Андрей-001

Фейк-имитатор сайта ЛК

В этой теме 34 сообщений

Фейк-имитатор сайта ЛК - _www.kaspepsky.ru

На первом скриншоте всеми нами "любимая" реклама от Яндекса, в которой для пользователей и посетителей Anti-Malware заготовлен особый староновогодний сюрпрайз: Анти-вирус Касперского Бесплатно и т.д. и т.п. с доменом и ссылкой перехода на _www.kaspePsky.ru

XfaSepUa.jpg KcKUaILT.jpg

Идём дальше по ссылке и выходим на... чтобы вы думали? Да, именно поддельный ресурс _www.kaspePsky.ru

По дефолту открылась страница "Новогодние подарки" (она же "Пробные версии" если походить по ссылкам).

Обратите внимание на ссылку внизу - она принадлежит предложению "Загрузить полную версию".

KM4uR5yz.jpg Hm643FVN.jpg rTGo5IgV.jpg

Грузим полную версию и смотрим сей ресурс. Оказывается он принадлежит некой Лаболатории Касперского (обратите внимание - Л вместо Р). Проход по ссылкам показал, как вы уже догадались, что сей ресурс это фейк-имитатор с точь-в-точь скопированными страницами официального сайта настоящей Лаборатории Касперского. Разумеется, что некоторых оригинальных страниц там нет, зато на них указано имя регистратора домена.

LTfa8cAm.jpg sv54af2W.jpg lvgZeVbT.jpg 2skVGo2Q.jpg

Фишингеры (или фишингисты?), скопировали страницы (и даже страницу "Мигрируй!" - для смеха что ли?), но не дали ссылки на оригинальные версии продуктов ЛК. Видимо было просто лень скачивать все дистрибутивы и начинять их зловредным кодом. ;)

WHOIS - http://ip-whois.net/whois.php?whois=kaspepsky.ru

domain: KASPEPSKY.RU

nserver: ns3.hosting.reg.ru.

nserver: ns4.hosting.reg.ru.

state: REGISTERED, DELEGATED, UNVERIFIED

person: Artem O Koptev

phone: +79269371927

e-mail: [email protected]

registrar: REGRU-REG-RIPN

created: 2010.12.15

paid-till: 2011.12.15

source: TCI

Last updated on 2011.01.13 14:50:46 MSK/MSD

IP: 92.38.227.7

Имя хоста server19.hosting.reg.ru

Файл дистра от фейк-ЛабоЛатории скачал и разместил в закрытом разделе для желающих попотрошить сей фруктик хотя бы в отместку. Хотя, думаю, что там мало интересного... Хотя это только updater, и что он там ещё докачает - другой вопрос...

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

контактную информацию не указали :(

попользоваться не удалось - перезагружает систему :lol: C:\Windows\reboot.bat (shutdown -r -t 5)

lic.jpg

post-4500-1294897918_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пользователям ЛК данный сайт не страшен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Угу, даже со старыми базами блочит по репутационному сервису.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пользователям ЛК данный сайт не страшен.

Пользователи ЛК туда и не пойдут, так как КАВ у них уже стоит (зачем им что то качать и ставить если у них уже всё скачано и установлено). Туда пойдут потенциальные пользователи ЛК.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

==

Ваш запрос был проанализирован. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении.

Угроза: Trojan.Winlock.2861

==

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пользователям ЛК данный сайт не страшен.
Туда пойдут потенциальные пользователи ЛК.

Более того, внимательно смотрим на первый скрин.

Ссылка от рекламы Яндекса с этим фейком-имитатором проникла не только на наш форум, но и везде, где этот рекламный код внедрён (не только Рунет).

По чести говоря, надо "дать" по "башке" Яндексу за рекламу фейка и непроверку сайтов-участников.

И ещё раз "дать" по "затылку" за количество уникальных показов на протяжении всей сегодняшней ночи (там есть статистика).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
==

Ваш запрос был проанализирован. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении.

