Опасный компьютерный вирус LLC Mail.Ru

Автор:
NikoniX
Печать
дата:
14 марта 2013 08:08
Просмотров:
4073
Комментариев:
12
По просторам интернета гуляет новый опасный компьютерный вирус с подписью
LLC Mail.Ru, который маскируется под обновления популярных программ.
Будьте бдительными, товарищи.
Многие пользователи интернета заметили странные сообщения в различных приложениях,
которые предлагают установить или обновить версию популярной программы.
Сегодня я хочу вам рассказать о банальном обновлении программы Skype.
После подтверждения пользователем обновления, с зараженного источника
скачивается и устанавливается «апдейт», однако, увидев после запуска,
что файл подписан почему-то издателем «LLC Mail.Ru», а не Skype,
советую вам сразу же запретить выполнение задачи.


Чаще всего, после клика на "обновление программы" происходит редирект
на загрузку с зараженных сайтов по типу _http://"любое название сайта"/skype/,
выглядящий примерно так…

Опасный компьютерный вирус LLC Mail.Ru


«Ваша версия Skype устарела, его поддержка закончится 04.03.2013,
после чего Вы больше не сможете общаться по Skype» её очень пугают,

Загадка цифровой подписи

Итак, первым делом посмотрим свойства файла:

Опасный компьютерный вирус LLC Mail.Ru


Странно, всего 74 Кб, как-то маловато даже для web-инсталлера.
Смотрим цифровую подпись, что это за «LLC Mail.Ru» такое,
может кто-то опять протащил через Thawte схожее название юрлица?

Опасный компьютерный вирус LLC Mail.Ru


Странно, сертификат цифровой подписи очень похож на настоящий от Mail.Ru:

Опасный компьютерный вирус LLC Mail.Ru


У них одинаковый срок действия, с 09.12.2011 по 07.02.2014, однако
в цифровой подписи Агента Mail.ru есть подписи других сторон:
Symantec Time Stamping Services Signer. Все exe файлы подписываются
на лету перед отдачей на загрузку браузеру,
об этом говорит динамически изменяющееся время подписания файла.
Итого, имеем три варианта:
1. Это настоящая цифровая подпись Mail.ru, приватный ключ от которой
каким-либо образом выкрали и теперь используют для подписания малвари
2. Это настоящая цифровая подпись Mail.ru, которую сама Mail.ru почему-либо
использует для подписания малвари
3. Это поддельная цифровая подпись Mail.ru, которую каким-либо образом
сумели скомпрометировать (что маловероятно, ибо RSA 2048 бит)
Загуглив источник, который чаще всего используется злоумышленниками - "easyupdate.ru",
и не найдя в выдаче ничего путного, я посмотрел все ссылки по запросу site:easyupdate.ru
и обнаружил, что, помимо скайпа, лендинги имеются для всех популярных браузеров:

Опасный компьютерный вирус LLC Mail.Ru


Опасный компьютерный вирус LLC Mail.Ru


Опасный компьютерный вирус LLC Mail.Ru


Опасный компьютерный вирус LLC Mail.Ru


Их очень роднит милое всплывающее ;vascript подтверждение,
которое начинает скачивать exe файл, даже не удосужившись проверить,
какую кнопку нажал пользователь, OK или Отмена.

Virustotal

Таким образом, мы получили 5 образцов
(ссылки ведут на результаты сканирования файлов Virustotal):
chromesetup.exe, firefox-setup.exe, ie-setup-full.exe, opera_int_setup.exe и skypesetup.exe
opera_int_setup.exe и ie-setup-full.exe ещё не были просканированы до меня,
то есть распространение заразы было начато совсем недавно,
однако на остальные файлы среагировали 8-9 антивирусов из 46.
Касперский почему-то единственный, кто классифицировал exe, как «не вирус»:
«not-a-virus:HEUR:Downloader.Win32.LMN.a».
Возможно на это решение положительно повлияла цифровая подпись, однако это лучше,
чем решение встроенного в Windows антивируса от Microsoft,
который в образцах не увидел вообще никакой угрозы.
Для chromesetup.exe доступны сведения о поведении, видимо
предоставленные какой-то из антивирусных компаний, в частности сетевая активность:

Опасный компьютерный вирус LLC Mail.Ru


Итак, у нас есть два странных домена и ссылка на поддомен Mail.ru,
посмотрим на них внимательнее: easyupdate.ru зарегистрирован 30 января 2013 года
со скрытием информации о владельце (Private person), эта услуга доступна и бесплатна
у большинства российских регистраторов доменов. В корне сайта нас встречает 404:
404 Not Found

The resource requested could not be found on this server!
Powered By LiteSpeed Web Server
LiteSpeed Technologies is not responsible for administration and contents of this web site!

