Качайте без спешки

    Доброго дня всем! Сегодня наш старший вирусный аналитик Вячеслав Закоржевский расскажет вам о том, как он попробовал найти в интернете справочник по транзисторам, и что из этого получилось:

    Думаю, что подавляющее большинство пользователей пользуются интернетом для скачивания того или иного контента, иногда законного, а иногда и нет. Этим и пользуются злоумышленники. Чтобы наглядно показать, как это происходит, я провел небольшое исследование в боевых условиях.

    Начал я с того, что решил попробовать скачать «справочник по транзисторам», для чего воспользовался Google’ом. Появилось ожидаемо много результатов поиска.

    image

    Перехожу по первой ссылке…

    image

    Вижу на странице несколько ярких надписей с предложением скачать. Решил начать с нажатия по баннеру в нижнем левом углу. Передо мной открылось окно, которое на первый взгляд содержало реальную страницу известного сервиса «Ответы@Mail.ru».

    image

    Однако если приглядеться, то видно, что эта страница расположена не на официальной странице сервиса otvety.mail.ru, а на домене с несколько подозрительным названием (начало домена затерто умышленно). Здесь, якобы, девушка задает вопрос о том, где можно найти “справочник по транзисторам”. По структуре предложения можно предположить, что вместо фразы “справочник по транзисторам”, там может содержаться что угодно. И действительно – на это место вставляется то, что передается в параметре “key” через адресную строку (см. скриншот выше). Если забить туда что-то случайное, то получится как-то так.

    image

    В общем, страница однозначно мошенническая. А в ответ на вопрос девушки идет “совет” перейти на сайт, где получится скачать то, что нужно. Ну и, конечно же, множество положительных “отзывов”. Если перейти по ссылке в ответе, то можно лицезреть предложение скачать файл с названием “справочник по”т`t.,4a,4`c.zip”, но уже на другом домене.

    image

    Очевидно, что это мошенничество, так как здесь пользователю предлагается отправить СМС или подключить подписку за скачивание заведомо несуществующего файла. Так как нормальный файлообменный сервис, очевидно, проверил бы существование того или объекта.

    С одной ссылкой все понятно. При нажатии на ссылку по центру (второй скриншот), через серию редиректов, браузер перейдет на страницу с надписью “Google Files”. Домен в этом случае уже индийский, что тоже не внушает доверия. Я сразу решил проверить, осуществляется ли здесь реальный поиск. Для этого я вбил в строку поиска словосочетание “несуществующий файл”.

    image

    image

    Невероятно, но и такой файл нашелся. Имя файла здесь также содержится в адресной строке, как и в предыдущем примере. Я незамедлительно скачал “Искомый файл” c забавным названием “nesushchestvuyushchiy_fayl.zip.exe” и запустил его на VmWare.

    Название неслучайно заканчивается на “.zip.exe”. Это сделано, чтобы у пользователей, у которых включено сокрытие неизвестных расширений, показывалось “nesushchestvuyushchiy_fayl.zip”. Опять же, чтобы вызвать большее доверие.

    image

    Злоумышленники использовали известный бренд WinZip, чтобы убедить пользователей в легальности такого архива. Как обычно в подобных программах, после нажатия кнопки “продолжить”, будет рисоваться анимация, якобы отражающая процесс распаковки. А в конце будет предложение отправить СМС. Так как понятно, что “несуществующего файла” в архиве быть не может, то очевидно, что он либо пустой, либо будет предлагать какую-нибудь инструкцию по использованию торрент-трекера.

    Сам файл занимает 4Мб и написан в Borland C++ Builder. После некоторого анализа файла, было обнаружено, что разработчики активно сопротивляются детектированию со стороны антивирусов. В данном случае не применяются криптор или протектор, а всего лишь меняются строки.

    image

    На скриншоте я выделил несколько строчек, которые были модифицированы специально. Например, в коде вместо “smstariffs.ru” указано “sm st ari ffs .ru”, вместо “SMS” – “S M_S”. Стоит отметить, что продукты «Лаборатории Касперского» успешно детектят и банят подобные файлы.

    Как и за большинством мошенничеств в рунете, за описанной схемой стоят партнерские программы. Ниже я опубликовал скриншот партнерки, ответственной за распространение разобранного зловреда.

    image

    Особенно радует запрет на распространение архивов на заведомо несуществующие файлы. По моему опыту, он нарушается в подавляющем большинстве случаев.

