Страница 2 из 3 Первая 123 Последняя
Показано с 21 по 40 из 43.

Распространение ISTbar через подложные уpлы Gnutella2

  1. #21
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    158
    Цитата Сообщение от Minos
    Все обнаруженные варианты уже точно видят DrWeb и VBA; KAV видит 4 объекта из 5-ти.
    есть хороший анекдот про то, что "в Кремле тоже не дураки сидят".
    одна перекомпиляция, и процесс пошел по новой...

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #22
    Full Member Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    182
    Вес репутации
    74
    Цитата Сообщение от MOCT
    я поздравляю всех людей, пользующихся AVZ, но данные трояны еще не детектируются. ничем. поэтому проверка файлов ничего не даст.
    Не вижу какое отношение это имеет к тому, что avz не проверяет rar

  4. #23
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    158
    Цитата Сообщение от userr
    Не вижу какое отношение это имеет к тому, что avz не проверяет rar
    да это само по себе. но после того, как AVZ станет детектировать этих зверей, то все равно ничего в этих файлах не найдет...

  5. #24
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Minos
    Регистрация
    03.10.2004
    Адрес
    Krasnodar, 23 RUS
    Сообщений
    499
    Вес репутации
    82
    Сервис раздачи IstBar усложнился, теперь к строке прибавляют либо произвольный набор символов, либо популярные слова поиска типа warez, full version и т.д.
    Кроме того появились поддельные записи wmv размером 1-2 Мб, причем у них отсутствует присловутый рейтинг 5 звезд. Раздача непосредственно с узлов-подстав уже практически не ведется, для этих целей используется только машины рядовых пользователей.
    Еще немного, и подделки можно будет разоблачить только после скачивания. Реально теперь можно защитится только заблокировав узлы-подставы.

  6. #25
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    158
    Цитата Сообщение от Minos
    Сервис раздачи IstBar усложнился, теперь к строке прибавляют либо произвольный набор символов, либо популярные слова поиска типа warez, full version и т.д.
    а новые урлы для eMule есть?

  7. #26
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Minos
    Регистрация
    03.10.2004
    Адрес
    Krasnodar, 23 RUS
    Сообщений
    499
    Вес репутации
    82
    Вот несколько, но большие музыкальные файлы пока только на Gnutella

    ed2k://|file|ircork.rar|2114|16d907922d5d031ead9747401f7f 4d65|/
    ed2k://|file|02%20-%20ircork.zip|63674|b571b42148038930eab2c031046390 0d|/
    ed2k://|file|*crack*%20ircork.zip|87298|d9a90e5b6b6932d45 d6981e9756e44cf|/
    ed2k://|file|ircork.zip|76288|00a557484ae235dc339f5500ab5 9a6aa|/
    ed2k://|file|ircork.zip|60623|1c9f09697da28778cffff192650 88468|/
    ed2k://|file|*HonkyTonk*%20ircork.rar|58120|40da4ca4165b1 41ef26b33d67f68f77a|/
    ed2k://|file|www.torrented.to...ircork.zip|56219|1690ce94 dc3350dea988329ecd9f73ee|/
    ed2k://|file|ircork.zip|21324|f0d1a51ce93035420bc3789616b c56b3|/
    ed2k://|file|01%20ircork.zip|29980|b336d55869de5e62a42078 bd7701b69d|/
    ed2k://|file|ircork.rar|51655|01c5249555137eabfe2bc9f819c d0649|/

  8. #27
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Minos
    Регистрация
    03.10.2004
    Адрес
    Krasnodar, 23 RUS
    Сообщений
    499
    Вес репутации
    82
    Анализ новых "музыкальных" файлов без завышенного "звездного" статуса показал, что в них не содержится непосредственно ссылок для скачивания вредоносного программного обеспечения. Однако музыку послушать вам также не удастся, вместо этого вас прямяком направят на порносайты.

  9. #28
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    158
    Цитата Сообщение от Minos
    Анализ новых "музыкальных" файлов без завышенного "звездного" статуса показал, что в них не содержится непосредственно ссылок для скачивания вредоносного программного обеспечения. Однако музыку послушать вам также не удастся, вместо этого вас прямяком направят на порносайты.
    под понятие "троян" подпадают программы, которые являются не тем, за что себя выдают, или содержать скрытые потенциально опасные функции. я думаю что такие файлы тоже нужно соответствующим образом оценивать.

  10. #29
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Minos
    Регистрация
    03.10.2004
    Адрес
    Krasnodar, 23 RUS
    Сообщений
    499
    Вес репутации
    82
    ISTBar теперь распространяется с лицензией.
    Архивы с ISTBar серьезно "распухли". Связано это с добавлением в архив файла лицензии. Сей юридический гэг можно посмотреть в приложении к посту. Однако файл лицензии призван не столько решать проблемы с "законом", сколько изменять контрольную сумму архивов, в которые его добавляют. Дело в том, что после текста самой лицензии каждый раз добавляется разное количество символов абзаца и пробелов. Такой нехитрый трюк обеспечивает обман системы фильтрации децентрализованных P2P сетей, основанный на оценках пользователей.
    В дополнение к ISTbar, через те же узлы начала распространяться и реклама. В настоящее время пользователям подсовываются картинки в формате jpg с рекламой одного из лохотронов. Кроме того, для загрузки был выложен непосредственно и ничем не заархивированный exe файл, содержащий в себе Trojan-Clicker:
    AntiVir 6.33.0.61 12.16.2005 TR/Click.Delf.DM.5
    Avast 4.6.695.0 12.16.2005 Win32:Trojano-2761
    AVG 718 12.15.2005 Clicker.ZR
    Avira 6.33.0.61 12.16.2005 TR/Click.Delf.DM.5
    BitDefender 7.2 12.17.2005 no virus found
    CAT-QuickHeal 8.00 12.17.2005 TrojanClicker.Delf.dm
    ClamAV devel-20051108 12.16.2005 no virus found
    DrWeb 4.33 12.16.2005 Trojan.Click.731
    eTrust-Iris 7.1.194.0 12.17.2005 no virus found
    eTrust-Vet 12.3.3.0 12.16.2005 no virus found
    Fortinet 2.54.0.0 12.17.2005 Adware/AdClicker
    F-Prot 3.16c 12.15.2005 no virus found
    Ikarus 0.2.59.0 12.17.2005 Trojan-Clicker.Win32.Delf.DM
    Kaspersky 4.0.2.24 12.17.2005 Trojan-Clicker.Win32.Delf.dm
    McAfee 4652 12.16.2005 AdClicker-DK
    NOD32v2 1.1327 12.17.2005 Win32/TrojanClicker.Delf.DM
    Norman 5.70.10 12.16.2005 W32/Agent.JOC
    Panda 8.02.00 12.17.2005 Spyware/AdClicker
    Sophos 4.01.0 12.17.2005 no virus found
    Symantec 8.0 12.17.2005 no virus found
    TheHacker 5.9.1.057 12.16.2005 Trojan/Clicker.Delf.dm
    VBA32 3.10.5 12.17.2005 Trojan-Clicker.Win32.Delf.dm
    P.S. Выкладываю обновленные базы к Clamav для удаления всего оисанного мусора.
    Вложения Вложения
    • Тип файла: rar License.rar (5.6 Кб, 6 просмотров)
    • Тип файла: rar ist.rar (486 байт, 2 просмотров)

  11. #30
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Minos
    Регистрация
    03.10.2004
    Адрес
    Krasnodar, 23 RUS
    Сообщений
    499
    Вес репутации
    82
    Цитата Сообщение от MOCT
    под понятие "троян" подпадают программы, которые являются не тем, за что себя выдают, или содержать скрытые потенциально опасные функции. я думаю что такие файлы тоже нужно соответствующим образом оценивать.
    Дяди из DrWeb ответили, что это был не вирус. Мы им поверим... , но в базы идущие с этой темой добавим...

  12. #31
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    158
    Цитата Сообщение от Minos
    Дяди из DrWeb ответили, что это был не вирус. Мы им поверим... , но в базы идущие с этой темой добавим...
    да мы тоже не утверждаем, что "вирус"...

    добавление переводов строк они использовали еще при распространении архивов.
    я обратил внимание на то, что Касперский, подобно AVZ, уже стал детектировать сами архивы с IstBar, а не файлы внутри архивов. в качестве противодействия этому они стали менять и начинку архивов, а не только размер.

    p.s. жаль только, что на FTP не появляются новые образцы...

  13. #32
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Minos
    Регистрация
    03.10.2004
    Адрес
    Krasnodar, 23 RUS
    Сообщений
    499
    Вес репутации
    82
    Цитата Сообщение от MOCT
    да мы тоже не утверждаем, что "вирус"...
    добавление переводов строк они использовали еще при распространении архивов.
    Сейчас они стали не только к архиву добавлять пустые строки, но и в файл лицензии.

    p.s. жаль только, что на FTP не появляются новые образцы...
    По заявкам радиослушателей... Только там, практически ничего нового, только перепаковано и все.

