-
О "блокировании" вконтакте, одноклассников и других
В контакте с Trojan.Hosts.75
Компания «Доктор Веб» сообщает, что в начале июня 2009 года в популярной социальной сети «ВКонтакте» был обнаружен очередной троянец. Данная вредоносная программа принадлежит к семейству Trojan.Hosts и вымогает деньги у зараженных пользователей. На сегодняшний день насчитывается около сотни различных модификаций этой угрозы.
Trojan.Hosts.75 перенаправляет пользователя на фишинговую страницу, оформленную в фирменном стиле этой социальной сети. Здесь, будто бы от лица администрации сайта, пользователю предлагается зарегистрироваться в системе при помощи SMS-активации. Объясняется это «нововведение» увеличением количества спам-рассылок.
После запуска Trojan.Hosts.75 вирус распаковывает на диск bat-файл, который, в свою очередь, модифицирует файл hosts. После изменения он выглядит следующим образом:
При посещении одного из ресурсов, приведенных выше, с зараженного компьютера, пользователь перенаправляется на фальшивую страницу на сервере http://211.xx.xx.xx/index.html. Прописав в файл hosts множество популярных интеренет-ресурсов, киберпреступники попытались тем самым увеличить вероятность попадания зараженного пользователя на сайт вымогателей.
В последнее время служба вирусного мониторинга компании «Доктор Веб» констатирует увеличение числа программ-вымогателей. Этот факт был отмечен и в нашем обзоре вирусной обстановки за май 2009 года.
Мы в очередной раз призываем пользователей не поддаваться на фишинговые провокации злоумышленников и не перечислять на их счета запрошенные суммы.
DrWeb
The worst foe lies within the self...
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
В "Помогите!" такого довольно много проскакивает.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
После запуска Trojan.Hosts.75 вирус распаковывает на диск bat-файл, который, в свою очередь, модифицирует файл hosts
его кодили суровые Челябинские хакеры?
Я, конечно, допускаю, что работа идет через батник, что бы хипса/проактивка не поняла, что данное действие делается по наущению все-таки стороннего файла, а не системы. Но...
-
Тем не менеее.. В "Помогите" уже далеко не одна тема была..
Как бы он не был выполнен, он "работает" и это настораживает
Именно по этому я тему создал здесь а не в "Новости компьютерной безопасности"
The worst foe lies within the self...
-
-
Как бы он не был выполнен, он "работает" и это настораживает
Понимаю, что он работает, но я оцениваю с другой точки зрения. Это можно сравнить с тем, когда малваре, написанная, на ВБ создает и втихую экспортирует reg-файл, вместо того, чтобы винапи юзать))
-
WinAPI "палится" проактивками/HIPSами...
Как помнится мне то, что стартует с консоли - запускается userом
Вся ответственность - на нем, значит "сам себе злобный буратин"
Этот метод именно на это и рассчитан - СИ во всей красе
С другой стороны - работает? Зачем напрягаться, придумывать...
Придумки с обходами стОят денег, а здесь - дешево и сердито
The worst foe lies within the self...
-
-
я не случайно упомянул ВБ - там есть некие траблы с работой с реестром, поэтому НАМНОГО проще записать файл и экспортировать.
WinAPI "палится" проактивками/HIPSами...
Если правила не автосоздаются, то проактивка все равно заорет, а хипсу такой примитивный прием обойти не должен в теории
С другой стороны - работает? Зачем напрягаться, придумывать...
Придумки с обходами стОят денег, а здесь - дешево и сердито
Поздравляю!
Вы в двух строках очень четко охарактеризовали российскую хак-сцену
-
Сообщение от
priv8v
Если правила не автосоздаются, то проактивка все равно заорет, а хипсу такой примитивный прием обойти не должен в теории
Поздравляю!
Вы в двух строках очень четко охарактеризовали российскую хак-сцену
Небольшие "извращения при запуске" и все как бы санкционировано пользователем. Это скорее вопрос о том, против кого/чего "заточено"
Это скорее принцип "Работает - не трогай"
Не "сцена" первой его применила
The worst foe lies within the self...
-
-
Хм...
В свете всего этого у меня возникла идея сделать пробное небольшое тестирование хипс/пдм систем - сравнить их реакцию на стандартное поведение (вызов API - при этом кодить все это дело на асме, что бы им легче было) и их через_одно_местных аналогов (добавление в автозагрузку через батник (как в реестр, так и копирование в папку), через reg-файл, через vbs, через запуск системных утилит с параметрами, вызов system (экспортируется msvcrt.dll), дропанье другого ехе-файла с переносом части деятельности на него, ...может еще чего...).
Интересно было бы посмотреть на результат...
Будет время - реализую.
-
Junior Member
- Вес репутации
- 55
Здравствуйте! Скажите как бороться с этим чудом,его можно удалить??
-
The worst foe lies within the self...
-
-
-
-
-
senyak, спасибо за информацию. Интересно...
Теперь я постараюсь словами описать то, что мы видим на картинках и подробно прокомментировать.
Видим следующее:
1). Защита заругалась на создание исполняемого файла (сразу видно, что это параноидальные настройки, причем это срабатывание именно проактивки, а не какой-то внутренней эмуляции, такая защита будет ругаться на любой инсталлятор - он ведь тоже создает исполняемые файлы).
2). Защита заругалась на попытку изменения конфигурации системы (причем заругалась на то, что это делает cmd.exe - т.е связи с нашим трояном или даже батником не прослеживается - все очень примитивно - кто обращается, на того и ругаемся; на этом этапе даже у такой защиты могла быть брешь - cmd.exe вполне мог быть добавлен в исключения и его деятельность в системе могла не мониторится).
3). Возмущение защиты по поводу установки атрибута скрытый (спорная ругань защиты - ругань на такое - редкость, но если программ ставится на комп немного, то имеет полное право на жизнь).
Например у меня на компьютере уже давно сформирован набор программ, если что и ставлю, то на ВМварю - погонять. Так что для меня, например, такая проактивная защита в плане надоедливости не была бы абузой - я бы такие предупреждения видел редко очень.
4). Удаление исполняемого файла (Хм... после такого меня мучает один вопрос: почему защита не заругалась на функцию lstrcat (эта функция соединяет две строки - образует из двух строк одну строку) - по-моему очень опасное действие и его нужно обязательно обнаруживать и предупреждать об этом пользователя
Стоп...
Вспомнил - там была еще одна очень опасная функция - Sleep() - делает задержку в выполнении программы на указанное время. Программа же секунд 5 ничего не делала - ууубить ее за это мало - раз ничего не делает - значит думает и замышляет что-то нехорошее
Ну, в последних двух абзацах у меня были в основном шутки
Просто дал фантазии разгуляться немного...
А если по делу - то многое написано выше, а добавить хочу то, что я не сомневался в прохождении такого теста утилитами такого класса - класса, где все решает пользователь, а тулза только спрашивает о каждом чихе и вздохе файла.
######################
PS: Интересно еще будет посмотреть на результаты проверки этих двух троянов на вирустотале (данные файлы антивирусы и их эвристики и просто сигнатурные базы никак не могут отличить от реальных - т.к с их точки зрения разницы нет).
Вот один результат (только панда назвала этот файл подозрительным):
http://www.virustotal.com/ru/analisi...411-1244927630
И вот второй файл (вирустотал чист как слеза младенца - ни одного срабатывания):
http://www.virustotal.com/ru/analisi...970-1244927833
Итого:
Мы можем видеть, что данный метод редактирования файла hosts дает некоторые возможности по скрытию не только от PDM и эмуляторов, но и от сигнатурно-эвристического детекта (если бы мы без всяких ухищрений просто "в лоб" написали троян, который бы редактировал hosts через вызовы WinApi (CreateFile -> WriteFile), то на вирустотале было бы не менее 5 детектов этого трояна.
Последний раз редактировалось priv8v; 14.06.2009 в 01:28.
// ...
-
Настройки у меня и вправду немного параноидальные. Но я уже для основных программ создал правила и она меня не спрашивает, а только спрашивает о новых.
Может у кого-то с другими настройками будет другой результат. Пробуйте, отпишитесь
Клуб любителей Symantec - http://symantecclub.ru/
-
-
А мне лично больше хотелось бы увидеть как на это отреагируют KIS, NIS, Outpost, Comodo...
С малваре_дефендер все вроде понятно
Последний раз редактировалось priv8v; 14.06.2009 в 01:38.
// ...
-
И туда же Comodo. Интересно, то что называют в ESS хипсом - хоть что-то ловит?
Клуб любителей Symantec - http://symantecclub.ru/
-
-
Да, точно, спасибо. Про комодо забыл, а ведь там очень мощные технологии проактивного обнаружения (спать пора, уснул бычок - лег в кроватку на бочок.. ).
А по поводу хипса в ESS - поищите на АМ в разделе есета, там обсуждали эту тему и пришли к выводу, что их у них лексическое значение аббревиатуры HIPS далеко не такое как у нас. У них он вроде выходит на борьбу с определенными видами червей направлен - только это удалось выдавить из знатоков есета
А если пытаться там найти, например, какой-то анализ активности приложений, то его нет, они и сами это признают.
-
Junior Member
- Вес репутации
- 55