Думаете, пациент уже умер ?
А вот фиг вам, жив и продолжает рассылаться спамом.
(далее…)
Записи с меткой «вирусы VirtualZoo»
Мой коллега с прошлой работы сообщает весьма тревожные новости:
Им в бухгалтерию и на служебные ящики типа webmaster@ support@ abuse@ corporate@ и подобные начали массово слать письма с троянами-шифровальщиками. Отличительная черта — очень умело составленные тексты, максимально похожие на реальные рабочие письма офисных сотрудников.
Типа, «просим согласовать оплату счёта такого-то от такого-то числа на такую-то сумму» или «У нас сменился ген-директор/банк/расчётный счёт, просим максимально оперативно обновить реквизиты». Имена, номера счетов, суммы и даты заполняются по шаблонам и в каждом письме разные. Иногда у горе-спамеров шаблонизатор ломается и приходят палевные письма с именами переменных в теле шаблона %) И дальше либо ссылка на какой-нибудь взломанный сайт, либо вложение. Вложение или файл по ссылке — архив RAR или ZIP, в архиве — файл с кривым именем и двойным расширением.
Имена подобраны таким образом, чтобы у стандартного офисного хомячка шансы на распознавание заразы были нулевые.
Вот итог работы такой фигни:
Есть две техники для обмана пользователя. Первая — сделать двойное расширение (Приложение_к_договору.docx.exe), прицепив к такому файлу иконку офисного документа и максмально правдоподобно заполнив поля заголовка:
Обратите внимание, что файл специально назван как «Приложение к договору». Увидев тип файла «Приложение», обычный хомячок легко может запутаться в значениях слова «Приложение», на что и сделан расчёт.
Вторая техника немного иная — тоже самое двойное расширение, но перед ним число пробелов овер 64. Как итог — «Проводник» виндовс не показывает истинное расширение файла, обрезая часть символов — что видно на первом скриншоте (фейковая картинка и документы справа).
А вот на нормальной системе имена отображаются корректно:
[virtest@AmCave Trojans]$ ls
Schet_354_19.10.2015_ZAO_K-Systems.JPG.......................................................................................................................exe
Договор для бухгалтерии.doc.exe
Приложение к договору для бухгалтерии.doc.exe
Причины эффективности таких троянов стары как мир — сокрытие истинных типов файлов в виндовс по умолчанию и возможность запускать любую фигню по умолчанию (100500 глупых предупреждений не работают, работает только кастрация виндовс бензопилой).
Правильная защита от Seven_Legion2@aol.com и им подобных — организованные по уму резервные копии и строгое следование правилу минимума привилегий. Для виндовс — работа под обычным юзером и белым списком ПО под SRP, для линуксов с вайном — закрытие дефолтного профиля, запуск только через индивидуальные префиксы.
Cамая печаль для пострадавших — дырок в криптухе ни Касперыч, ни Паутиныч пока не нащупали, а это значит, что при отсутствии бэкапов вы либо сразу прощаетесь со своими файлами, либо платите вымогателям, надеясь на их «честное бандитское» слово и отсутствие кидалова.
Технические детали:
$ sha256sum *.exe
0c5a4f8b240567435fbc8cb1bc401472c2ffdbfccfc2537ee03668f8ec5c4388 Schet_354_19.10.2015_ZAO_K-Systems.JPG………………………………………………………………………………………………………..exe
6cc6b2237766cfd69ba222c91832cb0f15ea7241625e6f2c59f76978ce935bee Договор для бухгалтерии.doc.exe
6cc6b2237766cfd69ba222c91832cb0f15ea7241625e6f2c59f76978ce935bee Приложение к договору для бухгалтерии.doc.exe
Разбирая залежи всякого треша, нашел образец вредоноса, обнаруженного у одного из инфицированных клиентов. Если тема вирусов-шифровальщиков вам интересна — добро пожаловать.
(далее…)
В продолжение статейки о вирусах-шифровальщиках. После упорных поисков удалось найти на просторах инета вирус-шифровальщик. Максируется он под экранную заставку (*.scr), в настоящий момент уже неплохо палится на вирус-тотале, я же расскажу про то, как именно он портит файлы. …
Винлокер мертв. Да здравствует винлокер !