  14. #33
    Geser
    Guest
    Цитата Сообщение от Minos
    Сейчас они стали не только к архиву добавлять пустые строки, но и в файл лицензии.


    По заявкам радиослушателей... Только там, практически ничего нового, только перепаковано и все.
    Только сделайте там отдельную папку что бы не мешать всё вместе

  15. #34
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    158
    Цитата Сообщение от Geser
    Только сделайте там отдельную папку что бы не мешать всё вместе
    ну ты прям как будто на FTP заглянуть не можешь!
    она уж полнедели как существует

  16. #35
    Geser
    Guest
    Цитата Сообщение от MOCT
    ну ты прям как будто на FTP заглянуть не можешь!
    она уж полнедели как существует
    Не заметил

  17. #36
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    158
    Цитата Сообщение от Minos
    По заявкам радиослушателей... Только там, практически ничего нового, только перепаковано и все.
    мерси!
    было интересно посмотреть на jpg.
    да и clicker я раньше не встречал.

    чем безумнее поисковый запрос, тем удивительней результат...

  18. #37
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Minos
    Регистрация
    03.10.2004
    Адрес
    Krasnodar, 23 RUS
    Сообщений
    499
    Вес репутации
    82
    Сегодня еще порыскал по означенным выше узлам и обнаружил, что постепенно "звездная" болезнь у ISTBar проходит. У большей части обнаруженных новых файлов рейтинга вообще нет, как и у большинства объектов в p2p сетях. Это обстаятельство затрудняет визуальную фильтрацию результатов поиска. Кроме того однозначно можно констатировать резкий рост числа зараженных узлов. Если на прошлой недели поиск выявлял несколько десятков источников файла на один hub, то теперь счет пошел на сотни... Хорошо, что все распространяемые образцы ISTBar не пытаются зомбировать заражаемые компьютеры, превращая их в распространителей заразы, а то бы в миг вспыхнула масштабная эпидемия, и никакая фильтрация не помогла бы.

  19. #38
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Minos
    Регистрация
    03.10.2004
    Адрес
    Krasnodar, 23 RUS
    Сообщений
    499
    Вес репутации
    82
    В очередной раз изменились названия исполняемых файлов распространяемой заразы. Теперь в скаченных архивах помимо файла лицензии находятся exe файлы с названиями YSB_toolBar.exe и Setup_tollBar.exe. Образцы как обычно на ftp.

  20. #39
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Minos
    Регистрация
    03.10.2004
    Адрес
    Krasnodar, 23 RUS
    Сообщений
    499
    Вес репутации
    82
    Обнаружено еще несколько узлов рассылающих подложные файлы. Первая группа узлов находится в диапазоне 209.190.0.0-209.190.127.255. В основном здесь распространяются *.wmv файлы, при посмотре которых открывается "клубничный" сайт или грузится Adware.SaveNow. Также закачивается две модификации Trojan-Clicker . Все образцы на ftp папка 2 в папке IstBar.
    Вторая группа в диапазоне 209.160.0.0-209.160.79.255, отсюда идут файлы подозрительно похожие на Spyware. Желающие могут поковыряться, образцы расположены в папке 3 папки IstBar на ftp.

    К сообщению приложен файл с блокирующими правилами для shareaza.
    Вложения Вложения
    Последний раз редактировалось Minos; 24.04.2006 в 00:46.

  21. #40
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Minos
    Регистрация
    03.10.2004
    Адрес
    Krasnodar, 23 RUS
    Сообщений
    499
    Вес репутации
    82
    Более серьёзное изучение новых источников заразы показало, что в отличии от ISTBar новые узлы разбросаны по подсетям, и блокирование диапазона адресов в связи с этим является излишним. В настоящее время список узлов распространяющих заразу следующий:
    64.151.98.36
    68.178.200.89
    63.246.153.64
    209.190.122.186
    209.160.32.221
    209.165.244.242
    206.222.26.34

    Во всех случаях клиент Gnutella2 подложного узла идентифицируется как Gnucleus 2.2.0.0.

Страница 2 из 3 Первая 123 Последняя

Похожие темы

  1. Ответов: 1
    Последнее сообщение: 02.12.2009, 18:11
  2. Распространение вируса под видом GSM ping
    От gorvit82 в разделе Спам и мошенничество в сети
    Ответов: 36
    Последнее сообщение: 17.05.2008, 16:47
  3. Распространение патчей по сети
    От Thunderer в разделе Сетевые атаки
    Ответов: 4
    Последнее сообщение: 08.02.2005, 13:39

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00770 seconds with 18 queries