Исследование плагина Вконтакте WebPlugins

Тема в разделе "Новости информационной безопасности", создана пользователем Amator, 24 окт 2011.

  1. Amator
    Оффлайн

    Amator Активный пользователь

    Сообщения:
    209
    Симпатии:
    84
    Сейчас проводится еще одна атака в социальной сети. Пользователей заманивают предложением скачать плагин расширяющий функционал сети(добавляется скачивание медиа-контента и прочие "фишки"), а также сайта YouTube. При переходе по ссылке на компьютер скачивается файл setupWP.exe
    Сообщение с ссылкой выглядит таким образом
    [​IMG]
    На сайте нам расписывают все возможные функции данного плагина
    [​IMG]
    На Virustotal пока что есть всего три детекта.
    [​IMG]
    Ссылкой на источник файла(сайт "программы") могу поделится.
    P.S. Вначале у меня были только подозрения, после проверки увидел что добавляется флеш-реклама с Google AdSense на страницах ВК, а теперь уже полностью уверен в происходящем - с аккаунта одноклассницы после загрузки этой "полезной" программки начали отсылаться сообщения без ее ведома.
     

    Вложения:

    Последнее редактирование: 24 окт 2011
    8 пользователям это понравилось.
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    + кто-то наживается на рекламе.
     
  3. Amator
    Оффлайн

    Amator Активный пользователь

    Сообщения:
    209
    Симпатии:
    84
    Забыл упомянуть - программа выполняет свой функционал. Я проверил загружаемость видео с YouTube, а также изменение оформления ВКонтакте(дальше не лез, т.к. требуется логин).
     
  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Ну как-то так
     

    Вложения:

  5. Amator
    Оффлайн

    Amator Активный пользователь

    Сообщения:
    209
    Симпатии:
    84
    Хм. Это Kaspersky Security Network? Я таких окошек у себя в Crystal не видел. Только вот не могу понять о чем говорит это окошко
    Upd: Группу ВКонтакте(http://vkontakte.ru/club21410428) уже заблокировали.
     
    Последнее редактирование: 24 окт 2011
  6. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Amator, это результат работы облака. Цифровая подпись в базе доверенных... программа в белом списке.
     
  7. Amator
    Оффлайн

    Amator Активный пользователь

    Сообщения:
    209
    Симпатии:
    84
    Результаты из какой программы Касперского? КИС 2012?
    Получается, что вредоносного кода она не несет? Кто тогда начинает спамить с ее рекламой?
    Upd: страницу с которой было опубликовано то сообщение, администрация ВК уже заблокировала до завтра. Видимо будут разбираться.
     
    Последнее редактирование: 24 окт 2011
  8. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Абсолютно верно. Насчет несет не несет, посмотрим на реакцию вирлабов.
     
  9. Amator
    Оффлайн

    Amator Активный пользователь

    Сообщения:
    209
    Симпатии:
    84
    Поставлю себе Кис 12, а то кристал мне по душе не пришелся) В итоге сидит постоянно в выключенном состоянии.
    Пока ответа от них у меня на почте не видно.
     
  10. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Amator, я увижу.
     
  11. Amator
    Оффлайн

    Amator Активный пользователь

    Сообщения:
    209
    Симпатии:
    84
    А, ну да) Но мне ведь на почту тоже прийдет?
     
  12. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Amator, только если я перешлю.
     
  13. Amator
    Оффлайн

    Amator Активный пользователь

    Сообщения:
    209
    Симпатии:
    84
    Я думал полная автоматизация)
     
  14. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Будет позже. Но пока ответы доступны для консультантов.
     
  15. Amator
    Оффлайн

    Amator Активный пользователь

    Сообщения:
    209
    Симпатии:
    84
    Есть такой сайт форум.античат.ру, так вот я там нашел тему по поводу этой программы. Она находится по адресу от корня форума /thread296720.html
     
  16. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    _http://forum.antichat.ru/thread296720.html для тех кому лень искать. Похоже не совсем честный способ продвижения товара.
     
  17. Amator
    Оффлайн

    Amator Активный пользователь

    Сообщения:
    209
    Симпатии:
    84
    Я просто посчитал, что ссылки на такие сайты здесь не хорошо публиковать:)
    Upd: и таки да, программа сама спамит по стенам других пользователей, за что скачавшие получают бан от ВК хттп://forum.web-plugins.ru/viewtopic.php?f=4&t=15
     
    Последнее редактирование: 25 окт 2011
  18. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    А что кому-то внушает доверие цифровая подпись от 1/1/1970 года?
    Этот "чернышов" тогда еще не только сам не родился, его папаша ещё в пелёнках барахатался, если вообще был. Не говоря уже об Интернете и ЭЦП. :D
     
  19. Amator
    Оффлайн

    Amator Активный пользователь

    Сообщения:
    209
    Симпатии:
    84
    Сейчас плотно общаюсь с поддержкой ВК, они уже заблокировали переходы на все эти ссылки для скачивания. Предложил им создать что то на подобие информационного центра о новых угрозах(в виде отдельной странички), где будет публиковатся информация о свежих угрозах, которые еще не попали в базы антивирусов. akok, ответа пока нет?
    SNS-amigo, доверие не внушает, просто удивился результату работу КСН
     
  20. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Google помнит все

    Сейчас подготовлю тикеты с подробным описанием.


    Во вложении копия темки... на всяк случай.
     

    Вложения:

Поделиться этой страницей