Пользователь
0,2
рейтинг
17 мая 2013 в 03:47

Разработка → Mail.Ru тестирует новый способ заражения компьютеров


Как-то среди ночи меня пробила ностальгия и я решил скачать с зайцев.нет композицию Анжелики Варум — «Городок».

Нахожу, подходит битрейт, выбираю mp3 и качаю.

Но почему-то скачался .exe файл… и со странного адреса dls3.moilru.ru/output/.../02/96/6b/9f/audio/varum_anzhelika_-_gorodok_zaycev_net.exe
Что за ерунда думаю.


Выбираю .rar формат, то же скачивается — .exe файл размером на 160KБ.

Запускаю whois по домену и получаю:
domain:        MOILRU.RU
nserver:       ns1.reg.ru.
nserver:       ns2.reg.ru.
state:         REGISTERED, DELEGATED, UNVERIFIED
person:        Private Person
registrar:     REGRU-REG-RIPN
admin-contact: http://www.reg.ru/whois/admin_contact
created:       2013.05.13
paid-till:     2014.05.13
free-date:     2014.06.13
source:        TCI


Опа! Свеженький!

Заливай файл на ВирусТотал и получаю отчет по файлу.

Скриншоты свойств файла.


Выборочно потыкал другие композиции, везде качается вместо mp3 исполняемый файл.

Cкаченные файлы имеют разный размер, но у всех подпись сертификатом mail.ru.

Мой юзерагент:
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:21.0) Gecko/20100101 Firefox/21.0

Меняю его на Андроид. Сразу идет редирект на m.zaycev.net и теперь уже качаются нормальные mp3…

Ничего себе!
Послушал, называется, музычку на ночь.

В комментах мне напомнили другую статью.

P.S. Задаю риторический вопрос — как можно без ведома mail.ru подписать её сертификатом столько разных файлов?

P.P.S. Проверил IP сайта, DNSов и шлюза провайдера — никакого спуфинга. Проверился вторым антивирусом — чисто.

Update.
(Спустя 12 часов):

Сменен раздающий домен на downloader.com и сменен формат url:
http://dwnloader.com/MjU1NTtodHRwJTNBJTJGJTJGZGwuemF5Y2V2Lm5ldCUyRjExNWE3ZGY2LTE4NjMtNGQxNy1iOWRjLWM5MTI0ZGIwZGVkOCUyRjE2NTA1JTJGMTY1MDUxOCUyRm5hdGFsaV8tX29fYm96aGVfa2Frb3lfbXV6aGNoaW5hXyh6YXljZXYubmV0KS5tcDM7bmFtZT1uYXRhbGlfLV9vX2JvemhlX2tha295X211emhjaGluYV8oemF5Y2V2Lm5ldCkubXAzO3NpemU9ODY1MDc1Mjt0eXBlPW1wMw==

Немного позже опять сменен домен на dawnloader.ru (78.140.165.153)
Через двое суток сменен на dwnloader.net (46.254.18.232).

Который редиректит на другие домены, с который и происходит закачка:
vengera.ru
savtopo.ru
dojdipo.ru
astonka.ru
hkovma.ru
owsezam.ru
gudlet.ru
pilagi.ru
zyankokhi.ru
iqtaxib.ru
goditsa.ru
ekzofo.ru
rfaksa.ru
liqra.ru
skachatfayl.ru
dwnloader.net 


Эти домены также участвует в заражении посетителей сервиса torrentino.com
Все они находятся на IP 146.255.192.214. ДатаЦентр на абьюзы не реагирует :(

Внутри такой же подписанный сертификатом от mail.ru файл.
Я нахожусь в Украине, возможно поэтому мне не выдается файл, подписанный LLC Pentagon.

Update.
(Спустя 16 часов)
Появилась надпись при скачке:
Скачивание файла производится при помощи специального загрузчика (троянов) от наших партнеров — Mail.ru и Rambler. Запуск загрузчика абсолютно безопасен для вашего компьютера, что подтверждено цифровой подписью, но возможны ложные срабатывания антивирусов.


