Лента новостей

26-05-2010 Конференцию Apple WWDC 2010 откроет Стив Джобс
Конференцию Worldwide Developers Conference 2010 (WWDC), которая начнётся 7 июня, откроет Apple Стив Джобс. Это подтвердила вчера пресс-служба компании. В прошлом году, напомним, г-н Джобс пропустил WWDC, поскольку был в лечебном отпуске. Его замещал вице-президент Apple Фил Шиллер (Phil...

26-05-2010 Чат Facebook интегрировали в мобильное приложение ICQ
Популярный сервис мгновенных сообщений ICQ объявил о том, что расширяет мобильные возможности посредствам интеграции чата Facebook в приложение ICQ mobile для телефонов с поддержкой Java. У пользователей теперь появляется возможность общаться со своими контактами из Facebook непосредственно через приложение...

26-05-2010 Из-за ошибки админа "Яндекс" послал народ на хоккей
В воскресение вечером вебмастера, чьи домены второго уровня указывают на сайты на "Народе", обнаружили, что все посетители их сайтов переадресовываются на hockey2010.yandex.ru. Более детальный анализ показал, что  веб-сервер  "Яндекса"в момент переадресации передавал...

26-05-2010 Хостинг-провайдеры подписывают хартию по борьбе с нелегальным контентом
Несколько крупных хостинговых компаний в пятницу 28 мая подпишут хартию по борьбе с нелегальным контентом. Сообщается, что хартию также подпишет регистратор доменов Ru-Center и, возможно, "Мастерхост". Хартия сделает борьбу с противоправным контентом (порнография, экстремистские материалы,...

26-05-2010 Западные СМИ обвиняют Россию в развязывании кибервойн
Российский хакер - стереотипный персонаж, фигурант западных передовиц и кинофильмов. Компания Powerscourt представила исследование, в котором изучила, как Россия изображается в зарубежных СМИ в связи с различными киберконфликтами и киберпреступлениями. Публикации о киберконфликтах с участием России и...

25-05-2010 «Лаборатория Касперского» обновляет защитное решение для малого бизнеса
«Лаборатория Касперского», ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, сообщает об обновлении решения для защиты малого бизнеса Kaspersky Small Office Security. Обновлённый продукт обеспечивает комплексную защиту рабочих станций и файловых серверов,...

25-05-2010 Швейцария требует ввести дополнительное лицензирование веб-сервисов
Швейцарский комиссар по защите данных Ханспетер Туэр заявил, что страна нуждается в новых правилах, регулирующих интернет-услуги, которые могут нарушить право на неприкосновенность частной жизни. «Я считаю, что веб-сервисы и приложения, которые могут поставить под угрозу личные права, должны лицензироваться»,...

25-05-2010 Интернет-законодательство в России пишут силовики
На сегодняшнем заседании межведомственной рабочей группы по подготовке проекта федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации по вопросам регулирования отношений при использовании информационно-телекоммуникационной сети интернет» желающих высказаться оказалось...

25-05-2010 В Ирландии вступил в силу антипиратский закон
В феврале 2009 года Ассоциация звукозаписывающей индустрии Ирландии (IRMA) заключила соглашение с крупнейшим интернет-провайдером страны Eircom о внедрении программы "дифференцированных ответных действий". Ее суть состоит в том, что пользователи, которые нелегально обмениваются музыкальными...

25-05-2010 Половина российских доменов используется киберкриминалом
Как выяснили журналисты Marker.ru, лишь 49% доменов в зоне .ru представляют собой полноценные сайты. Остальные если и используются, то, в основном, для оптимизации поисковой выдачи и продвижения других ресурсов. По официальным данным, за прошлый год число имен в национальной доменной зоне увеличилось...

25-05-2010 Процессинговая компания компенсирует ущерб, причиненный хакерами
Heartland Payment Systems согласилась возместить 41,1 млн. долларов эмитентам MasterCard, которые пострадали от утечки данных в результате взлома платежного процессора этой компании. Ранее Heartland урегулировала аналогичные конфликты с Visa и American Express, убытки которых были оценены в 60 и 3,6...

25-05-2010 Получение прибыли с помощью системы раскрутки сайтов
На днях на компьютере одного из пользователей был обнаружен потенциальный зловред – файлы “autorun.exe” и “autorun.inf” в корне диска C:, которые появляются после удаления, по заверениям пользователя. После первичного анализа было обнаружено, что скачивается множество файлов, в том числе .NET FrameWork, который в дальнейшем «тихо» устанавливается. Это было очень неожиданно для меня - давно я не видел настолько наглого зловреда, который устанавливает .NET. Я принял решение полностью разобрать этот экземпляр. Оказалось, что он очень интересен – как вредоносным функционалом, так и способом установки своих компонент.

Исходный файл “autorun.exe” представляет собой WinRK SFX – архив, который не распространён в настоящее время. После его запуска происходит целая цепочка исполнений разнообразных файлов:

Autorun.exe -> .exe -> !.bat -> start.vbs -> .bat -> Hidden Start inst.bat -> evntstart.exe;

Что интересно в этой последовательности используются только стандартные легальные программы:

“Autorun.exe” – WinRK SFX;
“.exe” – BatToExe;
“inst.bat” – запускается с помощью Hidden Start;
“evntstart.exe” – WinRK SFX;

На этих этапах вредоносным функционалом является только установка службы в реестр, которая обеспечивает запуск evntstart.exe при загрузке системы, копирование распакованных файлов в системную папку и завершение процессов, относящихся к SafeSurf. О самой программе SafeSurf и её участии в зловреде будет описано далее. В файле inst.bat происходят вызовы таких системных утилит, как “taskkill”, “net”, “regedit” и т.д.

Продолжим дальнейшую цепочку развития событий:

Evntstart.exe -> msexec.bat -> jnwmon.bat -> zrgutsp.bat -> ai.bat -> build.bat -> spidermod.bat -> .NET Setup -> SafeSurf start;
Немного детализирую назначение каждого .bat файла:

“zrgutsp.bat” – добавление пользователей с правами администратора, открытие порта 3389 протокола TCP для RDP с помощью netsh и аналогичные действия;

“ai.bat” – установка RAdmin в скрытом режиме, используется две библиотеки и исполняемый файл, которые находились в SFX – архиве;

“build.bat” – сборка autorun.exe «на лету» в тихом режиме с помощью основного файла архиватора WinRK;

“spidermod.bat” – непрерывная очистка корней всех дисков от autorun.inf и копирование оного туда же;

“.NET Setup” – скрытная установка .NET на машине пользователя из файла jnwmon.bat, реализуется следующим образом:

if exist %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\Accessibility.dll goto end dotnetfxupdt.exe -download http://download.microsoft.com/download/5/6/7/567758a3-759e-473e-bf8f-52154438565a/dotnetfx.exe dotnetfx.exe dotnetfx.exe /q:a /c:"install /q"

Обращаю внимание на то, что на втором этапе также не было использовано ничего вредоносного, а именно – “RAdmin”, “netsh”, “net”, “dotnetfx”, “WinRK” – всё это легальные программы, в т.ч. системные. А теперь поподробнее остановимся на системе JetSwap.

На сайте http://www.jetswap.com/full.htm указана следующая информация:

«Система JetSwap была создана, чтобы облегчить процесс раскрутки новых проектов в сети Интернет. После создания проекта достаточно разместить на нем один или несколько кодов системы (при установке всех кодов эффект максимален) и получить небольшую начальную группу посетителей. Достаточно нескольких человек в день, которые будут просматривать страницы этого сайта, чтобы получить многих других посетителей. Коды системы, предназначенные для установки на сайте, позволяют автоматизировать процесс получения кредитов для раскрутки сайта. Вы будете получать кредиты с ваших посетителей. При этом достаточно только наблюдать за процессом и не предпринимать никаких действий.»

