Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Сервис раздачи IstBar усложнился, теперь к строке прибавляют либо произвольный набор символов, либо популярные слова поиска типа warez, full version и т.д.
Кроме того появились поддельные записи wmv размером 1-2 Мб, причем у них отсутствует присловутый рейтинг 5 звезд. Раздача непосредственно с узлов-подстав уже практически не ведется, для этих целей используется только машины рядовых пользователей.
Еще немного, и подделки можно будет разоблачить только после скачивания. Реально теперь можно защитится только заблокировав узлы-подставы.
Сервис раздачи IstBar усложнился, теперь к строке прибавляют либо произвольный набор символов, либо популярные слова поиска типа warez, full version и т.д.
Анализ новых "музыкальных" файлов без завышенного "звездного" статуса показал, что в них не содержится непосредственно ссылок для скачивания вредоносного программного обеспечения. Однако музыку послушать вам также не удастся, вместо этого вас прямяком направят на порносайты.
Анализ новых "музыкальных" файлов без завышенного "звездного" статуса показал, что в них не содержится непосредственно ссылок для скачивания вредоносного программного обеспечения. Однако музыку послушать вам также не удастся, вместо этого вас прямяком направят на порносайты.
под понятие "троян" подпадают программы, которые являются не тем, за что себя выдают, или содержать скрытые потенциально опасные функции. я думаю что такие файлы тоже нужно соответствующим образом оценивать.
ISTBar теперь распространяется с лицензией.
Архивы с ISTBar серьезно "распухли". Связано это с добавлением в архив файла лицензии. Сей юридический гэг можно посмотреть в приложении к посту. Однако файл лицензии призван не столько решать проблемы с "законом", сколько изменять контрольную сумму архивов, в которые его добавляют. Дело в том, что после текста самой лицензии каждый раз добавляется разное количество символов абзаца и пробелов. Такой нехитрый трюк обеспечивает обман системы фильтрации децентрализованных P2P сетей, основанный на оценках пользователей.
В дополнение к ISTbar, через те же узлы начала распространяться и реклама. В настоящее время пользователям подсовываются картинки в формате jpg с рекламой одного из лохотронов. Кроме того, для загрузки был выложен непосредственно и ничем не заархивированный exe файл, содержащий в себе Trojan-Clicker:
AntiVir 6.33.0.61 12.16.2005 TR/Click.Delf.DM.5
Avast 4.6.695.0 12.16.2005 Win32:Trojano-2761
AVG 718 12.15.2005 Clicker.ZR
Avira 6.33.0.61 12.16.2005 TR/Click.Delf.DM.5
BitDefender 7.2 12.17.2005 no virus found
CAT-QuickHeal 8.00 12.17.2005 TrojanClicker.Delf.dm
ClamAV devel-20051108 12.16.2005 no virus found
DrWeb 4.33 12.16.2005 Trojan.Click.731
eTrust-Iris 7.1.194.0 12.17.2005 no virus found
eTrust-Vet 12.3.3.0 12.16.2005 no virus found
Fortinet 2.54.0.0 12.17.2005 Adware/AdClicker
F-Prot 3.16c 12.15.2005 no virus found
Ikarus 0.2.59.0 12.17.2005 Trojan-Clicker.Win32.Delf.DM
Kaspersky 4.0.2.24 12.17.2005 Trojan-Clicker.Win32.Delf.dm
McAfee 4652 12.16.2005 AdClicker-DK
NOD32v2 1.1327 12.17.2005 Win32/TrojanClicker.Delf.DM
Norman 5.70.10 12.16.2005 W32/Agent.JOC
Panda 8.02.00 12.17.2005 Spyware/AdClicker
Sophos 4.01.0 12.17.2005 no virus found
Symantec 8.0 12.17.2005 no virus found
TheHacker 5.9.1.057 12.16.2005 Trojan/Clicker.Delf.dm
VBA32 3.10.5 12.17.2005 Trojan-Clicker.Win32.Delf.dm
P.S. Выкладываю обновленные базы к Clamav для удаления всего оисанного мусора.
под понятие "троян" подпадают программы, которые являются не тем, за что себя выдают, или содержать скрытые потенциально опасные функции. я думаю что такие файлы тоже нужно соответствующим образом оценивать.
Дяди из DrWeb ответили, что это был не вирус. Мы им поверим... , но в базы идущие с этой темой добавим...
Дяди из DrWeb ответили, что это был не вирус. Мы им поверим... , но в базы идущие с этой темой добавим...
да мы тоже не утверждаем, что "вирус"...
добавление переводов строк они использовали еще при распространении архивов.
я обратил внимание на то, что Касперский, подобно AVZ, уже стал детектировать сами архивы с IstBar, а не файлы внутри архивов. в качестве противодействия этому они стали менять и начинку архивов, а не только размер.
p.s. жаль только, что на FTP не появляются новые образцы...
Сегодня еще порыскал по означенным выше узлам и обнаружил, что постепенно "звездная" болезнь у ISTBar проходит. У большей части обнаруженных новых файлов рейтинга вообще нет, как и у большинства объектов в p2p сетях. Это обстаятельство затрудняет визуальную фильтрацию результатов поиска. Кроме того однозначно можно констатировать резкий рост числа зараженных узлов. Если на прошлой недели поиск выявлял несколько десятков источников файла на один hub, то теперь счет пошел на сотни... Хорошо, что все распространяемые образцы ISTBar не пытаются зомбировать заражаемые компьютеры, превращая их в распространителей заразы, а то бы в миг вспыхнула масштабная эпидемия, и никакая фильтрация не помогла бы.
В очередной раз изменились названия исполняемых файлов распространяемой заразы. Теперь в скаченных архивах помимо файла лицензии находятся exe файлы с названиями YSB_toolBar.exe и Setup_tollBar.exe. Образцы как обычно на ftp.
Обнаружено еще несколько узлов рассылающих подложные файлы. Первая группа узлов находится в диапазоне 209.190.0.0-209.190.127.255. В основном здесь распространяются *.wmv файлы, при посмотре которых открывается "клубничный" сайт или грузится Adware.SaveNow. Также закачивается две модификации Trojan-Clicker . Все образцы на ftp папка 2 в папке IstBar.
Вторая группа в диапазоне 209.160.0.0-209.160.79.255, отсюда идут файлы подозрительно похожие на Spyware. Желающие могут поковыряться, образцы расположены в папке 3 папки IstBar на ftp.
К сообщению приложен файл с блокирующими правилами для shareaza.
Последний раз редактировалось Minos; 24.04.2006 в 00:46.
Более серьёзное изучение новых источников заразы показало, что в отличии от ISTBar новые узлы разбросаны по подсетям, и блокирование диапазона адресов в связи с этим является излишним. В настоящее время список узлов распространяющих заразу следующий:
64.151.98.36
68.178.200.89
63.246.153.64
209.190.122.186
209.160.32.221
209.165.244.242
206.222.26.34
Во всех случаях клиент Gnutella2 подложного узла идентифицируется как Gnucleus 2.2.0.0.