Показано с 1 по 19 из 19.

О "блокировании" вконтакте, одноклассников и других

  1. #1
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837

    О "блокировании" вконтакте, одноклассников и других

    В контакте с Trojan.Hosts.75


    Компания «Доктор Веб» сообщает, что в начале июня 2009 года в популярной социальной сети «ВКонтакте» был обнаружен очередной троянец. Данная вредоносная программа принадлежит к семейству Trojan.Hosts и вымогает деньги у зараженных пользователей. На сегодняшний день насчитывается около сотни различных модификаций этой угрозы.

    Trojan.Hosts.75 перенаправляет пользователя на фишинговую страницу, оформленную в фирменном стиле этой социальной сети. Здесь, будто бы от лица администрации сайта, пользователю предлагается зарегистрироваться в системе при помощи SMS-активации. Объясняется это «нововведение» увеличением количества спам-рассылок.



    После запуска Trojan.Hosts.75 вирус распаковывает на диск bat-файл, который, в свою очередь, модифицирует файл hosts. После изменения он выглядит следующим образом:

    При посещении одного из ресурсов, приведенных выше, с зараженного компьютера, пользователь перенаправляется на фальшивую страницу на сервере http://211.xx.xx.xx/index.html. Прописав в файл hosts множество популярных интеренет-ресурсов, киберпреступники попытались тем самым увеличить вероятность попадания зараженного пользователя на сайт вымогателей.

    В последнее время служба вирусного мониторинга компании «Доктор Веб» констатирует увеличение числа программ-вымогателей. Этот факт был отмечен и в нашем обзоре вирусной обстановки за май 2009 года.

    Мы в очередной раз призываем пользователей не поддаваться на фишинговые провокации злоумышленников и не перечислять на их счета запрошенные суммы.

    DrWeb
    The worst foe lies within the self...

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    В "Помогите!" такого довольно много проскакивает.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1263
    После запуска Trojan.Hosts.75 вирус распаковывает на диск bat-файл, который, в свою очередь, модифицирует файл hosts
    его кодили суровые Челябинские хакеры?

    Я, конечно, допускаю, что работа идет через батник, что бы хипса/проактивка не поняла, что данное действие делается по наущению все-таки стороннего файла, а не системы. Но...
    // ...

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    Тем не менеее.. В "Помогите" уже далеко не одна тема была..
    Как бы он не был выполнен, он "работает" и это настораживает

    Именно по этому я тему создал здесь а не в "Новости компьютерной безопасности"
    The worst foe lies within the self...

  6. #5
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1263
    Как бы он не был выполнен, он "работает" и это настораживает
    Понимаю, что он работает, но я оцениваю с другой точки зрения. Это можно сравнить с тем, когда малваре, написанная, на ВБ создает и втихую экспортирует reg-файл, вместо того, чтобы винапи юзать))
    // ...

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    WinAPI "палится" проактивками/HIPSами...
    Как помнится мне то, что стартует с консоли - запускается userом
    Вся ответственность - на нем, значит "сам себе злобный буратин"

    Этот метод именно на это и рассчитан - СИ во всей красе

    С другой стороны - работает? Зачем напрягаться, придумывать...
    Придумки с обходами стОят денег, а здесь - дешево и сердито
    The worst foe lies within the self...

  8. #7
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1263
    я не случайно упомянул ВБ - там есть некие траблы с работой с реестром, поэтому НАМНОГО проще записать файл и экспортировать.

    WinAPI "палится" проактивками/HIPSами...
    Если правила не автосоздаются, то проактивка все равно заорет, а хипсу такой примитивный прием обойти не должен в теории

    С другой стороны - работает? Зачем напрягаться, придумывать...
    Придумки с обходами стОят денег, а здесь - дешево и сердито
    Поздравляю!
    Вы в двух строках очень четко охарактеризовали российскую хак-сцену
    // ...

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    Цитата Сообщение от priv8v Посмотреть сообщение
    Если правила не автосоздаются, то проактивка все равно заорет, а хипсу такой примитивный прием обойти не должен в теории


    Поздравляю!
    Вы в двух строках очень четко охарактеризовали российскую хак-сцену
    Небольшие "извращения при запуске" и все как бы санкционировано пользователем. Это скорее вопрос о том, против кого/чего "заточено"

    Это скорее принцип "Работает - не трогай"
    Не "сцена" первой его применила
    The worst foe lies within the self...

  10. #9
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1263
    Хм...
    В свете всего этого у меня возникла идея сделать пробное небольшое тестирование хипс/пдм систем - сравнить их реакцию на стандартное поведение (вызов API - при этом кодить все это дело на асме, что бы им легче было) и их через_одно_местных аналогов (добавление в автозагрузку через батник (как в реестр, так и копирование в папку), через reg-файл, через vbs, через запуск системных утилит с параметрами, вызов system (экспортируется msvcrt.dll), дропанье другого ехе-файла с переносом части деятельности на него, ...может еще чего...).
    Интересно было бы посмотреть на результат...
    Будет время - реализую.
    // ...

  11. #10
    Junior Member Репутация
    Регистрация
    13.06.2009
    Сообщений
    2
    Вес репутации
    55
    Здравствуйте! Скажите как бороться с этим чудом,его можно удалить??

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    The worst foe lies within the self...

  13. #12
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1263
    Ради эксперимента решил открыть сейчас редактор и набросать немного, то я совсем обленюсь

    ###############################
    Вот что вышло:
    dump.ru/file/2897743 - архив.
    slil.ru/27754924 - зеркало на всякий пожарный.
    Пароль на архив: 123
    ###############################

    Там 2 файла, в ридми все подробно описано. Сейчас скажу (не качать же кота в мешке, к тому же под паролем 123): отличия от того, что в описании у этих файлов нет - методика работы такая же. Только перед доменом прописывается не ip-адрес злоумышленников, а реальный адрес этого сайта.

    Интересно глянуть как на это отреагируют супер-хипсы и проактивки. Если не сложно - напишите о результатах. Это будет интересным дополнением к обсуждению данной новости
    // ...

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для senyak
    Регистрация
    05.03.2008
    Адрес
    Крым, Евпатория
    Сообщений
    1,224
    Вес репутации
    398
    Malware Defender 2.2.1 с настройкой под меня (то есть, настройки не по умолчанию )



    Клуб любителей Symantec - http://symantecclub.ru/

  15. #14
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1263
    senyak, спасибо за информацию. Интересно...
    Теперь я постараюсь словами описать то, что мы видим на картинках и подробно прокомментировать.

    Видим следующее:

    1). Защита заругалась на создание исполняемого файла (сразу видно, что это параноидальные настройки, причем это срабатывание именно проактивки, а не какой-то внутренней эмуляции, такая защита будет ругаться на любой инсталлятор - он ведь тоже создает исполняемые файлы).

    2). Защита заругалась на попытку изменения конфигурации системы (причем заругалась на то, что это делает cmd.exe - т.е связи с нашим трояном или даже батником не прослеживается - все очень примитивно - кто обращается, на того и ругаемся; на этом этапе даже у такой защиты могла быть брешь - cmd.exe вполне мог быть добавлен в исключения и его деятельность в системе могла не мониторится).

    3). Возмущение защиты по поводу установки атрибута скрытый (спорная ругань защиты - ругань на такое - редкость, но если программ ставится на комп немного, то имеет полное право на жизнь).
    Например у меня на компьютере уже давно сформирован набор программ, если что и ставлю, то на ВМварю - погонять. Так что для меня, например, такая проактивная защита в плане надоедливости не была бы абузой - я бы такие предупреждения видел редко очень.

    4). Удаление исполняемого файла (Хм... после такого меня мучает один вопрос: почему защита не заругалась на функцию lstrcat (эта функция соединяет две строки - образует из двух строк одну строку) - по-моему очень опасное действие и его нужно обязательно обнаруживать и предупреждать об этом пользователя
    Стоп...
    Вспомнил - там была еще одна очень опасная функция - Sleep() - делает задержку в выполнении программы на указанное время. Программа же секунд 5 ничего не делала - ууубить ее за это мало - раз ничего не делает - значит думает и замышляет что-то нехорошее
    Ну, в последних двух абзацах у меня были в основном шутки
    Просто дал фантазии разгуляться немного...