Posted: 2012-05-13 in IT, SecurityМетки:вирусы VirtualZoo
С сожалением сообщаю моим читателям, что, судя по статистике, эпоха винлокеров — прикольных и забавных вирусов, в оформлении которых применялись самые неожиданные способы напугать пользователя ради мошеннического развода на деньги — похоже окончательно подошла к концу :rip: . После почти полугодового затишья сегодня принесли вот такую вот прелесть:
Иконка пистолета кагбе намекает пользователю 😀 😀 Скачиваем, запускаем:
Увы, ничего красивого нет. Текст скучный и унылый, явно написан на скорую руку, даже не отвлекает от текущих дел. В настоящее время такой вирусни нынче почти не попадается, последние из могикан вирусописатели доюзывает старые шаблоны. Мы будем скучать по вам :coffee:
Сегодня решил вернуться к старому занятию и поискать в интернете порно с вирусами приключений на свою жопу. Ну что могу сказать. Если раньше беспалевно так каждый третий «сомнительный сайт» выдавал ссылки на стремные exe-шки с винлокерами, то сейчас почти везде предлагается с помощью СМС-ки «подтвердить что вам больше 18» прямо из бровсера. Учитывая, что сейчас телефоны чуть ли не с младенческого возраста, понятно, что подтвердить возраст таким образом решительно невозможно, ибо ни один оператор не выдаст левому сервису в автоматическом режиме данные из своего биллинга.
Выглядит зверушка просто и назатейливо, подобный дизайн мне уже встречался:
Технически ничего интересного не представляет, прописывается стандартно, даже блочит не полностью. Я например с помощью клавишных комбинаций смог переключиться на окно испортила, и через стандартный диалог запустить менеджер процессов.
Вообщем, то ли такой тип вирусни вырождается (и никто ничего нового не мудрит и палевные exe-шки не пишет), то ли вирусописателей устраивает тот уровень уж0са, который нагнетают вирусы подобного типа в текущем своем уровне развития.
Блин, даже вирусы скучные стали…
Неужели кто-то еще ведется на такую хренотень ?!
Дорогие читатели !
Не без доли сарказма сообщаю вам, что ко всеобщему изумлению и шоку публики, в интернете! внезапно! обнаружили! новый! вирусЪ! Пыщь-пыщь. …
Неделю назад принесли компутер с новым порно-педо-локером… …
Итак, товагищ Scaner прислал зачетную ссылку. По ссылке отдается файлик file.exe весом 28 Кб. …
Итак, самому любимому среди компутерных сервисников семейству вирусов — винлокерам — исполнилось два года. Любовь вполне понятна — это первое семейство вирусов, которые реально стремают пользователей и мешают им работать, а посему заказы на «разблокировку компа/инета/ффтентакля» идут потоком и щедро оплачиваются, особенно в периоды цейтнотов по поводу диплома/отчетности/прочего. Ни одно семейство вирусов никогда еще не угнетало пользователей столь сильно. …
Итак, еще только вчера я поведал моим дорогим читателям, чем грозит воздействие wishmaster-a поставленной «по умолчанию» виндовс-системе. В этой же заметке я расскажу о новом пополнении питомника. …
Если вы еще не забыли, я до сих пор держу небольшой виртуальный зверинец, в котором тестирую разные забавные программки не совсем безобидного назначения — вирусы, трояны, черви и им подобных.
Сегодня речь пойдет о почти уже вымершем классе таких программ. …
Итак, просматривая интернет из-под любимой виртуалки в поисках аццкого некро-зоо-анал-пeдo-порно (да-да-да, мертвых маленьких зверушек… :cat: ) новых забавных вредоносов, наткнулся на новый фальшивый антивирус. На этот раз антивирус оказался действительно фальшивым, что меня очень порадовало. …
Прислали мне тут ссылку: sekret-sms.ru …
Как и обещали, продолжаем держать наших читателей в курсе жизни питомника.
(под катом много картинок и траффега) …
Итак, с вами снова пресс-служба нашего зоопарка. Сегодня к нам поступил новый образец винлокера, про который и будет написано далее. …
Итак, с радостью сообщаем нашим читателям, что наша образцово-показательная социалистическая звероферма благодаря упорному и самоотверженному труду советских людей зафиксировала новое достижение, имеющее неоценимое значение в социалистическом народном хозяйстве и деле троллинга вендузятнегов установления мира во всем мире.
