Опасный компьютерный вирус LLC Mail.Ru (10 фото)

31687
+167
По просторам интернета гуляет новый опасный компьютерный вирус с подписью
LLC Mail.Ru, который маскируется под обновления популярных программ.
Будьте бдительными, товарищи.
Многие пользователи интернета заметили странные сообщения в различных приложениях,
которые предлагают установить или обновить версию популярной программы.
Сегодня я хочу вам рассказать о банальном обновлении программы Skype.
После подтверждения пользователем обновления, с зараженного источника
скачивается и устанавливается «апдейт», однако, увидев после запуска,
что файл подписан почему-то издателем «LLC Mail.Ru», а не Skype,
советую вам сразу же запретить выполнение задачи.
Читаем далее о свежей схеме наполнения ботнета.

Чаще всего, после клика на "обновление программы" происходит редирект
на загрузку с зараженных сайтов по типу _http://"любое название сайта"/skype/,
выглядящий примерно так…

Опасный компьютерный вирус LLC Mail.Ru (10 фото)

«Ваша версия Skype устарела, его поддержка закончится 04.03.2013,
после чего Вы больше не сможете общаться по Skype» её очень пугают,

Загадка цифровой подписи

Итак, первым делом посмотрим свойства файла:

Опасный компьютерный вирус LLC Mail.Ru (10 фото)

Странно, всего 74 Кб, как-то маловато даже для web-инсталлера.
Смотрим цифровую подпись, что это за «LLC Mail.Ru» такое,
может кто-то опять протащил через Thawte схожее название юрлица?

Опасный компьютерный вирус LLC Mail.Ru (10 фото)

Странно, сертификат цифровой подписи очень похож на настоящий от Mail.Ru:


Опасный компьютерный вирус LLC Mail.Ru (10 фото)

У них одинаковый срок действия, с 09.12.2011 по 07.02.2014, однако
в цифровой подписи Агента Mail.ru есть подписи других сторон:
Symantec Time Stamping Services Signer. Все exe файлы подписываются
на лету перед отдачей на загрузку браузеру,
об этом говорит динамически изменяющееся время подписания файла.
Итого, имеем три варианта:
1. Это настоящая цифровая подпись Mail.ru, приватный ключ от которой
каким-либо образом выкрали и теперь используют для подписания малвари
2. Это настоящая цифровая подпись Mail.ru, которую сама Mail.ru почему-либо
использует для подписания малвари
3. Это поддельная цифровая подпись Mail.ru, которую каким-либо образом
сумели скомпрометировать (что маловероятно, ибо RSA 2048 бит)
Загуглив источник, который чаще всего используется злоумышленниками - "easyupdate.ru",
и не найдя в выдаче ничего путного, я посмотрел все ссылки по запросу site:easyupdate.ru
и обнаружил, что, помимо скайпа, лендинги имеются для всех популярных браузеров:

Опасный компьютерный вирус LLC Mail.Ru (10 фото)
Опасный компьютерный вирус LLC Mail.Ru (10 фото)
Опасный компьютерный вирус LLC Mail.Ru (10 фото)
Опасный компьютерный вирус LLC Mail.Ru (10 фото)

Их очень роднит милое всплывающее ;vascript подтверждение,
которое начинает скачивать exe файл, даже не удосужившись проверить,
какую кнопку нажал пользователь, OK или Отмена.

Virustotal

Таким образом, мы получили 5 образцов
(ссылки ведут на результаты сканирования файлов Virustotal):
chromesetup.exe, firefox-setup.exe, ie-setup-full.exe, opera_int_setup.exe и skypesetup.exe
opera_int_setup.exe и ie-setup-full.exe ещё не были просканированы до меня,
то есть распространение заразы было начато совсем недавно,
однако на остальные файлы среагировали 8-9 антивирусов из 46.
Касперский почему-то единственный, кто классифицировал exe, как «не вирус»:
«not-a-virus:HEUR:Downloader.Win32.LMN.a».
Возможно на это решение положительно повлияла цифровая подпись, однако это лучше,
чем решение встроенного в Windows антивируса от Microsoft,
который в образцах не увидел вообще никакой угрозы.
Для chromesetup.exe доступны сведения о поведении, видимо
предоставленные какой-то из антивирусных компаний, в частности сетевая активность:

Опасный компьютерный вирус LLC Mail.Ru (10 фото)

Итак, у нас есть два странных домена и ссылка на поддомен Mail.ru,
посмотрим на них внимательнее: easyupdate.ru зарегистрирован 30 января 2013 года
со скрытием информации о владельце (Private person), эта услуга доступна и бесплатна
у большинства российских регистраторов доменов. В корне сайта нас встречает 404:
404 Not Found

The resource requested could not be found on this server!
Powered By LiteSpeed Web Server
LiteSpeed Technologies is not responsible for administration and contents of this web site!

Вторая ссылка, очевидно, использовала уязвимость типа URL redirect
на одном из поддоменов Mail.ru, однако, судя по всему,
уязвимость уже успели устранить. Возможно злоумышленники решили,
что такая ссылка легче пройдёт через firewall.

Домен dwnfile.ru зарегистрирован 1 февраля 2013 года со скрытием информации о владельце.
В тексте страниц лендинга также присутствуют ссылки на следующие домены:
uprgadotesbest.com — зарегистрирован 26 декабря 2012 года через
PrivacyProtect.org и на текущий момент имеет статус «Locked»
uploadeasy.ru — домен вообще не зарегистрирован, видимо забыли
в суете выкатывания «в продакшн», киберсквоттеры, налетай!

Все домены регистрировались через Reg.ru.

Кроме того, троян отключает в реестре использование прокси,
что, очевидно, повлияет на работу IE и Chrome,
у Firefox и Opera собственные настройки для прокси.

Партнерка

Далее, ссылка _http://dwnfile.ru/get_xml?file_id=18499626 возвращает
нам XML следующего содержания:


simple




profitraf1


profitraf4






Любому при взгляде на это нехитрое содержимое, становится очевидно,
что мы имеем дело с очередной партнёрской программой по так называемым
«инсталлам», параметр guid — это уникальный идентификатор бота в будущем
ботнете, а partner в данном контексте — это аффилиат,
человек, зарегистрировавшийся в партнерской программе, получивший в её кабинете
ссылки на файлы для распространения и распространяющий эти файлы в меру своей
испорченности, получая при этом некоторый процент от доходов владельцев партнерской программы и ботнета
из ничего не подозревающих пользователей. Погуглив идентификатор profitraf1,
выходим на саму партнерскую программу: profitraf.ru
Регистрация только по инвайтам, однако первый же попавшийся
в гугле инвайт подошёл и я попал внутрь:

Опасный компьютерный вирус LLC Mail.Ru (10 фото)

Нас встречает приятный дизайн, статистика, баланс и даже реферальная система,
всё очень канонично. В разделе «Установка кода» написано:

Для работы с партнерской программой необходимо поменять ссылки на любой
скачиваемый контент (mp3, документ, видео — абсолютно любой файл), расположенный у вас на сайте.
Ссылки меняются таким образом, что вместо вашего домена указывают на специальный загрузчик,
расположенный на домене profidownload.ru.
В этой ссылке специальным образом прописывается исходная ссылка (которая до этого была на сайте).
По клику пользователя сначала загружается и запускается загрузчик,
который и скачивает на компьютер пользователя исходный файл.
Одновременно с загрузкой устанавливается тулбар и браузер.
Для пользователя это происходит практически незаметно.
Итак, можно подключить свой сайт, поменять там ссылки на указанные и получать прибыль.
А вот и ещё одна цитата, на этот раз из огромного,
на 215 страниц, топика этой партнерки на крупнейшем форуме вебмастеров в рунете:
Мы предлагаем абсолютно прозрачную, «белую» схему заработка —
без SMS-подписок, платных архивов и прочих «серых» схем.
Мы распространяем браузер и тулбар (надстройку для браузеров) крупнейшей компании
РуНета — Mail.Ru. Каждый сайт проходит строгую модерацию
и только после проверки нашими специалистами допускается к участию в программе.
И вот тут мне, наконец, стало ясно, откуда взялась цифровая подпись Mail.ru на малвари,
попавший на компьютер моей мамы.
В том, что это именно малварь, сомневаться не приходится, достаточно изучить результаты
исследования образцов антивирусными компаниями.
И эта зараза может получить очень широкое распространение, учитывая выбранные методы
маскировки под обновления самых популярных
программ для Windows.

Неутешительные итоги

Хотелось бы отметить, что лично мне очень обидно было обнаружить в финале
своего домашнего расследования саму корпорацию Mail.ru,
так как изначально этот вариант мне казался самым невероятным.
Разумеется, даже если эта история станет достоянием гласности,
официально вину спихнут на «недобросовестного» партнёра, но,
по моему мнению, компания, которая предоставляет свою цифровую подпись
каждому встречному для несанкционированной загрузки на компьютеры
ничего не подозревающих пользователей троянского программного обеспечения,
достойна звания «ботмастер» года. Куда там доморощенным вирусописателям
без сертификатов, такой огромный ботнет, как у Mail.ru,
им никогда не нарастить. И кто знает, как вышеозначенная корпорация
решит монетизировать своих незадачливых пользователей,
когда у неё дела пойдут ещё хуже, чем сейчас.

Обновление от 12 марта

На сегодняшний день ни один домен злоумышленников уже не резолвится.
Возможно, это связано с тем, что этот топик даже в песочнице был
роиндексирован гуглом и начал показываться в выдаче по запросу «easyupdate.ru».


Отсюда

Комментарии (45) 

Показать сначала комментарии:
  1. 14 марта 2013 02:42
    Пользователь offline

    0

    #

    Вот он ! Настоящий вынос мозга ! 35

           
  2. 14 марта 2013 02:54
    Пользователь offline

    0

    #

    Хуйня какая-то...
    Нехер всякое гавно на комп устанавливать.

           
  3. 14 марта 2013 03:25
    Пользователь offline

    0

    #

    сука блять поставил Dr web и никакого говна не вылазит dance3

           
  4. 14 марта 2013 03:52
    Пользователь offline

    0

    #

    бред не в тему триникси

           
  5. 14 марта 2013 04:14
    Пользователь offline

    0

    #

    Adobe flash player уже давно таким образом "обновляется", после перезагрузки компа на весь рабочий стол окно, с просьбой отправить смс, уже с десяток компов пришлось по этой причине лечить и это среди знакомых. Есть прога у Касперского, спецово для этого дела, грузится перед виндой и устраняет эти траблы, поначалу конечно решалось с форматом диска С:)), но здесь другой случай.

           
  6. 14 марта 2013 06:48
    Пользователь offline

    0

    #

    Не сталкивалась..

           
  7. 14 марта 2013 07:27
    Пользователь offline

    0

    #

    Цитата: Аня...
    Не сталкивалась..

    не зарекайся! )

           
  8. 14 марта 2013 08:16
    Пользователь offline

    0

    #

    Цитата: Nau
    как же эти вирусы зае...ли!!!

    Причем в абсолютно безвредных ситуациях! Сам ни разу не ловил еще ничего серьезного. Жена что-то по шитью искала - все, троянчик. А тут зараза помощней.
    Цитата: Artpoison
    Adobe flash player уже давно таким образом "обновляется"

    Air? Я все отказываюсь от него... 

           
  9. 14 марта 2013 08:32
    Пользователь offline

    0

    #

    все так, прям, подробно расписано, а чем опасен вирус я так и не понял

           
  10. 14 марта 2013 08:45
    Пользователь offline

    0

    #

    а нахрена это всё на триникси? unknowing

           
  11. 14 марта 2013 09:09
    Пользователь offline

    0

    #

    Пойду руки с мылом помою...

           
  12. 14 марта 2013 09:18
    Пользователь offline

    0

    #

    да я ничего и не обновляю

           
  13. 14 марта 2013 09:34
    Пользователь offline

    0

    #

    Полезно, кстати.. брат именно этой фигнёй "наловил" вирусов - так и почта теперь недоступна, и скайп - требует указать номер мобилки для "кода разблокирования"

           
  14. 14 марта 2013 10:25
    Пользователь offline

    0

    #

    точняк, у меня было. Пролечил комп и закончилось.

           
  15. 14 марта 2013 10:35
    Пользователь offline

    0

    #

    Не зная броду, не суйся в воду (с) бабушка и сисадмин

           
  16. 14 марта 2013 10:39
    Пользователь offline

    0

    #

    То что Mail.ru  - говно, это факт, который не обсуждается. Дыры в безопасности сайта и его экосистемы, которые были актуальны лет 7-8 назад, до сих пор не залатыны, хотя на них неоднократно указывали администрации ресурса. А то что сейчас эта компания тайно или явно замешана в распростании вируса, это совсем не удивительно. Лично у меня словосочетания Mail.ru вызывает отвращение. Надеюсь и у вас тоже.

           
  17. 14 марта 2013 11:02
    Пользователь offline

    0

    #

    Цитата: Lidusha
    Не зная броду, не суйся в воду (с) бабушка и сисадмин

    Тут поможет только бабушка-бэээтмэн.) 

           
  18. 14 марта 2013 11:03
    Пользователь offline

    0

    #

    Большинство программ можно обновить через встроенные в нее средства обновления, так что "забейте" на все эти заманчивые предложения обновить программу через браузер

           
  19. 14 марта 2013 11:05
    Пользователь offline

    0

    #

    бля, просто внимательно нужно читать что и откуда обновляешь, а если руки кучерявые - проконсультируйся с умными людьми, а не кнопай что не попадя...

           
  20. 14 марта 2013 11:12
    Пользователь offline

    0

    #
    Чуть мозги не сломал
           
  21. 14 марта 2013 11:12
    Пользователь offline

    0

    #

    А пох вообще 

           
  22. 14 марта 2013 11:29
    Пользователь offline

    0

    #

    Предупрежден, значет вооружен. Сказал жене. она как раз на мыле сидит)))

           
  23. 14 марта 2013 11:35
    Пользователь offline

    0

    #

    Мда, больше нажимайте на всплывающие окошки на разных сайтах, обновляйтесь. А так подумать, прежде чем нажать, не? И вообще такого левака полно в инете, они же даже визуально отличаются от настоящих предложений об обновлении, ё-мае.

           
  24. 14 марта 2013 13:14
    Пользователь offline

    0

    #

    О,уроки юзерства и обслуживания ПК на триникси.Чего только на "РАЗВЛЕКАТЕЛЬНОМ" ресурсе ни встретишь!

           
  25. 14 марта 2013 13:24
    Пользователь offline

    0

    #

    Стоит Каспер и за 10 лет никакого подобного гомнеца не вылазило, даже винду не переустанавливал, работает все как часы unknowing

           
  26. 14 марта 2013 14:04
    Пользователь offline

    0

    #

    вообще не стоит устанавливать такого рода обновы, тем более если выдает их браузер.

           
  27. 14 марта 2013 14:52
    Пользователь offline

    0

    #

    все новые и новые методы придумывают, молодцы  27

           
  28. 14 марта 2013 14:56
    Пользователь offline

    0

    #

    бедные пользователи винды, сколько же вам гимора приходится иметь: мало того, что за саму винду деньги платить надо, так еще и потом всякие антивирусы, которые жрут большую часть ресурсов железа, приходится устанавливать... мазохизм в чистом виде

           
  29. 14 марта 2013 14:57
    Пользователь offline

    0

    #

    этот пост и есть ёбаный вирус wink

           
  30. 14 марта 2013 15:50
    Пользователь offline

    0

    #

    ужос

           
  31. 14 марта 2013 16:04
    Пользователь offline

    0

    #

    Цитата: Gogaren_3Meu
    бедные пользователи винды, сколько же вам гимора приходится иметь: мало того, что за саму винду деньги платить надо, так еще и потом всякие антивирусы, которые жрут большую часть ресурсов железа, приходится устанавливать... мазохизм в чистом виде
    О, очередной "пингвин" нарисовался. Сам сидел почти 4 года на Убунту, Ред хэт, Федоре. Хочу сказать, что может и да, сиситемы нормальные,  но, плять, ГЕМОРА пока все настроишь. В современном мире сервис должен быть - пришел, поставил, работаешь, а не как с Линуксом - пришел, поставил, поебался, не пошло, поебался, попробывал настроить, поебался, полез в инет смотреть как все надо делать, в итоге вынесенный мозг и самоудовлетворение: "Я поставил *nix".  А потом для того, чтобы полностью поднять свою низкую самооценку, и удовлетворить свою правую руку, оставлять подобные комментарии на сайтах: "бедные пользователи винды, сколько же вам гимора приходится иметь"
    Как раз, плять, мазохизм, это сидеть и по несколько часов настраивать ОС, чем просто установить и работать. Так что иди ты на Христина Ундина Йосиф!

           
  32. 14 марта 2013 16:10
    Пользователь offline

    0

    #

    Давно заметил про Mail - всякие спутники и т.д. хрень, которая пытается внедриться с нормальными программами. Убивать нужно, как только видишь mail.

           
  33. 14 марта 2013 16:46
    Пользователь offline

    0

    #

    Эт точно.

           
  34. 14 марта 2013 17:01
    Пользователь offline

    0

    #
    Сижу в инете без антивируса и фаирвола и никогда никакую не цепляю. Даже специально когда-то вбивал в поисковиках "бесплатное порно" и кликал по всем ссылкам подряд, так ничо и не словил. Как всякие дэвушки умудряются заражать компы понятия не имею)))
           
  35. 14 марта 2013 18:08
    Пользователь offline

    0

    #

    у меня предки вечно ведутся

           
  36. 14 марта 2013 19:48
    Пользователь offline

    0

    #

    Я бы в первую очередь понял, что это развод, обратив внимание на то, что "его подержка скоро закончиться" пишется ,без мягкого знака.

           
  37. 14 марта 2013 20:03
    Пользователь offline

    0

    #

    да как-то пох

           
  38. 14 марта 2013 20:16
    Пользователь offline

    0

    #

    Цитата: fsnikor
    Не сталкивалась..

    не зарекайся! )

    Если не сталкивалась, значит головой пользуется правильно. В этом случае у неё есть все шансы не сталкиваться с вирусами и вдальнейшем. Я вообще не понимаю, чем думают люди, которые скачивают софт с левых сайтов.

    Цитата: coolracer
    Сижу в инете без антивируса и фаирвола и никогда никакую не цепляю. Даже специально когда-то вбивал в поисковиках "бесплатное порно" и кликал по всем ссылкам подряд, так ничо и не словил.

    А почему ты решил, что ничего не словил? Ведь у тебя нет ни антивируса, ни фаервола. А вирьё не обязано тебя приветствовать при включении компьютера. Например, я пользуюсь фаерволом, который сообщает обо всех попытках доступа в сеть, и самописной программой, которая отслеживает изменения файлов. В этом случае можно быть уверенным процентов на 99, что вирусов не нахватал.

           
  39. Александр022
    14 марта 2013 21:08

    0

    #

    К чёрту куча картинок.

    Меня бы насторожил текст с грамматическими ошибками про обновление.

     

           
  40. 14 марта 2013 21:30
    Пользователь offline

    0

    #

    Цитата: vokob
    Давно заметил про Mail - всякие спутники и т.д. хрень, которая пытается внедриться с нормальными программами. Убивать нужно, как только видишь mail.

    Тож посылаю Майл,удаляю всё что от него появляется.

    Цитата: Bugor
    Хуйня какая-то... Нехер всякое гавно на комп устанавливать.

    Увы эт пока самый дешёвый способ общения. Анасчёт вирусов решается очень просто,запрет на самовольное обновление всяких программ ,включяя скайп,плеер,яндексы и прочяя...

           
  41. 14 марта 2013 22:33
    Пользователь offline

    0

    #

    Майл давно превратился в рассадника всякой гадости

           
  42. 15 марта 2013 01:20
    Пользователь offline

    0

    #

    Всегда считал, что на такое только лохи ведутся.

           
  43. Гуест
    15 марта 2013 07:31

    0

    #

    бедные пользователи винды, сколько же вам гимора приходится иметь: мало того, что за саму винду деньги платить надо, так еще и потом всякие антивирусы, которые жрут большую часть ресурсов железа, приходится устанавливать... мазохизм в чистом виде

    Эт жеж ленуксоед!

           
  44. 15 марта 2013 10:51
    Пользователь offline

    0

    #

    Я на такое нарвался на своем смартфоне на андроиде. Предлогалось обновить оперу, но как только кликнул на ссылку, посмотрел что начало качать. Название файла было подозрительным, я остановил закачку, но через пару секунд мне пришло сообщение, что на моем счете недостаточно средств. Денег было не много, рублей 100, сняли 90(два раза по 34р и один 22р). Думаю это бы продолжилось, если бы на счету было болше денег. Но деньги я вернул, правда пришлось пободаться с оператором.

           
  45. 17 марта 2013 18:18
    Пользователь offline

    0

    #

    да майл ру задолбало то спутник майл ру то гуард майл ру то поиск майл ру.А вообще все что познавательно мне нравится-хорошая тема.

           
Информация
Пожалуйста, зарегистрируйтесь или авторизуйтесь, чтобы оставлять комментарии на сайте.