e1ad8727538fc664e655abfcf3338fa0ad2fa1467a36dbfc9019f33e5a-1262757236[/url]
[url]http://www.virustotal.com/analisis/24667e41aedd5ee4fba50a4f12a656da2bdb461cb4ebab038b98fdd71a276778-1262757266[/url]
:)

Закрывайте от изменений раздел реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run и ему подобные.

[QUOTE=valho;552961]Спасибо, на этом ресурсе (pixshock.net) из рекламы стока выцепил блокеров[/QUOTE]
ну вот, есть чем потестировать заражение с ограниченной учетки :biggrinsanta:



кстати, я рекламу практически не вижу - банерорезалки хорошо работают :smile:

Я однажды подхватил троян Winlock, который записал себя в C:\Documents and Settings\<USER>\Application Data\<пять случайных букв>.exe и HCKU Run под именем "winsock".
Такой наверно запустился бы и под ограниченной записью, но под записью администратора нормальная работа компьютера бы продолжалась.

[size="1"][color="#666686"][B][I]Добавлено через 49 минут[/I][/B][/color][/size]

[QUOTE=valho;552961]Спасибо, на этом ресурсе (pixshock.net) из рекламы стока выцепил блокеров[/QUOTE]
А я что-то никакой рекламы там не вижу...

[size="1"][color="#666686"][B][I]Добавлено через 21 минуту[/I][/B][/color][/size]

[QUOTE=Юльча;552716]речь конкретно об этом вирусе
[url=http://www.pixshock.net/pic_b/9c1b0aa9de774781a8e590f2f5bfca21.jpg][img]http://www.pixshock.net/pic_s/9c1b0aa9de774781a8e590f2f5bfca21.jpg[/img][/url] [url=http://www.pixshock.net/pic_b/e0ecfadc45082671753167d76267704c.jpg][img]http://www.pixshock.net/pic_s/e0ecfadc45082671753167d76267704c.jpg[/img][/url][/QUOTE]
Нашел этот сайт (с вирусом). Там файл "install_flash_player.exe". Ставится в TEMP как "kui1.tmp". Но думаю он прописывается в Userinit (не смотрел, но аналогичные вирусы делали так). Так что под ограниченной учетной записью он скорее всего умрет после перезагрузки.
Еще в ходе работы вирус запускает "route.exe -f"

sms вымогатель - download master отлично себя чувствует под ограниченной учеткой простого юзера.. причем еще и [URL="http://virusinfo.info/showthread.php?&p=552085#post552085"]шифруясь[/URL] :)

речь об этом зверьке:
[URL=http://www.10pix.ru/img1/1380/611035.jpg][IMG]http://www.10pix.ru/img1/1380/611035.th.jpg[/IMG][/URL] [URL=http://www.10pix.ru/img1/2776/611036.jpg][IMG]http://www.10pix.ru/img1/2776/611036.th.jpg[/IMG][/URL]

Чтобы блокер установился, ему необходимо прописаться в автозапуск, установить модуль противодействия, заблокировать сис. утилиты типа Диспетчер задач, некоторым установить свой драйвер в систему и т.д.
Ограниченная учетка защищает от изменений, почти все эти пункты, остальные надо закрыть от изменений вручную. Вредонос не сможет сбросить разрешения из огр. учетки, следовательно не сможет прописаться в систему. windir заркыт от изменений, поэтому максимум что сможет сделать вредонос,- прописаться в temp?, оттуда в автозапуск, запретил изменения run пользователя, теперь блокеры не ставятся. При разрешении run блокер установился, но снялся диспетрером задач, была возможность переключения задач Alt+Tab, удалился очисткой временных файлов без проблем, другие учетки не заразились. Вывод ограниченная учетка защищает нормально, а при дополнительной настройке отлично. Не заразился под operoй и moziloй.

[B]Юльча[/B], дайте адрес сайта с этим вирусом.

[QUOTE=bolshoy kot;554849][B]Юльча[/B], дайте адрес сайта с этим вирусом.[/QUOTE]

Поддерживаю. Дайте пожалуйста ссылку для экспериментов.

