Voldemar2007-72

Активный пользователь
Сообщения
206
Симпатии
359
Баллы
363
#1
Не знаю куда написать.Тут на днях попался сайт hi.ru. чем то похож на майл только по проще.под рубрикой софт скачал оперу,чисто проверить что раздают, на вирус толл проверил и только доктор веб показал что троянец.:Dirol:
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,215
Симпатии
5,833
Баллы
918
#2
Voldemar2007-72, беглым взглядом там NSIS исталлятор внутри которого оригинальный файл, который хотели скачать + довесок ввиде VBS скрипта для подмены стартовой страницы и поисковой системы в браузере на этот сайт + батник который завершает процессы браузеров chrome.exe, firefox.exe, opera.exe, amigo.exe. Вердикт в общем и так ясен - малвара. Спасибо за ссылку.
В вирлабы файл разослал, пока детект только у доктора Trojan.StartPage1.4983
Antivirus scan for 963ece8772146104c4d5d814d6401fb3d529aab4b4208376be78648ee5d9918c at 2014-12-10 13:10:38 UTC - VirusTotal
Antivirus scan for a5cb5defe7ab4100d6531c26b277a1fbc272ed4f461506ca12fef070416b12bd at 2014-12-10 12:46:04 UTC - VirusTotal

[fieldset=Информация]Если ваша система уже заражена этой дрянью, то вы можете вылечиться от неё в разделе Лечение компьютерных вирусов.[/fieldset]
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
5,860
Симпатии
5,718
Баллы
588
#3
довесок ввиде VBS скрипт для подмены стартовой страницы и поисковой системы в браузере на этот сайт
++ смена опции браузеров на "Открывать последнюю сессию".
и регистрация стороннего не-вредоносного компонента для парсинга INI-файлов.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,215
Симпатии
5,833
Баллы
918
#4
Dragokas, я потом запустил этот файл, там при запуске ещё очень длинное лицензионное соглашение и судя по концовке с компанией Adobe :Sarcastic:.
 

Voldemar2007-72

Активный пользователь
Сообщения
206
Симпатии
359
Баллы
363
#5
Еще хотел добавить ,что на компе 2 системы, в одной запускаешь,а на второй системе мазила тоже заразилась:Hunter:
 

Вложения

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,215
Симпатии
5,833
Баллы
918
#6

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,215
Симпатии
5,833
Баллы
918
#7
Раньше я думал, что эту вирусню распространяет только админ сайта. А оказывается и некоторые известные репакеры не прочь подзаработать на троянах.
USB Safely Remove 5.3.8.1233 Repack by KpoJIuK
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,215
Симпатии
5,833
Баллы
918
#8
На киберфоруме в разделе лечения уже видел тему с просьбой вылечить от этой дряни.
Да и забыл дописать, что послал этот компонент в вирлабы, от доктора Веба уже ответ, что будет его детектировать его как VBS.StartPage.34
На киберфоруме в разделе лечения уже видел тему с просьбой вылечить от этой дряни.
и на вирусинфо есть пострадавшие ))).
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,215
Симпатии
5,833
Баллы
918
#10
А оказывается и некоторые известные репакеры не прочь подзаработать на троянах.
USB Safely Remove 5.3.8.1233 Repack by KpoJIuK
Наткнулся на ещё одного известного репакера, который в свои репаки пихает туже заразу. Проверял AIDA64 Extreme | Engineer | Business Edition | Network Audit 5.50.3600 Final RePack by Diakov. Выбрал его так как увидел подобные жалобы на него.
Отчёт по самому файлу репаку на вирустотал Antivirus scan for c920756161fa225ff75a6d9d512b7ec1f1a6fb6d760a34e9098194ec9344175f at 2015-11-15 14:44:15 UTC - VirusTotal
Детектов не так много
Bkav W32.HfsAdware.9CC0 20151114
DrWeb Trojan.StartPage1.21935 20151115
McAfee Artemis!944FA1DB5329 20151115
McAfee-GW-Edition BehavesLike.Win32.Suspicious.tc 20151115
Rising NORMAL:Trojan.Clicker.Script.Agent.f!1604598 [F] 20151114
Файл оказался обычным NSIS исталятором, распаковал его на части и снова проверил, ругается только на один файл install.exe.
install.exe также оказался NSIS инсталятором внутри которого две в общем-то безобидные .dll, а подвох кроется в скрипте установки этого файла. В котором и прописан уже знакомый нам по заражённым ярлыкам и т.д. hi.ru
Файл разослал по вирлабом, надеюсь детектов станет больше, а людей использующих репаки (в частности репаки упомянутых авторов) станет меньше.
 

