Još jedan rogue AV - agresivno i ne tako pismeno

• 2Ovo se svidja korisnicima: mcrule, NIx Car
  
  Registruj se da bi pohvalio/la poruku!

Jedna od poslednjih inkarnacija lažnih antivirusa...

Donji screenshot je napravljen nakon automatske redirekcije koja je usledila pri surfanju po jednom sajtu.






Nakon što dođe do redirekcije na rogue stranicu, vrši se lažno skeniranje i pojavljuje se lažni WSC popup - praktično, klik bilo gde unutar stranice browsera pokreće download ovoga:

http://www.virustotal.com/analisis/3867912ea36ced5.....1267454981

Kao što se da zaključiti iz rezultata skeniranja, od ovoga može da vas zaštiti samo pametno klikanje.


Ukoliko bilo kada pri surfanju vidite stranicu koja vrši nekakvo skeniranje, odmah zatvorite browser.

Ukoliko se pojavi upit za preuzimanje (download) ili pokretanje nekog programa (Run), uvek kliknite Cancel.





@autor malware-a: piše se want i searches, ne whant i seraches.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

I da neko pomisli da je prava stvar, malo pregleda samog ekrana i moze primetiti "pismenost" onih koji su "crtali" te windows prozore - napisali su seraches umesto searches, a i nedostatak aera kod mnogih moze da pusti tracak sumnje

• 1Ovo se svidja korisniku: mcrule
  
  Registruj se da bi pohvalio/la poruku!

nije, ljudi koji prvi put sednu za internet s oproštenjem se useru kad počne ovo da igra po ekranu
ali stvarno , izbezume se niste vi to videli, počnu da zovu telefonom kao da je smak sveta

ako se pogleda prozor je prozor i stvarno liči na neki zvanični prozor

a prevod je verovatno takav jer je tvorac najverovatnije iz kine (whant i seraches.)

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Napisano: 01 Mar 2010 21:03

Inače, rogue se zove "Antivir", izgleda kao AVG, daje obaveštenja kao MSE, a sajt mu liči na Pandin.

Dopuna: 01 Mar 2010 23:07

.





Redirekcija sa istog sajta, u Operi podešenoj na "Mask as IE", na Linuksu (kolega FarscapeFan je bio tako divan ), daje ovaj file:

http://www.virustotal.com/analisis/9ea5b78de5135cc.....1267478369

Čak i lošije detekcije nego kod onog prvog.

• 1Ovo se svidja korisniku: mcrule
  
  Registruj se da bi pohvalio/la poruku!

I on onda ovako nekako izgleda , kada mimikuje windows XP


(u procesu ima 10-tak js popup-a koji skroz raspamete )

• 1Ovo se svidja korisniku: mcrule
  
  Registruj se da bi pohvalio/la poruku!

Evo kako je to izgledalo kod mene na Mac OS X ( Leopard 10.5.8 ). Znaci kada se ode na stranicu iz Opere, nista se ne desava, tek kada se promeni da se prijavi kao IE ( kao sto je Farscape zakljucio, a Dr Bora rekao ), onda dolazi do redirekcije, na ovakvu jednu stranicu:



istog trenutka iskace upozorenje da je racunar zarazen i pod napadom i da se treba momentalno uraditi skeniranje koje i "pocinje" istog trenutka, kao sto se i vidi na slici uostalom. Naravno nema tu nikakvog skeniranja sve je to prakticno jedna velika "animacija" ... Kada se ta prva faza "skeniranja" zavrsi, dobijamo izvestaj o "zarazama" i iskace download malog izvrsnog fajla, kao sto se i vidi na slici.



Ako se odbije download, dobijamo za trenutak jednu ovakvu sliku, znaci samo upozorenje na njoj:



Pa onda ponovo iskace poruka da je ono sto moze da se desi na masini uzasno i strano i da sve sto imate neko tamo moze da pokrade. Izgleda ovako:



Eee sada, kada vi odbijete i to upozorenje, ponovo vas vraca na sliku 8 i ponovo se nudi download onog istog fajla i sve tako u krug.

Jedan prosecan korisnik bi se jako tesko snasao u tolikim upozorenjima i popup-ovima, jednostavno sve se odigra jako, jako brzo za minut ili dva .

Treba se cuvati, nema sta ...


Kada sam rekao da je u pitanju animacija gore, jasno se moze videti kako to izgleda sa ovih slika. Ovo sam radio sa Mac OS X-a, tako da nije bilo bojazni da cu se zaraziti, a cela skripta je predstavljena kao da je u pitanju XP ... Hocu reci da je sve unapred zadato ( ovo pricam za one koji su neupuceni, da ne nasedaju ) ... Ali neko iz AMF tima ce to dosta bolje i strucnije objasniti, posto stvar nije za zajebaniciju uopste ...

• 1Ovo se svidja korisniku: mcrule
  
  Registruj se da bi pohvalio/la poruku!

Najinteresantnije je u celoj prici kako je simketu na mac os-u nasao c i d hard disk, lepo ih preskenirao i nasao win32 varijantu virusa, koji su naravno svi redom exe i dll fajlovi...
Jos primetih da i simke i far imaju po 431 trojanca, yeah right...

Mislim da ce veoma uskoro ostali av-ovi kroz updateove srediti "sliku" na virustotalu

• 3Ovo se svidja korisnicima: Piksi, mcrule, NIx Car
  
  Registruj se da bi pohvalio/la poruku!

Citat:Ukoliko bilo kada pri surfanju vidite stranicu koja vrši nekakvo skeniranje, odmah zatvorite browser.

A najbolje je da iščupate komp. kabl i smesta se date u bekstvo Tako ćete uštedeti mnogo muka prijatelju koga stalno cimate da vam "popravi" komp.

Džabe što mi ovde ćaskamo, kad to ne čitaju oni koji su glavne heroine ovakvih priča sa tužnim krajem - naivni kliktači po svemu što se ponudi za kliknuti mišem.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Ja koristim MalwareBytes PRO i nemam AV ali zato mi je tu MALWAREBYTES koji me stiti bolje od drugix AV'a koje sam koristio

• 2Ovo se svidja korisnicima: NIx Car, mcrule
  
  Registruj se da bi pohvalio/la poruku!

Moras da imas AV, u suprotnom ako se suocis sa virusom, razbucace ti sistem u paramparcad i ne samo sistem, rasirice se na sve particije koje imas. Malwarebytes nije u stanju da se izbori sa virusima.