    А если по делу - то многое написано выше, а добавить хочу то, что я не сомневался в прохождении такого теста утилитами такого класса - класса, где все решает пользователь, а тулза только спрашивает о каждом чихе и вздохе файла.

    ######################
    PS: Интересно еще будет посмотреть на результаты проверки этих двух троянов на вирустотале (данные файлы антивирусы и их эвристики и просто сигнатурные базы никак не могут отличить от реальных - т.к с их точки зрения разницы нет).
    Вот один результат (только панда назвала этот файл подозрительным):
    http://www.virustotal.com/ru/analisi...411-1244927630
    И вот второй файл (вирустотал чист как слеза младенца - ни одного срабатывания):
    http://www.virustotal.com/ru/analisi...970-1244927833

    Итого:
    Мы можем видеть, что данный метод редактирования файла hosts дает некоторые возможности по скрытию не только от PDM и эмуляторов, но и от сигнатурно-эвристического детекта (если бы мы без всяких ухищрений просто "в лоб" написали троян, который бы редактировал hosts через вызовы WinApi (CreateFile -> WriteFile), то на вирустотале было бы не менее 5 детектов этого трояна.
    Последний раз редактировалось priv8v; 14.06.2009 в 01:28.
    // ...

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для senyak
    Регистрация
    05.03.2008
    Адрес
    Крым, Евпатория
    Сообщений
    1,224
    Вес репутации
    398
    Настройки у меня и вправду немного параноидальные. Но я уже для основных программ создал правила и она меня не спрашивает, а только спрашивает о новых.
    Может у кого-то с другими настройками будет другой результат. Пробуйте, отпишитесь
    Клуб любителей Symantec - http://symantecclub.ru/

  17. #16
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1263
    А мне лично больше хотелось бы увидеть как на это отреагируют KIS, NIS, Outpost, Comodo...
    С малваре_дефендер все вроде понятно
    Последний раз редактировалось priv8v; 14.06.2009 в 01:38.
    // ...

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для senyak
    Регистрация
    05.03.2008
    Адрес
    Крым, Евпатория
    Сообщений
    1,224
    Вес репутации
    398
    И туда же Comodo. Интересно, то что называют в ESS хипсом - хоть что-то ловит?
    Клуб любителей Symantec - http://symantecclub.ru/

  19. #18
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1263
    Да, точно, спасибо. Про комодо забыл, а ведь там очень мощные технологии проактивного обнаружения (спать пора, уснул бычок - лег в кроватку на бочок.. ).
    А по поводу хипса в ESS - поищите на АМ в разделе есета, там обсуждали эту тему и пришли к выводу, что их у них лексическое значение аббревиатуры HIPS далеко не такое как у нас. У них он вроде выходит на борьбу с определенными видами червей направлен - только это удалось выдавить из знатоков есета
    А если пытаться там найти, например, какой-то анализ активности приложений, то его нет, они и сами это признают.
    // ...

  20. #19
    Junior Member Репутация
    Регистрация
    30.05.2009
    Сообщений
    1
    Вес репутации
    55
    Online Armor 3.5.0.32 (платная версия)







    Только эти три алерта, после чего bat файл благополучно удалился, но хост файл не был изменен. В настройках Армора эта программа как неизвестная - на скрине это видно, кроме того видно что батик удален (серый цвет - программа удалена).




    Попробовал дать разрешение программе - пометил как доверенную, но алерты выдавать (Status - Ask). Те-же самые окна алертов.

    И хост опять не изменен (хост остался девственно чистым).






    Вот такие опции мониторинга хост файла. Как видно опций немного.


Похожие темы

  1. Ответов: 7
    Последнее сообщение: 26.04.2012, 16:16
  2. С "Одноклассников" на "Вконтакте"
    От sophokl в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 27.12.2010, 23:47
  3. Украинские жулики "ломают" "ВКонтакте" за 1500 рублей
    От SDA в разделе Новости компьютерной безопасности
    Ответов: 4
    Последнее сообщение: 23.09.2009, 14:25
  4. Судебные приставы активно используют "ВКонтакте" и "Одноклассники"
    От ALEX(XX) в разделе Новости интернет-пространства
    Ответов: 3
    Последнее сообщение: 02.09.2009, 23:16

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01573 seconds with 19 queries