Još jedan rogue AV - agresivno i ne tako pismeno

1

Još jedan rogue AV - agresivno i ne tako pismeno

offline
  • dr_Bora  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 24 Jul 2007
  • Poruke: 12280
  • Gde živiš: Höganäs, SE

Jedna od poslednjih inkarnacija lažnih antivirusa...

Donji screenshot je napravljen nakon automatske redirekcije koja je usledila pri surfanju po jednom sajtu.






Nakon što dođe do redirekcije na rogue stranicu, vrši se lažno skeniranje i pojavljuje se lažni WSC popup - praktično, klik bilo gde unutar stranice browsera pokreće download ovoga:

http://www.virustotal.com/analisis/3867912ea36ced5.....1267454981

Kao što se da zaključiti iz rezultata skeniranja, od ovoga može da vas zaštiti samo pametno klikanje.


Ukoliko bilo kada pri surfanju vidite stranicu koja vrši nekakvo skeniranje, odmah zatvorite browser.

Ukoliko se pojavi upit za preuzimanje (download) ili pokretanje nekog programa (Run), uvek kliknite Cancel.





@autor malware-a: piše se want i searches, ne whant i seraches. Razz



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
offline
  • pixxel  Male
  • Legendarni građanin
  • Pridružio: 21 Jun 2005
  • Poruke: 9091
  • Gde živiš: Tu i tamo...

I da neko pomisli da je prava stvar, malo pregleda samog ekrana i moze primetiti "pismenost" onih koji su "crtali" te windows prozore - napisali su seraches umesto searches, a i nedostatak aera kod mnogih moze da pusti tracak sumnje Wink



offline
  • Pridružio: 30 Dec 2007
  • Poruke: 4759
  • Gde živiš: Niš

nije, ljudi koji prvi put sednu za internet s oproštenjem se useru kad počne ovo da igra po ekranu Shocked GUZ - Glavom U Zid
ali stvarno , izbezume se niste vi to videli, počnu da zovu telefonom kao da je smak sveta Crying or Very sad

ako se pogleda prozor je prozor i stvarno liči na neki zvanični prozor

a prevod je verovatno takav jer je tvorac najverovatnije iz kine (whant i seraches.)

offline
  • dr_Bora  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 24 Jul 2007
  • Poruke: 12280
  • Gde živiš: Höganäs, SE

Napisano: 01 Mar 2010 21:03

Inače, rogue se zove "Antivir", izgleda kao AVG, daje obaveštenja kao MSE, a sajt mu liči na Pandin.

Dopuna: 01 Mar 2010 23:07

.





Redirekcija sa istog sajta, u Operi podešenoj na "Mask as IE", na Linuksu (kolega FarscapeFan je bio tako divan Smile), daje ovaj file:

http://www.virustotal.com/analisis/9ea5b78de5135cc.....1267478369

Čak i lošije detekcije nego kod onog prvog. GUZ - Glavom U Zid

offline
  • Pridružio: 30 Dec 2007
  • Poruke: 4759
  • Gde živiš: Niš

I on onda ovako nekako izgleda , kada mimikuje windows XP Wink


(u procesu ima 10-tak js popup-a GUZ - Glavom U Zid koji skroz raspamete GUZ - Glavom U Zid )

offline
  • Spy
  • Pridružio: 21 Jul 2007
  • Poruke: 9424
  • Gde živiš: Kako kad

Evo kako je to izgledalo kod mene na Mac OS X ( Leopard 10.5.8 ). Znaci kada se ode na stranicu iz Opere, nista se ne desava, tek kada se promeni da se prijavi kao IE ( kao sto je Farscape zakljucio, a Dr Bora rekao ), onda dolazi do redirekcije, na ovakvu jednu stranicu:



istog trenutka iskace upozorenje da je racunar zarazen i pod napadom i da se treba momentalno uraditi skeniranje koje i "pocinje" istog trenutka, kao sto se i vidi na slici uostalom. Naravno nema tu nikakvog skeniranja sve je to prakticno jedna velika "animacija" Very Happy ... Kada se ta prva faza "skeniranja" zavrsi, dobijamo izvestaj o "zarazama" i iskace download malog izvrsnog fajla, kao sto se i vidi na slici.



Ako se odbije download, dobijamo za trenutak jednu ovakvu sliku, znaci samo upozorenje na njoj:



Pa onda ponovo iskace poruka da je ono sto moze da se desi na masini uzasno i strano i da sve sto imate neko tamo moze da pokrade. Izgleda ovako:



Eee sada, kada vi odbijete i to upozorenje, ponovo vas vraca na sliku 8 i ponovo se nudi download onog istog fajla i sve tako u krug.

Jedan prosecan korisnik bi se jako tesko snasao u tolikim upozorenjima i popup-ovima, jednostavno sve se odigra jako, jako brzo za minut ili dva Neutral.

Treba se cuvati, nema sta Very Happy ...


Kada sam rekao da je u pitanju animacija gore, jasno se moze videti kako to izgleda sa ovih slika. Ovo sam radio sa Mac OS X-a, tako da nije bilo bojazni da cu se zaraziti, a cela skripta je predstavljena kao da je u pitanju XP Very Happy ... Hocu reci da je sve unapred zadato ( ovo pricam za one koji su neupuceni, da ne nasedaju ) ... Ali neko iz AMF tima ce to dosta bolje i strucnije objasniti, posto stvar nije za zajebaniciju uopste ...

offline
  • pixxel  Male
  • Legendarni građanin
  • Pridružio: 21 Jun 2005
  • Poruke: 9091
  • Gde živiš: Tu i tamo...

Najinteresantnije je u celoj prici kako je simketu na mac os-u nasao c i d hard disk, lepo ih preskenirao i nasao win32 varijantu virusa, koji su naravno svi redom exe i dll fajlovi...
Jos primetih da i simke i far imaju po 431 trojanca, yeah right...

Mislim da ce veoma uskoro ostali av-ovi kroz updateove srediti "sliku" na virustotalu Very Happy

offline
  • dijica  Female
  • Gazdina mezimica :P
  • Lidija Stojčić
  • doktor medicine; urednica Informacija.rs
  • Pridružio: 13 Maj 2009
  • Poruke: 3104
  • Gde živiš: Niš

Citat:Ukoliko bilo kada pri surfanju vidite stranicu koja vrši nekakvo skeniranje, odmah zatvorite browser.

A najbolje je da iščupate komp. kabl i smesta se date u bekstvo Very Happy Tako ćete uštedeti mnogo muka prijatelju koga stalno cimate da vam "popravi" komp. Wink

Džabe što mi ovde ćaskamo, kad to ne čitaju oni koji su glavne heroine ovakvih priča sa tužnim krajem - naivni kliktači po svemu što se ponudi za kliknuti mišem.

offline
  • Pridružio: 12 Dec 2011
  • Poruke: 7

Ja koristim MalwareBytes PRO i nemam AV ali zato mi je tu MALWAREBYTES koji me stiti bolje od drugix AV'a koje sam koristio

rip
  • argus  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 27 Apr 2008
  • Poruke: 9160
  • Gde živiš: Prokuplje

Moras da imas AV, u suprotnom ako se suocis sa virusom, razbucace ti sistem u paramparcad i ne samo sistem, rasirice se na sve particije koje imas. Malwarebytes nije u stanju da se izbori sa virusima.

Ko je trenutno na forumu
 

Ukupno su 1067 korisnika na forumu :: 41 registrovanih, 11 sakrivenih i 1015 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3466 - dana 01 Jun 2021 17:07

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: amaterSRB, bobomicek, bokisha253, bufanje, cenejac111, DeerHunter, djordje92sm, dolinalima, Dorcolac, DPera, dragoljub11987, dragon986, GAGI, Insan, kib, kunktator, kybonacci, Lieutenant, LUDI, milimoj, Milometer, mkukoleca, Naum T, nebojsag, ObelixSRB, ozzy, Povratak1912, predragc, royst33, S2M, Smajser, stegonosa, Stoilkovic, suton, vathra, virked, vladaa012, yagosh, YugoSlav, |_MeD_|, Žrnov