Перейти к содержанию
AM_Bot

Злоумышленники используют сервис «Google Группы» для распространения вирусов

Recommended Posts

AM_Bot

12 мая 2010 года

Компания «Доктор Веб» – известный российский разработчик средств информационной безопасности – предупреждает о том, что злоумышленники начали использовать популярный сервис «Google Группы» для распространения вредоносных программ. На компьютеры жертв могут, в частности, проникнуть модификации семейства троянцев Trojan.Fakealert.

Начинается все с того, что пользователь получает по электронной почте спам-сообщение, содержащее в себе ссылку на файл, который выложен в одной из специально подготовленных злоумышленниками групп Google. В письме могут использоваться различные методы социальной инженерии, вынуждающие пользователей скачать файл. Например, может сообщаться о том, что изменились параметры доступа к электронной почте, и пользователю необходимо скачать инструкции перед тем, как вносить изменения. Либо что почта пользователя была взломана, в связи с чем также предлагается воспользоваться специальными инструкциями.

01.jpg

После того как жертва злоумышленников проходит по ссылке, в браузере открывается окно со ссылкой непосредственно на вредоносный файл. За ним могут скрываться, в частности, модификации Trojan.Fakealert, которые являются лжеантивирусами.

03.jpg

По истечении нескольких часов после прохождения спам-рассылки при попытке открыть такую ссылку в браузере сервис «Google Группы» сообщает пользователю о том, что страница, которую тот открыл, может содержать спам. Но если пользователь нажмёт кнопку "Я хочу просмотреть содержание", он по-прежнему может скачать вредоносный файл. Таким образом, доступ к вредоносному файлу полностью не блокируется.

04.jpg 05.jpg

Компания «Доктор Веб» рекомендует своим пользователям с осторожностью относиться к сообщениям, которые приходят от неизвестных адресатов, особенно если они касаются параметров доступа к интернет-аккаунтам и другой приватной информации.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
предупреждает о том, что злоумышленники начали использовать популярный сервис «Google Группы» для распространения вредоносных программ

слоупоки

http://www.anti-malware.ru/node/1772

http://www.scmagazineus.com/spam-malware-s...article/116679/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

16 сентября, 2009 :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
MKE
16 сентября, 2009 :lol:

Что смешного? Ну возникла ситуация тогда, потом может затихла, а сейчас снова появилась (может быть еще хуже).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Что смешного? Ну возникла ситуация тогда, потом может затихла, а сейчас снова появилась (может быть еще хуже).

Смежно то, что написано черным по белому:

Компания «Доктор Веб» .... предупреждает о том, что злоумышленники начали использовать популярный сервис «Google Группы»

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      ---------------------------------------------------------
       4.11.8
      ---------------------------------------------------------
       o Управление DNS логом вынесено в отдельные твики, #41 и #42.
         DNS лог работает начиная с Win8 (в ограниченном виде) и с Win8.1 в полном.
         Отключение ведения лога происходит мгновенно во всех системах кроме Windows 10,
         в последнем случае необходимо перезагрузить систему после 42 твика.
         (Win7 и ниже не поддерживается).  
    • demkd
      да, выглядит странно, может быть CommandLineEventConsumer чем-то уже удален, антивирус какой-нибудь неаккуратно поработал.
    • santy
      здесь почему то нет потребителя события c5br1lMhB Consumer = "CommandLineEventConsumer.Name=\"c5br1lMhB\"" что это может быть? скрипт, который был недоступен на момент создания образа? запуск майнера был: C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZYZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON но чем был вызван запуск - не смогли отследить. (зачистили без regt 39)                              IZTVMAIL01_2021-07-30_07-26-53_v4.11.6.7z
    • demkd
      привет, любой запуск процесса отслеживается, не важно что его запустило, дополнительно в wmi-activity разве что dll можно считать, которые подсаживались в wmiprvse.exe, толку только от этого.
    • santy
      Привет. Возможен ли расширенный мониторинг создаваемых процессов через подписки WMI, аналогично тому, как это выполняется сейчас в uVS через твик 39? (т.е. доп. события пишутся системой в лог WMI-Activity.evtx и затем экспортируются нужное в образ автозапуска) или это уже работает сейчас?  
×