743
Небезпечний вірус ТОВ Пошта. Ру, ходьба через розтяжки Runet
У інтернеті йде новий небезпечний комп'ютерний вірус з підписом
ТОВ Пошта. Ру, які маскаради як оновлення популярних програм.
Поведінка, товари.
Багато користувачів Інтернету помітили дивні повідомлення в різних додатках, які пропонують встановити або оновити версію популярної програми.
Сьогодні я хочу розповісти вам про заборонне оновлення Skype.
Після того, як користувач підтверджує оновлення, від інфікованого джерела
завантажити і встановити "update", однак, після запуску,
що файл підписаний з якоїсь причини видавцем ТОВ «Пошта». Ру, і не Скайп,
Я раджу негайно відхилити завдання.
Детальніше про нову схему наповнення боту.
Найчастіше після натискання на переадресацію «онову програму».
для завантаження з інфікованих сайтів за типом _http://"any name сайту"/skype/,
пошук
«Ваша версія Skype застаріла, її підтримка завершиться 04.03.2013. й
Після цього ви більше не зможете спілкуватися на Skype.
Таємниця цифрової підписки
По-перше, розглянемо властивості файлів:
Установити лише 74 КБ, якось не достатньо навіть для веб-інсталятора.
Дивитися цифровий підпис, що це "LLC Mail.Ru"
Чи може хтось засковував схожу назву через Thawte знову?
На жаль, цифровий сертифікат підпису дуже схожий на реальну від пошти. Русь:
Вони мають той же термін дії, з 09.12.2011 по 07.02.2014, проте,
У цифровому підписі агента Mail.ru є підписи інших сторін:
Symantec Time Штампування Послуг Signer. Всі файли
перед завантаженням в браузер,
Це свідчить про динамічні зміни часу підписання файлу.
В цілому, ми маємо три варіанти:
1,1 км Це реальний цифровий підпис Mail.ru, приватний ключ від якого
Якось вони були вкрадені і тепер використовуються для входу Malvari.
2,2 км Це реальний цифровий підпис Mail.ru, який Mail.ru з якоїсь причини
Використання шкідливих програм
3. У Це підроблений цифровий підпис Mail.ru, який будь-яким чином
Це навряд чи тому, що RSA 2048 біт
Google джерело, яке найчастіше використовується атакаторами – “easyupdate.ru”,
Я шукав всі посилання на сайт запиту:easyupdate.ru
І я знайшов, що крім Skype, цільові сторінки доступні для всіх популярних браузерів:
, Україна
, Україна
Вони дуже схожі на милий поп-ап ; підтвердження шаблону,
який запускає завантаження файлу exe без того, щоб перевірити,
Яка кнопка натиснути на користувача, OK або скасувати.
Вірусталь
Ми отримали 5 зразків.
(Посилання результатів сканування вірусустальних файлів):
chromesetup.exe, firefox-setup.exe, ie-setup-full.exe, opera_int_setup.exe і skypesetup.exe
super_int_setup.exe і ie-setup-full.exe ще не було сканування.
В інших словах почалася поширення інфекції.
Тим не менш, 8-9 антивірусів відповіли на інші файли.
Kaspersky є єдиним для класифікувати exe як "не вірус":
"не-а-вірус:HEUR:Downloader.Win32.LMN.a."
Можливо це цифровий підпис, але це краще.
ніж вбудоване антивірусне рішення Microsoft,
Він не бачив загрози на всіх зразках.
Для хромету. exe доступна інформація про поведінку, очевидно,
надання будь-яких антивірусних компаній, зокрема мережевої діяльності:
Отже, у нас є два домени і посилання на субдомен Mail.ru.
Зробіть більш детальну інформацію про них: простий 30 січня 2013
з оформленням інформації про власника (приватну особу), цей сервіс доступний і безкоштовно
Більшість реєстраторів російського домену. На корені сайту ми познайомимося 404:
404 р. Не знайдено
На цьому сервері не знайдено ресурсів.
Статус на сервери
Технології LiteSpeed не несе відповідальності за адміністрування та зміст цього веб-сайту.
Друге посилання, очевидно, експлуатується вразливість URL.
На одному з піддоменів Mail.ru, проте, очевидно,
Уразливість вже була вилучена. Можливо, нападники вирішили,
Простає через брандмауер.
Домен dwnfile.ru зареєстровано 1 лютого 2013 р. з зарахуванням інформації про власника.
Текст цільових сторінок також містить посилання на наступні домени:
uprgadotesbest.com – зареєстровано 26 грудня 2012 р.