Итак, принимаются поздравления с новым рекордом — удалось одновременного запустить сразу 4 винлокера! В целях широчайшего просвещения народных масс представляем небольшой аминированный анимированный GIF, дающий вполне адекватное представление о поведении самой лучшей в мире операционной системы после её заселения веселой живностью:
Аццкий аминированный GIF, смотреть, фапать
Прекрасно видно, как два винлокера активно пытаются перекрыть друга друга. Еще забавная сцена — один вирус пытается открыть окно IE с порносайтом, а другой вышибает это окно вызовом стандартного taskkill-a 😀
Кроме того, обнаружилась еще одна серьезная недоработка современных винлокеров — они берут изображение фальшивого окна из своих ресурсов, а не генерируют его изображение на машине пользователя динамически с использованием текущей темы.
В итоге — внизу справа окно в стиле "IE 5.0 под Win-98", а сверху справа — "IE 8.0 на Хуисте". Хотя реальная система — IE6 и тема оформления окон — Windows Classic. Поэтому в настоящее время советские люди глубоко возмущены этим вопиющим проявлением звериного оскала капитализма пренебрежением к проблемам юзабельности пользовательского интерфейса. 😀 …
Итак, как вы уже наверно читали, винлокеры — зверьки наглые, и обычно конкурентов не терпящие. Тем с большей радостью сообщаем нашим читателям, что на нашей звероферме удалось запечатлеть уникальную картину — три винлокера, запущенных одновременно, сразу после логина в профиль пользователя:
Что очень порадовало — удалось поселить винлокер, который ранее был выловлен в дикой природе на ноуте моего знакомого и про который я писал чуть ранее (картинка в центре).
Наиболее забавное в этом даже не то, что наглухо залочен редактор реестра, диспетчер задач, CMD, Internet Explorer и procexp, а то, как оные зверьки борются друг с другом за место под солнцем, выживание и лучшую добычу передний план. Примерно каждые 10-15 секунд каждый из двух винлокеров справа пытается вылезти на передний план, заслонив своего соседа в центре. Но центральный винлокер был написан куда более опытными создателями, посему через буквально 1-2 секунды он помещает их окна позади себя. Выглядит забавно. Но как я уже писал ранее, сиськи в 16 цветах — незач0т. :furious:
Очень надеюсь, что в следующей версии центрального баннера создатели исправят этот недостаток, и нашему питомнику не придется краснеть за качество скриншотов 😀
Надеемся, что эта идиллическая картина понравилась посетителям нашего питомника. 🙂
А теперь дополнение.
Грузимся в Safe-Mode. При загрузке пытается стартануть мастер, спрашивающий про восстановление системы … и мы созерцаем воистину прекрасное:
Самый пипец, что при попытке выполнить gpedit.msc в safe-mode для правки политик окно редактора политик появляется на 1-2 секунды и сразу закрывается. Таск-менеджеры также не стартуют. Запуск в Safe-Mode+CMD (самый безопасный режим из безопасных :lol:) приводит к появлению окна консоли, которое закрывается через секунду — и дальше все, черный экран с надписями «Безопасный режим» по углам.
Но самый смак — открытие каталога, где лежит AVZ / Rootkit Revealer (даже без попытки запуска этих утилит !!) приводит к тому, что вирусня тут же посылает машине команду на отключение через ACPI, причем независимо от используемого файлового менеджера :bomb: . Если же AVZ переименовать, то выключение произойдет не при входе в каталог, а при попытке запуска AVZ. Таким образом, можно констатировать простой факт — вирусописатели освоили использование GPO (механизма групповых политик) в злонамеренных целях. Кстати, переименование утилит никак не мешает вирусу их убивать.
Конечный диагноз: питомник засран, продолжение работы без привлечения загрузки с внешних носителей (LiveCD) невозможно, все найденные тушки вирусов будут сохранены, виртуалка будет откачена на сутки назад.
Сегодня принесли нетбук с новым пиздатейшим винлокером. Вообщем, винлокеры с каждым релизом становятся все лучше и лучше. Такие программы как cmd.exe, regedit.exe, procexp.exe и freecommander теперь не запускаются в принципе, причем старый трюк с переименованием экзешки не прокатывает. cmd.exe, переименованный в 1.exe, запускается, но окно «зависшее», ввести в него ничего нельзя =) ProceXP при работающей вирусне не запустить в принципе.
Впрочем, «виста-стайл» чувствуется и здесь — сам баннер красивый и полупрозрачный, а вот сиськи в 16 цветах — это фу, позор и незач0т.
Кроме того, машина оказалась дополнительно поражена какой-то забавной инфекцией:
Тело — в RECYCLER/wgk.dll , а запуск производится через autorun.inf с командой
Open=Rundll32.exe .RECYCLERwgk.dll,Setup
Это полный улет! Надо будет обязательно подселить чей чудесный экземпляр в питомник. Лицензионная винда, шедшая в комплекте с новым нетбуком, в очередной раз показала свою 100%-ю готовность для десктопа, и конечно же, будет стоить свосем не дороже, чем «OEM в момент покупки». Да-да, три раза ха-ха.
Эта заметка будет посвящена антивирусам разной степени фальшивости и тулбарам разной степени вредоносности. Естественно, буду троллить и аццки жечь ! 😀
Кроме того, в дальнейших отжигах про вирусню я решил отказаться от морально давно уже устаревшего напалма и перейти к использованию исключительно алюминийорганических пирогелей в связке с активными окислителями :devil: . …
Не знаю, кому может быть интересна такая хуита, как антивирусы. Но если интересна — велкам. …
Итак, обновился порно-информер, распространяемый с сайтов соответствующей тематики. …
Итак, в нашем питомнике пополнение ! …
Итак, сегодня я решил рассказать, как я организовал виртуалку для наблюдения за всякой живностью. В настоящий момент это всего лишь первый вариант построения подобной системы, в будущем может добавлю еще чего-нить интересненькое. Итак, схема построения сети следующая:
Суть проста — виртуалка с вирусней получает доступ в инет не напрямую через мой рабочий прокси и интерфейс домашней сетки, а еще через одну промежуточную виртуалку. В чем суть — если подключить виртуалку с виндовс напрямую к какому-лиюо интерфейсу рабочей машины, то мониторинг вирусного траффика будет затруднен, поскольку на оных интерфейсах как правило вполне заметная активность.
Кроме того, при подсоединении к интерфейсу в режиме «мост» сетевой блок виртуал-бокса работает не как свитч, а как хаб. К чему это приводит ? Ну например, мы начинаем пинговать с ноута (192.168.10.2) внутренний интерфейс основной рабочей машины (192.168.10.1), при этом все передаваемые пакеты могут быть захвачены сниффером, запущенным в VMGate на интерфейсе eth0 (192.168.10.3).
Понятно, что крайне неразумно давать заведомо населенной машине прямой доступ в рабочую сеть, пусть даже и местечкового значения. Иначе возможна такая ситуация: к вам приходит друг в гости, просит дать ему чуть-чуть поюзать инет. Втыкаем его ноут в домашний свитч — и другу может быть сделан непреднамеренный сюрприз =)
NAT в этом случае лучше, но траффик становится труднее контролировать да и меньше интересных возможностей. Кроме того, надо не забывать, что снифферу для переведения интерфейса в promiscous-режим требуются соответствующие привилегии, что потенциально небезопасно.
Виртуалка VMGate в данном случае позволяет обслуживать только одну машину и тщательно контролировать сетевую активность нашей живности с минимумом риска. Да и в случае собственной ошибки в настройках отдельную виртуалку откатить гораздо проще и быстрее.
P.S. Готовый образ на TinyCore:
https://rutracker.org/forum/viewtopic.php?t=6258575
https://cloudflare-ipfs.com/ipfs/QmfTTAnV58sS7zce5Z9mNrjpvEkBP92rpD8YnaagDj13e6/
magnet:?xt=urn:btih:DA309F28A34C290814BBEF9B43EF5D42DDA4262A&tr=http%3A%2F%2Fbt3.t-ru.org%2Fann%3Fmagnet&dn=Virtual%20TinyGateway%20%5BVirtualBox%20OVA%5D%20%5BLinux%20TinyCore-14%5D%20%5Biptables%20%2B%20NAT%20%2B%20DHCP%20%2B%20VLAN%2FQinQ%5D
ipfs://QmfTTAnV58sS7zce5Z9mNrjpvEkBP92rpD8YnaagDj13e6/
Итак, это первая запись новой серии — «Виртуальный зоопарк».
В один хмурый и пасмурный день мне было очень скучно и откровенно нехер делать, поэтому я решил придумать себе новое развлечение. И я придумал! «Виртуальный зоопарк» — это такая огороженная виртуалка с виндовс, предназначенная для наблюдений за наиболее интересной виртуальной «живностью».
P.S. Ни одно живое существо в ходе опытов не пострадало. …
Amin 's Blog 