hi.ru архив софта с троянами

Тема в разделе "Пойманы за руку", создана пользователем Voldemar2007-72, 10 дек 2014.

  1. Voldemar2007-72
    Оффлайн

    Voldemar2007-72 Активный пользователь

    Сообщения:
    206
    Симпатии:
    356
    Не знаю куда написать.Тут на днях попался сайт hi.ru. чем то похож на майл только по проще.под рубрикой софт скачал оперу,чисто проверить что раздают, на вирус толл проверил и только доктор веб показал что троянец.:Dirol:
     
  2. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Voldemar2007-72, беглым взглядом там NSIS исталлятор внутри которого оригинальный файл, который хотели скачать + довесок ввиде VBS скрипта для подмены стартовой страницы и поисковой системы в браузере на этот сайт + батник который завершает процессы браузеров chrome.exe, firefox.exe, opera.exe, amigo.exe. Вердикт в общем и так ясен - малвара. Спасибо за ссылку.
    В вирлабы файл разослал, пока детект только у доктора Trojan.StartPage1.4983
    Antivirus scan for 963ece8772146104c4d5d814d6401fb3d529aab4b4208376be78648ee5d9918c at 2014-12-10 13:10:38 UTC - VirusTotal
    Antivirus scan for a5cb5defe7ab4100d6531c26b277a1fbc272ed4f461506ca12fef070416b12bd at 2014-12-10 12:46:04 UTC - VirusTotal

    Информация Если ваша система уже заражена этой дрянью, то вы можете вылечиться от неё в разделе Лечение компьютерных вирусов.
     
    Последнее редактирование: 30 ноя 2015
  3. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.497
    Симпатии:
    4.312
    ++ смена опции браузеров на "Открывать последнюю сессию".
    и регистрация стороннего не-вредоносного компонента для парсинга INI-файлов.
     
  4. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Dragokas, я потом запустил этот файл, там при запуске ещё очень длинное лицензионное соглашение и судя по концовке с компанией Adobe :Sarcastic:.
     
  5. Voldemar2007-72
    Оффлайн

    Voldemar2007-72 Активный пользователь

    Сообщения:
    206
    Симпатии:
    356
    Еще хотел добавить ,что на компе 2 системы, в одной запускаешь,а на второй системе мазила тоже заразилась:Hunter:
     

    Вложения:

  6. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Свежие ссылки с отчётом о проверке на VirusTotal:
    https://www.virustotal.com/ru/file/...b29caa1b09af4e469a80bfd2/analysis/1419844314/
    https://www.virustotal.com/ru/file/...30ad4f3a680258980b7c926c/analysis/1419844795/
    https://www.virustotal.com/ru/file/...84e5ce351afb2f598ccc4fe2/analysis/1419844787/
    --- Объединённое сообщение, 29 дек 2014, Дата первоначального сообщения: 29 дек 2014 ---
    https://www.virustotal.com/ru/file/...45f5590a1f15f4b1c928372d/analysis/1419850340/
    https://www.virustotal.com/ru/file/...79f1ae76c3d7ac4163da7d7f/analysis/1419850342/
    https://www.virustotal.com/ru/file/...73bf413250da79d005a87674/analysis/1419850447/
    https://www.virustotal.com/ru/file/...d027fa37bbe5cd7bbe4552fa/analysis/1419850607/
    https://www.virustotal.com/ru/file/...0390a96bdde8650e4c311042/analysis/1419851310/
    https://www.virustotal.com/ru/file/...8b7d73587ae562fb02dbd714/analysis/1419851407/
    https://www.virustotal.com/ru/file/...918086a8b3bf6272d7252e6e/analysis/1419851818/
    https://www.virustotal.com/ru/file/...6528d2721264eac83a40bfed/analysis/1419851840/
    https://www.virustotal.com/file/3c1...4cdb0c5421d2ce581c51de12/analysis/1419852090/
    https://www.virustotal.com/file/960...f107efedf8208fb0bd1d2d08/analysis/1419852703/
    https://www.virustotal.com/ru/file/...50ecc50de54af0864bd54455/analysis/1419853558/
    https://www.virustotal.com/ru/file/...e8753f5fb69cec1b9e85ccda/analysis/1419854750/
    https://www.virustotal.com/file/932...e62853df8fe8d4c0ec1b304d/analysis/1419855553/
     
    machito, Phoenix и akok нравится это.
  7. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Раньше я думал, что эту вирусню распространяет только админ сайта. А оказывается и некоторые известные репакеры не прочь подзаработать на троянах.
    USB Safely Remove 5.3.8.1233 Repack by KpoJIuK
    Begin2Fly.png
     
    akok и Dragokas нравится это.
  8. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    На киберфоруме в разделе лечения уже видел тему с просьбой вылечить от этой дряни.
    --- Объединённое сообщение, 30 апр 2015 ---
    Да и забыл дописать, что послал этот компонент в вирлабы, от доктора Веба уже ответ, что будет его детектировать его как VBS.StartPage.34
    --- Объединённое сообщение, 30 апр 2015, Дата первоначального сообщения: 30 апр 2015 ---
    и на вирусинфо есть пострадавшие ))).
     
