Блог компании «Лаборатория Касперского» / Качайте без спешки

в 10:35, , рубрики: kaspersky, kaspersky lab, антивирусы, ваирусы, касперский, лаборатория касперского, партнерские программы

Доброго дня всем! Сегодня наш старший вирусный аналитик Вячеслав Закоржевский расскажем вам о том, как он попробовал найти в интернете справочник по транзисторам, и что из этого получилось:

Думаю, что подавляющее большинство пользователей пользуются интернетом для скачивания того или иного контента, иногда законного, а иногда и нет. Этим и пользуются злоумышленники. Чтобы наглядно показать, как это происходит, я провел небольшое исследование в боевых условиях.

Начал я с того, что решил попробовать скачать «справочник по транзисторам», для чего воспользовался Google’ом. Появилось ожидаемо много результатов поиска.

<img src="https://www.pvsm.ru/images/37bffb0a14753d09973225ce24de2552.jpg" alt="image"/>

Перехожу по первой ссылке…

image

Вижу на странице несколько ярких надписей с предложением скачать. Решил начать с нажатия по баннеру в нижнем левом углу. Передо мной открылось окно, которое на первый взгляд содержало реальную страницу известного сервиса «Ответы@Mail.ru».

image

Однако если приглядеться, то видно, что эта страница расположена не на официальной странице сервиса otvety.mail.ru/, а на домене с несколько подозрительным названием (начало домена затерто умышленно). Здесь, якобы, девушка задает вопрос о том, где можно найти “справочник по транзисторам”. По структуре предложения можно предположить, что вместо фразы “справочник по транзисторам”, там может содержаться что угодно. И действительно – на это место вставляется то, что передается в параметре “key” через адресную строку (см. скриншот выше). Если забить туда что-то случайное, то получится как-то так.

image

В общем, страница однозначно мошенническая. А в ответ на вопрос девушки идет “совет” перейти на сайт, где получится скачать то, что нужно. Ну и, конечно же, множество положительных “отзывов”. Если перейти по ссылке в ответе, то можно лицезреть предложение скачать файл с названием “справочник по”т`t.,4a,4`c.zip”, но уже на другом домене.

image

Очевидно, что это мошенничество, так как здесь пользователю предлагается отправить СМС или подключить подписку за скачивание заведомо несуществующего файла. Так как нормальный файлообменный сервис, очевидно, проверил бы существование того или объекта.

С одной ссылкой все понятно. При нажатии на ссылку по центру (второй скриншот), через серию редиректов, браузер перейдет на страницу с надписью “Google Files”. Домен в этом случае уже индийский, что тоже не внушает доверия. Я сразу решил проверить, осуществляется ли здесь реальный поиск. Для этого я вбил в строку поиска словосочетание “несуществующий файл”.

image

image

Невероятно, но и такой файл нашелся. Имя файла здесь также содержится в адресной строке, как и в предыдущем примере. Я незамедлительно скачал “Искомый файл” c забавным названием “nesushchestvuyushchiy_fayl.zip.exe” и запустил его на VmWare.

Название неслучайно заканчивается на “.zip.exe”. Это сделано, чтобы у пользователей, у которых включено сокрытие неизвестных расширений, показывалось “nesushchestvuyushchiy_fayl.zip”. Опять же, чтобы вызвать большее доверие.

image

Злоумышленники использовали известный бренд WinZip, чтобы убедить пользователей в легальности такого архива. Как обычно в подобных программах, после нажатия кнопки “продолжить”, будет рисоваться анимация, якобы отражающая процесс распаковки. А в конце будет предложение отправить СМС. Так как понятно, что “несуществующего файла” в архиве быть не может, то очевидно, что он либо пустой, либо будет предлагать какую-нибудь инструкцию по использованию торрент-трекера.

Сам файл занимает 4Мб и написан в Borland C++ Builder. После некоторого анализа файла, было обнаружено, что разработчики активно сопротивляются детектированию со стороны антивирусов. В данном случае не применяются криптор или протектор, а всего лишь меняются строки.

image

На скриншоте я выделил несколько строчек, которые были модифицированы специально. Например, в коде вместо “smstariffs.ru” указано “sm st ari ffs .ru”, вместо “SMS” – “S M_S”. Стоит отметить, что продукты «Лаборатории Касперского» успешно детектят и банят подобные файлы.

Как и за большинством мошенничеств в рунете, за описанной схемой стоят партнерские программы. Ниже я опубликовал скриншот партнерки, ответственной за распространение разобранного зловреда.

image

Особенно радует запрет на распространение архивов на заведомо несуществующие файлы. По моему опыту, он нарушается в подавляющем большинстве случаев.

Что еще можно сказать? Действительно, в интернете можно найти решительно любую искомую информацию и даже скачать ее. Но не следует думать, что всемирная сеть любезно преподнесет все на блюдечке. Нужно быть внимательным и не вестись на уловки злоумышленников: яркие цветные баннеры, на которых указана высокая скорость скачивания и возможность найти любые файлы. Как всегда, не забудьте рассказать об этом родителям или сестренке, которая ищет реферат. Всего хорошего!
Автор:

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js