Вирус для «блондинок» Trojan.Click1.25237

    Как показал опрос, проведённый среди пользователей Хабрахабра, только половина процента (!) (0,52%) опрошенных пользователей борются с новыми вирусами, отправляя их в техподдержку. Примерно треть лечит «фирменным антивирусом» и почти столько же — бесплатным или пытаются удалить самостоятельно.
    Далее рассказ, как боролись с вирусом для «блондинок».

    image
    (p.s. Осталось 15 голосов за топик, чтобы получить инвайт на Хабр для хорошего человека. Или 65 голосов в карму, но это менее вероятно)

    А началось всё с того, что знакомая пожаловалась: «У меня на флешке какая-то блондиночка с бабочкой!». Оказалось — на флешке autorun.inf, intrsrv.exe (оба скрытые) и файлик «Блондиночка.swf.exe». У всех трёх иконки были в виде розовой бабочки. Ну как блондинке пользователю не нажать, а? Но, странно, ничего не запускается… «Ой, может, на другом компьютере попробовать, да?»

    Вот вам и вся «социальная инженерия».

    Обычно, Windows отображает только первую часть такого «двойного» расширения, поэтому пользователь думает, что это очередной весёлый видеоролик с участием пышногрудой девицы блондинки. Пол пользователя, как оказалось, значения не имеет.

    Под видом «Блондиночки», естественно, скрывался троян. Включённый бесплатный Avast! со свежими базами спокойно дал ему запуститься. Онлайновая проверка «Антивирусом Касперского», «Доктором Вебом» и McAfee уверяла, что всё в порядке. (upd. ESET NOD32 — отдельный привет)

    Только Comodo Firewall в режима усиленного анализа заподозрил неладное и предположил, что на флешке может быть вредоносный код. После блокировки «зверя» оказалось, что доступ в локальную сеть теперь закрыт наглухо, остался только Интернет. И на том спасибо.
    Отправил письма в техподдержку вышеназванным антивирусописателям. Поначалу обе компании промолчали. На следующий день отправил повторно «Доктору Вебу». Буквально сразу пришло письмо, что запрос поставлен в обработку. Затем пришло ещё 25(!) писем, подтверждающих, что запрос обрабатывается — и каждый раз запросу присваивался новый номер.

    Уже вечером троян получил собственное имя Trojan.Click1.25237 и был добавлен в свежее обновление.

    image

    Мораль.
    1. Бесплатный антивирус без файрволла — бесполезная игрушка.
    2. Пользователь, не знающий как себя вести с «блондиночками» — опаснее вируса.
    3. Не занимайтесь самолечением (но если Ваш уровень знаний позволяет — на здоровье).
    4. Если антивирус не видит вируса — то это не значит, что компьютер «девственно чист».
    5. Нашли новый «вирус» — отправьте в базу.

    Вот список, куда можно (и нужно!) слать вирус или троян, выловленный в «дикой природе»
    (только запакуйте его в архив с паролем «virus»):

    1. Доктор Веб https://vms.drweb.com/sendvirus/
    2. Касперский http://support.kaspersky.ru/virlab/helpdesk.html
    3. ClamAV http://www.clamav.net/lang/en/sendvirus/
    4. Comodo antivirus@comodo.com malwaresubmit@avlab.comodo.com
    5. Avast! virus@avast.com
    6.…
    7.…

    Утилиты и анализаторы:
    1. AVZ http://www.z-oleg.com/secur/avz/download.php
    2. Anubis http://anubis.iseclab.org/

    p.s. Фото экрана компьютера из Общества слепых, который был заблокирован очередным Winlocker.SMS выложу позднее.

    upd. Скормил «зверя» VirusTotal, таки он очень свежий www.virustotal.com/analisis/04e233d396e65f8e853a166ce6fc1d16283f22416a3745068e5caa2e703893d2-1279272442

    upd 2. Добавил в наш список ClamAV, Comodo (e-mail)
    upd 3. Добавил Avast!

