C:. \ Documents and Settings \ Administrador \ Meus documentos \ Downloads \ filme (1) exe
Komputer pengguna mendapat terinfeksi melalui salah satu dari banyak situs yang mirip dengan yang berikut - situs web yang menawarkan untuk men-download film. Setelah mengklik link download, file exe. Ditawarkan untuk men-download.
Gambar 1 - Contoh situs downloader awalnya download dari
Gambar 2 - Situs web lain dengan kemungkinan melakukan download ini downloader
Dan masih banyak lagi ...
Namun, analisis ini dilakukan pada program download dari
onlinemidia.com/js/id52/arquivo.exe
baixarmidia.com/ids/id32/download.exe
yang tersedia pada saat penulisan blogpost ini.
Hal ini juga layak disebutkan bahwa semua sampel yang dianalisis ditandatangani oleh BR SOFTWARE LLC dan tanda tangan mereka adalah valid.
Setelah men-download dan menjalankan download.exe, ini downloader tidak menampilkan informasi kepada pengguna. Segera mulai menghubungi servernya melakukan download file lain setup.
GET / baixar / Setupb.exe HTTP/1.1
Host: www.midiasetup.com
Dua situs berikut dihubungi untuk memperbarui statistik tentang instalasi.
http://www.midiastats.net/js/id52/stats.htm
http://www.midiastats.net/stats/confirma.htm
Fakta lain yang menarik adalah bahwa semua URL downloader dihubungi yang sangat baru, yang diciptakan baru-baru ini.
midiasetup.com 09-Oct-2012
midiastats.net 08-Okt-2012
onlinemidia.com 03-Oct-2012
baixarmidia.com 03-Oct-2012
Tidak ada tombol (antarmuka pengguna grafis) GUI, yang memberikan pengguna pilihan untuk membatalkan men-download data dari internet. Lihat Gambar 3.
Namun, analisis ini dilakukan pada program download dari
onlinemidia.com/js/id52/arquivo.exe
baixarmidia.com/ids/id32/download.exe
yang tersedia pada saat penulisan blogpost ini.
Hal ini juga layak disebutkan bahwa semua sampel yang dianalisis ditandatangani oleh BR SOFTWARE LLC dan tanda tangan mereka adalah valid.
Setelah men-download dan menjalankan download.exe, ini downloader tidak menampilkan informasi kepada pengguna. Segera mulai menghubungi servernya melakukan download file lain setup.
GET / baixar / Setupb.exe HTTP/1.1
Host: www.midiasetup.com
Dua situs berikut dihubungi untuk memperbarui statistik tentang instalasi.
http://www.midiastats.net/js/id52/stats.htm
http://www.midiastats.net/stats/confirma.htm
Fakta lain yang menarik adalah bahwa semua URL downloader dihubungi yang sangat baru, yang diciptakan baru-baru ini.
midiasetup.com 09-Oct-2012
midiastats.net 08-Okt-2012
onlinemidia.com 03-Oct-2012
baixarmidia.com 03-Oct-2012
Tidak ada tombol (antarmuka pengguna grafis) GUI, yang memberikan pengguna pilihan untuk membatalkan men-download data dari internet. Lihat Gambar 3.
Gambar 3 - Downloader GUI tanpa kemungkinan untuk mengakhiri proses download
Setelah file baru ini (setupb.exe) di-download, itu dijalankan dan beberapa file yang disalin ke c: \ Program Files \ Acelerador de Downloads \ (lihat Gambar 4).
Gambar 4 - Daftar file yang dibuat dalam direktori "Acelerador Downloads de"
Registro1.exe dan launcherb.exe mendapatkan segera dieksekusi dan instalasi toolbar Babel ditawarkan kepada pengguna.
Pengguna diberi pilihan untuk menginstal atau tidak menginstal toolbar.
Jika pengguna memilih untuk tidak menginstal Toolbar Babel, toolbar tidak ada selesai dipasang, tapi paket instalasi sedang dijalankan, yang ditunjukkan pada Gambar 5. Dalam file log Selain di Application Data \ Babel \ log_file.txt dibuat dan permintaan beberapa babylon.com dilakukan (Gambar 6). Kami menganggap ini sebagai non-standar perilaku. Jika pengguna memilih TIDAK UNTUK MENGINSTAL, tidak ada yang harus diinstal, situs web tidak harus dihubungi dan tidak ada file harus ditinggalkan di / nya komputernya.
