- Dołączył
- 26 Maj 2015
- Posty
- 19243
- Reakcje/Polubienia
- 56075
Naukowcy odkryli stronę internetową, która proponuje narzędzie do czyszczenia PC dla Windows, a w rzeczywistości jest tylko przykrywką dla trojana Azorult.
AZORult to trojan, który po zainstalowaniu próbuje ukraść hasła przeglądarki użytkownika, hasła klienta FTP, portfele kryptowalut, pliki pulpitu i wiele więcej.
Zamiast metody dystrybucji, takie jak spam, zestawy exploitów lub dostarczanie przez inne trojany, napastnicy postanowili utworzyć fałszywe narzędzie systemu Windows z dołączoną witryną internetową i w ten sposób rozpowszechniać trojana.
G-Cleaner
W zeszłym miesiącu BenkowZaloguj lub Zarejestruj się aby zobaczyć!nazwie gcleaner [] info, która reklamowała narzędzie do czyszczenia śmieci systemu Windows o nazwie G-Cleaner lub Garbage Cleaner. Witryna, która jest nadal aktualna, jest dobrze wykonana i wygląda jak każda inna legalna strona promująca program, który stworzyła.
Według strony G-Cleaner lub Garbage Cleaner to narzędzie do usuwania śmieci z systemu Windows, które usuwa pliki tymczasowe, uszkodzone skróty i niepotrzebne wpisy rejestru. Ogólnie rzecz biorąc, jest on promowany jak wszystkie inne narzędzia optymalizacji systemu, które są regularnie oferowane.
Nawet po pobraniu i uruchomieniu programu wygląda on jak niezliczona ilość innych programów czyszczących PC i stwierdza, że przeskanuje komputer w poszukiwaniu niepotrzebnych plików i je usunie.
Po zainstalowaniu programu G-Cleaner pobiera główne składniki fałszywego programu czyszczącego PC i zapisuje je w folderze C:\ProgramData\Garbage Cleaner lub C:\ProgramData\G-Cleaner, w zależności od wersji.
Następnie wyodrębnia plik o losowej nazwie do folderu % Temp% i uruchamia go. Ten plik to składnik złośliwego oprogramowania, który będzie próbował ukraść hasła, dane, portfele i inne informacje z komputera.
Podczas pracy będzie komunikować się z serwerem Command & Control za pomocą skryptu gate.php, jak pokazano na poniższym obrazku. Ponieważ jest to ostatnia komunikacja, zanim się usunie, prześle plik o nazwie Encrypted.zip zawierający zebrane dane z maszyny ofiary.
Możesz zobaczyć komunikację sieciową tego złośliwego oprogramowania w tejZaloguj lub Zarejestruj się aby zobaczyć!.
Mimo że ta witryna i szkodliwe oprogramowanie, które jest wysyłane, ma ponad miesiąc, witryna nadal działa. Jeszcze wczoraj kolejny badacz, JamesWT, odkrył go ponownie, a nawet miesiąc później niewielu producentów antywirusów wykryło go jako złośliwego.
Ta witryna i rozpowszechniane przez nią złośliwe oprogramowanie pokazują, jak ważne jest, aby użytkownicy nie pobieli przypadkowo programów z Internetu.
Zamiast tego użytkownicy powinni zbadać witrynę przed pobraniem i zainstalowaniem programu, aby określić, czy mają dobrą reputację i czy można im zaufać. Nawet wtedy zawsze sugeruje się, aby przesłać program do witryny takiej jak VirusTotal, aby potwierdzić, czy jest to bezpieczne.
Powiedziawszy to, zawsze będzie pewne zamieszanie, ponieważ legalne programy, takie jak mój Rkill, mogą nadal mieć fałszywe alarmy. W takich sytuacjach należy rozważyć wszystkie czynniki, takie jak wiarygodność witryny, opinie i ustne informacje, aby zdecydować, czy należy uruchomić program.
źródło:
Zaloguj
lub
Zarejestruj się
aby zobaczyć!
Saturday at 23:23: 