Владимир Мартьянов

Помоечное

Wed, 11 Nov 2009 12:04:09 GMT

Не про помывку, а про фхтагнтакт.

То, что там гуляют стада троянских коней - ни для кого не секрет. Количество всякой дряни для подмены адресов в /etc/hosts огромно!

И тут, ни за что не догадаетесь! Спамят с предложением бесплатного антивируса для защиты от всего этого говна. Разумеется, там тоже троянчег :-)

Еще прикольно было, когда стали предлагать бесплатную программу (без всяких SMS) для чтения чужих SMS-сообщений. Сначала предлагаем за деньги и явную туфту, а потом говорим, что вот оно - настоящее и бесплатное. И толпы тупорылой школоты набигают и ставят себе нового троянца. Изящненько, что еще сказать.

Про новый энкодер

Tue, 03 Nov 2009 14:01:50 GMT

Аффтары троянчега, которые просят отправить SMS на номер 7122 с текстом "GASTROLI" (без кавычек), послушайте сюды.

Во-первых, после каждого CreateFile должен быть CloseHandle, а уж никак не FindNextFile! Нехорошо все-таки такие ошибки делать.
Во-вторых, мне реально интересно на кой черт вы bswap юзаете в количестве? Думаете это сделает TEA более стойким и сложным для расшифровки? Хренушки!

Кстати, ключ для расшифровки D16E23pu7r266t5PfK757y1JM9DY5Q8G, только не закрывайте окошко ввода ключа!!! Эти долботрясы расшифровку в отдельную нитку не вывели, так что окошко подвисает.

Пост для гугля

Tue, 27 Oct 2009 14:29:16 GMT

567979714
SMS "212525" (без кавычек) на номер 8353
razblokirovkakompa@gmail.com
41001473616253

Зашифрованы файлы? Знакомы строки выше? Обращайтесь в Dr.Web (http://www.drweb.com/), мы поможем расшифровать ваши файлы!

Ай молодца!

Sat, 17 Oct 2009 07:49:00 GMT

Читаю тут буржуйского товарища и натыкаюсь на отличный пост: http://siri-urz.blogspot.com/2009/10/secure-shield-fake-rogue.html

Повеселилсо, в общем :-)

Mystic compressor

Wed, 14 Oct 2009 12:48:27 GMT

Который суть продолжение Lighty Compressor.

Интересное в нем - только строка на 3-м уровне пакера.
Сначала там было Mystic Compressor.
Потом стало Mystic Compressor Greetings to Sunbelt - only they know my name! ;)
Теперь там целый шедевр:
"Mystic Compressor
Greetings to Sunbelt - only they know my name! ;)
I mean PACKER's name, PACKER's!!! And not some av name or else! Only Sunbelt av defined my packer as Mystic and not 'generic-hueneric', 'xpack', 'troy', 'gen', 'abc', 'kgb' etc.http://sunbeltblog.blogspot.com/2009/09/old-school-stuff-sunbelt-mentioned-in.html - Morons!!!"

Hey, guys, we know your name too ;-)

Новый троянчег

Thu, 08 Oct 2009 08:15:59 GMT

И опять шифрует файлы, аффтар новый.

Сейчас делаем тулзу для расшифровки. Ключевое слово - ip62574, пусть гугль его знает :-)

Хроники энкодера

Tue, 06 Oct 2009 14:14:22 GMT

А мы взяли и сделали универсальную тулзу! :-)

На войне как на войне

Fri, 02 Oct 2009 17:38:34 GMT

http://news.drweb.com/show/?i=619&c=5 - вполне ожидаемый поворот событий...

Хроники энкодера

Mon, 28 Sep 2009 17:47:45 GMT

Ну что, снова из горящего танка :-)

За сегодня имеем две новых модификации. Ничего принципиального нового в алгоритмах нет, к счастью.

То, что мы пытались выцепить из десятков юзверей выдала нам замечательная Арафель, которая единственная, наверное, из всех моих знакомых получила ту самую "открытку". И то чуть ее не грохнула, но слава яйтсам, переслала нам оригинал открытки.

Особенно радуют пользователи... Удаляют расширение vscrypt у файлов, юзают наши же тулзы, но для других вариантов... В первом случае тулза просто не сработает, а во втором будут восстановлены файлы не с оригинальными именами. Оригинальные имена будут у файлов после первой запущеной тулзы, но там будет мусор... В общем, ССЗБ :-(

Затрахался, слов нет! Ладно, думаю скоро полегче с ним станет...

