Pull to refresh

Новая волна распространения троянцев вконтакте

Reading time 2 min
Views 8.3K
Давненько мне не приходил никакой спам с вирусными рассылками от френдлиста социальных сетей, да и ничего уникального давно не встречалось из подобного рода рассылок. Но сегодня мне попал довольно любопытный сэмпл.
Сперва пришло письмо от человека, который состоит у меня в списке друзей:



Довольно несвойственная манера для человека, но я прошел по ссылке, т.к. она не вела на внешние ресурсы. При переходе видим профиль некоего Энди Смоука, обещающего завтра всем дать голоса на халяву, если перейти по ссылке. Что настораживает сразу? Правильно, сокращалка ссылок, которую так долго использовали за бугром для фишинга. Теперь и до нас докатились) Но это лично для меня, вообще настораживает халява сама по себе.

Подробности под катом)



При переходе по ссылке бдительный и уютный контактик предупреждает нас об опасности фишинга, но нам не страшны такие невзгоды, — идем дальше. Ловим редиррект на жуткого вида домен:
_http://dfkdoi**saxasods.ru/rating/



Сразу можно заметить, что пахнет нечистым только по тому, что вконтакт не привязывается к размеру монитора, и изменение размера окна браузера не портит пропорций контента. Тут уж рисковть не стоит, если попали на связку, то и проактивка может не спасти, включаем виртуальную машину и возвращаемся на подозрительную страничку в безопасной вирутальной среде)
При нажатии кнопки «установить» скачивается некий исполнимый файл, весом 27 кб.



Становится интересно. Смотрим, упакован ли?
— Да, upx:



Распаковываем, получаем файл весом в 79 кб, компилятор — PureBasic.





После распаковки оба файла были отправлены на virustotal:
Запакованный файл
Распакованный

Поглядим, какая активность у файла. Бросаем в отладчик, по функциям видно, что файл может пытаться узнать путь во временную дирректорию и что-то извлекать из ресурсов. Глядим ресурсы:





Обфусцированный bat-файл, весом в 38,6 кб, записывающий изменения в файл hosts. Больше ничего интересного нету.
Расшифруем код (нужно всего лишь убрать строки-мусор):



Получается, что визит на один из перечисленных сайтов теперь приведет на страницу злоумышленника. Что мы увидим там?
Для примера возьмем вконтакте: вполне обычная страница, невызывающая подозрений. Вводим данные — видим вполне невинное, пусть и подозрительное оповещение о взломе с предложением замены пароля. Пробуем сменить пароль и получаем вот такое предложение оплатить валидацию страницы:



Оплата составляет 100 рублей на номер +79057599377.
Когда уже билайновцев за крышевание таких номеров закроет прокуратура?
Собственно это все. Модных скринов из Olly Debuger или IDA Disassembler не будет, к чему они тут, если все банально просто)

Вывод:
1) Халявы не бывает
2) Нельзя переходить по непонятным ссылкам, даже если их прислал знакомый вам человек, пока вы не убедитесь в легитимности линка или во вменяемости друга.

Что делать, если вы уже заражены подобным вирусом?
Главное — ни в коем случае не отправляйте злоумышленникам денежные средства. Это попросту никак не поможет.
Второе — откройте в блокноте или любом текстовом редакторе следующий файл:
C:\Windows\System32\drivers\etc\hosts
(необходимы права администратора)
и удалите все его содержимое, сохраните файл и поменяйте пароли от затронутых ресурсов.
Tags:
Hubs:
+98
Comments 146
Comments Comments 146

Articles