[B]Юльча[/B]
плиз в пм адресок сайта с вирусякой
тоже хочу поиграться на виртуалке

[QUOTE=bolshoy kot;554849]Юльча, дайте адрес сайта с этим вирусом.[/QUOTE]
а вирус взят из [URL="http://virusinfo.info/showpost.php?p=554069&postcount=371"]вашей же[/URL] информации :wink_3:
нагуглилось достаточно сайтов с подобными вирусами.. играйтесь :)


тот что на последнем скрине если не ошибаюсь инсталился из Update_Flash-Player-10_build.9102.exe, сайт на котором я его брала - wm-gamer.ru. но он сейчас недоступен.. :)

смотрим ПМ

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

ах, да, ответный код генерился примерно [URL="http://virusinfo.info/showpost.php?p=554578&postcount=152"]так[/URL].

У меня вопрос по поводу "Update_Flash-Player-10_build.9102.exe"
А при каких условиях появляется окно про SMS? А то я запустил этот файл (на виртуальном ПК), а реакции никакой. Время на 5 часов вперед переводил.

на одной виртуалке вообще не запустился, выдавал ошибку.
поставила с нуля винду, запустила вирь, перезагрузила винду и после запуска пары приложений (ie и avz) вылезло окно-вымогатель

Удалось выяснить, что троян после запуска запускает команду [B]C:\WINDOWS\system32\rundll32.exe C:\DOCUME~1\9335~1\LOCALS~1\Temp\bncojm.dll,Install[/B], но самого файла [B]bncojm.dll[/B] нету. Видимо, самоудалился.

только что проверила еще раз, установила под юзером, окно вылезло сразу после перезугрузки

[SIZE=1][COLOR=#666686][B][I]Добавлено через 1 минуту[/I][/B][/COLOR][/SIZE]

у меня самоудаляется только инсталятор, а две dll и два батника к каждой dll на месте

почему-то каждый раз создаются по две копии )

А у меня инсталлятор почему-то остается на месте...
Но вирус не работает...

у меня инсталятор оставался на месте только при запуске под админом, под юзером - самоликвидируется

[QUOTE='bolshoy kot;555001']У меня вопрос по поводу "Update_Flash-Player-10_build.9102.exe"
А при каких условиях появляется окно про SMS? А то я запустил этот файл (на виртуальном ПК), а реакции никакой. Время на 5 часов вперед переводил.[/QUOTE]

Что за вм? на варе работает, на MS VirtualPC нет

поигрался на скорую руку
тут чисто
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe"
"Userinit"="C:\\WINDOWS\\System32\\userinit.exe,"

в
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs сидит C:\WINDOWS\system32\yltegc.dll (имя создаётся рандомное)

выкосил ветку и файл из систем32, окна более нет
затем стандарное лечение

[QUOTE=sirius;555153]поигрался на скорую руку
тут чисто
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe"
"Userinit"="C:\\WINDOWS\\System32\\userinit.exe,"

в
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs сидит C:\WINDOWS\system32\yltegc.dll (имя создаётся рандомное)

выкосил ветку и файл из систем32, окна более нет
затем стандарное лечение[/QUOTE]

и какие будут общие рекомендации к защите от таких вирусов?
блокировки run как я понимаю в этом случае недостаточно?
защищаем от записи ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs под юзером?

и мне или показалось или при запуске под юзером в реестре было две записи с этим вирем с ссылкой на батник.. сейчас немогу глянуть..

[QUOTE=Гриша;555128]Что за вм? на варе работает, на MS VirtualPC нет[/QUOTE]
Именно Microsoft Virtual PC.
Получается, вирусы уже научились распознавать виртуальные машины?

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[QUOTE]
и мне или показалось или при запуске под юзером в реестре было две записи с этим вирем с ссылкой на батник.. сейчас немогу глянуть..
[/QUOTE]
Вполне возможно:
[QUOTE]
Спасибо, проблема исчезла. Карантин отправил.
Остается добавить, что в папке temp находились еще эти файлы, пришлось их тоже удалить через AVZ
b.bat
hclxsf.bat
kcszh.bat
tbvc.bat
При входе под юзером 1 пытается найти и запустить b.bat
Не знаю, попали ли эти файлы в карантин.
Еще раз СПАСИБО.
[/QUOTE]
[url]http://virusinfo.info/showthread.php?t=63565[/url]
А iLite - похожий на "Download Master" вирус.

[QUOTE=Юльча;555174]

и мне или показалось или при запуске под юзером в реестре было две записи с этим вирем с ссылкой на батник.. сейчас немогу глянуть..[/QUOTE]

честно говоря я более не лазал по реестру
сидел под ERD командером
выкосил все темпы, возможно там муть ещё была
реестр и диспетчер задач разлочил спец утилитами
[URL]http://www.gcmsite.ru/?pg=programs&id=sp-task-manager-unlock[/URL]
[URL]http://www.gcmsite.ru/?pg=programs&id=sp-regedit-unlock[/URL]
естественно полное лечение не проводил
мне на данном этапе хватило разлочить машинку

[QUOTE=bolshoy kot;555199]Именно Microsoft Virtual PC.
Получается, вирусы уже научились распознавать виртуальные машины?[/QUOTE]
а некоторые вирусы это давно умели :)
помню читала описание какого-то виря (возможно русток) который неплохо отбивался от дебагеров и распознавал и не запускался под виртуалками

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 35 минут[/I][/B][/color][/size]

[QUOTE=bolshoy kot;555199][URL]http://virusinfo.info/showthread.php?t=63565[/URL]
А iLite - похожий на "Download Master" вирус.[/QUOTE]
ну да и тема обсуждения у них общая - [URL="http://virusinfo.info/showthread.php?t=63565"]iMax Download Manager или iLite Net Accelerator (Packed.Win32.Krap.w)[/URL] :smile:

эти уродцы-самцы [QUOTE]iMax Download Manager, iLite Net Accelerator, Get Accelerator и Download Master
[/QUOTE]
рождены одной командой ffsearcher (такой же уродливой как они сами) в ж....у им корень...
[url]http://www.anti-malware.ru/forum/index.php?showtopic=10256&pid=91752&st=20&#entry91752[/url]

бабла им мало....

Большое спасибо Юльче за Архив. Попробовал запустил данный вирус под ограниченной учеткой, с пользовательской закрытой Run, вирус прописался в автозапуск по пути HKEY_CURRENT_USER, Software\Microsoft\Windows NT\CurrentVersion\Windows, Load. Закрыл от изменений ветку HKEY_CURRENT_USER, Software\Microsoft\Windows NT\CurrentVersion\Windows,- вирус запустился, но ограниченно (не запускался реестр и диспетчер задач, окошка вымогающего смс не было), после перезагрузки ограничения пропали.
Значит чтобы избежать заражения под ограниченной учеткой, закрываем все автозапуски, в частности
HKEY_CURRENT_USER, Software\Microsoft\Windows NT\CurrentVersion\Windows,

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Всем удачи :smile:

[QUOTE=meir;555903]прописался в автозапуск по пути HKEY_CURRENT_USER, Software\Microsoft\Windows NT\CurrentVersion\Windows, Load[/QUOTE]

А что именно туда прописалось?

[QUOTE=bolshoy kot;555908]А что именно туда прописалось?[/QUOTE]

HKEY_CURRENT_USER, Software\Microsoft\Windows NT\CurrentVersion\Windows, Load
C:\tmp\fjxt.bat

C:\tmp - временная папка пользователя, файл "fjxt.bat" удалился без проблем под ограниченной учеткой.

[QUOTE=meir;555922]HKEY_CURRENT_USER, Software\Microsoft\Windows NT\CurrentVersion\Windows, Load
C:\tmp\fjxt.bat

C:\tmp - временная папка пользователя, файл "fjxt.bat" удалился без проблем под ограниченной учеткой.[/QUOTE]

А в "fjxt.bat" был вызов rundll32.exe?

[QUOTE=bolshoy kot;556454]А в "fjxt.bat" был вызов rundll32.exe?[/QUOTE]

Не отследил, но при перезагрузке, выскакивало окошко rundll32.exe завершить сейчас. Еще читал статью, где описывались блокираторы, меняющие путь к папке автозагрузка в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, поэтому желательно закрыть от изменений и ее.

Уважаемые специалисты посмотрите эту тему [URL="http://virusinfo.info/showthread.php?t=66106&goto"]http://virusinfo.info/showthread.php?t=66106&goto [/URL]
уж очень ядрёный вымогатель попался!!!:huh:

Только што избавился от вируса Internet Security вымогал sms,вырубил все даже интернет блокировал папку Windows с помошью генератора четырех часовая борьба закончилась,кому интересно опишу как

ковыряю этот сайтик po-pc dot ru, просто попрошайка, имитирует флешкой скан системы, вопит о вирусах и порсит денег на номер, номер меняется периодически, вроде ничего не грузит. юзаю чистую VPC и MS Security Essential для прикола. молчит.

Только что наблюдали винлок вымогателя маскирующегося под Kaspersky Internet Security. ХОчет денег через смс.

ХР, все обновления, ограниченная учетка, стоит Касперский антивирус 2010. Тема исчерпана.