Хроники энкодера

Mon, 28 Sep 2009 08:03:03 GMT

Продолжение http://v-martyanov.livejournal.com/6434.html

Ну что, как и было предсказано, изменился ключ шифрования. Радуемся и машем. Ушел искать ключ... :-(

Зашифрованы файлы, vscrypt

Fri, 25 Sep 2009 11:41:03 GMT

Пишу я вам из горящего танка, то есть фактически с передовой.

Новость от этом на нашем официальном сайте, я думаю, выйдет через несколько часов, но тут я изложу свое видение ситуации.
И так, сейчас в рунете беспрецедентный всплеск распространения Trojan.Encoder одной из версий. Десятки обратившихся за помощью в расшифровке файлов в сутки, около 40-50 детектирований нашим продуктом. Учитывая, что это только часть реальные цифры мне представляются в районе сотни-другой инцидентов в день.

А в результате, милые мою пользователи, вы поимеете зашифрованными ВСЕ файлы на машине. Система будет работать, а документы станут недоступны и получат дополнительное расширение VSCRYPT. Сейчас эта зараза ходит под видом файльшивой открытки от mail.ru, поэтому будте с ними осторожны.

Троян после шифрования файлов меняет обои рабочего стола, вы это точно заметите.

Итак, что нужно и что не нужно делать:
1) Успокоится, файлы поддаются расшифровке, у нас есть все нужные утилиты.
2) Тихо и спокойно обратиться в нашу техподдержку http://new-support.drweb.com/new/tech/ прислать шифрованный файл и описать ситуацию. Или прислать шифрованный файл с описанием ситуации через http://vms.drweb.com/sendvirus/ в категорию "запрос на лечение", или написать на форум в этот раздел http://forum.drweb.com/index.php?showforum=35
3) Сообщить мне. Комментом в этот пост, через SMS, звонок в разумное время (с 10.00 до 00.00) или иным образом.
4) Ждать ответа и утилиты для расшифровки.

НЕЛЬЗЯ:
1) чистить систему чем-то кроме антивирусов. Марки приводить не буду, но думаю все, что есть на этой странице http://www.virustotal.com/sobre.html юзать можно. Но вообще не рекомендую. Трояна в системе уже нет наверняка, а если есть и его удалить можно потерять ключ для расшифровки.
2) Чистить что либо в системе - историю, темпы, и т.д.
3) Переставлять браузеры (!!!)
4) Откатывать систему через точки восстановления (это вообще пиздец, почему - позже).
5) Удалять письмо с фальшивой открыткой.
Короче, не уверен - не делай. Лучше просто ждать. Подождать день до расшифровки или неделю до вскрытия нового ключа - согласитесь, две большие разницы.

Теперь почему всего этого делать НЕЛЬЗЯ: возможно появление новой модификации с неизвестным пока ключем. И хотя восстановить файлы можно даже без ключа, но это изрядная половая ебля на несколько дней. А в нечищеной системе всегда остаются следы, которые могут помочь найти ключ для расшифровки.

Троян Шифрование VSCRYPT - это для поисковых роботов.

Разблокировка венды

Tue, 21 Jul 2009 15:29:11 GMT

Сабж. На случай троянов, блокирующих винду и требующих SMS - ссылко.
Можно получить код как по названию трояна, так и по скриншоту.

http://news.drweb.com/show/?i=304&c=9&p=0

С паршивой овцы...

Wed, 08 Jul 2009 08:18:45 GMT

как известно, хоть шерсти клок.

Про дырявость, корявость, неудобство да и контингент во "фхтагнтакте" писать не буду. Но спустя, наверное, пол года после регистрации толк от него появился и именно тот, который ожидался: мне стали слать троянцев!!! :-D Не червей самоходных, а фигню по мелочи, но стали.

Очередного добавляю, который прописывает 91.212.198.xx в качестве адреса многих популярных ресурсов. Одного не понимаю - почему один фишинговый сайт на несколько ресурсов?

Сейчас сяду абузы катать...

"Залупка" снова живее всех живых!

Wed, 27 May 2009 07:59:43 GMT

Почти ровно год назад я проанализировал этого трояна (http://habrahabr.ru/blogs/virus/27040/), потом он почти перестал попадаться...

И тут сегодня - живой дроппер! Пакер на Delphi (вроде из свежих) с FoldString, а под ним - Залупка, собственной персоной! Да, многое поменяли, но наш origin tracing (TM) его поймал. Если метка времени не подделана, троянчег от середины апреля. В общем, не ожидал. Был удивлен :-)

Законы подлости

Tue, 26 May 2009 13:11:42 GMT

Программа в эмуляторе распаковывается именно тогда, когда достает ждать и запускаешь для этих целей виртуалку. Причем не тогда, когда виртуалку запускаешь, а когда ее снимок полность готов к работе.

Файловые вирусы и прочая дрянь, с которой нужно разбираться долго, попадается в самом конце рабочего дня.

Dr.Web учреждает стипендию для одаренных студентов

Wed, 13 May 2009 11:43:27 GMT

http://news.drweb.com/show/?i=333&c=5 - читать там.

А вы патч для вируса накатили?

Wed, 29 Apr 2009 08:57:02 GMT

И это не шутка! Попался свежий TDSS, у которого пакер использует функцию SetSearchPathMode. Которая присутствует либо в Windows 7, либо в патче из MS09-15. На непатченых системах он не запустится. Такие вот пироги...

reklosoft

Tue, 28 Apr 2009 09:14:18 GMT

Пока восстанавливается VMWare и сканятся файлы, расскажу я вам про сабж.

http://reklosoft.ru/ - там вы можете почитать, что ОНИ пишут про себя, какие они белые и пушистые.

На самом деле:
- эта дрянь пихается в инсталлеры софта, который распространяется бесплатно. Например, в инсталлер WinAmp'а ушлыми "бизнесменами".
- при инсталляции "лицензионное соглашение" этой гадости можно прочитать только имея подключение к интернету, что есть плохо.
- за скрытие (как я понимаю временное) этой дряни в IE авторы хотят денег.
- плагин никак не сообщает, какой софт нужно удалить чтобы удалился и плагин.
- удаление софта, с которым плагин шел, не приводит к деинсталляции плагина.

Резюме - бить нещадно, ибо адварь.
Лучший способ удаления - переход на FF или другие альтернативные браузеры.

PS. Если есть семплы, которые мы не детектируем - пишите, добавим.

Вредные советы

Fri, 24 Apr 2009 12:37:17 GMT

Разработчикам и прочим людям, занимающимся выпуском софта.

Если ваше любимое развлечение - отправлять в антивирусные компании сообщения типа "Какого хрена вы наш продукт детектите как вирус?!"...

Никогда и низачто не используйте в исполняемых файлах цифровую подпись. Незачем тратить на нее несколько килобайт в файле, а также время и деньги.

Если вы все-таки пользуетесь ЭЦП, она ни в коем случае не должна содержать информации о таких крупных конторах, как Verisign. Нужно выделяться из серой массы, да еще и сэкономить можно будет

Version Info в ресурсах - тоже излишнее расточительство, она совершенно не нужна. Да и какого черта кому-то там еще нужно знать чей это файл и от какого софта, не говоря уже о номере билда!

Имейте чувство юмора! Запихайте в свой Version Info информацию, гласящую что это вовсе не ваш файл, а файл от Microsoft. И пользователь будет уверен, что ничего лишнего у него не стоит.

Не хотите быть веселыми, а хотите быть злыми? Есть вариант и для вас - пишите в Version Info всякую нечитаемую муру.

Обязательно используйте протекторы и упаковщики, а также обфускаторы везде где возможно. Никто не должен знать как ваша программа работает. Один из лучших вариантов - краденая Themida, это позволит не только надежно защитить программу, но и сэкономить баксов этак 300. Нестандартные упаковщики, купленные у хакеров - лучшее средство для защиты ваших программ, помните об этом!

Ну какая же программа без шифрования? Шифруйте все: строки, отдельные куски кода, даже логи!

Низачто не публикуйте на вашем сайте информацию о билдах и MD5-суммах файлов, входящих в них. Даже M$ так не делает, и вам не нужно. А на запрос кого-нибудь по почте всегда отвечайте "это не наш файл!".

Отсылать в антивирусные компании ваши файлы? Никогда! Пускай покупают софт и добавляют в свои базы чистых файлов, они богатые, могут себе это позволить.

Обязательно составьте должностную инструкцию на основе этих советов и заставьте каждого сотрудника знать ее назубок и работать согласно ей. Над каждым рабочим местом повесьте баннер "антивирус - враг софтверной компании!". Вот теперь можете смело заниматься любимым делом - донимать антивирусные компании сообщениями о ложных срабатываниях.

Ложные антивирусы

Wed, 15 Apr 2009 14:02:11 GMT

Хоть сейчас ситуация не столь напряженная с сабжем как летом прошлого года, неприятности пользователям они доставляют. Сейчас ковыряю интересный экземпляр: мало того, что он находит несуществующие трояны, так еще и показывает существующие пути к системным файлам! Юзверь, если не заплатит за активацию трояна, может руками удалить системные файлы и система сдохнет. Раньше этот тип заразы пути к файлам не показывал...