    Похожие публикации

    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 107

      +7
      Чорт, Ну как тут не кликнуть!? :)
      • НЛО прилетело и опубликовало эту надпись здесь
        • НЛО прилетело и опубликовало эту надпись здесь
        –2
        дай ссылку на вирус, заведу питомца на виртуалке
          +2
          «Затем пришло ещё 25(!) писем...», заразились?
          • НЛО прилетело и опубликовало эту надпись здесь
            +7
            Даёшь линк на сиськи!
            • НЛО прилетело и опубликовало эту надпись здесь
                –1
                +17
                Антивирусы не панацея. Не работайте под администратором/рутом — это гораздо эффективнее.

                И вы говорите о бесплатных антивирусах как о чем-то плохом или недостойном. Но, бесплатные антивирусы, по большей части параметров аналогичны платным. Во всяком случае, отставание не такое критичное. Я юзаю бесплатную Авиру.
                  +4
                  Кстати, у меня есть подозрение что я одним питомцем поломал себе вайн (((
                  Это не шутка — я серьезно. Что бы то нибыло перестало под вайном запускаться… Только в новых префиксах
                  • НЛО прилетело и опубликовало эту надпись здесь
                      0
                      Я думаю что проблема в том, что я вообще не стесняюсь делать sudo… Небось неподумавши позволил что-нить сделать, вот префикс и поломался… И таким образом, вроде бы я очень experienced юзер, но все равно я самое слабое звено.
                    • НЛО прилетело и опубликовало эту надпись здесь
                        +1
                        Да вы правы, конечно… Тут дело чисто в моей психологии. Стереотипы — они же что говорят? Они говорят, что под линукс вирусов не бывает и никто их не пишет.
                        Надо в себе это победить и стать уже, наконец,, несколько более параноиком. И не запускать от рута все что не попадя…
                          0
                          Или иногда стоит почитывать Phrack Magazine, тогда стереотипы, что никто ничего не пишет, очень быстро пропадут. Вот например из не очень старого для мака.
                      0
                      Одного этого недостаточо.

                      Оганиченный пользователь имеет право запускать экзешники, а экзешник может модифицировать все файлы, к которым пользователь имеет доступ на запись — в том числе в сетевых папках.

                      Хочешь — эпидемия. Хочешь — порча данных.
                        0
                        Ценность и интересность вируса не в его деструктивных действиях, а в его способности к размножению и маскировке. Написать программу, которая форматирует раздел, уничтожая все данные — раз плюнуть, написать хороший вирус/троян — серьезная сложная задача.

                        Разумеется, что для хорошей безопасности не достаточно ограничить в правах учетную запись, однако, это куда более действенно, любого антивируса.
                        0
                        +100

                        Если не иметь привычку открывать что попало под учёткой админа (и вообще без необходимости под ней сидеть) то опасность снижается просто «очень сильно»
                        • НЛО прилетело и опубликовало эту надпись здесь
                            0
                            Вопрос времени, раз, два
                            • НЛО прилетело и опубликовало эту надпись здесь
                                0
                                Умник, реальная зараза сидит перед твоим монитором, в будущем без оскорблений пожалуйста.
                                И да, заметь, я не сказал ни слова о том, что на линуксах 100500 вирусов, и даже не over 9к, а написал лишь что это вопрос времени…
                                  0
                                  Вы знаете, у меня есть хобби собирать пропоческие предсказания о LinuxKapez… Первое датируется 93 годом… Планирую прожить еще 5 десятков лет минимум, и знаю что моё хобби не устареет :)

                                  Вот положа руку на сердце и чистосердечно скажите-ка, пожалуйста, неужели дело только в популярности?..
                                    0
                                    >пропоческие

                                    Ошибки нет :)
                                      0
                                      Москва тоже не сразу строилась, я не пророк, но ведь когда-нибудь и на старуху бывает проруха -)
                                        0
                                        про старуху %)
                                    • НЛО прилетело и опубликовало эту надпись здесь
                                        0
                                        Ярлык ниче так, тебе идет.
                                        • НЛО прилетело и опубликовало эту надпись здесь
                                    0
                                    Вы знаете, а ведь виндузятники и десять и пятнадцать лет назад (тогда их ещё полуосники подкалывали) огрызались ровно так же… Хрен с ней с полуосью, она сдохла так и не дождавшись вирусных эпидемий, но линукс-то жив до сих пор. И до сих пор ничего не изменилось.
                                    Ах, вы всё обещаете!.. :)
                                  –4
                                  Антивирусы без файерволов в целом — бесполезная трата системных ресурсов и времени на поиск ключей покупку. Без разницы, бесплатные или платные.

                                  А вообще да, нужно просто иметь прямые руки и антивирус не нужен, в противном случае и он не поможет.
                                  Но сидеть не под администратором — излишне. Оно не стоит того, чтобы терпеть все вытекающие неудобства. Опять же, прямые руки и все в порядке.
                                    0
                                    Согласен. Недавно попросили меня «поставить антивирус, ибо компутер тормозит, наверное вирусов куча». Прихожу.

                                    Виста с UAC. Права — ограниченные. Пользователь пароля админа не знает (сын ставил). Куча программ в автозагрузке. Антивируса действительно нет. Как и вирусов. Ни ОДНОГО! Хотя комп с выходом в инет: одноквассники, почта, майл-агент и т.п.
                                    Почесал я репу, посмотрел на характеристики машинки и не стал загружать ее еще и антивирусом. Благо, встроенный Дефендер от MS есть.
                                    +3
                                    я тут отправлял одного, а в ответ тишина.
                                    аваст имеет встроенный фаирвол.
                                    чем дальше тем умнее вирусы и тупее антивирусы.
                                    Я склоняюсь к тому, что надо менять саму концепцию ОС от МС.
                                    Вполне жизнеспособная концепция у аппле на iOS. Приложению по умолчанию разрешен доступ только внутри своего каталога. Остальное все через api. CromeOS тоже не плоха концепция. Партиции с ОС только для чтения.
                                      +1
                                      ну собствнно, чтобы считать пароли только чтени и нужно, или я ошибаюсь?
                                      • НЛО прилетело и опубликовало эту надпись здесь
                                          0
                                          ну, разве что через веб-камеру по отражению на очках, например, или на самом глазу, да, кейлоггер тоже вполне
                                        +13
                                        Вы не поверите=)
                                        Но это концепция unix, а не «аппле»
                                          –1
                                          в юнексе вроде все папки доступны
                                          • НЛО прилетело и опубликовало эту надпись здесь
                                              +2
                                              Зачем так издеваться?=)
                                              Берем Selinux либо аналог + ACL в руки и ограничиваем каждый «чих» программы)
                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                  0
                                                  Дык я не про то.
                                                  Делаем обвязку из правил Selinux + ACL файловой системы для каждой программы, которую будет устанавливать юзверь, и все.
                                                  Второй метод, что пришел в голову — использовать chroot(jail).
                                                  Методов много. Сделать, чтоб пользователь этого не знал — дело техники)
                                                  З.Ы.Рут прочитает в любом случае, будь хоть права 000=)
                                                  Правда, можно использовать ACL файловой системы, но это уже другая песня…
                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                            0
                                            нет, это концепция именно макоси, так как все приложения там называются бандлами (например, Squeak.app — это цельная структура каталогов, которые для ОС выглядят как один файл).

                                            контекст приложения во время выполнения действительно боксирован (писать можно внутри бокса, для получения данных извне используется cocoa-api).

                                            разумеется, идёт речь только о нативных программах, так как консольные приложения могут многое (:
                                              0
                                              То, что приложения переименовали в бандл, архивы в app, а «зачручено» в «боксирован», не значит, что это выдумку эпл. Если вы не знаете — ядро макоси(а значит и все механизмы безопасности) — модифицированное FreeBSD.
                                                0
                                                не значит. но ядро макоси — это Mach, а сервисы — BSD.
                                          0
                                          Когда обслуживал компы отсылал в техподдержку Касперского, обычно в течение дня вопрос решался. Иногда не приходило письмо, но сам вирус появлялся в базе. Сама статья немного слабовата, похоже рассчитана на неопытных пользователей. Можно по крайней мере добавить больше ссылок (и e-mail) для отправки подозрительных объектов.
                                            0
                                            И еще, для анализа подозрительной активности неплохо подходит утилита Зайцева Олега — AVZ.
                                              0
                                              Ну хотя бы за ссылки — уже спасибо.
                                                0
                                                буду добавлять по мере нахождения, спасибо
                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                +1
                                                какое красивое решение для запуска вируса… во всех смыслах красивое)
                                                  +1
                                                    +1
                                                    сиськи_тут.swf.exe — для мужской части населения)
                                                      +3
                                                      Не, это слишком «явно». На такое, имхо, только совсем уж пионерские пионеры ведутся…
                                                      +2
                                                      Картинки понравились.
                                                        +1
                                                        Мда… недаром говорят, что большая часть взломов паролей — не подбор, а «человеческий фактор». Разработчикам вируса — браво!!! Психология.
                                                        Полагаю, не только блондинки «клевали» на розовую бабочку. :)
                                                        Очень поучительно. И — страшновато. :)
                                                          0
                                                          >Но, странно, ничего не запускается…
                                                          >«Ой, может, на другом компьютере попробовать, да?»

                                                          прикольно если бы при запуске, вирь попросил скачать недостающее програмное обеспечение))))

                                                          >Обычно, Windows отображает только первую часть такого «двойного» расширения,
                                                          >поэтому пользователь думает, что это очередной весёлый видеоролик [...]

                                                          обычно, виндовс показывает расширения; или не показывает их вообще.
                                                          синдром «двойного расширения» — возможен, если вы забыли(или не знаете) что в вашей системе они не отображаются.
                                                          (есть исключения — некоторые из стандартных расширений проводником не отображаются. можно скрыть и другие, но их надо прописать в реестре)

                                                          АВТОРУ спасибо!!!
                                                          напомнил о болючем вопросе))
                                                          раньше подменяли стандартные иконки,
                                                          а сейчас,
                                                          как оказывается, симпатная иконка способна на такие же чедеса )))
                                                            +1
                                                            А была вроде как целая группа таких троянов — им то дотнетфреймворка не хватало, то рантайма для бейсика…
                                                            +5
                                                            Кто бы сделал подобный троянчик, который через некоторое время после запуска активировался и выводил страшную картинку вроде
                                                            «Украдено паролей 12%, текущий пароль вконтакте...»
                                                            а также сканировал диск и и выводил надписи типа
                                                            «Удаление файлов 3%, текущий файл: дом2.avi»

