Jump to content

Recommended Posts

Posted

Доброго времени суток!

Файл отправленный для анализа был скачан с сайта https:// gk-brains ru/
Ссылка на данный сайт рассылается блогерам, с предложением о сотрудничестве.
Письмо отправлено с адреса *****@*****.tld

Я думаю это массовая рассылка, пожалуйста проанализируйте архив с сайта и файлы в нём, троян (а это 100% троян) содержится в "gb Договор на оказание рекламных услуг.scr", замаскирован под скринсейвер.

Пожалуйста добавьте в базу обнаружения, а так же методику лечения данной угрозы. Знакомый ютубер додумался скачать и запустить. Думаем что делать дальше.

 

Файл отправил для анализа через https://opentip.kaspersky.com/

9144716EDCA4A448BCA5E6CA103A7758B2F839280E128155F68D9BFC9A20EEDF

Возможно я не там создал тему, перенесите пожалуйста в верный раздел.

Очевидно что рассылка идёт прямо сейчас, и будет много жертв.

  • Like 1
Posted

@ARMADA Ссылка детектируется, файл тоже.

Очень смешно сказано про договор в формате scr.) Строго секретный и защищенный договор, в котором даже перед его заключением нельзя изменять содержимое.) Бедные блогеры.)

Screenshot_3.thumb.png.b837a6837ec6a875fbc179fc04750ec3.png

  • Like 1
  • Haha 1
  • The title was changed to Массовая рассылка блогерам, фишинговый сайт gk-brains ru, троян.
Posted

Люди творческие, что поделать ))

Приходится помогать.

  • Like 1
Posted (edited)

Ну это понятно.) На этом одностраничнике куча ошибок в тексте, ссылка на материалы "windows only" (что уже странно), несуществующая ссылка на лицензию, бред про зашифрованный договор... А как после этого всего помешает антивирус? Его же отключат и все - лезет, куда не следует со своими глупыми детектами.) Хозяин - барин, сам знает, что делает.)

Edited by AlexeyK
Posted
1 час назад, ARMADA сказал:

Думаем что делать дальше.

Как минимум просканировать устройство при помощи KVRT и вылечить найденные угрозы. Другое дело, смотря что там за зловред, возможно, что какие-то данные уже утекли.

Posted

Да там всё кричит

"НЕ ЛЕЗЬ! ОНО ТЕБЯ СОЖРЁТ!!"

😃

4 минуты назад, AlexeyK сказал:

Как минимум просканировать устройство при помощи KVRT и вылечить найденные угрозы. Другое дело, смотря что там за зловред, возможно, что какие-то данные уже утекли.

Это понятно, но всё же хочется анализ от профи.

Пока комп выключил, сидит с ноута везде пароли меняет.

  • Haha 1
Posted
2 минуты назад, ARMADA сказал:

всё же хочется анализ от профи

Ничего другого антивирусы и утилиты не сделают. Если есть необходимость просканировать всю систему на наличие зловредных файлов и остатков, то это есть на форуме клуба со сборами логов и выполнением инструкций при необходимости лечения.

Posted

Спасибо!

Продублирую там. Видимо я форумом ошибся )

Posted (edited)
11 минут назад, ARMADA сказал:

Продублирую там.

Там не так устроено. Обязательно нужно собирать логи, соответственно и запускать ОС придется. Можете пролечить сначала с помощью KRD, только не забудьте включить доступ в сеть. Инструкцию по записи образа прочитайте до конца, там важные моменты.

Edited by AlexeyK
Posted
4 часа назад, AlexeyK сказал:

Очень смешно сказано про договор в формате scr.) Строго секретный и защищенный договор, в котором даже перед его заключением нельзя изменять содержимое.)

Уже многие детектируют, кроме MS.
Сайт лучше блокировать через сервис Google, так больше шансов, что сайт будет заблокирован самим браузером при открытии.

Posted
29 минут назад, Friend сказал:

Уже многие детектируют, кроме MS.

Да не сказал бы, что многие.) Когда будет 60/70 - тогда многие.) Это специфичные, видимо, сайт и файл для русского сегмента, поэтому не все еще очнулись. Ну плюс детект на ВТ далеко не всегда равен детекту локально.

32 минуты назад, Friend сказал:

Да это же не фишинг, через форму по идее не прокатит.)

Posted

Файл при запуске ловится эвристикой даже с базами двухмесячной давности и отключенной сетью.

Screenshot_6.thumb.png.5a27277971130a953cc2b5f07b36fc77.png

Posted
9 часов назад, ARMADA сказал:

что оно наделало, что утекло, что заражено.

Как я понял, вредоносный код внедряется в легитимный процесс проводника. После запуска с отключенным АВ запустил быстрый скан, сразу результат в системной памяти. Ну и лечение активного заражения с ребутом справилось. Скрины ниже. Других детектирований не было.

Выше я сообщал, что ловится при запуске, но на самом деле он детектируется и удаляется даже до запуска, просто я запустил файл еще до окончания его фонового скана и удаления.

Спойлер

Screenshot_7.thumb.png.fb3d8bc2435222ed98617b44cd1d11f5.pngScreenshot_8.thumb.png.9c723f54b18f62a897d142882e5b8f59.png

 

Posted (edited)

Если можно, еще комментарий о запуске с другим вендором, движок которого используется некоторыми другими производителями. На текущий момент файл им не детектируется по ВТ. После запуска с отключенной сетью через некоторое время сработала проактивка (active threat control), угроза обезврежена. В данном случае продукт ЛК имеет явное преимущество, т.к. детект до запуска (тут - с помощью эмулятора) всегда лучше, нежели после.🙂

Спойлер

Screenshot_9.thumb.png.bcd7429ab93e9c4236d7a9920194c837.pngScreenshot_10.thumb.png.cfdc570d81b7d4a95eca7637cbe81722.png

 

Edited by AlexeyK
Posted

Спасибо вам за изучение!

Если запустить без антивируса, и дать спокойно "поработать" - после не детектится в системе вообще ничем (кроме изначального файла), а всё же он там присутствует. в той теме описал, но не подробно. Сейчас разбираемся с поддержкой Касперского, не знаю, стоит ли выкладывать детали.  

NikitaDob
Posted

Это хорошо, что Kaspersky и другие антивирусы обнаруживают. Вопрос лишь в том, а сами блогеры-то антивирусами пользуются или же являются сторонниками подхода "живу 5 лет без антивируса и всё норм, антивирусы для лохов"...

  • Haha 1
Posted

Он у него установлен (касперский), но... он его отключил.

Говорю же - люди творческие, тут не про логику )

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now


×
×
  • Create New...