Новая волна распространения троянцев вконтакте

Автор: admin от 20-04-2011, 06:50, посмотрело: 2 009

Давненько мне не приходил никакой спам с вирусными рассылками от френдлиста социальных сетей, да и ничего уникального давно не встречалось из подобного рода рассылок. Но сегодня мне попал довольно любопытный сэмпл.
Сперва пришло письмо от человека, который состоит у меня в списке друзей:

Новая волна распространения троянцев вконтакте

Довольно несвойственная манера для человека, но я прошел по ссылке, т.к. она не вела на внешние ресурсы. При переходе видим профиль некоего Энди Смоука, обещающего завтра всем дать голоса на халяву, если перейти по ссылке. Что настораживает сразу? Правильно, сокращалка ссылок, которую так долго использовали за бугром для фишинга. Теперь и до нас докатились) Но это лично для меня, вообще настораживает халява сама по себе.

Подробности под катом)

Новая волна распространения троянцев вконтакте

При переходе по ссылке бдительный и уютный контактик предупреждает нас об опасности фишинга, но нам не страшны такие невзгоды, — идем дальше. Ловим редиррект на жуткого вида домен:
_http://dfkdoi**saxasods.ru/rating/

Новая волна распространения троянцев вконтакте

Сразу можно заметить, что пахнет нечистым только по тому, что вконтакт не привязывается к размеру монитора, и изменение размера окна браузера не портит пропорций контента. Тут уж рисковть не стоит, если попали на связку, то и проактивка может не спасти, включаем виртуальную машину и возвращаемся на подозрительную страничку в безопасной вирутальной среде)
При нажатии кнопки «установить» скачивается некий исполнимый файл, весом 27 кб.

Новая волна распространения троянцев вконтакте

Становится интересно. Смотрим, упакован ли?
— Да, upx:

Новая волна распространения троянцев вконтакте

Распаковываем, получаем файл весом в 79 кб, компилятор — PureBasic.

Новая волна распространения троянцев вконтакте

Новая волна распространения троянцев вконтакте

После распаковки оба файла были отправлены на virustotal:
Запакованный файл
Распакованный

Поглядим, какая активность у файла. Бросаем в отладчик, по функциям видно, что файл может пытаться узнать путь во временную дирректорию и что-то извлекать из ресурсов. Глядим ресурсы:

Новая волна распространения троянцев вконтакте

Новая волна распространения троянцев вконтакте

Обфусцированный bat-файл, весом в 38,6 кб, записывающий изменения в файл hosts. Больше ничего интересного нету.
Расшифруем код (нужно всего лишь убрать строки-мусор):

Новая волна распространения троянцев вконтакте

Получается, что визит на один из перечисленных сайтов теперь приведет на страницу злоумышленника. Что мы увидим там?
Для примера возьмем вконтакте: вполне обычная страница, невызывающая подозрений. Вводим данные — видим вполне невинное, пусть и подозрительное оповещение о взломе с предложением замены пароля. Пробуем сменить пароль и получаем вот такое предложение оплатить валидацию страницы:

Новая волна распространения троянцев вконтакте

Оплата составляет 100 рублей на номер +79057599377.
Когда уже билайновцев за крышевание таких номеров закроет прокуратура?
Собственно это все. Модных скринов из Olly Debuger или IDA Disassembler не будет, к чему они тут, если все банально просто)

Вывод:
1) Халявы не бывает
2) Нельзя переходить по непонятным ссылкам, даже если их прислал знакомый вам человек, пока вы не убедитесь в легитимности линка или во вменяемости друга.

Что делать, если вы уже заражены подобным вирусом?
Главное — ни в коем случае не отправляйте злоумышленникам денежные средства. Это попросту никак не поможет.
Второе — откройте в блокноте или любом текстовом редакторе следующий файл:
C:WindowsSystem32driversetchosts
(необходимы права администратора)
и удалите все его содержимое, сохраните файл и поменяйте пароли от затронутых ресурсов.

Источник: Хабрахабр: Вирусы и антивирусы

Категория: Информационная безопасность / Вирусы и антивирусы

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

Добавление комментария

Имя:*
E-Mail:
Комментарий:
  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent