Наблюдение за вымогателем

В очередной порции спама я обнаружил ссылки на некий сайт, предлагающий скачать различные программы совершенно бесплатно и с высокой скоростью. Скачав пяток самых мелких файлов и сдав их сайту VirusTotal.com, начал наблюдать за поведением антивирусов.

Первый же загруженный файл опознали как вредоносный сразу три продукта — DrWebIkarus и Malwarebytes. Второй файл (добавленный на VT через четыре минуты) и оставшиеся распознали уже семь антивирусов — добавился BitDefender и четыре продукта, использующие его движок: F-SecureGDataMicroWorld-eScan (которые отнекивались от его использования, заявляя о том, что в продукте работает их переписанный движок со своими базами ).

Но отдельно я решил понаблюдать только за последним из пяти загруженных файлов:

Из всего этого следует:

  • что DrWeb весьма оперативно обновляет свои базы
  • что BitDefender‘у в первую очередь сбрасывают подозрительные файлы с VirusTotal.com, который их сверхоперативно добавляет  в свою базу. Теперь можно смело говорить о том, что всё что загружено на VirusTotal.com появится в базах BitDefender через пять минут. 🙂
  • Сильно огорчил товарищ «Антивирус Касперского«, которому я скинул в вируслаб пару файлов и ссылку на сайт — сайт оперативно был занесён в раздел опасных и доступ к нему блокировался, а в двух файлах было найдено две разновидности Hoax.Win32.ArchSMS (что весьма странно — так как упаковывали их по одному принципу), а через пару дней Касперский вообще выдал мне вот такие результаты при проверке всех пяти файлов:

Screenshot - 25.02.2013 , 23_40_16

В пяти файлах с одинаковым зловредом он умудрился создать четыре (!!!) разновидности зловредов, относящихся к двум разным классам вредоносных программ. ну вот как это можно назвать?

Лже-Одноклассники

Сегодня наткнулся на очередной развод, связанный с социальной инженерией — при посещении сайтов скриптом открывается страница якобы одноклассников, в которой говорится о том, что доступ к «Одноклассникам» заблокирован: «С Вашего ip-адреса замечена подозрительная активность! Возможно Вашу страницу пытались взломать. Подтвердите, что Вы являетесь владельцем данного аккаунта»

Понятное дело, что всё это явный развод особо доверчивых и впечатлительных интернет-пользователей — нет никаких блокировок по IP с отправкой SMS на какие-то там левые номера. Но ведь кто-то наверняка проспонсировал очередного бедного, но находчивого «Васю Пупкина».

Новый лохотрон

Недавно увидел новый лохотрон для тех, кто до сих пор верит в халяву. 🙂 На каком-нибудь сайте открывается окно с надписью о том, что мы — потенциальный получатель нового Apple чего-то там (лохотрон до сих пор доступен по адресу http://weeklyprizeswinner.net/ru/). Нажимаем «ОК», после чего сайт сообщает о том, что у нас есть всего пара минут, чтобы забрать некий приз. Счётчик тикает и мы не особо раздумывая (и завистливо глядя на лица тех, кто, не струсив, уже забрал свои призы ))) )  тыркаем на кнопку для прохождения теста и получения гор золота iPad2.

На следующем сайте (http://www.hochiukompjutersfutliarom.com/) предлагается выбрать дизайн защитного чехла под iPad2, пройти простейший лабиринт, ввести свой номер телефона и отправить СМС с неким кодовым словом для участия в неком розыгрыше.

Или же как альтернативу (http://rewardchannelcenter.com/) предлагают выбрать свой пол и потолок, рассказать о том, сколько роликов вы смотрите в день и как относитесь к рекламе. После чего выбираем Macbook Air, iPhone 4S или iPad 2 и повторяем вышеописанные процедуры с телефоном.

P.S. Интереса ради, решил посмотреть как отреагирует Мегафон на обращения по данным фактам в службу безопасности.

Лже GoogleFiles

Этих лжегуглов в последнее время расплодилось столько, что впору заводить под них отдельную заметку. Из-за этого становится страшно — неужели в русскоязычном сегменте Интернета на самом деле столько дураков, благодаря недалёкости и глупости которых финансируется развитие подобного рода мошенничества?

Схема самой разводки более чем простая — по сайтам раскидываются посты, заметки и комментарии с указанием сверхпопулярного сайта с варезом, с которого совершенно бесплатно и на огромных скоростях можно скачать всё что душа пожелает. Перейдя на такой сайт, вы не заметите никакого обмана — сайт не особо отличается от большинства подобных варезных сайтов — однодневок. Единственное отличие — при попытке скачивания вас отправляет либо на сервис GoogleFiles, либо на какой-нибудь другой файлообменник, которые просят оплатить скачивание авансом (понятное дело, что в большинстве случаев на выходе вы получите пустышку, а не желаемый контент).

P.S. Совсем забыл добавить о том, что частенько кроме ссылок на файлообменники можно наткнуться на ссылки с платными архивами или со зловредами.

Непостоянные SMS-архивы

Очередной сайт с «полезными» программами преподнёс при проверке гостинцев на VirusTotal.com довольно нестандартные результаты проверки.