    machito нравится это.
  9. Voldemar2007-72
    Оффлайн

    Voldemar2007-72 Активный пользователь

    Сообщения:
    206
    Симпатии:
    356
  10. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Наткнулся на ещё одного известного репакера, который в свои репаки пихает туже заразу. Проверял AIDA64 Extreme | Engineer | Business Edition | Network Audit 5.50.3600 Final RePack by Diakov. Выбрал его так как увидел подобные жалобы на него.
    Отчёт по самому файлу репаку на вирустотал Antivirus scan for c920756161fa225ff75a6d9d512b7ec1f1a6fb6d760a34e9098194ec9344175f at 2015-11-15 14:44:15 UTC - VirusTotal
    Детектов не так много
    Файл оказался обычным NSIS исталятором, распаковал его на части и снова проверил, ругается только на один файл install.exe.
    install.exe также оказался NSIS инсталятором внутри которого две в общем-то безобидные .dll, а подвох кроется в скрипте установки этого файла. В котором и прописан уже знакомый нам по заражённым ярлыкам и т.д. hi.ru
    Файл разослал по вирлабом, надеюсь детектов станет больше, а людей использующих репаки (в частности репаки упомянутых авторов) станет меньше.
     
  11. machito
    Оффлайн

    machito Команда форума Супер-Модератор

    Сообщения:
    1.907
    Симпатии:
    1.941
    Что касается галочек, при установке какой либо программы, то их хватает и не в зараженных инсталляторах
    да ещё и по хлеще.
    DrWeb Trojan.StartPage1.21935 20151115:
    regist, если вы проводили исследование, можете описать его действия-свойства, какие процессы запускаются в системе. Или это пока новое творение ?
     
  12. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.059
    Симпатии:
    4.488
    Интересно, сколько в среднем бабла они(репакеры) поднимают на создании подобных репаков?
     
    Последнее редактирование: 15 ноя 2015
  13. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    да, мне это не особо было интересно. Так как это уже разбиралось и описывалось в начале этой темы. Разница тут наверно только в том, что делается не через VBS скрипт, а через NSIS.
    Сейчас глянул его бегло, он устанавливает свои расширения в Хром
    Код (NSIS):
    HKLM Software\Google\Chrome\Extensions\echeiocnbggcacegkopjcllmaglbocni version 0.1
    HKLM Software\Google\Chrome\Extensions\echeiocnbggcacegkopjcllmaglbocni update_url https://clients2.google.com/service/update2/crx
    HKLM Software\Wow6432Node\Google\Chrome\Extensions\echeiocnbggcacegkopjcllmaglbocni version 0.1
    HKLM Software\Wow6432Node\Google\Chrome\Extensions\echeiocnbggcacegkopjcllmaglbocni update_url https://clients2.google.com/service/update2/crx
    А также ищет ярлыки от популярных браузеров и добавляет к ним дописку.
    Список перебираемых браузеров: Internet Explorer, Google Chrome, Yandex, Opera, Mozilla Firefox, Амиго.
    Код (Text):
    http://hi.ru/?44
    скрипт целиком по понятным причинам я тут не привожу.
     
    Dragokas и machito нравится это.
  14. machito
    Оффлайн

    machito Команда форума Супер-Модератор

    Сообщения:
    1.907
    Симпатии:
    1.941
    regist, так ихними репаками "by KpoJIuK и by Diakov" почти все торрент-ресурсы, фалообменники завалены.
    Тут нужно по другому вопрос решать (если это действительно идёт вред) то глушить на прямую.
    К примеру у diakov есть свой довольно таки большой ресурс.
    п.с. просто мысли в слух...
     
  15. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    сходу у нас в разделе лечения две ссылки нашёл:
    Решена - В браузере появляются черные прямоугольники мешающие работать
    Закрыто - Все веб-страницы недоступны
    Во многих темах лечения просто не указано, что там именно от этого лечили.

    А также впиши в поисковике фразу: hi.ru вирус и посмотри на кол-во и содержание тем :).

    Да и по поиску этого расширения (из свеже-разобранного инсталятора) гугол находит кучу тем и все в разделе лечения правда на других сайтах. В магазине Хрома такого расширения нет. Вывод делай сам :).
     
  16. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    через поиск в магазине нету, а через гугол таки нашёл Стартовая и поиск Hi.Ru :Big Boss:
    то есть как понимаю, что бы вы в настройках не выставили, всё равно вам откроют этот сайт с вирусами.
     
  17. machito
    Оффлайн

    machito Команда форума Супер-Модератор

    Сообщения:
    1.907
    Симпатии:
    1.941
    regist, так если галочку hi.ru не ставить, то ничего и нет в системе.
    Решил глянуть, установил Reg Organizer 7.16 Final RePack (& Portable) by KpoJIuK
    Antivirus scan for 93f64fd584e1abdb4fd3c54ac1e1bd25911353258bccfa14a975a2e41ea157e9 at 2015-11-15 18:01:11 UTC - VirusTotal
    реестр порыл, где что вредоносное ?!
    Не хочу защищать, но мало ли что не пихают другие разрабы в свои детища.... мама не горюй... (если не выбрать расширенные опции установки)
    К примеру взять продукты от майл груп. и другие типа их.
     
  18. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    по крайней майл.ру не заражает ярлыки установленных у тебя программ, а остальное можно удалить через установку и удаление программ. А тут представь запускаешь любой браузер, а у тебя открывается hi.ru
    Точней если внимательно следить и снимать её. А много людей за этим следят?
    Читай внимательней описание действий вируса, в реестре разве только настройки IE. А остальное в настройках браузера и ярлыках. Ну и ещё в реестре расширения Хрома, но это надо знать что искать, а не тупо адресу сайта.
     
    Voldemar2007-72 нравится это.

Поделиться этой страницей