                                                            Только в реальности ничего бы не делал и сам удалялся бы после сей процедуры. Это отучило бы многих на некоторое время запускать всякую каку.
                                                              0
                                                              А в Debian работает?
                                                                +4
                                                                Работает! Превращает его в windows millenium.
                                                                  0
                                                                  Круто, как раз о линолеуме мечтал
                                                                  –3
                                                                  :)
                                                                    0
                                                                    Попробуйте, как раз свежий вайн вышел, авось заведётся :)
                                                                    0
                                                                    Как я убедился слать бесполезно. Через неделю сообщат, что у нас сотни обращений и просто обновите базу. И им пофигу, что письмо пришло ко мне 20 минут назад в ящик и я даже догадался проверить их антивиусом и него плохого не нашёл не смотря на все внешние признаки вруса (хотя бы расширение scr вызывает подозрения).
                                                                      +2
                                                                      В статье описывается положительный опыт — на ВТОРОЕ письмо оперативно отреагировали. Надеюсь, так будет и в дальнейшем. Рекомендую к просмотру «Побег из Шоушенка» — для поднятия веры.
                                                                      +1
                                                                      Про человеческий фактор:
                                                                      Админ терминального сервера (а сейчас многие оптимизируют [s]траты[/s] расходы на ПО) проводя профилактическую проверку папки «C:\documents and settings» обнаружил в папке ...\user010\
                                                                      файл «Раздень Таню.exe» — запускать правда не стал.
                                                                        +1
                                                                        Вы неправы делая вывод о необходимости наличия фаерволла из этого примера, потому что в данном случае у вас сработала hips — поведенческий анализатор, к собственно фаерволу отношение имеющий не больше чем родительский контроль к антивирусу — т.е. они могут встречаться в одном продукте, но это не одно и то же.
                                                                          +1
                                                                          Мозги + файервол — лучшая защита от вирусов. Ну ещё может сетевой монитор, чтобы даже в случае заражения сообщил в случае чего о позрительной активности в сети (это на случай если у вируса не будет внешних проявлений).
                                                                            +2
                                                                            >«Блондиночка.swf.exe».
                                                                            > Обычно, Windows отображает только первую часть такого «двойного» расширения

                                                                            Вот категорически не понимаю какой таллант среди разработчиков винды и зачем придумал эту дибильную опцию «скрывать расширения». Уважая право пользователей на самоопределение и настройки системы «под себя», для своего комфорта и удобства, тем не менее вот эту опцию я считаю неимеющей право на существование и вот уже более 10 лет выключаю на абсолютно каждм компьютере, который только попадётся мне в руки (потом добросовестно объясняя пользователю что к чему в лучае если это вызовет у него какие-то непонятки).
                                                                              0
                                                                              Благо в семерке уже редактируется имя файла без разширения, но раньше наверное немало было блондинок которые переименовывали любимую музыку вместе с ним, а она потом не играла.
                                                                                0
                                                                                Аналогично поступаю, с отключением.
                                                                                Вообще это задумывалось я думаю как средство защиты от «шаловливых ручек»… дабы не убить систему раньше времени. А еще из той же оперы, по дефолту скрыты системные файлы, вот эти два фактора дают вирусне жить более менее спокойно.
                                                                                +3
                                                                                >>1. Бесплатный антивирус без файрволла — бесполезная игрушка.
                                                                                Вывод неверный. Платность антивируса вообще никакого отношения к борьбе с вирусами не имеет, а наличие или отсутствие файрвола имеет, но косвенное.

                                                                                По остальным пунктам согласен.

                                                                                  0
                                                                                  А Анубис что-нибудь сказал насчет этого файла?
                                                                                    0
                                                                                    огромное спасибо, теперь смогу спокойно вычистить «хвосты» и вернуть на место локальную сеть
                                                                                    +1
                                                                                    Выложите вирус куда то, хочу проверить Panda Cloud Antivirus.
                                                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                                                        0
                                                                                        Второй и третий пункт в Windows 7 наконец-то вынесли в настройки. Теперь можно указать, что любой диск всегда открывается, а вот автозапуск вызывается правой кнопкой.
                                                                                          0
                                                                                          Добавьте «не щелкаю по сиськам»
                                                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                                                            0
                                                                                            буду банален, но лучший антивирус это linux
                                                                                            0
                                                                                            «Вот список, куда можно (и нужно!) слать вирус или троян, выловленный в «дикой природе»
                                                                                            (только запакуйте его в архив с паролем «virus»)»

                                                                                            и получить статью 273 УК РФ
                                                                                            «Создание, использование и распространение вредоносных программ для ЭВМ „
                                                                                            1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами — наказываются лишением свободы на срок до трех лет со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.
                                                                                              –1
                                                                                              Сейчас с этим строго. Вспомните даже смехотворное «Порно на большом экране», которое было показано на одном из рекламных экранов Москвы. Месяцы поисков и судебное дело за такую вот шутку. Так что за рассылку троянов тоже доброты не стоит ждать.
                                                                                                +1
                                                                                                Отправка вируса в антивирусную компанию для проверки и создания вакцины не подпадает под эту статью (УК РФ), равно как и под аналогичную ст.361 УК Украины пункт 1:
                                                                                                «Статья 361-1. Создание с целью использования, распространения или сбыта вредных программных или технических средств, а также их распространение или сбыт

                                                                                                1. Создание с целью использования, распространение или сбыта, а также распространение или сбыт вредных программных или технических средств, предназначенных для несанкционированного вмешательства в работу электронно-вычислительных машин (компьютеров), автоматизированных систем, компьютерных сетей или сетей электросвязи, — наказываются штрафом от пятисот до тысячи необлагаемых минимумов доходов граждан или исправимыми роботами на срок до двух лет, или лишением свободы на тот самый срок, с конфискацией программных или технических средств, предназначенных для несанкционированного вмешательства в работу электронно-вычислительных машин (компьютеров), автоматизированных систем, компьютерных сетей или сетей электросвязи, которые являются собственностью виновного лица.

                                                                                                2. Те самые действия, содеянные повторно или за предыдущим заговором группой лиц, или если они причинили значительный вред, — наказываются лишением свободы на срок до пяти лет с конфискацией программных или технических средств, предназначенных для несанкционированного вмешательства в работу электронно-вычислительных машин (компьютеров), автоматизированных систем, компьютерных сетей или сетей электросвязи, которые являются собственностью виновного лица.»

                                                                                                А вот выкладывание в общий доступ, пересылка друзьям и знакомым — вполне могут быть трактованы как преступление. Да, я параноик. Поэтому просьбы выложить вирус останутся невыполненными.
                                                                                                0
                                                                                                LOVE-LETTER-FOR-YOU.TXT.vbs
                                                                                                AnnaKournikova.jpg.vbs

                                                                                                Сколько лет-то прошло, а народ все еще попадается на эту уловку
                                                                                                  0
                                                                                                  Вы еще меряете вирустотлом?
                                                                                                  >Kaspersky 7.0.0.125
                                                                                                  www.kaspersky.com/homeuser
                                                                                                    0
                                                                                                    Антивирусные базы и эвристика у 7-й версии и 2011 одинаковые. Отличаются только набором дополнительных функций и гуем.
                                                                                                    0
                                                                                                    virusscan.jotti.org/ru закиньте сюда…
                                                                                                      0
                                                                                                      только 1 сканер из 19 нашёл
                                                                                                      +2
                                                                                                      Как раз вчера мне знакомая краснея принесла свой ноут, очень повеселился



                                                                                                      Как оказалось пароль был«я не пидор» ))
                                                                                                        0
                                                                                                        Для Avast email: virus@avast.com (аналогично в архиве с паролем virus)
                                                                                                        Ну или через само приложение по инструкции
                                                                                                          0
                                                                                                          От Касперского такого не ожидал…
                                                                                                            +1
                                                                                                            В десктопном касперском его поймает проактивка, так что не боись. Это на вирустотале работает только сигнатурный анализ и эвристик, остальное отключено.
                                                                                                              0
                                                                                                              Успокоили немного, спасибо.
                                                                                                            0
                                                                                                            У меня такой вирус ловился модулем защиты системы в файрволе. Запрос вида «Разрешить приложения „Открытка.swf“ вносить критические изменения в реестр?» настораживает. При этом антивирус молчал.
                                                                                                              0
                                                                                                              Только Comodo Firewall в режима усиленного анализа заподозрил неладное и предположил, что на флешке может быть вредоносный код.

                                                                                                              Себе и всем ставлю CIS

                                                                                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                              Самое читаемое