Один и тот же архив с отправкой СМС:

Непостоянством отличаются Fortinet, Panda (видимо отрабатывают облака по хешу уже известного файла), nProtect, eTrust-Vet, Symantec (также отработали облака), VIPRE (сложно сказать почему он в ряде случаев не заметил ничего). Касперский с Доктором Вебером предпочли не заметить ничего подозрительного и промолчали.

P.S. Ну и парочка немного отличающихся от остальной гадости SMS-архивов:

 

Лохотроны рунета

Наткнулся на очередной лохотрон — icq-go.ru, «помогающий» неопытным пользователям завести себе аську и т.п.

Размеры всех файлов разные, значки прикручены похожие — пользователь не сразу догадается о том, что это развод. Да и антивирусов, которые видят хоть что-то негативное в этих файлах пока не так много:

Читать дальше

Национальный "поиск" данных

Сейчас десятки объявлений на сайтах, распространяющихся через баннеро-тизерную рекламу, предлагают найти всем всё о себе и о других людях в неких базах данных. Понятное дело, что не бесплатно и понятное дело, что всё это голимый SMS-лохотрон. 🙂 Но ведь кто-то ведётся и закидывает копейку-другую, если бы не закидывали, то никто и не стал бы так активно предлагать свои услуги — нет спроса, нет и предложений.

А вот новая версия Kaspersky Endpoint Security 8 for Windows не порадовала — из всей кучи адресов заблокировала только два (зачёркнутые):

  • http://list2011.com/familynew/
  • http://baza-family.wow-2011.com/
  • http://search2011.list2011.com/familynew/
  • http://new-family.list2011.com/familynew/
  • http://russ-online.com/nations/
  • http://persona1.russ-online.com/nations/
  • http://maximum2011.net/surname2/
  • http://smile-2011.com/surname2/
  • http://lacerta.maximum2011.net/surname2/
  • http://baza-2012.russ-online.com/surname2/

А вот так они выглядят внешне:

Обновлено 08.02.2012:

Забыл написать о том, что частенько эти сайты идут вперемешку с якобы «Ответы@Mail.Ru» и т.п. рекомендательными сайтами, где все превозносят эти сервисы как манну небесную, предлагая узнать о человеке всё вплоть до размера груди и название зубной пасты, которой он пользуется 🙂 . Ну а ссылки с этих сайтов, понятное дело, уже ведут на «национальные архивы».

SMS-развод и платные архивы

В последнее время развод населения с помощью платных архивов стал весьма и весьма популярен — многие отправляют деньги кому-то в надежде на получение нужной информации, якобы содержащейся в подобных «архивах». Многие знакомые жалуются, что уже куда не ткни — кругом одно и тоже. Мне стало интересно и было решено посмотреть как сильно распространены такие архивы и как на них реагируют антивирусы.

Где проще всего найти подобные вещи? Конечно же в популярном контенте! А что у нас есть популярного кроме порнухи и фильмов? Правильно — игры, книжки и ломаный софт (который варез). Книги искать мне было лень, софт ковырять тоже, а вот с играми стоило попробовать — вероятней всего что-то отловить именно по этой наводке. Заход на ag.ru, выяснение топовых недавно вышедших игр, поиск по «Duke Nukem Forever» и буквально через 10 минут у меня в руках оказался 21 файл, весьма сильно напоминающий искомые платные архивы.

Часть из архивов (по описанию) упакована неким ZipMonster, у которого даже свой сайт есть, откуда и был скачен дистрибутив для упаковывания контента. Согласно VirusTotal.com в самой программе практически никто не видит ничего страшного или опасного:

поэтому я пошёл дальше и решил запаковать ею что-нибудь весьма недоброжелательное 🙂 и проверить реакцию антивирусов на это. За образец решено было взять первую попавшуюся на глаза малварь. Пять минут колдовства — регистрация на левый аккаунт, поиск иконки флеш-плеера, выдумывание оригинальной заманухи («Секрет вечной молодости» — чем не загадка 🙂 ) и усё — готовый EXE-шник у нас в руках. Пихаем его на проверку в VirusTotal и видим как всего восемь антивирусов находят его недоброжелательным файлом — Commtouch, DrWeb, Emsisoft, F-Prot, Ikarus, K7AntiVirus, NOD32 и Panda (с её вечно расплывчатым как океан вердиктом — «Suspicious file», который она автоматом лепит каждому второму файлу). Все остальные сделали вид, что этот архив вполне легален и не опасен.

Если даже предположить, что данная утилита вполне легальна, то её как минимум саму и всю её продукцию автоматом надо добавлять в разряд Riskware — потенциально опасных, так как нет никаких гарантий того, что содержимое архива не содержит заразу и соответствует описанию. Слишком уж всё это похоже на банальное дурилово, а не на утилиту для честного заработка.

P.S. Антивирус Касперского увидел в 18 из них зловредов класса «Hoax.Win32.ArchSMS» и только три остались для него загадкой (в прочем, как и для большинства других антивирусных решений) — видимо упакованы чем-то новеньким: