कुछ समय पहले मुझे सोशल नेटवर्क की फ्रेंडलिस्ट से वायरस मेलिंग के साथ कोई स्पैम नहीं मिला था, और इस तरह के मेलिंग से लंबे समय तक कुछ भी अनोखा नहीं देखा गया है। लेकिन आज मुझे एक बहुत उत्सुक नमूना मिला।
सबसे पहले, एक पत्र एक व्यक्ति से आया जो मेरे दोस्तों की सूची में है:
एक व्यक्ति के लिए एक असामान्य तरीके से, लेकिन मैंने लिंक का अनुसरण किया, क्योंकि वह बाहरी संसाधनों के लिए नेतृत्व नहीं करती थी। संक्रमण होने पर, हम एक निश्चित एंडी स्मोक की प्रोफाइल देखते हैं, कल सभी को मुफ्त में वोट देने का वादा करते हैं, अगर आप लिंक का अनुसरण करते हैं। चिंताजनक क्या है? यह सही है, लिंक के लिए शॉर्टनर जो इतने लंबे समय तक फ़िशिंग के लिए पहाड़ी के ऊपर इस्तेमाल किया गया है। अब वे हमारे पास आए हैं) लेकिन मेरे लिए व्यक्तिगत रूप से, एक फ्रीबी सामान्य रूप से अपने आप में खतरनाक है।
कट के तहत विवरण)
लिंक पर क्लिक करने पर, एक सतर्क और आरामदायक संपर्ककर्ता हमें फ़िशिंग के खतरों के बारे में चेतावनी देता है, लेकिन हम ऐसी प्रतिकूलताओं से डरते नहीं हैं, हम आगे बढ़ते हैं। हम एक भयानक प्रकार के डोमेन पर पुनर्निर्देशन को पकड़ते हैं:
_http: //dfkdoi**saxasods.ru/rating/
आप तुरंत देख सकते हैं कि यह केवल अशुद्ध बदबू आ रही है क्योंकि संपर्क मॉनिटर के आकार से बंधा नहीं है, और ब्राउज़र विंडो का आकार बदलना सामग्री के अनुपात को खराब नहीं करता है। इसे जोखिम में डालने का कोई कारण नहीं है, अगर आपको एक गुच्छा मिला है, तो सक्रियता नहीं बच सकती है, वर्चुअल मशीन चालू करें और एक सुरक्षित आभासी वातावरण में संदिग्ध पृष्ठ पर वापस लौटें)
जब आप इंस्टॉल बटन पर क्लिक करते हैं, तो एक निश्चित निष्पादन योग्य फ़ाइल, जिसका वजन 27 केबी होता है, डाउनलोड किया जाता है।
यह दिलचस्प हो जाता है। हम देखते हैं, क्या यह पैक है?
- हाँ, upx:
अनपैक, हमें 79 केबी वजन की एक फ़ाइल मिलती है, कंपाइलर प्योरबेसिक है।
अनपैक करने के बाद, दोनों फाइलें कुंवारी को भेजी गईं:
ज़िपित फ़ाइलपैकआइए देखें कि फ़ाइल में किस तरह की गतिविधि है। हम इसे डीबगर में छोड़ते हैं, यह उन कार्यों से देखा जा सकता है जो फ़ाइल अस्थायी निर्देशिका में पथ खोजने और संसाधनों से कुछ निकालने की कोशिश कर सकती है। हम संसाधन देखते हैं:
38.6 kb ऑबफसकेटेड बैट फाइल जो होस्ट्स फाइल में बदलाव लिखती है। अधिक दिलचस्प कुछ भी नहीं है।
कोड डिक्रिप्ट करें (आपको केवल कचरा लाइनें निकालने की आवश्यकता है):
यह पता चला है कि सूचीबद्ध साइटों में से एक की यात्रा अब हमलावर के पृष्ठ पर जाएगी। हम वहां क्या देखेंगे?
उदाहरण के लिए, VKontakte को लें: एक पूरी तरह से सामान्य पृष्ठ जो संदिग्ध नहीं है। डेटा दर्ज करें - हम पासवर्ड को बदलने के सुझाव के साथ हैकिंग की एक पूरी तरह से निर्दोष, संदिग्ध अधिसूचना देखते हैं। हम पासवर्ड को बदलने और पृष्ठ सत्यापन के लिए भुगतान करने के लिए इस प्रस्ताव को प्राप्त करने की कोशिश कर रहे हैं:
भुगतान 100 रूबल की संख्या +79057599377 है।
अभियोजक ऐसे नंबरों की सुरक्षा के लिए बीलाइन कर्मचारियों को कब बंद करेंगे?
वास्तव में बस इतना ही। Olly Debuger या IDA Disassembler से फैशनेबल स्क्रीनशॉट नहीं होंगे, वे यहां क्यों हैं, अगर सब कुछ सामान्य है)
निष्कर्ष:
1) मुफ्तखोरी नहीं होती
2) आप असंगत लिंक का पालन नहीं कर सकते हैं, भले ही वे आपके परिचित व्यक्ति द्वारा भेजे गए हों, जब तक कि आप लिंक की वैधता या किसी मित्र की पवित्रता के बारे में आश्वस्त न हों।
यदि आप पहले से ही एक समान वायरस से संक्रमित हैं तो क्या करें?मुख्य बात - किसी भी मामले में हमलावरों को पैसा न भेजें। यह बस मदद नहीं करता है।
दूसरा - नोटपैड या किसी पाठ संपादक में निम्न फ़ाइल खोलें:
C: \ Windows \ System32 \ ड्राइवरों \ etc \ मेजबान(व्यवस्थापक अधिकार आवश्यक)और इसकी सभी सामग्रियों को हटा दें, फ़ाइल को सहेजें और प्रभावित संसाधनों से पासवर्ड बदलें।