Социальные трояны и продажные антивирусы

Ответить на тему
 
Автор
Сообщение

leon024 ®

Пол:

Стаж: 3 года 7 месяцев

Сообщений: 1151

Репутация: 632 [+] [-]

Откуда: Россия

Пост 23-Авг-2013 19:09

[Цитировать] 

Начнем пожалуй с самого "вкусного" - так называемых социальных или государственных вирусов. Самые простейшие из них давным давно у всех на глазах, их никто и не скрывает - хомячки их сами ставят себе собственной рукой. Иногда по неграмотности, но чаще всего просто в спешке - ну не глянул толком какие галочки при установке снять нужно, влетели "спутники майл-ру", "яндекс-бары" и прочие нечисти. Ну а шпиона AlterGeo сливающий сведения о их местоположении им и без всякого спроса агент майл-ру влепит. В нем даже галочки такой нет, только "спутник" по желанию был, а о установке шпиона AlterGeo даже упоминаний не было - он сам влетал. Википедия на этот счет вас просветит - "отряд зомби" этого в кавычках "сервиса" насчитывает уже 900 тысяч "баранов" (или "ослов" - как вам больше нравится). Промолчит википедия только об одном - как им эту "медвежью услугу" устанавливали. А всех ли спрашивали?
Самый мощный из наиболее известных социальных троянов это бесспорно Яндекс-Диск. В обмен на 10 GB дискового пространства на его сервере доверчивые хомячки продают душу дьяволу устанавливая этого трояна. Поведение троянца "Яндекс-Диск" кстати очень похоже на довольно известного WebMoney Keeper Classic - он такой же бесцеремонный и наглый, работает только на других хозяев (кипер работает на эшелон) вот и вся разница.
В данный момент времени эти троянцы настолько надоели обыкновенным рядовым пользакам, что "втюхать" их "на дурака" становится все сложней. В связи с этим "государственные вирусописатели" распространяющие подобную хуиту в срочном порядке перепаковывают ее в инсталляторы "без галочек". Наибольшая концентрация малвари как всегда находится на софтпортале, софтодроме и подобных государственных сайтах "якобы лицензионщиков". При попытке скачать там любую фриварную программу - например тот же 7-Zip Игоря Павлова Вы получите подобный перепакованный файл с говеным троеным содержимым.
Социальные трояны и продажные антивирусы-Как уберечься от троянов Яндекса и Мэйла
Троянцы от яндекса народу уже надоели, и в среде народных масс возникло "бурление говен" - Представьте себе мир, свободный от Яндексов и Мэилов! где предлагается скачать Яндекс.Бан.xml помогающий хомячкам предотвращать заражение компьютеров этой нечистью.
Для поиска этой дряни можно использовать простейшую фриварную утилиту AdwCleaner так как ВСЕ Антивирусы эту дрянь В УПОР НЕ ВИДЯТ - им просто за все оплачено (PROFIT). Вот она:
Утилита AdwCleaner поддержки русского языка не имеет, но у нее простейший интерфейс. После запуска надо просто начать сканирование и дождаться окончания процесса, далее перед вами будет открыт блокнот с результатами. В общем все просто, думаю разберется даже чайник.-Изучаем трояна MediaGet -Как я и писал выше, тема этого поста не случайна. Я бы не стал ее публиковать если бы не натолкнулся при переводе программы Total Recorder для нового поста по обработке звука (русик скоро выложу, обещал). Так вот, золотое правило русификаторщиков гласит: прежде чем переводить программу, убедись что ее перевод не поддерживает кто либо другой. Ну я и ПРОВЕРИЛ (других русиков в сети не обнаружил). Вот последняя версия 2011 года на Мси-Лабе от какого то вовава, и эта версия упакована в такой интересный инсталлятор... Забегая вперед скажу - это банальный троян, очень мощный, а сам сайт прославленных русификаторщиков Мси-Лаб затроен этой нечистью чуть более, чем наполовину. Вот ЕЩЕ ТРОЯНЫ. Ну то, что такое троянцы Яндекса я мимоходом описал выше, так что останавливаться на них больше не будем. В данном случае нас интересуют не они, а сам троян MediaGet установка которого и будет произведена на компьютер попавшейся на крючок жертвы.
Краткое описание трояна MediaGet
С форума Касперского

