Прочитал интересную новость на Securitylab.ru j новом заряднике пальчиковых аккумуляторов от Energizer. Как сообщается в ПО, идущем в комплекте содержится вредоносный код троянца. Как всегда отличилась Windows – троянец работает только под этой ОС.  Зарядное устройство работает от USB порта и для его корректной работы требуемое ПО должно быть установлено.

Вредоносный код, присутствующий в устройстве, предназначен для операционной системы Windows и передается на компьютер вместе с управляющим ПО для отображения статуса зарядки аккумулятора. При попадании в компьютер, создается файл Arucer.dll, который привязывается к порту 7777 и принимает через него дальнейшие исполнительные файлы. Троян загружается при каждом включении ПК и остается активным даже когда зарядное устройство уже не подключено к компьютеру.US-Cert рекомендовала пользователям вручную удалить файл Arucer.dll из папки System32 и перегрузить компьютер. Сама Energizer также удалила управляющее ПО со своего сайта. В заявлении компании говорится, что в памяти заурядного устройства находится еще и версия управляющего ПО для Mac OS X. Она не содержит вредоносного программного обеспечения.

Думается мне антивирусы уже имеют в своей базе сигнатуры для этого троянца, но от этого жить становится не легче. В какую бытовую технику на этот раз будет внедрен вредоносный код ? В микроволновку с подключением по ethernet ?

Написать данную статью  меня подтолкнула рассказанная сегодня история.

У моего друга зазвонил телефон. Номер был незнакомый. Назвали по имени и сказали что попали в большую беду. Что светит статья и человек в милиции. И чтоб отмазать нужно купить N-ное количество карточек пополнения Киевстар и принести в условленное место.

Как бы это странно не звучало , но нас тем или иным образом пытаются “развести” на деньги.

При этом методы бывают разные – давят на жалость, заманивают бесплатными звонками, предлагают сэкономить, выиграть приз, получить дополнительные возможности.

Помните – бесплатного сыра не бывает. Разве что, на дегустации в мышеловке.

Мои ТОП 10 “разводов” кидал :

10 место.

Смс с текстом – “Вы выиграли видеокамеру (телевизор, компьютер)” – для получения приза купите 10 пополнений оператора “Х” и вышлите коды этих пополнений на номер с которого пришла эта смс.

9 место.

Вы ХХХХХ-й абонент подключившийся к нашему оператору. Вам предоставляется возможность звонить бесплатно. Для получения приза купите 10 пополнений оператора “Х” и вышлите коды этих пополнений на номер с которого пришла эта смс.

8 место.

Вы кормите паразитов. В последнее время участились нападки этого вируса. На всех страницах выскакивает реклама про хорошее лекарство от паразитов в вашем организме. Лекарство – фарс и выкачка денег.

7 место.

Сервисы в сети по типу ВЗЛОМ сайта вконтакте.ру. Вставьте в оперу определенный код и посмотрите чужие фото. При вставке такого кода вы активируете java-скрипт с чужого сервера, который вытаскивает Ваши cookies, и даже если злоумышленники и не знают вашего пароля они могут спамить от вашего имени.

6 место.

смс с текстом:”  Наконец-то еду на лыжах кататься. Сможешь пару дней за Мурзиком посмотреть?” с номера хххххххх.

Хм. Собственно мне то и не тяжело, но вот незадача номер с которого отправлено сообщение на записан у меня в контактах. И чей же это Мурзик? Не говоря что на выяснения за звонки и смс придется выложить денег.

5 место.

Игры на vkontakte.ru. Флеш-игры и приложения. Валентинки, бои подушками и , конечно, веселый фермер. Как только разработчики вконтакта открыли для публики свой API для разработки приложений только ленивый не написал его. И среди множества таких приложений есть такие , которые за свою работу или для приобретения доп. возможностей просят отправить смс и получить голоса. За эти голоса можно купить овощи или животных и прочее и прочее. Но в этом пункте разговор пойдет не об этом. Приложения работают ТОЛЬКО ПРИ ДОБАВЛЕНИИ их на стену. И при этом ОБЯЗАТЕЛЬНО просят получить доступ к личным данным (друзям, контактам, фотографиям). А вам это не кажеться странным ? Или потом вы не спрашиваете почему от вас идет спам или реклама ? Но ведь вы сами подтвердили что приложению это можно. И запомните НИКОГДА приложение НЕ ДОЛЖНО запрашивать ВАШ ПАРОЛЬ от вконтакта. Так же встречались приложения, которые изменяют файл hosts и блокируют доступ к вконтакту заменяя его хакерским. Где опять же просят отправить смс.

4 место.

Аудио наркотики. Волна немного откатилась, но и то тут то там еще можно встретить рекламу. Суть состоит в прослушивании определенных аудио композиций с набором бинауральных тонов, которые якобы вызывают у человека состояния схожие с действием наркотиков, галлюциногенов или занятий сексом.
Как вы догадались чтобы послушать и получить кайф нужно, конечно же, заплатить.

3 место.

Сервис слежения за мобильными телефонами. Проверь где находится твоя половинка. Прочитай его(ее) смс. Данных сервисов очень много. Все они разные по оформлению и наполнению. Сайты красиво сделаны и не вызывают сомнений. Вот только требуют оплаты путем отправки смс на короткий номер.

2 место.

Мобильный сканер. В последнее время появилось достаточно много рекламы мобильного сканера. Скачайте приложение на свой мобильный телефон и вы сможете увидеть человека без одежды. При этом не гнушаться отправлять код даже на телефоны без камер и поддержки java.

Лидер ТОП 10.

1 место.

Виндовс локеры. Такие вирусы распространяются под видом обновления Adobe flash player или при просмотре эротики. Методы и картинки уже разнообразны до неприличия. Но суть всегда одна : Ваша копия Виндовс нелицензионная и будет заблокирована. Для разблокировки отправьте смс на короткий номер. Сюда так же можно отнести вирусы типа антивирусов. Да да. Вирус выглядит как антивирус. И сообщает что нашел 100 вирусов, но к сожалению время лицензии истекло. Для продолжения отправьте смс :)

Мораль сей статьи :  никогда не спешите отправлять смс.

• Во-первых у вас снимут за них деньги намного превышающие стоимость обычной отправки смс (от 100 до 600 рублей Рроссии, или от 10 до 100 грн).
• Во-вторых очень часто видимого эффекта от этого вы так и не добъетесь, а деньги были потрачены зря.
• В-третьих помните – бесплатный сыр – сами знаете где, но все равно многие при закритие любимого сайта берут в руки телефон.
• В-четвертых устанавливайте антивирусное программное обеспечение. С последними и свежими обновлениями оно не даст попасть вирусам на ваш компьютер.
• В-пятых не забывайте и про обновления самой Операционной системы (будь то Windows или Linux).
• Ну и последнее, но наверно самое важное : никогда и ни при каких случаях не сообщайте мошенникам номер банковской карты и CVV2 ее код.

Удачи ! И не попадайтесь на удочку мошенникам.

Сегодня обнаружил новый вирус Win32/Spy.Ursnif.A
Как видно из таблички ниже – Ни Касперский, ни Dr.Web, ни Avira его не распознают. Nod32 его увидел , но вылечить не смог. А так же не смог даже удалить. По сайту Virustotal.com его признают вирусом 13 из 41 антивируса, а значит игнорировать такую угрозу просто глупо.
Я нашел чистую незараженную Dll-ку. Выкладываю здесь.
termsrv.dll
Распакуйте архив в папку c:\windows\system32 в безопастном режиме или загрузившись с любого загрузочного диска имеющего доступ к системным папкам.

Читать запись полностью »