Вторая ссылка, очевидно, использовала уязвимость типа URL redirect
на одном из поддоменов Mail.ru, однако, судя по всему,
уязвимость уже успели устранить. Возможно злоумышленники решили,
что такая ссылка легче пройдёт через firewall.

Домен dwnfile.ru зарегистрирован 1 февраля 2013 года со скрытием информации о владельце.
В тексте страниц лендинга также присутствуют ссылки на следующие домены:
uprgadotesbest.com — зарегистрирован 26 декабря 2012 года через
PrivacyProtect.org и на текущий момент имеет статус «Locked»
uploadeasy.ru — домен вообще не зарегистрирован, видимо забыли
в суете выкатывания «в продакшн», киберсквоттеры, налетай!

Все домены регистрировались через Reg.ru.

Кроме того, троян отключает в реестре использование прокси,
что, очевидно, повлияет на работу IE и Chrome,
у Firefox и Opera собственные настройки для прокси.

Партнерка

Далее, ссылка _http://dwnfile.ru/get_xml?file_id=18499626 возвращает
нам XML следующего содержания:


simple




profitraf1


profitraf4






Любому при взгляде на это нехитрое содержимое, становится очевидно,
что мы имеем дело с очередной партнёрской программой по так называемым
«инсталлам», параметр guid — это уникальный идентификатор бота в будущем
ботнете, а partner в данном контексте — это аффилиат,
человек, зарегистрировавшийся в партнерской программе, получивший в её кабинете
ссылки на файлы для распространения и распространяющий эти файлы в меру своей
испорченности, получая при этом некоторый процент от доходов владельцев партнерской программы и ботнета
из ничего не подозревающих пользователей. Погуглив идентификатор profitraf1,
выходим на саму партнерскую программу: profitraf.ru
Регистрация только по инвайтам, однако первый же попавшийся
в гугле инвайт подошёл и я попал внутрь:

Опасный компьютерный вирус LLC Mail.Ru

Нас встречает приятный дизайн, статистика, баланс и даже реферальная система,
всё очень канонично. В разделе «Установка кода» написано:

Для работы с партнерской программой необходимо поменять ссылки на любой
скачиваемый контент (mp3, документ, видео — абсолютно любой файл), расположенный у вас на сайте.
Ссылки меняются таким образом, что вместо вашего домена указывают на специальный загрузчик,
расположенный на домене profidownload.ru.
В этой ссылке специальным образом прописывается исходная ссылка (которая до этого была на сайте).
По клику пользователя сначала загружается и запускается загрузчик,
который и скачивает на компьютер пользователя исходный файл.
Одновременно с загрузкой устанавливается тулбар и браузер.
Для пользователя это происходит практически незаметно.
Итак, можно подключить свой сайт, поменять там ссылки на указанные и получать прибыль.
А вот и ещё одна цитата, на этот раз из огромного,
на 215 страниц, топика этой партнерки на крупнейшем форуме вебмастеров в рунете:
Мы предлагаем абсолютно прозрачную, «белую» схему заработка —
без SMS-подписок, платных архивов и прочих «серых» схем.
Мы распространяем браузер и тулбар (надстройку для браузеров) крупнейшей компании
РуНета — Mail.Ru. Каждый сайт проходит строгую модерацию
и только после проверки нашими специалистами допускается к участию в программе.
И вот тут мне, наконец, стало ясно, откуда взялась цифровая подпись Mail.ru на малвари,
попавший на компьютер моей мамы.
В том, что это именно малварь, сомневаться не приходится, достаточно изучить результаты
исследования образцов антивирусными компаниями.
И эта зараза может получить очень широкое распространение, учитывая выбранные методы
маскировки под обновления самых популярных
программ для Windows.

Неутешительные итоги

Хотелось бы отметить, что лично мне очень обидно было обнаружить в финале
своего домашнего расследования саму корпорацию Mail.ru,
так как изначально этот вариант мне казался самым невероятным.
Разумеется, даже если эта история станет достоянием гласности,
официально вину спихнут на «недобросовестного» партнёра, но,
по моему мнению, компания, которая предоставляет свою цифровую подпись
каждому встречному для несанкционированной загрузки на компьютеры
ничего не подозревающих пользователей троянского программного обеспечения,
достойна звания «ботмастер» года. Куда там доморощенным вирусописателям
без сертификатов, такой огромный ботнет, как у Mail.ru,
им никогда не нарастить. И кто знает, как вышеозначенная корпорация
решит монетизировать своих незадачливых пользователей,
когда у неё дела пойдут ещё хуже, чем сейчас.

Обновление от 12 марта

На сегодняшний день ни один домен злоумышленников уже не резолвится.
Возможно, это связано с тем, что этот топик даже в песочнице был
роиндексирован гуглом и начал показываться в выдаче по запросу «easyupdate.ru».

2 не понравился
63 понравился пост
 
Незарегистрированные посетители не могут оценивать посты
 
 
 
 

 
 
 
 

Комментарии

 
 

 
 
 
Odin
Дата:
(14 марта 2013 09:12)
#1
как то нажал случайно "ок" заместо отмены, сам того не хотя когда на гугле появилось окошко с обновой,ибо нечего хорошего от туда ждать нельзя...благо каспер был включен, тут же заблокировал и оффнул обнову, банеры и вирусы были обнаружены laugh
не видел некогда смысла качать обновы таким образом. не проще ли сетап.новую версию слить?:) надёжнее и безопаснее по моему)
Томск [ссылка]
7 / 0
 
 
 
 
 
 
Lokki
Дата:
(14 марта 2013 09:16)
#2
Я всегда ненавидил весь софт от мэйл.ру, который устанавливается пачкай, всегда лезет в автозагрузку и тормозит систему кучей ненужных примочек и всплывающих окошек...
А потом его еще и удалить проблема... Живучий. )))
 
Кемеровская область > Новокузнецк [ссылка]
28 / 0
 
 
 
 
 
 
putnik55
Дата:
(14 марта 2013 09:27)
#3
ничего удивительного маил ру сама по себе ещё та гнида
порой х** удалиш как вирус ставит свои причиндалы которые никому не нужны как и яндекс со своей хернёй
Томская область > Северск [ссылка]
19 / 2
 
 
 
 
 
 
vannka
Дата:
(14 марта 2013 10:32)
#4
Партнерки по подмене загрузки еще и не такое выдадут) Это бизнес ребятки thumbup каждый зарабатывает как может
 
http://vsemayki.biz - прикольные футболки на любой вкус ;)
Томск [ссылка]
8 / 0
 
 
 
 
 
 
PHLEMATOMB
Дата:
(14 марта 2013 10:57)
#5
Полностью согласен: Мыло-ублюдочная контора с поганым софтом.
 
Иногда, смотря на минусы к своим комментам понимаешь, что не у всех в порядке голова...
Томская область > Северск [ссылка]
10 / 0
 
 
 
 
 
 
SilverDragon
Дата:
(14 марта 2013 11:31)
#6
Да мэилру уже давно в конец ох*ели. Всех кто там работает, и тем более те кто проворачивает подобные темы можно считать просто кусками говна а не людьми.
 
____________________________КреведоМедве д
Томск [ссылка]
9 / 0
 
 
 
 
 
 
Neuro
Дата:
(14 марта 2013 11:32)
#7
Забавно порой видеть окошки с обновлением той или иной программы, особенно если у тебя ее нет на компе
 
Duettaeann aef cirran Caerme Glaeddyv. Yn a esseath.
Томск [ссылка]
15 / 0
 
 
 
 
 
 
Bолк
Дата:
(14 марта 2013 13:34)
#8
а я обновил таким образом весь софт, все нормально! холодильник даже лучше стал работать и диагональ монитора увеличилась
Томская область > Северск [ссылка]
10 / 0
 
 
 
 
 
 
NikoniX
Дата:
(14 марта 2013 13:44)
#9
Цитата: Bолк
холодильник даже лучше стал работать и диагональ монитора увеличилась

haha
 
Хочешь поддержать любимый uCrazy.ru? Жми!
Томская область > Северск [ссылка]
7 / 2
 
 
 
 
 
 
боевой табурет
Дата:
(14 марта 2013 14:03)
#10
маил.ру?...обхожу ожесточенно крестясь...затем останавливаюсь и проверяю обувь.
 
Молюсь Боннэр, чтобы Путин не выпустил указ о запрете есть говно. А то ведь придется, чтобы показать свою гражданскую позицию.(c)
Томск [ссылка]
10 / 8
 
 
 
 
 
 
lechyv
Дата:
(14 марта 2013 14:18)
#11
мэйл ру-ацтой ваще ! гавно. для лузераф ! lol
Томск [ссылка]
3 / 2
 
 
 
 
 
 
kas1732
Дата:
(14 марта 2013 16:38)
#12
Реклама http:**profitraf.ru/ ?
Ханты-Мансийск [ссылка]
2 / 0
 
 
 

 
 
 
 
 
 
 
 

Информация

 
 
 
 
 
 
 
 
 

Оставлять свои CRAZY комментарии могут только зарегистрированные пользователи.
Пожалуйста пройдите простую процедуру регистрации или авторизируйтесь под своим логином. Также вы можете войти на сайт, используя существующий профиль в социальных сетях (Вконтакте, Одноклассники, Facebook, Twitter и другие)

 
 
 
 
 
Наверх