machito

Команда форума
Супер-Модератор
Сообщения
2,127
Симпатии
2,056
Баллы
373
#11
Что касается галочек, при установке какой либо программы, то их хватает и не в зараженных инсталляторах
да ещё и по хлеще.
DrWeb Trojan.StartPage1.21935 20151115:
regist, если вы проводили исследование, можете описать его действия-свойства, какие процессы запускаются в системе. Или это пока новое творение ?
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,616
Симпатии
4,965
Баллы
663
#12
Наткнулся на ещё одного известного репакера, который в свои репаки пихает туже заразу.
Интересно, сколько в среднем бабла они(репакеры) поднимают на создании подобных репаков?
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,215
Симпатии
5,833
Баллы
918
#13
regist, если вы проводили исследование, можете описать его действия-свойства, какие процессы запускаются в системе. Или это пока новое творение ?
да, мне это не особо было интересно. Так как это уже разбиралось и описывалось в начале этой темы. Разница тут наверно только в том, что делается не через VBS скрипт, а через NSIS.
Сейчас глянул его бегло, он устанавливает свои расширения в Хром
NSIS:
HKLM Software\Google\Chrome\Extensions\echeiocnbggcacegkopjcllmaglbocni version 0.1
HKLM Software\Google\Chrome\Extensions\echeiocnbggcacegkopjcllmaglbocni update_url https://clients2.google.com/service/update2/crx
HKLM Software\Wow6432Node\Google\Chrome\Extensions\echeiocnbggcacegkopjcllmaglbocni version 0.1
HKLM Software\Wow6432Node\Google\Chrome\Extensions\echeiocnbggcacegkopjcllmaglbocni update_url https://clients2.google.com/service/update2/crx
А также ищет ярлыки от популярных браузеров и добавляет к ним дописку.
Список перебираемых браузеров: Internet Explorer, Google Chrome, Yandex, Opera, Mozilla Firefox, Амиго.
Код:
http://hi.ru/?44
скрипт целиком по понятным причинам я тут не привожу.
 

machito

Команда форума
Супер-Модератор
Сообщения
2,127
Симпатии
2,056
Баллы
373
#14
regist, так ихними репаками "by KpoJIuK и by Diakov" почти все торрент-ресурсы, фалообменники завалены.
Тут нужно по другому вопрос решать (если это действительно идёт вред) то глушить на прямую.
К примеру у diakov есть свой довольно таки большой ресурс.
п.с. просто мысли в слух...
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,215
Симпатии
5,833
Баллы
918
#15
если это действительно идёт вред
сходу у нас в разделе лечения две ссылки нашёл:
Решена - В браузере появляются черные прямоугольники мешающие работать
Закрыто - Все веб-страницы недоступны
Во многих темах лечения просто не указано, что там именно от этого лечили.

А также впиши в поисковике фразу: hi.ru вирус и посмотри на кол-во и содержание тем :).

Да и по поиску этого расширения (из свеже-разобранного инсталятора) гугол находит кучу тем и все в разделе лечения правда на других сайтах. В магазине Хрома такого расширения нет. Вывод делай сам :).
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,215
Симпатии
5,833
Баллы
918
#16
В магазине Хрома такого расширения нет.
через поиск в магазине нету, а через гугол таки нашёл Стартовая и поиск Hi.Ru :Big Boss:
Быстрый доступ к поиску и другим сервисам Hi.ru
При запуске браузера будет открываться главная страница Hi.ru — с актуальными новостями, доступом к Вашей почте, погоде и пробках в вашем городе. Также будет использоваться поисковая система от Hi.ru
то есть как понимаю, что бы вы в настройках не выставили, всё равно вам откроют этот сайт с вирусами.
 

machito

Команда форума
Супер-Модератор
Сообщения
2,127
Симпатии
2,056
Баллы
373
#17
regist, так если галочку hi.ru не ставить, то ничего и нет в системе.
Решил глянуть, установил Reg Organizer 7.16 Final RePack (& Portable) by KpoJIuK
Antivirus scan for 93f64fd584e1abdb4fd3c54ac1e1bd25911353258bccfa14a975a2e41ea157e9 at 2015-11-15 18:01:11 UTC - VirusTotal
реестр порыл, где что вредоносное ?!
Не хочу защищать, но мало ли что не пихают другие разрабы в свои детища.... мама не горюй... (если не выбрать расширенные опции установки)
К примеру взять продукты от майл груп. и другие типа их.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,215
Симпатии
5,833
Баллы
918
#18
К примеру взять продукты от майл груп. и другие типа их.
по крайней майл.ру не заражает ярлыки установленных у тебя программ, а остальное можно удалить через установку и удаление программ. А тут представь запускаешь любой браузер, а у тебя открывается hi.ru
если галочку hi.ru не ставить
Точней если внимательно следить и снимать её. А много людей за этим следят? Читай внимательней описание действий вируса, в реестре разве только настройки IE. А остальное в настройках браузера и ярлыках. Ну и ещё в реестре расширения Хрома, но это надо знать что искать, а не тупо адресу сайта.
 
Сверху Снизу