21.07.2012, 20:19
Wczoraj napisała do mnie znajoma - skarżyła się ,że na jednym z dysków pojawił się program, który zablokował jej ekran i wyświetlał informację w języku angielskim, dotyczącą blokady komputera przez FBI.
Mój kolega informatyk chwalił mi się z kolei,że usuwał klientce wirusa "policję", który także blokując pulpit "domagał się" opłaty za kod odblokowujący. Okazuje się jednak, że takowych problemów jest więcej.
Gdzie ukrywają się te wirusy?
Ja tego nie wiem, ale są znajdowane "na potęgę" i muszą być umieszczone w miejscach ogólnodostępnych i często używanych przez społeczność użytkowników sieci.
O opinię na temat tego szkodnika poprosiłem specjalistę d/s zagrożeń
"Ransomware FakePoliceAlert instaluje sie po przez wejście na strone z tzw.exploit packiem który po przez lukę w oprogramowaniu przejmuje kontrolę nad systemem, ściąga z sieci oraz uruchamia złośliwe oprogramowanie- będzie to widoczne w logach.
Po uruchomieniu dodaje parę wpisów do rejestru np.:
Malware tworzy też pliki i foldery z losowymi nazwami.
Wyłącza proces explorera, ukrywa wszystkie okna i wyświetla komunikat proszący o wniesienie opłaty.
Żeby się tego pozbyć należy przywrócić system z kopii bezpieczeństwa lub użyć specjalnego skryptu do OTLA, bądź narzędzia WindowsUnlocker Kaspersky z Kaspersky Rescue Disk żeby przywrócić zmiany w rejestrze."
Dodatkowo siła Trojana jest podwójna: z jednej strony potrafi "obejśc " heurystykę nieodpornych programów zabezpieczających, z drugiej w momencie infekcji nie możnausunąć go standardową metodą działania (np. antywirusem, który pozwolił działać szkodnikowi w systemie, ale pobrał nowe skuteczne aktualizacje).
Ransom blokuje pulpit i nie pozwala na uruchomienie absolutnie żadnego programu.
Niestety z powodu jego popularności radzę zainwestować trochę czasu w naukę obsługi programów typu HIPS i doinstalować je do swojego zabezpieczenia.
W związku z faktem, że malware ten jest wyjątkowo skuteczny, będzie go zapewne coraz więcej.
Przykładowe screeny z działania :
Dokładnie taki komunikat miała moja znajoma (na komputerze był zainstalowany jeden z topowych antywirusów).
Co ciekawe znany TrustPort blokował uruchomienie wczorajszego sampla...
... wyświetlającego następujący komunikat...
Niestety w przypadku próby wykonania testu "na zainfekowanym systemie" , wirus potrafił uszkodzić nawet Bitdefendera..
Ważnym jest, że zagrożenie jest dużo popularniejsze od LiveSecurity i groźniejsze zarazem. Proszę uważać.
Za pomoc dziękuję tachionowii F4z !
Autor:McAlex
Mój kolega informatyk chwalił mi się z kolei,że usuwał klientce wirusa "policję", który także blokując pulpit "domagał się" opłaty za kod odblokowujący. Okazuje się jednak, że takowych problemów jest więcej.
Gdzie ukrywają się te wirusy?
Ja tego nie wiem, ale są znajdowane "na potęgę" i muszą być umieszczone w miejscach ogólnodostępnych i często używanych przez społeczność użytkowników sieci.
O opinię na temat tego szkodnika poprosiłem specjalistę d/s zagrożeń
[Aby zobaczyć linki, zarejestruj się tutaj]
:"Ransomware FakePoliceAlert instaluje sie po przez wejście na strone z tzw.exploit packiem który po przez lukę w oprogramowaniu przejmuje kontrolę nad systemem, ściąga z sieci oraz uruchamia złośliwe oprogramowanie- będzie to widoczne w logach.
Po uruchomieniu dodaje parę wpisów do rejestru np.:
- HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main “Use FormSuggest” = ‘Yes’
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings “CertificateRevocation” = ’0?
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings “WarnonBadCertRecving” = ’0?