Pengguna diberi pilihan untuk menginstal atau tidak menginstal toolbar.
Jika pengguna memilih untuk tidak menginstal Toolbar Babel, toolbar tidak ada selesai dipasang, tapi paket instalasi sedang dijalankan, yang ditunjukkan pada Gambar 5. Dalam file log Selain di Application Data \ Babel \ log_file.txt dibuat dan permintaan beberapa babylon.com dilakukan (Gambar 6). Kami menganggap ini sebagai non-standar perilaku. Jika pengguna memilih TIDAK UNTUK MENGINSTAL, tidak ada yang harus diinstal, situs web tidak harus dihubungi dan tidak ada file harus ditinggalkan di / nya komputernya.
Figure 5 – List of running processes after choosing not to install Babylon Toolbar
Gambar 6 - Bukti menghubungi Babylon.com
Kemudian, pemasangan dealply ditawarkan, namun tidak ada pilihan untuk memilih untuk tidak menginstal plugin ini.
Setelah mengklik untuk melanjutkan, jendela Firefox baru dibuka dan sistem meminta pengguna untuk mengkonfirmasi instalasi ekstensi Firefox DealPly.xpi. Pengguna dapat membatalkan instalasi plugin dan tidak ada instalasi dilakukan. Dealply.com adalah website dengan reputasi buruk.
Ada juga satu jendela lebih disebabkan oleh registro1.exe program. Jendela seperti yang ditunjukkan pada Gambar 7 ditampilkan kepada pengguna. Hal ini mendorong pengguna untuk berlangganan dan menerima pesan SMS setiap hari ke ponsel mereka, harga biaya premium. Ketika pengguna mencoba untuk memindahkan jendela keluar dari tengah layar, maka secara otomatis mengembalikan posisinya kembali ke tengah layar.
Setelah mengklik untuk melanjutkan, jendela Firefox baru dibuka dan sistem meminta pengguna untuk mengkonfirmasi instalasi ekstensi Firefox DealPly.xpi. Pengguna dapat membatalkan instalasi plugin dan tidak ada instalasi dilakukan. Dealply.com adalah website dengan reputasi buruk.
Ada juga satu jendela lebih disebabkan oleh registro1.exe program. Jendela seperti yang ditunjukkan pada Gambar 7 ditampilkan kepada pengguna. Hal ini mendorong pengguna untuk berlangganan dan menerima pesan SMS setiap hari ke ponsel mereka, harga biaya premium. Ketika pengguna mencoba untuk memindahkan jendela keluar dari tengah layar, maka secara otomatis mengembalikan posisinya kembali ke tengah layar.
Gambar 7 - Penawaran dari berlangganan layanan SMS premium
Ketika pengguna mencoba untuk menutup jendela ini, ia / dia segera diarahkan ke situs web seperti pada Gambar 8. Website ini juga memiliki reputasi buruk. Menurut keterangan, ia menawarkan kemungkinan untuk men-download dengan kecepatan premium dari layanan file sharing berbagai.
Figure 8 – Website of file sharing service
Sebagai kesimpulan, kami telah mengajukan downloader sederhana. Ini trik pengguna untuk mendownload dan menjalankan dengan yang menunjukkan dirinya sebagai "film" atau "film". Ini download paket instalasi beberapa dari internet dan menawarkan instalasi berbagai toolbar dan plugin. Tampaknya
bahwa satu-satunya alasan untuk keberadaan adware ini adalah dengan
menginstal toolbar / plugin, karena setiap instalasi sukses menghasilkan
uang pada membayar per install prinsip. Ia juga menawarkan pendaftaran untuk layanan premium SMS dan membuka jendela pop-up. Meskipun
tidak diklasifikasikan sebagai malware yang khas, program seperti ini
mengisi komputer pengguna dengan sampah dan, karena itu, terdeteksi dan
dihapus oleh avast!.
Kami juga mencoba untuk menghubungi perusahaan lain yang produknya atau jasa yang digunakan / diinstal oleh malware untuk mencoba membunuh lebih dekat ke sumbernya.
a) DealPly - mereka menolak untuk memberikan kami dengan rincian pada afiliasi. Kita harus mengambil di account bahwa bisnis ini baik untuk kedua pencipta malware, tetapi juga untuk DealPly yang kemudian monetizes iklan yang ditempatkan oleh toolbar mereka, sehingga cukup dimengerti bahwa mereka tidak suka pertanyaan seperti itu.
b) Babel - jawaban mereka adalah jauh lebih baik dan mereka segera mengakui perangkat lunak adalah penipuan. Mereka juga mengakui bahwa hal ini mendorong mereka 20k dari menginstal setiap hari. Jadi ini bukan operasi kecil.
c) GlobalSign - meskipun tanda tangan digital pada kenyataannya berarti hanya dua hal - bahwa biner tidak dimodifikasi setelah penandatanganan dan bahwa itu diciptakan oleh pemilik sertifikat, tampaknya pengguna sebagai lebih 'legit' dibandingkan binari unsigned. Kami tidak dapat mendapatkan informasi dalam jumlah waktu yang wajar mengenai identitas pencipta perangkat lunak. Tapi orang-orang ini memiliki banyak sertifikat, tidak hanya dari GlobalSign, juga dari GoDaddy.
d) Funmoods - orang-orang jahat berubah dari waktu ke waktu apa untuk menginstal. Jadi kadang-kadang Babel, kadang-kadang Funmoods.
Kami telah melacak selama beberapa minggu. Jumlah versi, binari yang unik, domain (70 +), url, sertifikat berkembang dari waktu ke waktu dan, seperti yang Anda lihat, kita pada dasarnya tidak berdaya dan satu-satunya hal yang bisa kita lakukan adalah untuk mengklasifikasikan ancaman ini dan kemudian membuat tanda tangan lagi dan lagi (atau memilikinya dibuat secara otomatis).
Analisis dilakukan pada file dengan mengikuti Shas:
arquivo.exe B62CB69734067F26773CA53DA3C657670407F1768E689A4E22183CC879C7D1F9
download.exe 1FEE4F8D9C779799DB7EA06E0BFBA542E556FDCC7D853E7C8D37271B1A50CB42
filme.exe 117CF268AA9BE7AD050ACE2E92578A3384A37F66B2EEA687C27943D581296960
Kami juga mencoba untuk menghubungi perusahaan lain yang produknya atau jasa yang digunakan / diinstal oleh malware untuk mencoba membunuh lebih dekat ke sumbernya.
a) DealPly - mereka menolak untuk memberikan kami dengan rincian pada afiliasi. Kita harus mengambil di account bahwa bisnis ini baik untuk kedua pencipta malware, tetapi juga untuk DealPly yang kemudian monetizes iklan yang ditempatkan oleh toolbar mereka, sehingga cukup dimengerti bahwa mereka tidak suka pertanyaan seperti itu.
b) Babel - jawaban mereka adalah jauh lebih baik dan mereka segera mengakui perangkat lunak adalah penipuan. Mereka juga mengakui bahwa hal ini mendorong mereka 20k dari menginstal setiap hari. Jadi ini bukan operasi kecil.
c) GlobalSign - meskipun tanda tangan digital pada kenyataannya berarti hanya dua hal - bahwa biner tidak dimodifikasi setelah penandatanganan dan bahwa itu diciptakan oleh pemilik sertifikat, tampaknya pengguna sebagai lebih 'legit' dibandingkan binari unsigned. Kami tidak dapat mendapatkan informasi dalam jumlah waktu yang wajar mengenai identitas pencipta perangkat lunak. Tapi orang-orang ini memiliki banyak sertifikat, tidak hanya dari GlobalSign, juga dari GoDaddy.
d) Funmoods - orang-orang jahat berubah dari waktu ke waktu apa untuk menginstal. Jadi kadang-kadang Babel, kadang-kadang Funmoods.
Kami telah melacak selama beberapa minggu. Jumlah versi, binari yang unik, domain (70 +), url, sertifikat berkembang dari waktu ke waktu dan, seperti yang Anda lihat, kita pada dasarnya tidak berdaya dan satu-satunya hal yang bisa kita lakukan adalah untuk mengklasifikasikan ancaman ini dan kemudian membuat tanda tangan lagi dan lagi (atau memilikinya dibuat secara otomatis).
Analisis dilakukan pada file dengan mengikuti Shas:
arquivo.exe B62CB69734067F26773CA53DA3C657670407F1768E689A4E22183CC879C7D1F9
download.exe 1FEE4F8D9C779799DB7EA06E0BFBA542E556FDCC7D853E7C8D37271B1A50CB42
filme.exe 117CF268AA9BE7AD050ACE2E92578A3384A37F66B2EEA687C27943D581296960