Конфіденційність
JavaScript licenses API Веб-сайт Go1.13.8
У бюстах розгортання «у виробництві», кіберспортивних робіт, рейда!
Всі домени були зареєстровані через Reg.ru.
Крім того, троян відключає використання проксі в реєстрі,
Це, очевидно, впливає на IE і Chrome.
У Firefox і Opera є власні налаштування проксі.
Партнери
Далі посилання _http://dwnfile.ru/get_xml?file_id=18499626 повернення
У нас є XML:
simple
Для всіх, хто шукає цей простий контент, він стає очевидним,
Ми працюємо з іншими партнерськими програмами для так званих
Інсталяція, гідовий параметр – унікальний ідентифікатор бота в майбутньому.
ботнет і партнер в цьому контексті є афілійованим,
людина, зареєстрована в партнерській програмі, отримала в офісі
посилання на файли для розподілу та розподілу цих файлів в обсязі
корупція, при отриманні певного відсотка доходу власників партнерської програми та ботнет
від невідповідних користувачів. English, Українська, Français...
Ми йдемо на партнерську програму: getraf.ru
Реєстрація тільки за допомогою запрошень, але перша
Запропонуйте в Google, і я отримав всередині:
Ми вітаємо з приємним дизайном, статистикою, балансом та навіть реферальним системою.
Це дуже канонічна. В розділі «Встановлення коду» коментує:
Для роботи з партнерською програмою необхідно змінити посилання на будь-який
Завантажувальний контент (mp3, документ, відео – абсолютно будь-який файл) розташований на вашому сайті.
Змінити посилання так, що замість вашої точки домену до спеціальної завантаження.
місцезнаходження домена profidownload.ru.
Цей зв'язок особливо призначає оригінальне посилання (який раніше на сайті).
Натиснувши на перше навантаження користувача і запустіть навантажувач,
який завантажує оригінальний файл на комп'ютер користувача.
Симулятивно з завантаженням встановлюється Tulbar і браузер.
Для користувача це відбувається практично непомітно.
Отже, ви можете підключити свій сайт, змінити посилання на них і зробити прибуток.
І ось ще одна цитата, в цей час від величезного.
215 сторінок, вершина цієї філії на найбільшому форумі вебмайстрів в Runet:
Ми пропонуємо повністю прозору, «білу» схему заробітку.
без підписок SMS, оплачених архівів та інших «сірих» схем.
Ми розподіляємо браузер і панель інструментів (доповнення брів) найбільшої компанії
РџРμР»РμР»РμР»РμР»РμР»РμР»РμР»РμР»РμР»РμР»РμР»РμР»РμР»РμР»РμР»РμР»РμР»РμР»РμР»РμР»РμР»РμР»РμР»РμллРμР»РμР»РμР»РμллРμллРμллРμллРμР»РμлллРNo Кожен сайт проходить сувору модерацію.
У програмі беруть участь тільки після перевірки нашими фахівцями.
А потім, нарешті, став зрозумілим для мене, де вийшов цифровий підпис Mail.ru на шкідливе ПЗ.
Він отримав на комп'ютері мами.
Що це шкідливе програмне забезпечення, немає сумнівів, достатньо вивчити результати
Тестування зразків антивірусними компаніями.
І ця інфекція може стати дуже поширеною, враховуючи обрані методи.
Оновлення маскування Найпопулярніші
Програмне забезпечення Windows.
Результати пошуку
Я хотів би відзначити, що я особисто був дуже сумним, щоб знайти в фіналі.
власний домашній розслідування корпорації Mail.ru,
Спочатку я думав, що це був найяскравим.
Звісно, навіть якщо ця історія стає публічною,
Офіційно відхилений від партнера «незвичайний»
На мій погляд, компанія, яка надає цифровий підпис
Все, що я зустрічаю для несанкціонованого завантаження комп'ютерів
Unsuspecting користувачів Trojan програмного забезпечення,
Заслужена титулом Ботмастера року. Де є батьківські письменники?
без сертифікатів, такий величезний ботнет як Mail.ru,
Вони ніколи не ростуть. Хто знає, як зазначена корпорація
Ви хочете змочити своїх користувачів.
коли все гірше, ніж вони зараз.
Оновлення 12 березня
На сьогоднішній день не буде вирішено домен нападників.
Можливо, це пов'язано з тим, що навіть в пісочниці було
У питанні за запитом «easyupdate.ru» вказали Google та почали з’являтися у питанні.
