Всем добрый день! Сегодня наш старший вирусный аналитик Вячеслав Закоржевский расскажет вам о том, как он пытался найти в Интернете справочник по транзисторам и что из этого вышло: Я думаю, что подавляющее большинство пользователей используют Интернет для скачивания того или иного контента, иногда легального, иногда нет. Этим и пользуются злоумышленники.
Чтобы наглядно показать, как это происходит, я провёл некоторые исследования в боевых условиях.
Я начал с того, что решил попробовать скачать «Справочник по транзисторам», для чего воспользовался Google. Как и ожидалось, появилось множество результатов поиска.
Я перехожу по первой ссылке.
Вижу на странице несколько ярких надписей с предложением скачать.
Я решил начать с нажатия на баннер в левом нижнем углу.
Передо мной открылось окно, в котором на первый взгляд находилась настоящая страница всем известного сервиса «Ответы@Mail.ru».
Однако если присмотреться, то можно увидеть, что данная страница находится не на официальной странице сервиса.
mail.ru , но на домене с несколько подозрительным именем (намеренно стерто начало домена).
Здесь якобы девушка задает вопрос о том, где ей найти «справочник по транзисторам».
Судя по структуре предложения, можно предположить, что вместо словосочетания «справочник по транзисторам» в нем могло быть что угодно.
И действительно, в это место вставляется то, что передается в параметре «ключ» через адресную строку (см.
скриншот выше).
Если туда положить что-то случайное, то получится примерно вот так.
В общем, страница однозначно мошенническая.
А в ответ на вопрос девушки «совет» зайти на сайт, где можно скачать то, что вам нужно.
И, конечно же, множество положительных «отзывов».
Если перейти по ссылке в ответе, то можно увидеть предложение скачать файл под названием «справочник для «t`t.,4a,4`c.zip», но на другом домене.
Очевидно, что это мошенничество, так как здесь пользователя просят отправить СМС или активировать подписку на скачивание.
несуществующий файл .
Так как обычный файлообменник заведомо проверял бы существование того или иного объекта.
С одной ссылкой все понятно.
Когда вы нажмете на ссылку в центре (второй скриншот), через серию перенаправлений браузер перейдет на страницу с надписью «Файлы Google».
Домен в данном случае уже индийский, что тоже не внушает доверия.
Я сразу решил проверить, проводился ли здесь настоящий обыск.
Для этого я ввел в строку поиска фразу «несуществующий файл».
Невероятный , но такой файл тоже был найден.
Имя файла здесь также содержится в адресной строке, как и в предыдущем примере.
Я сразу скачал «Файл, который искал» со смешным названием «несущий_файл.
zip.exe» и запустил его на VmWare. Имя заканчивается на «.
zip.exe» не случайно.
Это сделано для того, чтобы пользователи, у которых включено скрытие неизвестных расширений, видели «несущий_файл.
zip».
Опять же, чтобы вызвать больше доверия.
Злоумышленники использовали известный бренд WinZip, чтобы убедить пользователей в легальности такого архива.
Как обычно в таких программах, после нажатия кнопки «продолжить» будет рисоваться анимация, якобы отражающая процесс распаковки.
И в конце будет предложение отправить СМС.
Поскольку понятно, что в архиве не может быть «несуществующего файла», то очевидно, что он либо пустой, либо предложит какую-то инструкцию по использованию торрент-трекера.
Сам файл занимает 4 МБ и написан на Borland C++ Builder. После некоторого анализа файла выяснилось, что разработчики активно сопротивляются обнаружению антивирусным ПО.
В этом случае не используется ни криптор, ни протектор, а просто меняются строки.
На скриншоте я выделил несколько строк, которые были специально изменены.
Например, в коде вместо «smstariffs.ru» написано «sm st ari ffs.ru», вместо «SMS» — «S M_S».
Стоит отметить, что продукты «Лаборатории Касперского» успешно обнаруживают и блокируют подобные файлы.
Как и большинство мошенничеств в Рунете, за описанной схемой стоят партнерские программы.
Ниже я опубликовал скриншот партнера, ответственного за распространение дизассемблированного вредоносного ПО.
Особенно радует запрет на раздачу архивов с заведомо несуществующими файлами.
По моему опыту, оно нарушается в подавляющем большинстве случаев.
Что еще можно сказать? Ведь в Интернете можно найти абсолютно любую информацию, которую вы ищете, и даже скачать ее.
Но не стоит думать, что Всемирная паутина любезно преподнесет все на блюдечке.
Нужно быть осторожным и не попасться на уловки злоумышленников: яркие цветные баннеры, свидетельствующие о высокой скорости загрузки и возможности найти любые файлы.
Как всегда, не забудьте рассказать об этом родителям или сестре, которая ищет сочинение.
С наилучшими пожеланиями! Теги: #вирусы #Касперский #Лаборатория Касперского #антивирусы #лаборатория Касперского #касперский #каталог #партнерские программы
-
Производительность Без Пощечин
19 Oct, 24 -
Тим Бернерс-Ли Мечтает О Ggg?
19 Oct, 24 -
Выбор Подходящего Облачного Колл-Центра
19 Oct, 24
