hi.ru архив софта с троянами

[GvU]

Не знаю куда написать.Тут на днях попался сайт hi.ru. чем то похож на майл только по проще.под рубрикой софт скачал оперу,чисто проверить что раздают, на вирус толл проверил и только доктор веб показал что троянец.

 

[regist]

Voldemar2007-72, беглым взглядом там NSIS исталлятор внутри которого оригинальный файл, который хотели скачать + довесок ввиде VBS скрипта для подмены стартовой страницы и поисковой системы в браузере на этот сайт + батник который завершает процессы браузеров chrome.exe, firefox.exe, opera.exe, amigo.exe. Вердикт в общем и так ясен - малвара. Спасибо за ссылку.
В вирлабы файл разослал, пока детект только у доктора Trojan.StartPage1.4983
Antivirus scan for 963ece8772146104c4d5d814d6401fb3d529aab4b4208376be78648ee5d9918c at 2014-12-10 13:10:38 UTC - VirusTotal
Antivirus scan for a5cb5defe7ab4100d6531c26b277a1fbc272ed4f461506ca12fef070416b12bd at 2014-12-10 12:46:04 UTC - VirusTotal

[fieldset=Информация]Если ваша система уже заражена этой дрянью, то вы можете вылечиться от неё в разделе Лечение компьютерных вирусов.[/fieldset]

 

[Dragokas]

довесок ввиде VBS скрипт для подмены стартовой страницы и поисковой системы в браузере на этот сайт

++ смена опции браузеров на "Открывать последнюю сессию".
и регистрация стороннего не-вредоносного компонента для парсинга INI-файлов.

 

[regist]

Dragokas, я потом запустил этот файл, там при запуске ещё очень длинное лицензионное соглашение и судя по концовке с компанией Adobe .

 

[GvU]

Еще хотел добавить ,что на компе 2 системы, в одной запускаешь,а на второй системе мазила тоже заразилась

 

[regist]

Свежие ссылки с отчётом о проверке на VirusTotal:
https://www.virustotal.com/ru/file/...b29caa1b09af4e469a80bfd2/analysis/1419844314/
https://www.virustotal.com/ru/file/...30ad4f3a680258980b7c926c/analysis/1419844795/
https://www.virustotal.com/ru/file/...84e5ce351afb2f598ccc4fe2/analysis/1419844787/
https://www.virustotal.com/ru/file/...45f5590a1f15f4b1c928372d/analysis/1419850340/
https://www.virustotal.com/ru/file/...79f1ae76c3d7ac4163da7d7f/analysis/1419850342/
https://www.virustotal.com/ru/file/...73bf413250da79d005a87674/analysis/1419850447/
https://www.virustotal.com/ru/file/...d027fa37bbe5cd7bbe4552fa/analysis/1419850607/
https://www.virustotal.com/ru/file/...0390a96bdde8650e4c311042/analysis/1419851310/
https://www.virustotal.com/ru/file/...8b7d73587ae562fb02dbd714/analysis/1419851407/
https://www.virustotal.com/ru/file/...918086a8b3bf6272d7252e6e/analysis/1419851818/
https://www.virustotal.com/ru/file/...6528d2721264eac83a40bfed/analysis/1419851840/
https://www.virustotal.com/file/3c1...4cdb0c5421d2ce581c51de12/analysis/1419852090/
https://www.virustotal.com/file/960...f107efedf8208fb0bd1d2d08/analysis/1419852703/
https://www.virustotal.com/ru/file/...50ecc50de54af0864bd54455/analysis/1419853558/
https://www.virustotal.com/ru/file/...e8753f5fb69cec1b9e85ccda/analysis/1419854750/
https://www.virustotal.com/file/932...e62853df8fe8d4c0ec1b304d/analysis/1419855553/

 

[regist]

Раньше я думал, что эту вирусню распространяет только админ сайта. А оказывается и некоторые известные репакеры не прочь подзаработать на троянах.
USB Safely Remove 5.3.8.1233 Repack by KpoJIuK

 

[regist]

На киберфоруме в разделе лечения уже видел тему с просьбой вылечить от этой дряни.
Да и забыл дописать, что послал этот компонент в вирлабы, от доктора Веба уже ответ, что будет его детектировать его как VBS.StartPage.34

На киберфоруме в разделе лечения уже видел тему с просьбой вылечить от этой дряни.

и на вирусинфо есть пострадавшие ))).

 

[GvU]

Еще один сайт тут встретил hxxp://ruprograms.com/microsoft-office-2010.html
https://www.virustotal.com/ru/file/...8e7f7a6588c836cd2a73758a/analysis/1430471461/

 

[regist]

А оказывается и некоторые известные репакеры не прочь подзаработать на троянах.
USB Safely Remove 5.3.8.1233 Repack by KpoJIuK

Наткнулся на ещё одного известного репакера, который в свои репаки пихает туже заразу. Проверял AIDA64 Extreme | Engineer | Business Edition | Network Audit 5.50.3600 Final RePack by Diakov. Выбрал его так как увидел подобные жалобы на него.
Отчёт по самому файлу репаку на вирустотал Antivirus scan for c920756161fa225ff75a6d9d512b7ec1f1a6fb6d760a34e9098194ec9344175f at 2015-11-15 14:44:15 UTC - VirusTotal
Детектов не так много

Bkav W32.HfsAdware.9CC0 20151114
DrWeb Trojan.StartPage1.21935 20151115
McAfee Artemis!944FA1DB5329 20151115
McAfee-GW-Edition BehavesLike.Win32.Suspicious.tc 20151115
Rising NORMAL:Trojan.Clicker.Script.Agent.f!1604598 [F] 20151114

Файл оказался обычным NSIS исталятором, распаковал его на части и снова проверил, ругается только на один файл install.exe.
install.exe также оказался NSIS инсталятором внутри которого две в общем-то безобидные .dll, а подвох кроется в скрипте установки этого файла. В котором и прописан уже знакомый нам по заражённым ярлыкам и т.д. hi.ru
Файл разослал по вирлабом, надеюсь детектов станет больше, а людей использующих репаки (в частности репаки упомянутых авторов) станет меньше.

 

[machito]

Что касается галочек, при установке какой либо программы, то их хватает и не в зараженных инсталляторах
да ещё и по хлеще.
DrWeb Trojan.StartPage1.21935 20151115:
regist, если вы проводили исследование, можете описать его действия-свойства, какие процессы запускаются в системе. Или это пока новое творение ?

 

[shestale]

Наткнулся на ещё одного известного репакера, который в свои репаки пихает туже заразу.

Интересно, сколько в среднем бабла они(репакеры) поднимают на создании подобных репаков?

 

[regist]

regist, если вы проводили исследование, можете описать его действия-свойства, какие процессы запускаются в системе. Или это пока новое творение ?

да, мне это не особо было интересно. Так как это уже разбиралось и описывалось в начале этой темы. Разница тут наверно только в том, что делается не через VBS скрипт, а через NSIS.
Сейчас глянул его бегло, он устанавливает свои расширения в Хром

HKLM Software\Google\Chrome\Extensions\echeiocnbggcacegkopjcllmaglbocni version 0.1
HKLM Software\Google\Chrome\Extensions\echeiocnbggcacegkopjcllmaglbocni update_url https://clients2.google.com/service/update2/crx
HKLM Software\Wow6432Node\Google\Chrome\Extensions\echeiocnbggcacegkopjcllmaglbocni version 0.1
HKLM Software\Wow6432Node\Google\Chrome\Extensions\echeiocnbggcacegkopjcllmaglbocni update_url https://clients2.google.com/service/update2/crx

А также ищет ярлыки от популярных браузеров и добавляет к ним дописку.
Список перебираемых браузеров: Internet Explorer, Google Chrome, Yandex, Opera, Mozilla Firefox, Амиго.

http://hi.ru/?44

скрипт целиком по понятным причинам я тут не привожу.

 

[machito]

regist, так ихними репаками "by KpoJIuK и by Diakov" почти все торрент-ресурсы, фалообменники завалены.
Тут нужно по другому вопрос решать (если это действительно идёт вред) то глушить на прямую.
К примеру у diakov есть свой довольно таки большой ресурс.
п.с. просто мысли в слух...

 

[regist]

если это действительно идёт вред

сходу у нас в разделе лечения две ссылки нашёл:
Решена - В браузере появляются черные прямоугольники мешающие работать
Закрыто - Все веб-страницы недоступны
Во многих темах лечения просто не указано, что там именно от этого лечили.

А также впиши в поисковике фразу: hi.ru вирус и посмотри на кол-во и содержание тем .

Да и по поиску этого расширения (из свеже-разобранного инсталятора) гугол находит кучу тем и все в разделе лечения правда на других сайтах. В магазине Хрома такого расширения нет. Вывод делай сам .

 

[regist]

В магазине Хрома такого расширения нет.

через поиск в магазине нету, а через гугол таки нашёл Стартовая и поиск Hi.Ru

Быстрый доступ к поиску и другим сервисам Hi.ru
При запуске браузера будет открываться главная страница Hi.ru — с актуальными новостями, доступом к Вашей почте, погоде и пробках в вашем городе. Также будет использоваться поисковая система от Hi.ru

то есть как понимаю, что бы вы в настройках не выставили, всё равно вам откроют этот сайт с вирусами.

 

[machito]

regist, так если галочку hi.ru не ставить, то ничего и нет в системе.
Решил глянуть, установил Reg Organizer 7.16 Final RePack (& Portable) by KpoJIuK
Antivirus scan for 93f64fd584e1abdb4fd3c54ac1e1bd25911353258bccfa14a975a2e41ea157e9 at 2015-11-15 18:01:11 UTC - VirusTotal
реестр порыл, где что вредоносное ?!
Не хочу защищать, но мало ли что не пихают другие разрабы в свои детища.... мама не горюй... (если не выбрать расширенные опции установки)
К примеру взять продукты от майл груп. и другие типа их.

 

[regist]

К примеру взять продукты от майл груп. и другие типа их.

по крайней майл.ру не заражает ярлыки установленных у тебя программ, а остальное можно удалить через установку и удаление программ. А тут представь запускаешь любой браузер, а у тебя открывается hi.ru

если галочку hi.ru не ставить

Точней если внимательно следить и снимать её. А много людей за этим следят?

реестр порыл

Читай внимательней описание действий вируса, в реестре разве только настройки IE. А остальное в настройках браузера и ярлыках. Ну и ещё в реестре расширения Хрома, но это надо знать что искать, а не тупо адресу сайта.

 

[vladimir-semenovv]

Добрый день! Подскажите пожалуйста, в кроликовских репаках, кроме установки этой страницы, от которой можно отказаться, сняв галочку, нет ничего скрытого и опасного?

 

[akok]

Варез опасен сам по себе тем, что никто не знает, что там может зашито и куда передается информация. Но репаки от кролика довольно часто мелькают в разделе лечения. Остальное обсуждать запрещают правила.