Перейти к содержанию

Recommended Posts

Сергей Ильин

Все знают, что на softportal.com лучше не ходить, хорошего там не скачаешь.

Вчера попалась ссылка туда, где при клике на подставную кнопку-баннер впаривался файл VuuPC_Setup.exe

Вот его анализ на VT https://www.virustotal.com/ru/file/4b3b5388...0bc77/analysis/

А вот реальные пострадавшие

http://virusinfo.info/showthread.php?t=145702

http://virusinfo.info/showthread.php?t=145206

http://virusinfo.info/showthread.php?t=143155

http://virusinfo.info/showthread.php?t=142971

Интересен файл тем, что он имеет ЭЦП. Вот сертификат:

ClickMeIn Limited

‎12 ‎января ‎2012 ‎г. 4:00:00

‎3 ‎марта ‎2015 ‎г. 3:59:59

CN = VeriSign Class 3 Code Signing 2010 CA

OU = Terms of use at https://www.verisign.com/rpa ©10

OU = VeriSign Trust Network

O = VeriSign, Inc.

C = US

‎01 81 b7 8f a9 8e 62 b3 83 90 01 7b ff a2 5e 8c

По-моему способ распространения под видом другого ПО, а также куча жалоб от юзеров, позволяют сделать однозначный вывод о нежелательного данной поделки и отзыве сертификата. Тогда почему так мало детектов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Вообще всегда по поводу похожего ПО разгораются жаркие споры.

Взять вот MediaGet, по его поводу было проведено АМ особое исследование:

http://www.anti-malware.ru/Threats_Analysi...diaget_analysis

Поведение было признано нормальным, клиент невредоносным.

Чем данный файл отличается от того?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Поведение было признано нормальным, клиент невредоносным.Чем данный файл отличается от того?

Вредоносностью поведения. Я привел ссылки на VirusInfo, где описана симптоматика, - несанкционированная реклама + препятствие удалению. Что-то у не припомню, чтобы MediaGet такое делал. Он был намечен в впаривании тулбара и фокусами при распростанении. VuuPC же по всем признакам явная Adware.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Я конечно понимаю, что тему лучше засрать оффтом про MediaGet, но все же может по теме топика что есть у кого-то? Или пока какой-то вендор не выпустит пресс-релиз, то всех пох? :(

Посты про MediaGet перенесены в другую тему

http://www.anti-malware.ru/forum/index.php?showtopic=21353

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • IThook
      Всем привет)
      Есть сайт, для связи с клиентами используем чат-платформу Talk me. Боты создают огромное количество чатов, у всех одни и те же параметры - РФ айпи, браузер и ОС Windows 10 Chrome 88.4324, почта домена @yandex.ru, разрешение окна 1034х400 (примерное). На скрине примерный такой пользователь -
      https://prnt.sc/1099ayt
      . Пишут 1 сообщение, далее выходят с сайта.
      Выгрузили базу - айпи адреса не повторяются, скорее всего большое количество проксей. Поставил капчу на создание чата, потом защиту на дурака с выбором ответа -
      https://prnt.sc/10996nv
      . Капчу обходили сразу, скорее всего сессию сохраняли, а вот защиту на дурака не проходят до сих пор.
      Стоит защита от ботов, защита траффика по популярным VPN ( сервис Безопасность и развитие ваших web-ресурсов )
      Основная догадка - скорее всего через Silenum атака происходит, потому что полный игнор защиты происходит от ботов.
      Вопрос - как защититься от ботов, чтобы они попадали на сайт, но не могли писать в чаты? Следующий уровень - боты не могли попасть на сайт. Как защититься от Silenum?
    • santy
      проверка по хэшу отдельного файла (из образа автозапуска)
    • demkd
      какая функция проверки конкретно? их там много
    • santy
    • demkd
×