Лента новостей

RSS

02-09-2010 Microsoft попытается завоевать рынок интернет-поиска в Китае
Корпорация Microsoft ищет партнеров в Китае, которые помогли бы софтверному гиганту стать крупнейшим игроком на рынке интернет-поиска в регионе. Сообщается, что минимальная сумма инвестиций в китайские компании составит около 100 миллионов долларов. Microsoft нацелится на компании, которые специализируются...

27-08-2010 Завод GT7 обвиняет "Яндекс" в незаконном отказе индексировать его сайты
Производитель газового и нефтехимического оборудования GT7 судится с интернет-поисковиком "Яндекс", утверждая, что он незаконно отказался включить в свою систему сайты Polymerprom.ru, Agzs.ru, Kuzpolymer.ru и Tdkpm.ru. Из-за неудовлетворения просьбы GT7 пришлось заплатить за рекламу в системе...

26-08-2010 Завод решил отсудить свое место в базе "Яндекса"
Завод GT7 подал в суд на "Яндекс", требуя включить в поисковый индекс сайты Polymerprom.ru, Agzs.ru, Kuzpolymer.ru и Tdkpm.ru, пишет "Коммерсант". Из-за отказа поисковика сделать это производителю газового и нефтехимического оборудования пришлось воспользоваться платной рекламой в...

26-08-2010 За Yahoo! теперь ищет Microsoft
Интернет-компания Yahoo окончательно отказалась от собственного поисковика и перешла на платформу корпорации Microsoft. В результате доля разработанного софтверным гигантом поиска Bing в США увеличилась с 11% до 28,1%. Внедрение платформы Bing тестировалось в течение последнего месяца. Сейчас...

23-08-2010 Интересы пользователей и рекламодателей во втором квартале
Аналитический центр «Бегуна» опубликовал очередное исследование интересов аудитории и активности рекламодателей в сервисе контекстной рекламы за апрель-июнь 2010 г. Рейтинг активности рекламодателей в целом повторяет ситуацию второго квартала прошлого года: по-прежнему абсолютным лидером рекламных расходов...

06-08-2010 Оптимизаторы засудили Antijob.ru за негативный отзыв

20-07-2010 Пользователям будут платить за их личные данные
Сервис Bynamite даст пользователям возможность "рулить" теми данными, которые используются при показе таргетированной рекламы - а в перспективе позволит получать за предоставленные данные такого рода скидки или денежное вознаграждение. Напомним, что в 2006 году "Вебпланета" описала...

11-07-2010 Twitter обрабатывает больше поисковых запросов, чем Bing и Yahoo!
Портал Twitter обрабатывает сейчас по 800 млн поисковых запросов в день, что на 33% больше, чем в апреле. Об этом на конференции Aspen Ideas Festival (ежегодное мероприятие Аспенского института гуманитарных исследований) заявил Биз Стоун, один из основателей платформы для микроблогов. Это...

09-07-2010 Глава Минкомсвязи пообещал не "убивать" российские поисковики
Государство не будет создавать собственный поисковик для того, чтобы составить конкуренцию популярным на рынке "Яндексу" и Mail.ru, заявил глава Минкомсвязи Игорь Щеголев на проходящем в Твери Социально-экономическом форуме, сообщает телеканал "Россия 24". По словам Щеголева, в государственных...

08-07-2010 «Яндекс» вытесняет конкурентов с поискового рынка
Впервые за последние четыре года доля «Яндекса» на поисковом рынке Рунета составила 64,6%, увеличившись за шесть месяцев на внушительные 9,7%. А вот позиции конкурентов ослабевали. Так, в конце июня доля Mail.Ru составила 7,3%, сократившись с декабря прошлого года на 27%. Доля Rambler...

03-07-2010 Российский суд защитил товарные знаки от поисковых оптимизаторов
Арбитраж Санкт-Петербурга запретил компании СТР использовать в HTML-коде своих сайтов обозначение Expro, сходное до степени смешения с товарным знаком НПО "Инженеры электросвязи", пишет "Коммерсант". Тем самым российский суд впервые защитил обладателей прав на товарный знак от поисковых...

23-06-2010 Доля Google на поисковом рынке США перевалила за 72%
Согласно данным нового отчета компании Hitwise, в мае текущего года доля компании Google на поисковом рынке США составила 72,17%, что говорит о росте на 7,7% по сравнению с апрелем. На втором месте поисковик компании Yahoo, занявший 14,43% рынка – уменьшение на 0,53% за месяц. Далее идут...

12-06-2010 Twitter купил фирму веб-аналитики Smallthought Systems
Популярный сервис микроблогов Twitter вчера, 10 июня, объявил о том, что приобрел Smallthought Systems, небольшую фирму, которая занимается веб-аналитикой. «Мы растем, и аналитика становится все более важной частью улучшения нашего сервиса», - отметил Кевин Вейл (Kevin Weil), глава аналитического...

11-06-2010 «Бегун»: бюджеты рекламодателей на поиск выросли на 82%
Сервис контекстной рекламы «Бегун» объявил о том, что бюджеты рекламодателей «Бегуна» на поиск с начала 2010 г. увеличились на 82%. Такие темпы роста существенно опережают темпы роста непоисковой рекламной сети, выручка которой в апреле этого года выросла на 40% по сравнению с аналогичным периодом...

04-06-2010 Ukr.net сообщил о своей новой стратегии на украинском интернет-рынке
Популярный украинский портал Ukr.net сообщил о своей новой стратегии на украинском интернет-рынке, в рамках которой данный ресурс намерен «атаковать международный бренд Google». По словам представителей портала, компания решила атаковать именно Google, так как этот сайт сегодня является самой популярной...

25-05-2010 Получение прибыли с помощью системы раскрутки сайтов
На днях на компьютере одного из пользователей был обнаружен потенциальный зловред – файлы “autorun.exe” и “autorun.inf” в корне диска C:, которые появляются после удаления, по заверениям пользователя. После первичного анализа было обнаружено, что скачивается множество файлов, в том числе .NET FrameWork, который в дальнейшем «тихо» устанавливается. Это было очень неожиданно для меня - давно я не видел настолько наглого зловреда, который устанавливает .NET. Я принял решение полностью разобрать этот экземпляр. Оказалось, что он очень интересен – как вредоносным функционалом, так и способом установки своих компонент.

Исходный файл “autorun.exe” представляет собой WinRK SFX – архив, который не распространён в настоящее время. После его запуска происходит целая цепочка исполнений разнообразных файлов:

Autorun.exe -> .exe -> !.bat -> start.vbs -> .bat -> Hidden Start inst.bat -> evntstart.exe;

Что интересно в этой последовательности используются только стандартные легальные программы:

“Autorun.exe” – WinRK SFX;
“.exe” – BatToExe;
“inst.bat” – запускается с помощью Hidden Start;
“evntstart.exe” – WinRK SFX;

На этих этапах вредоносным функционалом является только установка службы в реестр, которая обеспечивает запуск evntstart.exe при загрузке системы, копирование распакованных файлов в системную папку и завершение процессов, относящихся к SafeSurf. О самой программе SafeSurf и её участии в зловреде будет описано далее. В файле inst.bat происходят вызовы таких системных утилит, как “taskkill”, “net”, “regedit” и т.д.

Продолжим дальнейшую цепочку развития событий:

Evntstart.exe -> msexec.bat -> jnwmon.bat -> zrgutsp.bat -> ai.bat -> build.bat -> spidermod.bat -> .NET Setup -> SafeSurf start;
Немного детализирую назначение каждого .bat файла:

“zrgutsp.bat” – добавление пользователей с правами администратора, открытие порта 3389 протокола TCP для RDP с помощью netsh и аналогичные действия;

“ai.bat” – установка RAdmin в скрытом режиме, используется две библиотеки и исполняемый файл, которые находились в SFX – архиве;

“build.bat” – сборка autorun.exe «на лету» в тихом режиме с помощью основного файла архиватора WinRK;

“spidermod.bat” – непрерывная очистка корней всех дисков от autorun.inf и копирование оного туда же;

“.NET Setup” – скрытная установка .NET на машине пользователя из файла jnwmon.bat, реализуется следующим образом:

if exist %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\Accessibility.dll goto end dotnetfxupdt.exe -download http://download.microsoft.com/download/5/6/7/567758a3-759e-473e-bf8f-52154438565a/dotnetfx.exe dotnetfx.exe dotnetfx.exe /q:a /c:"install /q"

Обращаю внимание на то, что на втором этапе также не было использовано ничего вредоносного, а именно – “RAdmin”, “netsh”, “net”, “dotnetfx”, “WinRK” – всё это легальные программы, в т.ч. системные. А теперь поподробнее остановимся на системе JetSwap.

На сайте http://www.jetswap.com/full.htm указана следующая информация:

«Система JetSwap была создана, чтобы облегчить процесс раскрутки новых проектов в сети Интернет. После создания проекта достаточно разместить на нем один или несколько кодов системы (при установке всех кодов эффект максимален) и получить небольшую начальную группу посетителей. Достаточно нескольких человек в день, которые будут просматривать страницы этого сайта, чтобы получить многих других посетителей. Коды системы, предназначенные для установки на сайте, позволяют автоматизировать процесс получения кредитов для раскрутки сайта. Вы будете получать кредиты с ваших посетителей. При этом достаточно только наблюдать за процессом и не предпринимать никаких действий.»

Данный зловред на заключительном этапе устанавливает программу SafeSurf, которая работает с системой JetSwap, на компьютер пользователя и запускает её в скрытом режиме на «автосёрфинг». Таким образом, компьютер ничего не подозревающего человека кликает по сайтам и зарабатывает кредиты владельцу аккаунта. Злоумышленник, по–видимому, не очень – то и пытался скрыть свои данные – они доступны в открытом виде в *.reg файле:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\JetSwap]

"autocr"="1"
"v2"="1"
"splash"="1"
"v3"="1"
"v4"="0"
"v5"="1"
"vhd"="1"
"msurf"="0"
"surfhide"="0"
"asurf"="1"
"minw"="0"
"login"="jackmen"
"passh"="7458bab36c82e74839639c48b9e64a05"

Я запустил только программу с данными в реестре без остальных зловредных компонент и увидел основное окошко SafeSurf. И даже нажал кнопку для проверки баланса, что прекрасно видно на скриншоте.



Скриншот программы SafeSurf, с параметрами, которые указал вирусописатель в .reg файле


В начале поста я упоминал, что этот зловред интересен как функционалом, так и способом установки, а теперь я поясню это. Все компоненты являются легальными, и весь процесс установки также происходит только с помощью стандартных и легальных программ, .bat файлов, скриптов и файлов реестра. Таким образом, вредоносными можно посчитать только некоторые пакетные файлы. Так как даже исходный файл autorun.exe, обнаруженный у пользователя, является WinRK SFX – архивом. Также интересен способ получения денег – с помощью установки софта, предназначенного для раскрутки сайтов.

В настоящее время зловред детектируется как Trojan-Clicker.Win32.FrusEfas. Отдельно спасибо Олегу Зайцеву за предоставленный материал.

23-04-2010 Скидка 25% на продвижение Вашего сайта!

28-03-2010 Скидки на продвижение сайта
Сервис 1PS.RU дарит всем читателям журнала  «WEB-ANALITIK.INFO» скидку в 10% на регистрацию сайта в каталогах по тарифам VIP, ОПТИМА и ЭЛИТА, а также на разработку контекстной рекламы по тарифам КОНТЕКСТ-1 и КОНТЕКСТ-2. Чтобы получить скидку, необходимо на странице http://go.1ps.ru/promo/ активировать код 5667L57R. Скидка действительна в течение месяца после активации кода.