Описание трояна

Прога выполняет функции довнлоадера-дроппера, сетевого бота возможно и бэкдора. Сайты распространяющие эту программу получают деньги за распространение от разрабов, благодаря чему существует огромное количество заражённых машин у хомячков.
А я, как раз сейчас, временно, в силу обстоятельств работаю в одном из пресловутых ООО "скорая компьютерная помощь", так могу заявить, что этот вредонос стал одной из главных причин вирусного характера обращений домашних пользователей в нашу контору, фактически обогнав тот "страшный" winlock - SMS вымогателей с баннерами!
Главное "достоинство" этого вредоноса том, что она может намертво "повесить" сеть и интернет, и клиенту приходится нас вызывать снова и снова. Платя нам снова и снова. Этот сетевой бот открывает до 20-25 тысяч(!) коннектов и почти постоянно держит их в состоянии установленных соединений, в результате чего у юзера инет почти перестаёт работать инет, и завут нас. Пользователь не связывает MediaGet с проблемами, и опять завёт нас. В случае если пользователь нашёл причину, то удалить вредонос очень сложно, поскольку вредонос меняет атрибуты на "только на чтение", которые становятся "несменяемыми" и запускает самовосстанавливающиеся процессы, препятствующие удалению. А Касперский сей вредонос, по умолчанию, не видит, а отсутвие доступа в инет, или плохую работа которого, юзеры относят именно к техническим проблемам и обращаются к нам.
Кроме того данный вредонос загружает и устанавливает в систему модули: adware которые открывают вкладки браузера на сайтах и создают левую баннерную рекламу в инете, вешают не снимаемые баннеры. Благодаря этому некоторые антивирусы опознают его в качестве adware или W32.Adware.Downloader.Mediaget. Помимо этого на некоторые заражённые компы устанавливает модули выполняющие распределёнными вычислениями(!!!), благодаря чему появляются левые процессы и ядра процессоров оказываются загруженными на 100%. После чего юзер опять зовёт нас.
Случается что вредонос вешает систему при запуске... и как вы дагадались нас снова зовут. Когда и клиенты обращаются к нам с просьбой установить одну единственную программу которая может качать практически с любых сервисов, будь это обычный ftp или torrent, и мы предпочитаем Downloader.Win32.MediaGet - так как он нельзя лучше подходит для этих целей! И клиент к нам ещё вернется, и возможно, не раз. Благодаря MediaGet, у нашей организации очень много заказов. ))
Ах да, данное безобразие очень часто происходит на компьютерах именно с установленным антивирусом Касперского, поскольку, с настройками по умолчнию(!), он его не видит, в отличии от того же Dr. Web, который, мы по договору, продвигаем нашим клиентам, и меняем один антивирус на другой. А вышеописанное отсутствие доступа в инет, или плохую работа которого, юзеры относят именно к техническим проблемам и обращаются к нам.
По хорошему, вам надо бы включить этот вредонос в число обнаруживаемых по умолчанию. Но, как было замечено, с коммерческими вредоносными программами вы так практически не поступаете.
Сумма за установку этого вредоносного ПО была озвучена например ЗДЕСЬ (всего по 50 копеек за каждую скачанную/установленную копию). Что тут можно сказать - ИУДЫ. О тех, кто их покрывает будет рассказано дальше, а пока мы займемся препарацией нечисти т.е разберем ее на запчасти и рассмотрим из каких компонентов она состоит. Нужно же изучить засранцев. biggrin
Разбираем трояна MediaGet на запчасти-Итак, нам нужно препарировать трояна без его запуска в системе. В данном случае мы имеем дело с банальным SFX-архивом (Self-extracting архив), поэтому можем просто попытаться раскрыть его с помощью обычного архиватора. Вот например как он будет выглядеть в 7-Zip Игоря Павлова: Как видно на скриншоте, 7-Zip по дефолту "разодрал" его на сами так сказать комплектующие. То же самое произойдет, если распаковать его и с помощью привычного Universal Extractor, а нам хотелось бы для начала получить троянца в его первоначальной оболочке т.е MediaGet.exe. Методом простейшего подбора для этой цели подошел более слабый китайский архиватор HaoZip. Откроем инсталлятор MediaGet_id2737382ids1s.exe скачанный ЗДЕСЬ с помощью его: Вот он и попался, который кусался biggrin Сразу забегая вперед, скажу что извлеченный нами таким образом файл mediaget-admin-proxy.exe является не чем иным, как... КЛИЕНТСКОЙ ЧАСТЬЮ программы удаленного доступа для управления вашим компьютером! Как вам - не слабо? А вы то думали, откуда начинаются все эти заморочки, ВАМИ ПРОСТО РУЛЯТ biggrin Где стоит серверная часть-Кто покрывает государственные вирусы- Для начала отправим весь файл MediaGet_id2737382ids1s.exe на Вирус
Тотал
и просмотрим на результаты 46 борцов с нечистью. Результаты впечатляют, особенно преуспел в этом Касперский. Как вам понравится его фраза: not-a-virus:HEUR:Downloader.Win32.MediaGet.gen. Ай да Каспер, ай да сукин сын. Он не только не молчит, а наоборот ОПРАВДЫВАЕТ ТРОЯНЦА выдавая свой вердикт: НЕ ВИРУС. Вы думаете что он не знает, что это за файл на самом деле? Да все он прекрасно знает! Отголоски этого до сих пор можно найти в сети на разных сайтах. Например, еще в 2011 году тот же Касперский банил MediaGet, а сейчас спустя 2 года оправдывает. А знаете почему? ЕМУ ПРОСТО ЗАПЛАТИЛИ ЗА ЭТО, как впрочем и за многое другое. Каспер просто стрижет бабки как за то чтобы ДОБАВИТЬ В БАЗУ, так и за то, чтобы УБРАТЬ ИЗ БАЗЫ. Ну, а у кого денег нет, хотя это и не вирус можно им и сделать. Примеры? Да тот же PatchWise Free не несущий вирусов "на борту" за что и не любим вашими троянами (антивирусами по вашему) кстати русификатор для Total Recorder я выпущу именно в PatchWise Free т.к мне абсолютно насрать на ваших установленных троянцев. Кстати AVIR_е MediaGet пока не заплатил наверное ввиду не особой популярности
-Почему антивирусы на самом деле трояны?- На самом деле все просто. Антивирусы давно перестали быть таковыми на самом деле по целому ряду причин:
1. Неограниченная власть губит людей и дает чувство "полного контроля" над хомяками доверившими вслепую свою безопасность антивирусным бэкдорам. Соблазн был слишком высок...
2. Методы используемые антивирусными бэкдорами на первых порах: сигнатурный, эвристический и проактивный безбожно устарели по целому ряду причин (могу огласить весь список по каждому пункту но он довольно велик). На смену им пришли новые методы как то: звонок по телефону (забанить или разбанить), сообщение на электронную почту (от тех же правообладателей например), денежный перевод (с припиской разумеется) или прямое указание из соответствующих органов (ФСБ).
3. В связи с тем, что в России "во главе угла" как и у проклятых капиталистов тоже поставили "денежную купюру" и отменили статью за спекуляцию назвав эту гадость бизнесом наши бизнесмены тоже пустились с некоторых пор во "все тяжкие" и с их стороны было бы глупо обирать оброком только хомячков, так большие деньги не сделаешь. А аппетиты у антивирусных бэкдорфов прямо скажем нех**вые.
4. Всемирный шпионаж за пользователями в связи с повальной компьютеризацией достиг таких ужасающих размеров, что походу сейчас не шпионит только ленивый. Наезд со стороны Российских спецслужб на антивирусников был увы неизбежен. Они давно уже у них на службе.
Для тех, кому это интересно - вот сертификат выданный ФСБ например тому же Касперскому:

Лицензия Касперскому от ФСБ

Для тех, кто в танке или на бронепоезде объясняю суть. Такие лицензии просто так, за "красивые глаза" в России не дают. Примером этому может служить например та же Циска которой в нашей стране укомплектованы все провайдеры. Это самый распространенный маршрутизатор одобренный кем бы вы думали? У вас возникла правильная мысль, кстати криптографические решения Cisco тоже одобрены (значит ключики от нее у ГЭБНИ получены). Почему же сии продукты сертифицированы нашей гэбней? Ответ прост до безобразия - в них на уровне железа установлен СОРМ. А вы как думали? Дальше продолжать, или свои мысли в голове все таки появятся на эту тему? Кстати, по рейтингу журнала Wired фээсбэшник Касперский занял 8 место в списке Самых опасных людей в мире.
О том, что Антивирусы в настоящее время практически полностью утратили былую значимость хомячкам писал уже давным давно знаменитый Российский хакер Крис Касперски. Тем, кто не читал эту старую статью советую ее внимательно прочесть, и тогда вы просто будете посмеиваться над терминами типа "антивирусная эвристика" и прочими пи-ар бреднями от антивирусных бэкдоров. Их давно гнать в три шеи надо с ваших PC, а вы их ставите.
-Как отследить троянов-антивирусов -Отследить троянцев - антивирусов не так уж и сложно. Для того чтобы узнать что они отправляют сведения о вас "налево" вне зависимости от установленных у вас галочек в ПО (отправлять/не отправлять) достаточно поставить всего лишь хороший сетевой сниффер , и просто посканить им. Бяда только в одном - для быдла снифферы увы темный лес, а трояны-касперские "рулят" и от чего то там их спасают.
P.S статья не моя.Но очень полезная bk
[Торрент-статистика]
[Профиль]  [ЛС] 

leon024 ®

Пол:

Стаж: 3 года 7 месяцев

Сообщений: 1151

Репутация: 632 [+] [-]

Откуда: Россия

Пост 23-Авг-2013 19:32 (спустя 23 минуты)

[Цитировать] 

AdwCleaner – это небольшая программка, которая всего в одно нажатие мышки позволяет очистить ваш компьютер от всего мусора. Ее даже не нужно устанавливать, просто скачиваете, запускаете и нажимаете кнопку Search. Программа проверит ваш компьютер на наличие всяких рекламных модулей и представит вам полный отчет о найденном рекламном мусоре.
Все что вам нужно сделать после обнаружения рекламных программ – это нажать клавишу Delete и AdwCleaner удалит из вашей системы всех найденных рекламных вредителей. Для того, чтобы программа корректно выполнила свою миссию и удалила весь рекламный мусор обязательно закройте все запущенные посторонние программы и после очистки перезагрузите свой компьютер.
Программа AdwCleaner – это быстрый способ очистить компьютер от ненужных рекламных модулей. Программа обладает всеми нужными функциями и понятным интерфейсом. Так что если в вашей системе вдруг завелась реклама используйте AdwCleaner.
[Торрент-статистика]
[Профиль]  [ЛС] 
Показать сообщения:    
Ответить на тему

Текущее время: Сегодня 16:44

Часовой пояс: GMT + 4



Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы