Нова хвиля розповсюдження троянців вконтакті





(немає оцінок, будь першим хто поставить оцінку)
1 468 переглядів

Давненько мене не приходили ніякий спам з віруснімі Розсилка від френдліста соціальних  мереж, та й нічого унікального давно не зустрічалося з подібного роду розсилок. Але сьогодні мені попав й достатньо цікавий семпл.
Спершу прийшов лист від людини, яка у мене в списку друзів:

Досить невластива манера для людини, але я пройшов за посиланням, т.к. вона не вела на зовнішні ресурси. При переході бачимо профіль якогось Енді Смоук, що обіцяє завтра всім дати голоси на халяву, якщо перейти за посиланням. Що насторожує відразу? Правильно, сокращалка посилань, яку так довго використовували за бугром для фішингу. Тепер і до нас докотилися) Але це особисто для мене, взагалі насторожує халява сама по себе.Подробності під катом)

При переході за посиланням пильний та затишний контактік попереджає нас про небезпеку фішинга, але нам не страшні такі негаразди, — йдемо далі. Ловимо редіррект на моторошного виду домен:
_http://dfkdoi**saxasods.ru/rating/

Відразу можна помітити, що пахне нечистим тільки по тому, що вконтакт не прив’язується до розміру монітора, і зміна розміру вікна браузера не псує пропорцій контенту. Тут вже рісковть не варто, якщо потрапили на в’язку, то й проактівка може не врятувати, включаємо віртуальну машину і повертаємось на підозрілу сторінку в безпечної вірутальних середовищі)
При натисканні кнопки «встановити» скачується якийсь здійснимий файл, вагою 27 кб.

Стає цікаво. Дивимося, упакований чи що?
— ТАК, upx:

Розпаковуємо, отримуємо файл вагою в 79 кб, компілятор — PureBasic.

Після розпакування обидва файли були відправлені на virustotal:
Запакованний файл
Розпакованний

Подивимося, яка активність у файлу. Кидаємо в відладчик, за функціями видно, що файл може намагатися дізнатися шлях в тимчасову дірректорію і щось витягувати з ресурсів. Дивимось ресурси:

Обфусцірованний bat-файл, вагою в 38,6 кб, що записує зміни у файл hosts. Більше нічого цікавого нема.
Розшифруємо код (потрібно всього лише прибрати рядка-сміття):

Виходить, що візит на один з перерахованих сайтів тепер приведе на сторінку зловмисника. Що ми побачимо там?
Для прикладу візьмемо вконтакте: цілком звичайна сторінка, невизивают підозр. Вводимо дані — бачимо цілком безневинне, нехай і підозріле оповіщення про злом з пропозицією заміни пароля. Пробуємо змінити пароль і отримуємо ось таку пропозицію оплатити валідацію сторінки:

Оплата становить 100 рублів на номер +79057599377.
Коли вже білайновцев за кришування таких номерів закриє прокуратура?
Власне це все. Модних скроневої з Olly Debuger або IDA Disassembler не буде, до чого вони тут, якщо все банально просто)

висновок:
1) Халяви не буває
2) Не можна переходити з незрозумілих посиланнях, навіть якщо їх прислав знайомий вам людина, поки ви не переконаєтеся в легітимності лінка або в осудності одного.

Що робити, якщо ви вже заражені подібним вірусом?
Головне — ні в якому разі не відправляйте зловмисникам грошові кошти. Це попросту ніяк не допоможе.
Друге — відкрийте в блокноті або будь-якому текстовому редакторі такий файл:
C:\Windows\System32\drivers\etc\hosts
(необхідні права адміністратора)
і видаліть весь його вміст, збережіть файл і поміняйте паролі від порушених ресурсів.