Перевожу: С Лабораторией Касперского мы договорились, он не считает эти файлами троянами, а Dr.Web, который классифицирует файлы как трояны, вообще не антивирус.

И получен ответ от распространителей:

От: Николай nik[a]openprog.ru

Вы жалуетесь на Загрузчик (который якобы содержит вирус).

Настоящим уведомляем, что имеет место ложное положительное срабатывание. Сам файл представляет из себя ни что иное, как HTTP-клиент для загрузки любого контента и совершенно точно не является вирусом. Файл подписан цифровой подписью его производителя — компании Mail.Ru и находится на серверах Mail.Ru, что дополнительно подтверждает происхождение и благонадежность этого файла.

Эвристические анализаторы некоторых антивирусов могут срабатывать на внутреннюю структуру и действия этого файла, однако мы гарантируем, что данные срабатывания — ложные.

Если возникают вопросы по файлам, которые распространяются с нашего сервера — просьба писать о них на nik[a]openprog.ru


Еще им не хватает IP и они дозаказали у Датацентра новые :(
@click0
карма
4,0
рейтинг 0,2
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (97)

  • +10
    об этом уже писали но в марте
    habrahabr.ru/post/172393/
    • –2
      Да, писали. Но тут источник распространения — популярный сайт.
      • +24
        Поздравляю с подключением к интернету…
        Эти тулбары на многих крупных сайтах стоят…
      • +6
        Так это зайцы и мутят.
        Вирусов-то там нет, там галочки простановки стартовых страниц, поисков по умолчанию и т.п.
        А вот если у зайцев екзешник меняется (то moilru.ru, то Пентагон, как ниже пишут), то значит они решили денег со всех стрясти: с мыла, с рамблера-яндекса (Рамблер Пентагоном распространяется, izvestia.ru/news/549797, а на Рамблере поиск от Яндекса).
        Вот и разводят всех, то один поиск поставят, то другой.
        • 0
          Тенденция на рынке, однако. Если и мэйлру и рамблер используют подобные методы для распространения своего поиска/софта.
  • +1
    способ совсем даже не новый habrahabr.ru/post/172393/
  • –37
    Причем тут mail.ru вообще не понял
    • +27
      Файл подписан мэйлрушным сертификатом.
      Сделать это без ведома самих мэйлрушников, мягко говоря, проблематично.
      • –54
        Да я понял что подпись подделана, но можно же обратить внимание на moilru.ru
        • +32
          Поделитесь способом подделать чужую подпись файла :)
          • –46
            =) я если честно на сертификат даже бы не посмотрел, мне бы хватило такой ссылки и exe вместо песни
            • +50
              Мне все равно, что преступление было совершено сотрудником МВД, это же произошло не в РОВД!
      • +7
        На линке выше написано как именно это делается.
        Там смысл в том, что подписывается настоящим сертификатом mail.ru, так как они сами его для этого дали и разрешают подписывать все.
  • +11
    • +20
      Пентагон виноват в распространении вирусов!!! Теория заговора работает!!!
      • +15
        ООО «Пентагон»
    • +18
      «Пентагон тестирует новый способ заражения компьютеров»
  • +29
    Хоть это и оффтоп, но zaycev.net? сейчас? Поставьте расширение и качайте с вконтактика.
    • –1
      Олдскул, хардкор :) зачем все усложнять? А сертификат сейчас действительно пентагоновский :)
      • –19
        Хардкор – это не ставить расширение для скачивания из ВК и качать руками из cookie сразу после прослушивания.
        • +25
          Из чего-чего?!?!
          • +20
            Из кэша браузера, прошу прощения, не проснулся еще.
        • +2
          • –1
            Ну хотя бы чтоб нормальные имена файлам автоматически подставлялись при сохранении
            • +1
              В кэше они с тем же названием оседают.
              Если вы про аддоны — то да, те подставляют имена, понятное дело.
              • +1
                Да, это я про аддоны, не уследил за деревом комментов
      • +5
        Попробуйте muzebra.com. Минималистичный интерфейс, нормальная скорость скачивания, никаких капчей, ожиданий и тонн рекламы.
        Но рекомендую зарегистрироваться, ибо незарегенным они иногда любят .exe отдавать.
        • +1
          Еxе файлы мы отдавали не больше двух суток по ошибке и не отдаем больше. После вот этого поста.
        • 0
          Вот спасибо за наводку )
    • +3
      Можно даже и не ставить ничего
    • +5
      Вы удивитесь, но многие и сейчас ходят по сайтам, которые были популярны во времена WAP на телефонах.
      • +22
        Вы удивитесь, но многие и сейчас отправляют смс на короткий номер чтоб получить рингтон! =)
        • +4
          Не верю!
          • +2
            А зря.
            PS: на обложках школьных тетрадей до сих пор печатают рекламу «отправь смс, разыграй друга/получи обои/получи рингтон». Бизнес работает.
          • 0
            Вы таки себе не представляете, какие суммы вертятся в этом бизнесе — а учитывая что в некоторых странах со счета на телефоне (не NFC) можно расплачиваться не только смсками за рингтоны, а вполне себе в магазинах, это будет только расширяться. цифры устаревшие, правда, но все равно впечатляют — с википедии про ДВО. goo.gl/Wsyhk
    • 0
      если человек там не зарегистрирован? да и из вконтактика качаются файлы без обложки, а многие уже привыкли листать треки до нужной картинки
      • 0
        Вы уверены что без обложки?
        • 0
          У меня подруга качает оттуда песни, уже больше 2-х тысяч скачано, нет ни в одной обложке, поэтому я предполагаю, что контакт их обрезает при загрузке для экономии места
    • 0
      Зачем усложнять? Регистрироваться, ставить расширение… Проще с вплеер.ру скачать.
      Хотя там, помнится, мне однажды предлагали обновить флэшплеер или браузер на андроиде.
      • 0
        Вплеер.ру, насколько я помню, работает через свои прокси и на порядок медленнее. А зарегистрироваться нужно один раз и не вижу в этом проблемы. С расширением будет виден битрейт и все такое, хотя насчет обложки не уверен
  • –14
    на заборе х… написан, а там дрова
  • +34
    Ухты а пентагон то из сурового русского города Челябинск!
    • +40
      Эвакуировали по соображениям безопасности: теперь здесь самое маловероятное место падения очередного метиорита
      • 0
        Ну тут как посмотреть, может это был первый предупредительный выстрел в воздух :)
      • +58
        > метиорита

      • +1
        С точки зрения теории вероятности, в данный момент вероятность падения метеорита челябинск ни чуть не меньше, чем в любое другое место.

        Но в то же время, вероятность что метеорит упадёт в какое-либо одно место два раза подряд в будущем, очень мала.
        • +5
          вероятность что метеорит упадёт в какое-либо одно место два раза подряд

          Я бы сказал, что вероятность этого строго равна нулю, т.к. при попадании «в какое либо одно место» метеорит разрушается и после этого вообще никуда попасть не может.
          Шутка, конечно.
          • +1
            А мы его соберём и подкинем!
            • 0
              Лучше пнуть с разбега… так он ближе к первой космической будет.
    • +9
      В Челябинске «Пентагоном» называется дом по ул. Чайковского 185 и когда-то бывший там интернет провайдер.
  • +1
    Ждем отчет об уязвимости, позволяющую создать сертификат с любыми данными?
    • +1
      Либо рут стырили, либо RSA взломали. Вероятность второго пока что мизерная, так что
    • 0
      Такой сертификат можно купить. Правда вписать в него что-то вроде «Google» или «Microsoft» нельзя, только названия малоизвестных компаний.
      • 0
        Почему нельзя? У меня есть, допустим, ООО «Гугл», зарегистрированное в Санкт-Петербурге, Россия. На каком основании мне откажут в выдаче соответствующего сертификата?
        • 0
          Откажут на том основании, что для подписи вредоносных программ нужно выбирать названия скромнее, ибо с известными брендами можно «спалить» всю схему.
  • +1
    Версия от челябинского пентагона предлагает установить в качестве домашней страницы рамблер.
    Полный отчет: anubis.iseclab.org/?action=result&task_id=1872cbed46f2e7804e9e5e9609996635c
    Порадовало
    From ANUBIS:1029 to 178.218.217.19:80 — [dl.zaycev.net]
    Request: GET /1a20f7d3-f387-4539-b44d-2090919aab43/18319/1831933/varum_anzhelika_-_gorodok_(zaycev.net).rar
    Response: 402 «Payment Required»
  • 0
    А что за exe то хоть? Может там ничего страшного, какой-нибудь мейлру-браузер и подписывали действительно в мейлру.
    • +11
      И какой-нибудь mail.ru Guard, который лучше вас знает что должно стоять на вашем компьютере)
    • 0
      Вы тему полностью прочитали?
    • –12
      Там скорее всего просто ихней Downloader, который после того как наставил вам всех возможных агентов, баров и защитников, таки скачает мп3, но уже будет позно.
      • +16
        Вы меня конечно простите, но можно писать более грамотно? «Ихней», «позно»…
      • 0
        Да, так что в этом формально нет ничего незаконного, хоть и палиться не особо хочется тоже.
    • +4
      Касперский говорит что это не вирус: not-a-virus:Downloader.Win32.LMN.it

      Алексей Маланов, руководитель отдела антивирусных исследований «Лаборатории Касперского» полгода назад писал: Детектируемый файл не представляет непосредственной угрозы безопасности компьютера, однако нам известны случаи использования аналогичных инструментариев для загрузки и установки вредоносного ПО. Чтобы активировать детектирование подобного ПО защитным решением «Лаборатории Касперского», необходимо внести соответствующие изменения в настройках антивируса.


      Некоторые антивирусы по ссылке на вирустотал говорят что это криптор, и adware, т.е. надстройка в браузер, потом «кликает» по ссылкам, делает трафик, потребляет рекламу от имени обладателя браузера, вот недавно товарищи удивлялись как это они столько лайков поставили всяким клипам на ютубе… но разве мы можем сомневаться словам сотрудников лаборатории Касперского?
      • +1
        Лаборатория Касперского для меня потеряла репутацию после былинного отказа с акцией в World of Tanks
        • +7
          Напомните? А-то я и не в курсе.
  • +45
    Меняю его на Андроид. Сразу идет редирект на m.zaycev.net и теперь уже качаются нормальные mp3…

    Какая-то недоработка, должно быть apk с новой версий оперы.
    • 0
      Да нет же, jar, я точно помню как мне на айподе в сафари предлагали обновить мою оперу!
      • +11
        А у меня HDD и вирусы были на iPod.
  • +3
    Так, а что экзешник-то делает?
  • +1
    Я когда-то очень давно взял у одного хорошего человека им больше не поддерживаемый скрипт для вывода прямой ссылки на композицию, скрипт поддерживаю, изменяю когда обнаруживаю что что-то изменилось в коде и мешает получению, код подогнан под scriptish, но сохранена изначальная структура userscripts.org/scripts/show/88704
    До этой новости даже и не подозревал что они теперь используют exe
  • 0
    ранее пользовался сайтом «зайцев нет» для «точечного» скачивания чего либо… немного, но зная названия всегда мог найти mp3, а вчера вместо Моцарта он мне EXE подсунуть хотел… Что в мире твориться… sex16.ru закрыли, zaycev.net вырусню отдает… эхххх
    • 0
      Теперь все в вк: и то, и другое…
    • 0
      Контакт остался, там довольно большая фонотека. Это если закрыть глаза на пиратсво.
  • +7
    Отозвать сертификат майлару, пусть им неповадно будет.
    • +1
      Кстати, да, кто-нибудь может отправить абузу в VeriSign?
      • 0
        Да знал бы язык молча уже отправил бы давно.
      • 0
        На Pentagon LLC тоже тогда пишите )
  • 0
    Я вот сегодня антивирус пытался с утра на ноут поставить (AVG) — с офф сайта директит куда-то к нам и качает с мейлгуардом и прочим говнецом от мейла.
    • +4
      Потому что AVG тоже УГ.
      • –3
        Нунезнаю, три года пользуюсь все устраивает.
        • –1
          Лучше бы сказали, что такого унылого в нем. Другие бесплатные антивирусы еще унылее.
      • 0
        шла подарочная подписка к ноуту. Поставил — убедился- удалил.
  • 0
    Зато капчу отключили))
  • +1
    Кстати, общая рекомендация: смените user-agent на линуксовый — и сразу будете сталкиваться с гораздо меньшим количеством дряни.
    • +2
      Лучше сменить ось на Линукс :) Тогда дрянь даже если попадется, то вреда не нанесет.
      • 0
        Но помнить про WINE.
      • 0
        Зачем? просто не сидеть под админом, включить UAC, и локальными политиками запретить запуск всякого шлака кроме папочек с виндой, программными файлами (одна такая политика идет по умолчанию) и добавить вторую папочку d:\install или где у вас там инсталляшки лежат.

        А дальше разговор короткий — из temp/tmp/загрузок запуск запрещен, а в d:\install исполняемый файлик для запуска еще надо кому-то переместить.
        У меня в конторе на всех терминальных серверах антивирусов просто нет, потому как запуск разрешен как раз только того, что юзерам надо.
        • 0
          Ну так «мэйлварь» будут перемещать в d:\install. Всё-таки большинство случаев «заражения» подобным — люди сами запускают екзешник с четким пониманием того, что они делают (запускают екзешник в смысле, а о последствиях не думают или доверяют источнику).
          • 0
            Если я качаю mp3 и в ответ получаю exe — сайт уходит в блеклист.
            Если у пользователя мозгов нет, а администратор не может настроить безопасность локальной или удалённой системы — то это проблемы руководства данного администратора
            И тут я уже ничего сделать не смогу.
            А мылварь переместить в инсталл это только руками уже, атоматически всякий шлак запуститься уже не сможет
  • +1
    Может групповой иск подать? Хотя бы в Lenta.ru на это обратили внимание.
  • +4
    Файл подписан цифровой подписью его производителя — компании Mail.Ru и находится на серверах Mail.Ru, что дополнительно подтверждает происхождение и благонадежность этого файла.

    image
    • 0
      А мне вот кажется, что в свете последних событий, файлы подписанные Mail.Ru должны автоматом блокироваться и удаляться.
  • +1
    На родительском ноутбуке недавно неизвестно откуда появился и стал дефолтным браузер Интернет от мейлру, видимо, именно оттуда, т.к. они как раз качают музыку с зайцевнет.
  • 0
    задрал этот мейл.ру, и яндекс! все время свои браузеры тычут… но наверное они в правильном русле ибо ставят же! умудряются! это как Киевстар (Украина) предлагают роутер пять раз в неделю, когда он у тебя есть, и ты каждый раз отвечаешь им это, записать не могут… а еще другие «вам нужен наш подписной пакет каналов к телевизору?»… а я им «телевизора нет»… и они переходят на родственников, друзей… колапс в мозгах… а зайцевнет еще жив? :) вконтакте проще и без рекламы
    • 0
      Да ладно вам, я вот как-то в волю позвонил когда отпадал инет, так девочка пять раз спрашивала откуда у меня конкретно этот модем с паузами в один-два косвенных вопроса не понимая что «свое» все еще со времен проводки коаксиалки в квартиру, а не их дерьмо которое предлагали при подключении
  • +1
    Давно пользуюсь savefrom.net. Есть расширения для всех браузеров.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.