Вот и слайды, уговорили :-)

Троян для Opera, FF и IE

Fri, 10 Apr 2009 09:18:24 GMT

В продолжение http://v-martyanov.livejournal.com/3726.html

Три в одном, что называется.
Сегодня наконец-то подержал в руках его дроппер. Все оказалось даже чуть интереснее, чем я ожидал. Ожидал я какой-нибудь хитрозапакованный EXE-файл, который скинет скрипты и проинсталлит их. А дроппером оказалса скриптовый файл, написанный на JavaScript. При двойном клике он начинает выполняться через WScript и делать свое черное дело. Скрипт зашифрован, но это не сильно осложняет дело.

После рашифровки в скрипте отчетливо видна область с данными, который после элементарного декодирования будут сохранены на диск и область с командами для их записи и регистрации. Троян пытается установить дополнения как в IE, так и в Firefox и Opera. Для IE устанавливается BHO, для Firefox - extension, для Opera - пользовательский скрипт. В отличии от предыдущих модификаций подобных троянов, этот виден в FF штатными средствами и может быть успешно удален. Меньше всего повезло пользователям IE: та версия, в которой я проверял работу трояна, список расширений не показывала.

Действия трояна.
Эффект от трояна одинаков как в FF, так и в IE. Думаю, в Opera все также, я просто не проверял. В нижней правой части любой страницы появляется довольно большая панель, которая обещает что через 30 дней она исчезнет и пользователь получит бесплатный доступ к порнухе. Если же пользователь хочет удалить ее раньше (вы ни за что не поверите что для этого надо! :-) он должен отправить SMS. К сожалению, скриншоты я по дурости и невнимательности потер, поэтому пока без слайдов :-(

Троян для Opera

Tue, 07 Apr 2009 14:41:36 GMT

Видел сегодня сабж. По сообщениям пользователя, поражал и другие браузеры, причем делал это через скрипты, внедряемые в страницу. Появление баннеров в Opera наблюдал лично.

Не думаю, что смешательства в работу Opera будут иметь массовый характер, а вот для FF вполне возможно появление всякой специфической заразы...

Жертвы трояна ищутся!

Fri, 03 Apr 2009 10:34:18 GMT

Сабж. Подробности у нас на форуме: http://forum.drweb.com/index.php?showtopic=278872

Поясняю: только по такому трояну. Файлы на флешках, зависания компьютера, надписи "здезь был Вася" - это не оно, с этим потом или спрашивайте на форуме в других разделах.

Если вы, или ваши знакомые пострадали от Blackmailer в последнюю неделю (срок важен!) - пишите.

Троян в банкоматах

Wed, 25 Mar 2009 13:36:55 GMT

В связи с данными, о том что троян действительно нанес ущерб, а не был PoC, публикую пару ссылок:

http://news.drweb.com/show/?i=272&c=5
http://www.securitylab.ru/news/376311.php (Похоже, убрали новость с подробностями о пострадавших банкоматах). Вроде, Петрокоммерц банк и Росбанк на своих банкоматах поймали.
http://www.securitylab.ru/news/370188.php

Компьютерное вымогательство

Tue, 24 Mar 2009 11:27:18 GMT

В один "прекрасный" момент ваш компьютер перестает работать или начинает работать неправильно и за восстановление работы с вас просят перевести деньги или отправить SMS. Или же шифруют/блокируют файлы и тоже просят денег. Что делать?

1) Ни при каких обстоятельствах не отправлять деньги/SMS. Почему? Причин несколько: Во-первых, вы тем самым стимулируете злоумышленников на создание новых программ-вымогателей. И возможно, именно вы станете их жертвами. Во-вторых, вы можете впустую потратить свои деньги. Злоумышленникам совсем не обязательно восстанавливать работу компьютера! И случаи, когда порнобаннеры оставались после отправки SMS мне известны. Даже если вам очень нужны данные - не отправляйте деньги. Ведь если бы случился сбой оборудования, деньги отправлять было бы некому.

2) Не верьте ничему, что говорят злоумышленники. Громкие слова о невозможности расшифровки данных (да и вообще о шифровании документов) зачастую оказываются блефом, расчитанным на доверчивых пользователей. Не верьте и тому, что отправка денег решит проблему.

3) Обращайтесь в антивирусные компании. Особенно, в случае с действительно зашифрованными файлами. Расшифровкой из российских компаний занимается и Dr.Web и Касперский. Не факт, правда, что в случае с трояном, просто блокирующим компьютер, вам будут помагать, если вы не являетесь пользователем антивируса.

4) Не стоит переустанавливать систему, а уж тем более форматировать винчестер: потери могут быть больше, чем от ожидания добаления вируса в базы вашего антивируса.

5) В подавляющем большинстве случаев проблема решается быстро и просто, не поддавайтесь панике, спрашивайте советы у знающих людей на форумах, посвященных борьбе с вирусами. Повышайте компьютерную грамотность, чтобы быть готовым к борьбе с троянами :-)