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop “NoChangingWallPaper” = ’1?
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations “LowRiskFileTypes” = ‘.zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;.scr;’
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments “SaveZoneInformation” = ’1?
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer “NoDesktop” = ’1?
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System “DisableTaskMgr” = ’1?
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “[random] .exe”
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “[random] ”
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system “DisableTaskMgr” = ’1?
- HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download “CheckExeSignatures” = ‘no’
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced “Hidden” = ’0?
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced “ShowSuperHidden” = ’0?
Malware tworzy też pliki i foldery z losowymi nazwami.
Wyłącza proces explorera, ukrywa wszystkie okna i wyświetla komunikat proszący o wniesienie opłaty.
- Detailed report of suspicious malware actions:
- Created a mutex named: Local\!IETld!Mutex
- Defined file type created in Windows folder: C:\Windows\explorer_new.exe
- Defined file type created in Windows folder: C:\Windows\jdnmpqrzkxwacfnypbbv.exe
- Defined file type created: C:\ProgramData\jdnmpqrzkxwacfnypbbv.exe
- Defined file type created: C:\ProgramData\ugjuzuaefophikn\jquery.main.js
- Defined file type created: C:\ProgramData\ugjuzuaefophikn\main.html
- Defined registry AutoStart location created or modified: machine\software\microsoft\Windows NT\CurrentVersion\Winlogon\Shell = explorer_new.exe
- Defined registry AutoStart location created or modified: machine\software\microsoft\Windows\CurrentVersion\Run\jdnmpqrzkxwacfn = C:\ProgramData\jdnmpqrzkxwacfnypbbv.exe
- Defined registry AutoStart location created or modified: user\current\software\Microsoft\Windows\CurrentVersion\Run\jdnmpqrzkxwacfn = C:\ProgramData\jdnmpqrzkxwacfnypbbv.exe
- Deleted activity traces
- Detected process privilege elevation
- File copied itself
- Got computer name
- Internet connection: Connects to "62.76.47.158" on port 80.
- Internet connection: Connects to "euro-police.in" on port 80.
- Created a mutex named: Local\!IETld!Mutex
Żeby się tego pozbyć należy przywrócić system z kopii bezpieczeństwa lub użyć specjalnego skryptu do OTLA, bądź narzędzia WindowsUnlocker Kaspersky z Kaspersky Rescue Disk żeby przywrócić zmiany w rejestrze."
Dodatkowo siła Trojana jest podwójna: z jednej strony potrafi "obejśc " heurystykę nieodpornych programów zabezpieczających, z drugiej w momencie infekcji nie możnausunąć go standardową metodą działania (np. antywirusem, który pozwolił działać szkodnikowi w systemie, ale pobrał nowe skuteczne aktualizacje).
Ransom blokuje pulpit i nie pozwala na uruchomienie absolutnie żadnego programu.
Niestety z powodu jego popularności radzę zainwestować trochę czasu w naukę obsługi programów typu HIPS i doinstalować je do swojego zabezpieczenia.
W związku z faktem, że malware ten jest wyjątkowo skuteczny, będzie go zapewne coraz więcej.
Przykładowe screeny z działania :
[Aby zobaczyć linki, zarejestruj się tutaj]
Dokładnie taki komunikat miała moja znajoma (na komputerze był zainstalowany jeden z topowych antywirusów).
[Aby zobaczyć linki, zarejestruj się tutaj]
Co ciekawe znany TrustPort blokował uruchomienie wczorajszego sampla...
[Aby zobaczyć linki, zarejestruj się tutaj]
... wyświetlającego następujący komunikat...
[Aby zobaczyć linki, zarejestruj się tutaj]
Niestety w przypadku próby wykonania testu "na zainfekowanym systemie" , wirus potrafił uszkodzić nawet Bitdefendera..
[Aby zobaczyć linki, zarejestruj się tutaj]
Ważnym jest, że zagrożenie jest dużo popularniejsze od LiveSecurity i groźniejsze zarazem. Proszę uważać.
Za pomoc dziękuję tachionowii F4z !
Autor:McAlex
SafeGroup.pl - Zadbamy o Twoje bezpieczeństwo