Угроза: Trojan.Winlock.2861

==

А что именно добавлено? Непосредственно скачиваемый internetsecurity.updater.exe или дроппаемый explorerr.exe, который как Shell прописывается?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А Винлок ставится при установке фейк-kis или при заходе на сайт?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А Винлок ставится при установке фейк-kis или при заходе на сайт?

При установке

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Файл дистра от фейк-ЛабоЛатории скачал и разместил в закрытом разделе для желающих попотрошить сей фруктик хотя бы в отместку.

Что там потрошить то в этом лолко? Галимый быдло дотнет.

И сайтенг под стать лолке. Паблик директория с payload, срочно качайте odnoklassniki.exe :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Паблик директория с payload, срочно качайте odnoklassniki.exe :)

Запись Trojan.Winlock.2861 не сработала... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Как лечить этот вирус?

Загрузиться с ERD Commander

Удалить файлы %windir%\explorerr.exe и %windir%\system32\explorerr.exe

Восстановить

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

Shell = Explorer.exe

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Загрузиться с ERD Commander

Удалить файлы %windir%\explorerr.exe и %windir%\system32\explorerr.exe

Восстановить

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

Shell = Explorer.exe

+ исправить ключ реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

DisableTaskMgr с 1 на 0

или удалить ключ DisableTaskMgr

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
5. Предоставление информации

5.1 Для повышения уровня защиты информации Пользователя Правообладатель получает информацию об исполняемых файлах и их контрольных суммах.

Определение для этого приложения:

5.2 Эта программа является Windows-баннером. После нажатия клавиши "Все внимательно прочитал, согласен" - этот баннер будет установлен вам на компьютер, вам необходимо будет оплатить сумму в размере 900 руб. (РФ). После чего вам необходимо будет сообщить на моб телефон . После всех этих действий вам будет выслан ключ на указанный мобильный или почтовый ящик, так же антивирус и программа для полной разблокировки.

Несмотря на то что указано в других пунктах!!!!!!

Определение не для этого приложения:

5.3 ПО обрабатывает полученную информацию, исключая данные, относящиеся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), и никак не связывает обрабатываемую информацию с персональными данными Пользователя.

5.4 В том случае, если Вы не хотите, чтобы информация, которую Kaspersky Security Network получает от Пользователя, отсылалась Правообладателю, Вы не должны активировать или должны отключить Kaspersky Security Network.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Уже в "TopDownloads - Лучшие файлы"

_http://http://topdownloads.ru/programs/file/internetsecurity-updater/5741336.htm"]http://topdownloads.ru/programs/file/inter...ter

Отредактировал Mr. Justice
Нарушение п. 11.17 Правил форума

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Уже в "TopDownloads - Лучшие файлы"

_http://topdownloads.ru/programs/file/internetsecurity-updater/5741336.htm"]http://topdownloads.ru/programs/file/inter...ter/5741336.htm

Вот что "ответил" Chrome при попытке скачать:

Virus was detected in the content (virus_detected)

Content contained "Trojan-Ransom.MSIL.FakeInstaller.e" virus. Details: Virus: Trojan-Ransom.MSIL.FakeInstaller.e; File: internetsecurity.updater.exe; Sub File: Memory region//Kaspersky internet security 2011 .msi//Data1.cab/explorerr.exe2; Vendor: Kaspersky Labs; Engine error code: 0x80014005; Engine version: 8.0.1.23; Pattern version: 110114.044200.4630534; Pattern date: 2011.01.14 04:42:00

For assistance, contact your network support team.

Your request was categorized by Blue Coat Web Filter as 'Suspicious'.

If you wish to question or dispute this result, please click here.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вот что "ответил" Chrome при попытке скачать:

Virus was detected in the content (virus_detected)

Content contained "Trojan-Ransom.MSIL.FakeInstaller.e" virus.

О, в Хроме наш движок :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ответ Авиры:

Файл 'internetsecurity.updater.exe' отмечен как 'MALWARE'. Наши аналитики присвоили этой угрозе название TR/FakeAVInstaller.K.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я не понимаю, а чего все так задр..., т.е. откуда такой ажиотаж? Это что-то инновационное?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Это что-то инновационное?

А то, разработчики в Сколково сидят.. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS