hi.ru архив софта с троянами

GvU · 10 Дек 2014

Не знаю куда написать.Тут на днях попался сайт hi.ru. чем то похож на майл только по проще.под рубрикой софт скачал оперу,чисто проверить что раздают, на вирус толл проверил и только доктор веб показал что троянец. :Dirol:

regist · 10 Дек 2014

Voldemar2007-72, беглым взглядом там NSIS исталлятор внутри которого оригинальный файл, который хотели скачать + довесок ввиде VBS скрипта для подмены стартовой страницы и поисковой системы в браузере на этот сайт + батник который завершает процессы браузеров chrome.exe, firefox.exe, opera.exe, amigo.exe. Вердикт в общем и так ясен - малвара. Спасибо за ссылку.
В вирлабы файл разослал, пока детект только у доктора Trojan.StartPage1.4983
Antivirus scan for 963ece8772146104c4d5d814d6401fb3d529aab4b4208376be78648ee5d9918c at 2014-12-10 13:10:38 UTC - VirusTotal
Antivirus scan for a5cb5defe7ab4100d6531c26b277a1fbc272ed4f461506ca12fef070416b12bd at 2014-12-10 12:46:04 UTC - VirusTotal

[fieldset=Информация]Если ваша система уже заражена этой дрянью, то вы можете вылечиться от неё в разделе Лечение компьютерных вирусов.[/fieldset]

Dragokas · 10 Дек 2014

regist написал(а):
довесок ввиде VBS скрипт для подмены стартовой страницы и поисковой системы в браузере на этот сайт

++ смена опции браузеров на "Открывать последнюю сессию".
и регистрация стороннего не-вредоносного компонента для парсинга INI-файлов.

regist · 10 Дек 2014

Dragokas, я потом запустил этот файл, там при запуске ещё очень длинное лицензионное соглашение и судя по концовке с компанией Adobe :Sarcastic:

.

GvU · 10 Дек 2014

Еще хотел добавить ,что на компе 2 системы, в одной запускаешь,а на второй системе мазила тоже заразилась :Hunter:

regist · 29 Дек 2014

regist · 30 Апр 2015

Раньше я думал, что эту вирусню распространяет только админ сайта. А оказывается и некоторые известные репакеры не прочь подзаработать на троянах.
USB Safely Remove 5.3.8.1233 Repack by KpoJIuK

regist · 30 Апр 2015

На киберфоруме в разделе лечения уже видел тему с просьбой вылечить от этой дряни.
Да и забыл дописать, что послал этот компонент в вирлабы, от доктора Веба уже ответ, что будет его детектировать его как VBS.StartPage.34

regist написал(а):
На киберфоруме в разделе лечения уже видел тему с просьбой вылечить от этой дряни.

и на вирусинфо есть пострадавшие ))).

GvU · 1 Май 2015

Еще один сайт тут встретил hxxp://ruprograms.com/microsoft-office-2010.html
https://www.virustotal.com/ru/file/...8e7f7a6588c836cd2a73758a/analysis/1430471461/

regist · 15 Ноя 2015

regist написал(а):
А оказывается и некоторые известные репакеры не прочь подзаработать на троянах.
USB Safely Remove 5.3.8.1233 Repack by KpoJIuK

Наткнулся на ещё одного известного репакера, который в свои репаки пихает туже заразу. Проверял AIDA64 Extreme | Engineer | Business Edition | Network Audit 5.50.3600 Final RePack by Diakov. Выбрал его так как увидел подобные жалобы на него.
Отчёт по самому файлу репаку на вирустотал Antivirus scan for c920756161fa225ff75a6d9d512b7ec1f1a6fb6d760a34e9098194ec9344175f at 2015-11-15 14:44:15 UTC - VirusTotal
Детектов не так много

Bkav W32.HfsAdware.9CC0 20151114
DrWeb Trojan.StartPage1.21935 20151115
McAfee Artemis!944FA1DB5329 20151115
McAfee-GW-Edition BehavesLike.Win32.Suspicious.tc 20151115
Rising NORMAL:Trojan.Clicker.Script.Agent.f!1604598 [F] 20151114

Файл оказался обычным NSIS исталятором, распаковал его на части и снова проверил, ругается только на один файл install.exe.
install.exe также оказался NSIS инсталятором внутри которого две в общем-то безобидные .dll, а подвох кроется в скрипте установки этого файла. В котором и прописан уже знакомый нам по заражённым ярлыкам и т.д. hi.ru
Файл разослал по вирлабом, надеюсь детектов станет больше, а людей использующих репаки (в частности репаки упомянутых авторов) станет меньше.

machito · 15 Ноя 2015

Что касается галочек, при установке какой либо программы, то их хватает и не в зараженных инсталляторах
да ещё и по хлеще.
DrWeb Trojan.StartPage1.21935 20151115:
regist, если вы проводили исследование, можете описать его действия-свойства, какие процессы запускаются в системе. Или это пока новое творение ?

shestale · 15 Ноя 2015

regist написал(а):
Наткнулся на ещё одного известного репакера, который в свои репаки пихает туже заразу.

Интересно, сколько в среднем бабла они(репакеры) поднимают на создании подобных репаков?

regist · 15 Ноя 2015

machito написал(а):
regist, если вы проводили исследование, можете описать его действия-свойства, какие процессы запускаются в системе. Или это пока новое творение ?

да, мне это не особо было интересно. Так как это уже разбиралось и описывалось в начале этой темы. Разница тут наверно только в том, что делается не через VBS скрипт, а через NSIS.
Сейчас глянул его бегло, он устанавливает свои расширения в Хром

NSIS:

HKLM Software\Google\Chrome\Extensions\echeiocnbggcacegkopjcllmaglbocni version 0.1
HKLM Software\Google\Chrome\Extensions\echeiocnbggcacegkopjcllmaglbocni update_url https://clients2.google.com/service/update2/crx
HKLM Software\Wow6432Node\Google\Chrome\Extensions\echeiocnbggcacegkopjcllmaglbocni version 0.1
HKLM Software\Wow6432Node\Google\Chrome\Extensions\echeiocnbggcacegkopjcllmaglbocni update_url https://clients2.google.com/service/update2/crx

А также ищет ярлыки от популярных браузеров и добавляет к ним дописку.
Список перебираемых браузеров: Internet Explorer, Google Chrome, Yandex, Opera, Mozilla Firefox, Амиго.

Код:

http://hi.ru/?44

скрипт целиком по понятным причинам я тут не привожу.

machito · 15 Ноя 2015

regist, так ихними репаками "by KpoJIuK и by Diakov" почти все торрент-ресурсы, фалообменники завалены.
Тут нужно по другому вопрос решать (если это действительно идёт вред) то глушить на прямую.
К примеру у diakov есть свой довольно таки большой ресурс.
п.с. просто мысли в слух...

regist · 15 Ноя 2015

machito написал(а):
если это действительно идёт вред

сходу у нас в разделе лечения две ссылки нашёл:
Решена - В браузере появляются черные прямоугольники мешающие работать
Закрыто - Все веб-страницы недоступны
Во многих темах лечения просто не указано, что там именно от этого лечили.

А также впиши в поисковике фразу: hi.ru вирус и посмотри на кол-во и содержание тем

.

Да и по поиску этого расширения (из свеже-разобранного инсталятора) гугол находит кучу тем и все в разделе лечения правда на других сайтах. В магазине Хрома такого расширения нет. Вывод делай сам

.

regist · 15 Ноя 2015

regist написал(а):
В магазине Хрома такого расширения нет.

через поиск в магазине нету, а через гугол таки нашёл Стартовая и поиск Hi.Ru :Big Boss:

Быстрый доступ к поиску и другим сервисам Hi.ru
При запуске браузера будет открываться главная страница Hi.ru — с актуальными новостями, доступом к Вашей почте, погоде и пробках в вашем городе. Также будет использоваться поисковая система от Hi.ru

то есть как понимаю, что бы вы в настройках не выставили, всё равно вам откроют этот сайт с вирусами.

machito · 15 Ноя 2015

regist, так если галочку hi.ru не ставить, то ничего и нет в системе.
Решил глянуть, установил Reg Organizer 7.16 Final RePack (& Portable) by KpoJIuK
Antivirus scan for 93f64fd584e1abdb4fd3c54ac1e1bd25911353258bccfa14a975a2e41ea157e9 at 2015-11-15 18:01:11 UTC - VirusTotal
реестр порыл, где что вредоносное ?!
Не хочу защищать, но мало ли что не пихают другие разрабы в свои детища.... мама не горюй... (если не выбрать расширенные опции установки)
К примеру взять продукты от майл груп. и другие типа их.

regist · 15 Ноя 2015

machito написал(а):
К примеру взять продукты от майл груп. и другие типа их.

по крайней майл.ру не заражает ярлыки установленных у тебя программ, а остальное можно удалить через установку и удаление программ. А тут представь запускаешь любой браузер, а у тебя открывается hi.ru

machito написал(а):
если галочку hi.ru не ставить

Точней если внимательно следить и снимать её. А много людей за этим следят?

machito написал(а):
реестр порыл

Читай внимательней описание действий вируса, в реестре разве только настройки IE. А остальное в настройках браузера и ярлыках. Ну и ещё в реестре расширения Хрома, но это надо знать что искать, а не тупо адресу сайта.

vladimir-semenovv · 26 Окт 2019

Добрый день! Подскажите пожалуйста, в кроликовских репаках, кроме установки этой страницы, от которой можно отказаться, сняв галочку, нет ничего скрытого и опасного?

akok · 26 Окт 2019

Варез опасен сам по себе тем, что никто не знает, что там может зашито и куда передается информация. Но репаки от кролика довольно часто мелькают в разделе лечения. Остальное обсуждать запрещают правила.

hi.ru архив софта с троянами

GvU

Постоянный участник

regist

гоняюсь за туманом

Dragokas

Angry & Scary Developer

regist

гоняюсь за туманом

GvU

Постоянный участник

Вложения

regist

гоняюсь за туманом

regist

гоняюсь за туманом

regist

гоняюсь за туманом

GvU

Постоянный участник

regist

гоняюсь за туманом

machito

shestale

regist

гоняюсь за туманом

machito

regist

гоняюсь за туманом

regist

гоняюсь за туманом

machito

regist

гоняюсь за туманом

vladimir-semenovv

Новый пользователь

akok

Похожие темы