Звідси.
ТОВ Пошта. Ру, які маскаради як оновлення популярних програм.
Поведінка, товари.
Багато користувачів Інтернету помітили дивні повідомлення в різних додатках, які пропонують встановити або оновити версію популярної програми.
Сьогодні я хочу розповісти вам про заборонне оновлення Skype.
Після того, як користувач підтверджує оновлення, від інфікованого джерела
завантажити і встановити "update", однак, після запуску,
що файл підписаний з якоїсь причини видавцем ТОВ «Пошта». Ру, і не Скайп,
Я раджу негайно відхилити завдання.
Детальніше про нову схему наповнення боту.
Найчастіше після натискання на переадресацію «онову програму».
для завантаження з інфікованих сайтів за типом _http://"any name сайту"/skype/,
пошук
«Ваша версія Skype застаріла, її підтримка завершиться 04.03.2013. й
Після цього ви більше не зможете спілкуватися на Skype.
Таємниця цифрової підписки
По-перше, розглянемо властивості файлів:
Установити лише 74 КБ, якось не достатньо навіть для веб-інсталятора.
Дивитися цифровий підпис, що це "LLC Mail.Ru"
Чи може хтось засковував схожу назву через Thawte знову?
На жаль, цифровий сертифікат підпису дуже схожий на реальну від пошти. Русь:
Вони мають той же термін дії, з 09.12.2011 по 07.02.2014, проте,
У цифровому підписі агента Mail.ru є підписи інших сторін:
Symantec Time Штампування Послуг Signer. Всі файли
перед завантаженням в браузер,
Це свідчить про динамічні зміни часу підписання файлу.
В цілому, ми маємо три варіанти:
1,1 км Це реальний цифровий підпис Mail.ru, приватний ключ від якого
Якось вони були вкрадені і тепер використовуються для входу Malvari.
2,2 км Це реальний цифровий підпис Mail.ru, який Mail.ru з якоїсь причини
Використання шкідливих програм
3. У Це підроблений цифровий підпис Mail.ru, який будь-яким чином
Це навряд чи тому, що RSA 2048 біт
Google джерело, яке найчастіше використовується атакаторами – “easyupdate.ru”,
Я шукав всі посилання на сайт запиту:easyupdate.ru
І я знайшов, що крім Skype, цільові сторінки доступні для всіх популярних браузерів:
, Україна
, Україна
Вони дуже схожі на милий поп-ап ; підтвердження шаблону,
який запускає завантаження файлу exe без того, щоб перевірити,
Яка кнопка натиснути на користувача, OK або скасувати.
Вірусталь
Ми отримали 5 зразків.
(Посилання результатів сканування вірусустальних файлів):
chromesetup.exe, firefox-setup.exe, ie-setup-full.exe, opera_int_setup.exe і skypesetup.exe
super_int_setup.exe і ie-setup-full.exe ще не було сканування.
В інших словах почалася поширення інфекції.
Тим не менш, 8-9 антивірусів відповіли на інші файли.
Kaspersky є єдиним для класифікувати exe як "не вірус":
"не-а-вірус:HEUR:Downloader.Win32.LMN.a."
Можливо це цифровий підпис, але це краще.
ніж вбудоване антивірусне рішення Microsoft,
Він не бачив загрози на всіх зразках.
Для хромету. exe доступна інформація про поведінку, очевидно,
надання будь-яких антивірусних компаній, зокрема мережевої діяльності:
Отже, у нас є два домени і посилання на субдомен Mail.ru.
Зробіть більш детальну інформацію про них: простий 30 січня 2013
з оформленням інформації про власника (приватну особу), цей сервіс доступний і безкоштовно
Більшість реєстраторів російського домену. На корені сайту ми познайомимося 404:
404 р. Не знайдено
На цьому сервері не знайдено ресурсів.
Статус на сервери
Технології LiteSpeed не несе відповідальності за адміністрування та зміст цього веб-сайту.
Друге посилання, очевидно, експлуатується вразливість URL.
На одному з піддоменів Mail.ru, проте, очевидно,
Уразливість вже була вилучена. Можливо, нападники вирішили,
Простає через брандмауер.
Домен dwnfile.ru зареєстровано 1 лютого 2013 р. з зарахуванням інформації про власника.
Текст цільових сторінок також містить посилання на наступні домени:
uprgadotesbest.com – зареєстровано 26 грудня 2012 р.
Конфіденційність
JavaScript licenses API Веб-сайт Go1.13.8
У бюстах розгортання «у виробництві», кіберспортивних робіт, рейда!
Всі домени були зареєстровані через Reg.ru.
Крім того, троян відключає використання проксі в реєстрі,
Це, очевидно, впливає на IE і Chrome.
У Firefox і Opera є власні налаштування проксі.
Партнери
Далі посилання _http://dwnfile.ru/get_xml?file_id=18499626 повернення
У нас є XML:
simple
Для всіх, хто шукає цей простий контент, він стає очевидним,
Ми працюємо з іншими партнерськими програмами для так званих
Інсталяція, гідовий параметр – унікальний ідентифікатор бота в майбутньому.
ботнет і партнер в цьому контексті є афілійованим,
людина, зареєстрована в партнерській програмі, отримала в офісі
посилання на файли для розподілу та розподілу цих файлів в обсязі
корупція, при отриманні певного відсотка доходу власників партнерської програми та ботнет
від невідповідних користувачів. English, Українська, Français...
Ми йдемо на партнерську програму: getraf.ru
Реєстрація тільки за допомогою запрошень, але перша
Запропонуйте в Google, і я отримав всередині:
Ми вітаємо з приємним дизайном, статистикою, балансом та навіть реферальним системою.
Це дуже канонічна. В розділі «Встановлення коду» коментує:
Для роботи з партнерською програмою необхідно змінити посилання на будь-який
Завантажувальний контент (mp3, документ, відео – абсолютно будь-який файл) розташований на вашому сайті.
Змінити посилання так, що замість вашої точки домену до спеціальної завантаження.
місцезнаходження домена profidownload.ru.
Цей зв'язок особливо призначає оригінальне посилання (який раніше на сайті).
Натиснувши на перше навантаження користувача і запустіть навантажувач,
який завантажує оригінальний файл на комп'ютер користувача.
Симулятивно з завантаженням встановлюється Tulbar і браузер.
Для користувача це відбувається практично непомітно.
Отже, ви можете підключити свій сайт, змінити посилання на них і зробити прибуток.
І ось ще одна цитата, в цей час від величезного.
215 сторінок, вершина цієї філії на найбільшому форумі вебмайстрів в Runet:
Ми пропонуємо повністю прозору, «білу» схему заробітку.
без підписок SMS, оплачених архівів та інших «сірих» схем.
Ми розподіляємо браузер і панель інструментів (доповнення брів) найбільшої компанії
РџРμР»РμР»РμР»РμР»РμР»РμР»РμР»РμР»РμР»РμР»РμР»РμР»РμР»РμР»РμР»РμР»РμР»РμР»РμР»РμР»РμР»РμР»РμР»РμллРμР»РμР»РμР»РμллРμллРμллРμллРμР»РμлллРNo Кожен сайт проходить сувору модерацію.
У програмі беруть участь тільки після перевірки нашими фахівцями.
А потім, нарешті, став зрозумілим для мене, де вийшов цифровий підпис Mail.ru на шкідливе ПЗ.
Він отримав на комп'ютері мами.
Що це шкідливе програмне забезпечення, немає сумнівів, достатньо вивчити результати
Тестування зразків антивірусними компаніями.
І ця інфекція може стати дуже поширеною, враховуючи обрані методи.
Оновлення маскування Найпопулярніші
Програмне забезпечення Windows.
Результати пошуку
Я хотів би відзначити, що я особисто був дуже сумним, щоб знайти в фіналі.
власний домашній розслідування корпорації Mail.ru,
Спочатку я думав, що це був найяскравим.
Звісно, навіть якщо ця історія стає публічною,
Офіційно відхилений від партнера «незвичайний»
На мій погляд, компанія, яка надає цифровий підпис
Все, що я зустрічаю для несанкціонованого завантаження комп'ютерів
Unsuspecting користувачів Trojan програмного забезпечення,
Заслужена титулом Ботмастера року. Де є батьківські письменники?
без сертифікатів, такий величезний ботнет як Mail.ru,
Вони ніколи не ростуть. Хто знає, як зазначена корпорація
Ви хочете змочити своїх користувачів.
коли все гірше, ніж вони зараз.
Оновлення 12 березня
На сьогоднішній день не буде вирішено домен нападників.
Можливо, це пов'язано з тим, що навіть в пісочниці було
У питанні за запитом «easyupdate.ru» вказали Google та почали з’являтися у питанні.
Звідси.
поліцейський вирішив мати секс на робочому місці
Складання інструментів, що використовуються в Інституті сексознавства