Данный зловред на заключительном этапе устанавливает программу SafeSurf, которая работает с системой JetSwap, на компьютер пользователя и запускает её в скрытом режиме на «автосёрфинг». Таким образом, компьютер ничего не подозревающего человека кликает по сайтам и зарабатывает кредиты владельцу аккаунта. Злоумышленник, по–видимому, не очень – то и пытался скрыть свои данные – они доступны в открытом виде в *.reg файле:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\JetSwap]

"autocr"="1"
"v2"="1"
"splash"="1"
"v3"="1"
"v4"="0"
"v5"="1"
"vhd"="1"
"msurf"="0"
"surfhide"="0"
"asurf"="1"
"minw"="0"
"login"="jackmen"
"passh"="7458bab36c82e74839639c48b9e64a05"

Я запустил только программу с данными в реестре без остальных зловредных компонент и увидел основное окошко SafeSurf. И даже нажал кнопку для проверки баланса, что прекрасно видно на скриншоте.



Скриншот программы SafeSurf, с параметрами, которые указал вирусописатель в .reg файле


В начале поста я упоминал, что этот зловред интересен как функционалом, так и способом установки, а теперь я поясню это. Все компоненты являются легальными, и весь процесс установки также происходит только с помощью стандартных и легальных программ, .bat файлов, скриптов и файлов реестра. Таким образом, вредоносными можно посчитать только некоторые пакетные файлы. Так как даже исходный файл autorun.exe, обнаруженный у пользователя, является WinRK SFX – архивом. Также интересен способ получения денег – с помощью установки софта, предназначенного для раскрутки сайтов.

В настоящее время зловред детектируется как Trojan-Clicker.Win32.FrusEfas. Отдельно спасибо Олегу Зайцеву за предоставленный материал.

25-05-2010 Произошла попытка криминального захвата крупного домена
3 мая 2010 года владелец популярного в Рунете домена LostFilm.TV , был выманен на территорию Украины под обманным предлогом и удерживался там международной преступной группировкой в течение 3-х суток. Целью захвата была передача домена LostFilm.TV некоему заказчику. Владелец домена был избит, после чего...

24-05-2010 Россия в числе самых пиратских стран в сегменте ПО
Рабочая группа Конгресса США по противодействию международному пиратству в своем очередном отчете назвала пятерку "самых пиратских стран" и шесть "самых пиратских организаций". К числу стран, которые своими нарушениями в области авторских прав подрывают экономику США, конгрессмены...

24-05-2010 Dr.Web AV-Desk сделал шаг навстречу интернет-пользователям Беларуси

24-05-2010 Бизнес постепенно переходит на альтернативы Windows и Internet Explorer
Несмотря на то что продукция Microsoft продолжает доминировать на корпоративных настольных системах, конкуренты медленно, но верно наступают, утверждают аналитики Forrester Research. Специалисты подвели итог статистического исследования, проводившегося с апреля 2009 года по март 2010-го и охватившего...

24-05-2010 New gTLD: владельцы брендов не определились
Компания MarkMonitor, оказывающая юридические услуги в области защиты товарных знаков и брендов, провела исследование среди своих клиентов на предмет их отношения к программе корпорации ICANN по созданию неограниченного числа доменов верхнего уровня «New gTLD». Эта программа позволит, в том числе, каждой...

24-05-2010 Google купила онлайновый туристический путеводитель
Google приобрела Ruba, онлайновый туристический путеводитель и сообщество для путешествующих. Ruba занимается аккумуляцией визуальных туристических путеводителей и обзоров маршрутов, которые готовят и публикуют сами участники. Посетителям предлагается каталог городов и интересных достопримечательностей...

24-05-2010 TeliaSonera будет отстаивать права файлообменщиков в Верховном суде Швеции

24-05-2010 Red Hat рассказала о проекте deltaCloud
Компания Red Hat рассказала об "облачном" проекте deltaCloud. Проект deltaCloud существует чуть больше года и его изначальная задача заключается в создании единой консоли управления для администрирования гетерогенных облачных инфраструктур. Сейчас deltaCloud находится на пути к коммерческой...