hi.ru архив софта с троянами

GvU

Постоянный участник
Сообщения
205
Реакции
316
Не знаю куда написать.Тут на днях попался сайт hi.ru. чем то похож на майл только по проще.под рубрикой софт скачал оперу,чисто проверить что раздают, на вирус толл проверил и только доктор веб показал что троянец.:Dirol:
 
Voldemar2007-72, беглым взглядом там NSIS исталлятор внутри которого оригинальный файл, который хотели скачать + довесок ввиде VBS скрипта для подмены стартовой страницы и поисковой системы в браузере на этот сайт + батник который завершает процессы браузеров chrome.exe, firefox.exe, opera.exe, amigo.exe. Вердикт в общем и так ясен - малвара. Спасибо за ссылку.
В вирлабы файл разослал, пока детект только у доктора Trojan.StartPage1.4983
Antivirus scan for 963ece8772146104c4d5d814d6401fb3d529aab4b4208376be78648ee5d9918c at 2014-12-10 13:10:38 UTC - VirusTotal
Antivirus scan for a5cb5defe7ab4100d6531c26b277a1fbc272ed4f461506ca12fef070416b12bd at 2014-12-10 12:46:04 UTC - VirusTotal

[fieldset=Информация]Если ваша система уже заражена этой дрянью, то вы можете вылечиться от неё в разделе Лечение компьютерных вирусов.[/fieldset]
 
Последнее редактирование:
довесок ввиде VBS скрипт для подмены стартовой страницы и поисковой системы в браузере на этот сайт
++ смена опции браузеров на "Открывать последнюю сессию".
и регистрация стороннего не-вредоносного компонента для парсинга INI-файлов.
 
Dragokas, я потом запустил этот файл, там при запуске ещё очень длинное лицензионное соглашение и судя по концовке с компанией Adobe :Sarcastic:.
 
Еще хотел добавить ,что на компе 2 системы, в одной запускаешь,а на второй системе мазила тоже заразилась:Hunter:
 

Вложения

  • Безымянный.JPG
    Безымянный.JPG
    33.7 KB · Просмотры: 206
Раньше я думал, что эту вирусню распространяет только админ сайта. А оказывается и некоторые известные репакеры не прочь подзаработать на троянах.
USB Safely Remove 5.3.8.1233 Repack by KpoJIuK
Begin2Fly.png
 
На киберфоруме в разделе лечения уже видел тему с просьбой вылечить от этой дряни.
Да и забыл дописать, что послал этот компонент в вирлабы, от доктора Веба уже ответ, что будет его детектировать его как VBS.StartPage.34
На киберфоруме в разделе лечения уже видел тему с просьбой вылечить от этой дряни.
и на вирусинфо есть пострадавшие ))).
 
А оказывается и некоторые известные репакеры не прочь подзаработать на троянах.
USB Safely Remove 5.3.8.1233 Repack by KpoJIuK
Наткнулся на ещё одного известного репакера, который в свои репаки пихает туже заразу. Проверял AIDA64 Extreme | Engineer | Business Edition | Network Audit 5.50.3600 Final RePack by Diakov. Выбрал его так как увидел подобные жалобы на него.
Отчёт по самому файлу репаку на вирустотал Antivirus scan for c920756161fa225ff75a6d9d512b7ec1f1a6fb6d760a34e9098194ec9344175f at 2015-11-15 14:44:15 UTC - VirusTotal
Детектов не так много
Bkav W32.HfsAdware.9CC0 20151114
DrWeb Trojan.StartPage1.21935 20151115
McAfee Artemis!944FA1DB5329 20151115
McAfee-GW-Edition BehavesLike.Win32.Suspicious.tc 20151115
Rising NORMAL:Trojan.Clicker.Script.Agent.f!1604598 [F] 20151114
Файл оказался обычным NSIS исталятором, распаковал его на части и снова проверил, ругается только на один файл install.exe.
install.exe также оказался NSIS инсталятором внутри которого две в общем-то безобидные .dll, а подвох кроется в скрипте установки этого файла. В котором и прописан уже знакомый нам по заражённым ярлыкам и т.д. hi.ru
Файл разослал по вирлабом, надеюсь детектов станет больше, а людей использующих репаки (в частности репаки упомянутых авторов) станет меньше.
 
Что касается галочек, при установке какой либо программы, то их хватает и не в зараженных инсталляторах
да ещё и по хлеще.
DrWeb Trojan.StartPage1.21935 20151115:
regist, если вы проводили исследование, можете описать его действия-свойства, какие процессы запускаются в системе. Или это пока новое творение ?
 
