hi.ru архив софта с троянами
- Автор темы GvU
- Дата начала
-
- Теги
- adware.adinstaller.b adware.hiru echeiocnbggcacegkopjcllmaglbocni hi.ru pua.win32.startpage.80 pup.optional.startpage repack by d!akov repack by diakov repack by kpojiuk risktool.win32.adinstaller.c soft.hi.ru trojan.startpage1 trojan.startpage1.21935 vbs.startpage vbs.startpage.33 win32/adware.hiru.b открывается сайт hi.ru поиск изменился на hi.ru стартовая страница hi.ru удалить hi.ru
- Сообщения
- 13,412
- Реакции
- 6,553
Voldemar2007-72, беглым взглядом там NSIS исталлятор внутри которого оригинальный файл, который хотели скачать + довесок ввиде VBS скрипта для подмены стартовой страницы и поисковой системы в браузере на этот сайт + батник который завершает процессы браузеров chrome.exe, firefox.exe, opera.exe, amigo.exe. Вердикт в общем и так ясен - малвара. Спасибо за ссылку.
В вирлабы файл разослал, пока детект только у доктора Trojan.StartPage1.4983
Antivirus scan for 963ece8772146104c4d5d814d6401fb3d529aab4b4208376be78648ee5d9918c at 2014-12-10 13:10:38 UTC - VirusTotal
Antivirus scan for a5cb5defe7ab4100d6531c26b277a1fbc272ed4f461506ca12fef070416b12bd at 2014-12-10 12:46:04 UTC - VirusTotal
[fieldset=Информация]Если ваша система уже заражена этой дрянью, то вы можете вылечиться от неё в разделе Лечение компьютерных вирусов.[/fieldset]
В вирлабы файл разослал, пока детект только у доктора Trojan.StartPage1.4983
Antivirus scan for 963ece8772146104c4d5d814d6401fb3d529aab4b4208376be78648ee5d9918c at 2014-12-10 13:10:38 UTC - VirusTotal
Antivirus scan for a5cb5defe7ab4100d6531c26b277a1fbc272ed4f461506ca12fef070416b12bd at 2014-12-10 12:46:04 UTC - VirusTotal
[fieldset=Информация]Если ваша система уже заражена этой дрянью, то вы можете вылечиться от неё в разделе Лечение компьютерных вирусов.[/fieldset]
Последнее редактирование:
- Сообщения
- 6,715
- Реакции
- 6,208
++ смена опции браузеров на "Открывать последнюю сессию".
и регистрация стороннего не-вредоносного компонента для парсинга INI-файлов.
.
- Сообщения
- 13,412
- Реакции
- 6,553
Свежие ссылки с отчётом о проверке на VirusTotal:
https://www.virustotal.com/ru/file/...b29caa1b09af4e469a80bfd2/analysis/1419844314/
https://www.virustotal.com/ru/file/...30ad4f3a680258980b7c926c/analysis/1419844795/
https://www.virustotal.com/ru/file/...84e5ce351afb2f598ccc4fe2/analysis/1419844787/
https://www.virustotal.com/ru/file/...45f5590a1f15f4b1c928372d/analysis/1419850340/
https://www.virustotal.com/ru/file/...79f1ae76c3d7ac4163da7d7f/analysis/1419850342/
https://www.virustotal.com/ru/file/...73bf413250da79d005a87674/analysis/1419850447/
https://www.virustotal.com/ru/file/...d027fa37bbe5cd7bbe4552fa/analysis/1419850607/
https://www.virustotal.com/ru/file/...0390a96bdde8650e4c311042/analysis/1419851310/
https://www.virustotal.com/ru/file/...8b7d73587ae562fb02dbd714/analysis/1419851407/
https://www.virustotal.com/ru/file/...918086a8b3bf6272d7252e6e/analysis/1419851818/
https://www.virustotal.com/ru/file/...6528d2721264eac83a40bfed/analysis/1419851840/
https://www.virustotal.com/file/3c1...4cdb0c5421d2ce581c51de12/analysis/1419852090/
https://www.virustotal.com/file/960...f107efedf8208fb0bd1d2d08/analysis/1419852703/
https://www.virustotal.com/ru/file/...50ecc50de54af0864bd54455/analysis/1419853558/
https://www.virustotal.com/ru/file/...e8753f5fb69cec1b9e85ccda/analysis/1419854750/
https://www.virustotal.com/file/932...e62853df8fe8d4c0ec1b304d/analysis/1419855553/
https://www.virustotal.com/ru/file/...b29caa1b09af4e469a80bfd2/analysis/1419844314/
https://www.virustotal.com/ru/file/...30ad4f3a680258980b7c926c/analysis/1419844795/