    Что еще можно сказать? Действительно, в интернете можно найти решительно любую искомую информацию и даже скачать ее. Но не следует думать, что всемирная сеть любезно преподнесет все на блюдечке. Нужно быть внимательным и не вестись на уловки злоумышленников: яркие цветные баннеры, на которых указана высокая скорость скачивания и возможность найти любые файлы. Как всегда, не забудьте рассказать об этом родителям или сестренке, которая ищет реферат. Всего хорошего!
    «Лаборатория Касперского»
    351.62
    Ловим вирусы, исследуем угрозы, спасаем мир
    Share post

    Comments 27

      +42
      Да что вы говорите!
        0
          +2
          Кучу статей уже писали на столь очевидные темы. Чем эта лучше, перестановкой байт?
            0
            Тут двояко. Вроде и очевидные вещи изложены для посетителей хабра, но и полезные вещи показаны для «слабого юзера». Поэтому, думаю, надо статью до уровня домохозяйки и в социальные сети пустить. Тогда будет толк.
              0
              А то их там нет.
            +5
            Я бы как нибудь так искал в гугле:
            справочник по транзисторам скачать -смс -бесплатно

            Если выдача гугла все еще загажена — продолжить вносить вирусные слова в игнор.

            А по хорошему — есть специализированые сайты. Например, www.datasheetarchive.com/.
              +3
              Увы такой вариант отсеивает и надежные источники
            • UFO just landed and posted this here
                0
                Еще не такое придумают! То что вы показали еще цветочки.
                  0
                  Да, с каждым днём становится сложнее искать в Интернете редкие вещи (если не знать ГДЕ искать). Кругом ссылки на вымогателей >_<
                  Надо как-нибудь их из поисковой выдачи выкидывать (я по мере натыкания на такие сайты в лисе нажимаю «сообщить о мошенническом веб-сайте», но что-то мир не становится чище… надо как-то радикальнее подойти к этому).
                    0
                    > Злоумышленники использовали известный бренд WinZip
                    Интересно, они знают, что в России этот бренд вообще мало кому (из их целевой аудитории) известен. У нас как-то WinRar популярнее.
                      0
                      Есть и такое, даже стилизуется под винраровский SFX
                      • UFO just landed and posted this here
                          –3
                          Ваше большинство являются целевой аудиторией такой примитивной фигни? :)
                          • UFO just landed and posted this here
                              0
                              О том, что вы не попадетесь на фейковые архивы, требующие отправить SMS для распаковки. Значит вы не являетесь целевой аудиторией мошенников. Именно об этом я и писал.
                        0
                        Как бы баннеры — реклама. Даже надпись соответствующая есть.
                        А для скачивания книги — ссылки в самом посте.

                        Лучше б подробнее рассказали как анализировали файл и, все таки, что там внутри.

                          +1
                          наш выбор — проверенные торренты.

                          еще гуглите левый контент? тогда мы едем к вам!

                          Зачем антивирус? (да ладно. вырвалось. знаю.)
                            0
                            Каспер учит нас гуглить!? Сенсации, факты, скандалы…
                              +1
                              просто великолепное пособие от Касперского, нетерпится воспользоваться…
                                0
                                Знаете, мне кажется, данный хабратопик в первую очередь об этом
                                +2
                                Лабаротория Капита Очевидности
                                  0
                                  Я уже спрашивал в предыдущем топике ЛК про взаимодействие антивирусов и операторов большой тройки, мне ответили, что конечно же все общаются. Тогда у меня снова вопрос, почему не написать обоснованную жалобу на данную партнерскую программу и не потребовать ее закрытия? Явно у вас больше веса в данных вопросах, нежели у обычного пользователя, пишущего через форму обратной связи непонятно куда.

                                  Да, я понимаю, что каждый день может открываться новая партнерская программа, но ведь если их оперативно закрывать, то в итоге им будет это все менее и менее выгодно. Плюс постоянные публичные освещения недобросовестных действий операторов должны заставить их в определенный момент задуматься над этим вопросом и поработать над лояльностью со стороны потребителей.
                                    0
                                    Кажется, вы немного ошиблись аудиторией. Вам нужно спуститься на пару этажей.
                                      –1
                                      Кстати, кто может объяснить — каким образом название файла очутилось в ехе'шнике? Там что-то типа серверного hex редактора который заменяет нужные строки?
                                        0
                                        Думаю, название может храниться в ресурсах, которые заменять достаточно легко.

                                      Only users with full accounts can post comments. Log in, please.