Наткнулся на ещё одного известного репакера, который в свои репаки пихает туже заразу.
Интересно, сколько в среднем бабла они(репакеры) поднимают на создании подобных репаков?
 
Последнее редактирование:
regist, если вы проводили исследование, можете описать его действия-свойства, какие процессы запускаются в системе. Или это пока новое творение ?
да, мне это не особо было интересно. Так как это уже разбиралось и описывалось в начале этой темы. Разница тут наверно только в том, что делается не через VBS скрипт, а через NSIS.
Сейчас глянул его бегло, он устанавливает свои расширения в Хром
NSIS:
HKLM Software\Google\Chrome\Extensions\echeiocnbggcacegkopjcllmaglbocni version 0.1
HKLM Software\Google\Chrome\Extensions\echeiocnbggcacegkopjcllmaglbocni update_url https://clients2.google.com/service/update2/crx
HKLM Software\Wow6432Node\Google\Chrome\Extensions\echeiocnbggcacegkopjcllmaglbocni version 0.1
HKLM Software\Wow6432Node\Google\Chrome\Extensions\echeiocnbggcacegkopjcllmaglbocni update_url https://clients2.google.com/service/update2/crx
А также ищет ярлыки от популярных браузеров и добавляет к ним дописку.
Список перебираемых браузеров: Internet Explorer, Google Chrome, Yandex, Opera, Mozilla Firefox, Амиго.
Код:
http://hi.ru/?44
скрипт целиком по понятным причинам я тут не привожу.
 
regist, так ихними репаками "by KpoJIuK и by Diakov" почти все торрент-ресурсы, фалообменники завалены.
Тут нужно по другому вопрос решать (если это действительно идёт вред) то глушить на прямую.
К примеру у diakov есть свой довольно таки большой ресурс.
п.с. просто мысли в слух...
 
если это действительно идёт вред
сходу у нас в разделе лечения две ссылки нашёл:
Решена - В браузере появляются черные прямоугольники мешающие работать
Закрыто - Все веб-страницы недоступны
Во многих темах лечения просто не указано, что там именно от этого лечили.

А также впиши в поисковике фразу: hi.ru вирус и посмотри на кол-во и содержание тем :).

Да и по поиску этого расширения (из свеже-разобранного инсталятора) гугол находит кучу тем и все в разделе лечения правда на других сайтах. В магазине Хрома такого расширения нет. Вывод делай сам :).
 
В магазине Хрома такого расширения нет.
через поиск в магазине нету, а через гугол таки нашёл Стартовая и поиск Hi.Ru :Big Boss:
Быстрый доступ к поиску и другим сервисам Hi.ru
При запуске браузера будет открываться главная страница Hi.ru — с актуальными новостями, доступом к Вашей почте, погоде и пробках в вашем городе. Также будет использоваться поисковая система от Hi.ru
то есть как понимаю, что бы вы в настройках не выставили, всё равно вам откроют этот сайт с вирусами.
 
regist, так если галочку hi.ru не ставить, то ничего и нет в системе.
Решил глянуть, установил Reg Organizer 7.16 Final RePack (& Portable) by KpoJIuK
Antivirus scan for 93f64fd584e1abdb4fd3c54ac1e1bd25911353258bccfa14a975a2e41ea157e9 at 2015-11-15 18:01:11 UTC - VirusTotal
реестр порыл, где что вредоносное ?!
Не хочу защищать, но мало ли что не пихают другие разрабы в свои детища.... мама не горюй... (если не выбрать расширенные опции установки)
К примеру взять продукты от майл груп. и другие типа их.
 
К примеру взять продукты от майл груп. и другие типа их.
по крайней майл.ру не заражает ярлыки установленных у тебя программ, а остальное можно удалить через установку и удаление программ. А тут представь запускаешь любой браузер, а у тебя открывается hi.ru
если галочку hi.ru не ставить
Точней если внимательно следить и снимать её. А много людей за этим следят?
Читай внимательней описание действий вируса, в реестре разве только настройки IE. А остальное в настройках браузера и ярлыках. Ну и ещё в реестре расширения Хрома, но это надо знать что искать, а не тупо адресу сайта.
 
Добрый день! Подскажите пожалуйста, в кроликовских репаках, кроме установки этой страницы, от которой можно отказаться, сняв галочку, нет ничего скрытого и опасного?
 
Варез опасен сам по себе тем, что никто не знает, что там может зашито и куда передается информация. Но репаки от кролика довольно часто мелькают в разделе лечения. Остальное обсуждать запрещают правила.
 
Последнее редактирование:
Назад
Сверху Снизу