https://www.virustotal.com/ru/file/...84e5ce351afb2f598ccc4fe2/analysis/1419844787/
https://www.virustotal.com/ru/file/...45f5590a1f15f4b1c928372d/analysis/1419850340/
https://www.virustotal.com/ru/file/...79f1ae76c3d7ac4163da7d7f/analysis/1419850342/
https://www.virustotal.com/ru/file/...73bf413250da79d005a87674/analysis/1419850447/
https://www.virustotal.com/ru/file/...d027fa37bbe5cd7bbe4552fa/analysis/1419850607/
https://www.virustotal.com/ru/file/...0390a96bdde8650e4c311042/analysis/1419851310/
https://www.virustotal.com/ru/file/...8b7d73587ae562fb02dbd714/analysis/1419851407/
https://www.virustotal.com/ru/file/...918086a8b3bf6272d7252e6e/analysis/1419851818/
https://www.virustotal.com/ru/file/...6528d2721264eac83a40bfed/analysis/1419851840/
https://www.virustotal.com/file/3c1...4cdb0c5421d2ce581c51de12/analysis/1419852090/
https://www.virustotal.com/file/960...f107efedf8208fb0bd1d2d08/analysis/1419852703/
https://www.virustotal.com/ru/file/...50ecc50de54af0864bd54455/analysis/1419853558/
https://www.virustotal.com/ru/file/...e8753f5fb69cec1b9e85ccda/analysis/1419854750/
https://www.virustotal.com/file/932...e62853df8fe8d4c0ec1b304d/analysis/1419855553/
- Сообщения
- 13,412
- Реакции
- 6,553
На киберфоруме в разделе лечения уже видел тему с просьбой вылечить от этой дряни.
Да и забыл дописать, что послал этот компонент в вирлабы, от доктора Веба уже ответ, что будет его детектировать его как VBS.StartPage.34
Да и забыл дописать, что послал этот компонент в вирлабы, от доктора Веба уже ответ, что будет его детектировать его как VBS.StartPage.34
и на вирусинфо есть пострадавшие ))).
GvU
Активный пользователь
- Сообщения
- 206
- Реакции
- 330
Еще один сайт тут встретил hxxp://ruprograms.com/microsoft-office-2010.html
https://www.virustotal.com/ru/file/...8e7f7a6588c836cd2a73758a/analysis/1430471461/
https://www.virustotal.com/ru/file/...8e7f7a6588c836cd2a73758a/analysis/1430471461/
- Сообщения
- 13,412
- Реакции
- 6,553
Наткнулся на ещё одного известного репакера, который в свои репаки пихает туже заразу. Проверял AIDA64 Extreme | Engineer | Business Edition | Network Audit 5.50.3600 Final RePack by Diakov. Выбрал его так как увидел подобные жалобы на него.
Отчёт по самому файлу репаку на вирустотал Antivirus scan for c920756161fa225ff75a6d9d512b7ec1f1a6fb6d760a34e9098194ec9344175f at 2015-11-15 14:44:15 UTC - VirusTotal
Детектов не так много
Файл оказался обычным NSIS исталятором, распаковал его на части и снова проверил, ругается только на один файл install.exe.
install.exe также оказался NSIS инсталятором внутри которого две в общем-то безобидные .dll, а подвох кроется в скрипте установки этого файла. В котором и прописан уже знакомый нам по заражённым ярлыкам и т.д. hi.ru
Файл разослал по вирлабом, надеюсь детектов станет больше, а людей использующих репаки (в частности репаки упомянутых авторов) станет меньше.
- Сообщения
- 2,779
- Реакции
- 2,464
Что касается галочек, при установке какой либо программы, то их хватает и не в зараженных инсталляторах
да ещё и по хлеще.
DrWeb Trojan.StartPage1.21935 20151115:
regist, если вы проводили исследование, можете описать его действия-свойства, какие процессы запускаются в системе. Или это пока новое творение ?
да ещё и по хлеще.
DrWeb Trojan.StartPage1.21935 20151115:
regist, если вы проводили исследование, можете описать его действия-свойства, какие процессы запускаются в системе. Или это пока новое творение ?
- Сообщения
- 9,699
- Реакции
- 4,669
Интересно, сколько в среднем бабла они(репакеры) поднимают на создании подобных репаков?
Последнее редактирование:
- Сообщения
- 13,412
- Реакции
- 6,553
да, мне это не особо было интересно. Так как это уже разбиралось и описывалось в начале этой темы. Разница тут наверно только в том, что делается не через VBS скрипт, а через NSIS.
Сейчас глянул его бегло, он устанавливает свои расширения в Хром
NSIS:
HKLM Software\Google\Chrome\Extensions\echeiocnbggcacegkopjcllmaglbocni version 0.1
HKLM Software\Google\Chrome\Extensions\echeiocnbggcacegkopjcllmaglbocni update_url https://clients2.google.com/service/update2/crx
HKLM Software\Wow6432Node\Google\Chrome\Extensions\echeiocnbggcacegkopjcllmaglbocni version 0.1
HKLM Software\Wow6432Node\Google\Chrome\Extensions\echeiocnbggcacegkopjcllmaglbocni update_url https://clients2.google.com/service/update2/crxСписок перебираемых браузеров: Internet Explorer, Google Chrome, Yandex, Opera, Mozilla Firefox, Амиго.
Код:
http://hi.ru/?44- Сообщения
- 2,779
- Реакции
- 2,464
- Сообщения
- 13,412
- Реакции
- 6,553
сходу у нас в разделе лечения две ссылки нашёл:
Решена - В браузере появляются черные прямоугольники мешающие работать
Закрыто - Все веб-страницы недоступны
Во многих темах лечения просто не указано, что там именно от этого лечили.
А также впиши в поисковике фразу: hi.ru вирус и посмотри на кол-во и содержание тем
.Да и по поиску этого расширения (из свеже-разобранного инсталятора) гугол находит кучу тем и все в разделе лечения правда на других сайтах. В магазине Хрома такого расширения нет. Вывод делай сам
.
- Сообщения
- 13,412
- Реакции
- 6,553
через поиск в магазине нету, а через гугол таки нашёл Стартовая и поиск Hi.Ru
то есть как понимаю, что бы вы в настройках не выставили, всё равно вам откроют этот сайт с вирусами.
- Сообщения
- 2,779
- Реакции
- 2,464
regist, так если галочку hi.ru не ставить, то ничего и нет в системе.
Решил глянуть, установил Reg Organizer 7.16 Final RePack (& Portable) by KpoJIuK
Antivirus scan for 93f64fd584e1abdb4fd3c54ac1e1bd25911353258bccfa14a975a2e41ea157e9 at 2015-11-15 18:01:11 UTC - VirusTotal
реестр порыл, где что вредоносное ?!
Не хочу защищать, но мало ли что не пихают другие разрабы в свои детища.... мама не горюй... (если не выбрать расширенные опции установки)
К примеру взять продукты от майл груп. и другие типа их.
Решил глянуть, установил Reg Organizer 7.16 Final RePack (& Portable) by KpoJIuK
Antivirus scan for 93f64fd584e1abdb4fd3c54ac1e1bd25911353258bccfa14a975a2e41ea157e9 at 2015-11-15 18:01:11 UTC - VirusTotal
реестр порыл, где что вредоносное ?!
Не хочу защищать, но мало ли что не пихают другие разрабы в свои детища.... мама не горюй... (если не выбрать расширенные опции установки)
К примеру взять продукты от майл груп. и другие типа их.
- Сообщения
- 13,412
- Реакции
- 6,553
по крайней майл.ру не заражает ярлыки установленных у тебя программ, а остальное можно удалить через установку и удаление программ. А тут представь запускаешь любой браузер, а у тебя открывается hi.ru
Точней если внимательно следить и снимать её. А много людей за этим следят?
Читай внимательней описание действий вируса, в реестре разве только настройки IE. А остальное в настройках браузера и ярлыках. Ну и ещё в реестре расширения Хрома, но это надо знать что искать, а не тупо адресу сайта.
vladimir-semenovv
Новый пользователь
- Сообщения
- 1
- Реакции
- 0
Добрый день! Подскажите пожалуйста, в кроликовских репаках, кроме установки этой страницы, от которой можно отказаться, сняв галочку, нет ничего скрытого и опасного?
- Сообщения
- 21,384
- Реакции
- 14,191
Варез опасен сам по себе тем, что никто не знает, что там может зашито и куда передается информация. Но репаки от кролика довольно часто мелькают в разделе лечения. Остальное обсуждать запрещают правила.
Последнее редактирование: