Paczki, malware, złośliwe pliki, linki itp.

[byku81]

Bitdefender IS 2013545/60090,8 %

[andrzej76]

AVG IS 2012 - 541/600 (90,2%)

[torello]

Paczka 600 malware 2012-07-17 by tommy:

Treść widoczna jedynie dla zarejestrowanych użytkowników

Tommy bez urazy, ale... znów pojawił się ten fejk AV
Tym razem wyposażyłem IE9 w adblokera
Plik pobierałem z:

Treść widoczna jedynie dla zarejestrowanych użytkowników

Po kliku na link pojawiło się okienko downloadu z autoryzacją.
Po dokonaniu autoryzacji wyskoczyło pop-up z ta reklama:
prawdopodobnie

Treść widoczna jedynie dla zarejestrowanych użytkowników

Następnie poajwił się komunikat, że poprzednia strona chce zainstalować Adobe Flash Player.
Kliknąłem na OK. Po chwili wyskoczył ten ekran: zrzut

Treść widoczna jedynie dla zarejestrowanych użytkowników

teraz próbuję instalować tego trojana fejka
Zobaczymy czy PC AV 2 obroni

A to jest strona z której następuje download tego fejka:

Treść widoczna jedynie dla zarejestrowanych użytkowników

[ELWIS1]

Na tym komputerze z którego właśnie piszę, nie mam żadnego Adblocka. Nic takiego nie wyskoczyło:p

Może NoScript zablokował.

[rafikrafiki]

Tommy bez urazy, ale... znów pojawił się ten fejk AV
Tym razem wyposażyłem IE9 w adblokera
Plik pobierałem z:
Malware:

U mnie nic się nie pojawia. Być może, dodatki spełniają swoją funkcję A co do linku to:

Scan Virustotal:

[Aby zobaczyć linki, zarejestruj się tutaj]

PS: A skanowałeś system innymi skanerami, może masz coś na kompie ?

[andrzej76]

Co do tych stron i downloadu tego niby FakeAV to u mnie :

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

ZeroAccess - Sirefef

[Aby zobaczyć linki, zarejestruj się tutaj]

Treść widoczna jedynie dla zarejestrowanych użytkowników

FakeAV - WinWebSec - Live Security Platinum

[Aby zobaczyć linki, zarejestruj się tutaj]

Treść widoczna jedynie dla zarejestrowanych użytkowników

[andrzej76]

AVG- brak interwencji , milczy.

[torello]

Ani Panda ani antywir w Returnil nie dały rady wykryć i pozwoliły na pełną instalacje, bo zostały zablokowane (chyba).
Fejk podczas instalacji wyłączył UAC i zablokował wszystkie skanery: MBAM, HitmanPro Emsi Kit!!!
No tu macie ten link do downloadu. zaczyna się od tego słynnego MSE :

Treść widoczna jedynie dla zarejestrowanych użytkowników

zaraz dam plik instalacyjny... cdn
oto instalka do fejka bez hasła!!! (no password!!!)

Treść widoczna jedynie dla zarejestrowanych użytkowników

[andrzej76]

Mnie przerzuca z Twojego linka na -

[Aby zobaczyć linki, zarejestruj się tutaj]

[torello]

to powinno się pojawić

Treść widoczna jedynie dla zarejestrowanych użytkowników

po otwarciu tego linka

Treść widoczna jedynie dla zarejestrowanych użytkowników

Podsumowując: jednak tysiące userów o małym doświadczeniu i wiedzy łapie takie fejki. Zawsze się dziwiłem jak to się dzieje, że ktoś instaluje fejka AV, skoro jest tyle oryginalnych stron z downloadem.. No ale jeśli wyswietla sie komunikat od firmy budzacej zaufanie (jak M$, to lamer instaluje bez mrugnięcia okiem....

[ELWIS1]

to powinno się pojawić

Treść widoczna jedynie dla zarejestrowanych użytkowników

po otwarciu tego linka

Treść widoczna jedynie dla zarejestrowanych użytkowników

Tam nic nie ma. Przeskanowalem UV i NVT.

[Aby zobaczyć linki, zarejestruj się tutaj]

[F4z]

ZeroAccess - Sirefef

[Aby zobaczyć linki, zarejestruj się tutaj]

Treść widoczna jedynie dla zarejestrowanych użytkowników

KIS 2012 wykrywa przy wypakowywaniu.

[Aby zobaczyć linki, zarejestruj się tutaj]

FakeAV - WinWebSec - Live Security Platinum

[Aby zobaczyć linki, zarejestruj się tutaj]

Treść widoczna jedynie dla zarejestrowanych użytkowników

KIS 2012 po uruchomieniu blokuje.

[Aby zobaczyć linki, zarejestruj się tutaj]

[torello]

Ani Panda ani antywir w Returnil nie dały rady wykryć i pozwoliły na pełną instalacje, bo zostały zablokowane (chyba).
Fejk podczas instalacji wyłączył UAC i zablokował wszystkie skanery: MBAM, HitmanPro Emsi Kit!!!
oto instalka fejka WIndows Home Patron bez hasła!!! (no password!!!)

Treść widoczna jedynie dla zarejestrowanych użytkowników

To okno z Microsoft Secirity to nie jest malware, a służy chyba do przekierowania do właściwego fejka> Po kliknięciu na: Clean computer - uruchamia się właściwy download
A tak sie dzieje po uruchomieniu setup
zrzut:

[Aby zobaczyć linki, zarejestruj się tutaj]

Po uruchomieniu fejka:
zrzut:

[Aby zobaczyć linki, zarejestruj się tutaj]

Po zwezwoleniu na ten proces fejk kosi wszystko i blokuje:
zrzut:

[Aby zobaczyć linki, zarejestruj się tutaj]

[rafikrafiki]

CIS 486/600 = 81%

[buri]

Ani Panda ani antywir w Returnil nie dały rady wykryć i pozwoliły na pełną instalacje, bo zostały zablokowane (chyba).
Fejk podczas instalacji wyłączył UAC i zablokował wszystkie skanery: MBAM, HitmanPro Emsi Kit!!!
oto instalka fejka WIndows Home Patron bez hasła!!! (no password!!!)

Treść widoczna jedynie dla zarejestrowanych użytkowników

To okno z Microsoft Secirity to nie jest malware, a służy chyba do przekierowania do właściwego fejka> Po kliknięciu na: Clean computer - uruchamia się właściwy download
A tak sie dzieje po uruchomieniu setup
zrzut:

[Aby zobaczyć linki, zarejestruj się tutaj]

Po uruchomieniu fejka:
zrzut:

[Aby zobaczyć linki, zarejestruj się tutaj]

Po zwezwoleniu na ten proces fejk kosi wszystko i blokuje:
zrzut:

[Aby zobaczyć linki, zarejestruj się tutaj]

Nawet nie zdążyłem nic z nim zrobić bo PandaC wykosiła. Radzę Ci sprawdzić kompa antywirusem, sprawdzić plik hosts oraz możesz zapodać logi na forum, bo jakoś wierzyć mi się nie chce w tego wira. Drugą sprawą jest, że tutaj większość ma AdBlock, NoScript, wtyczki z blokowaniem podejrzanych stron itp. zabezpieczenia, więc raczej mało komu to grozi. Ani pod Win ani pod Lin nic mi nie wyskakuje na tej stronie oprócz okienka download.

[rafikrafiki]

Podczas przesyłania plików do labu:

CIS 515/600 = 85,8 %

torello pisze:Ani Panda ani antywir w Returnil nie dały rady wykryć i pozwoliły na pełną instalacje, bo zostały zablokowane (chyba).
Fejk podczas instalacji wyłączył UAC i zablokował wszystkie skanery: MBAM, HitmanPro Emsi Kit!!!
oto instalka fejka WIndows Home Patron bez hasła!!! (no password!!!)
Malware:

Co do tego to CIS usuwa:

[Aby zobaczyć linki, zarejestruj się tutaj]

[torello]

dzięki buri, sprawdzę tak jak napisałeś, ale to mało prawdopodbne jest. zawsze pracuje na wirtualu, a poza tym skanuje systematycznie na full takimi jak: HitmanPro, Emsi Kit, MBAM no i aktualnymi testowanymi AV.
Z tym fejkiem to jest tak, ze on maskuje swoją obecność na mediafire i uaktywnia sie tylko przy sobie znanych okolicznościach (zkładając, że tak sie dzieje, jeśli mój komp jest czysty - bez infekcji). Była już o tym mowa (zamieściłem wcześniej link do artykułu). Autor napisał, że jeśli systematycznie korzystasz z mediafire, to powinieneś mieć okazję "to złapać". No ja takie okazję już miałem 2 razy

W takim razie szukam ochotnika. wyłączyć wszystkie zabezpieczenia, zostawić wirtuala i szukać

Acha co do wykoszenia tego instala przez PC AV 2. Minęło już sporo czasu od więc być moze Panda już była bogatsza w wiedzę (kiedyś 3 razy skanowałem jedną paczkę w odstępach 10 minutowych i za każdym razem wykrywała więcej)
Okej, spadam, dobrej nocki wszystkim!

[tommyklab]

@torello, tyle masz zabezpieczeń i dalej coś cię atakuje?

[Aby zobaczyć linki, zarejestruj się tutaj]

Nazwa EasyList
Adres

[Aby zobaczyć linki, zarejestruj się tutaj]

Nazwa EasyPrivacy Tracking Protection List
Adres

[Aby zobaczyć linki, zarejestruj się tutaj]

Nazwa Polskie reklamy na podstawie AdblockList.org
Adres

[Aby zobaczyć linki, zarejestruj się tutaj]

[Adi Cherryson]

Paczka 600 malware 2012-07-17 by tommy:

Ashampoo AM: 505/600 84,17%
Ashampoo AM + MBAM: 594/600 99,00%

ZeroAccess - Sirefef

Ashampoo AM wykrywa.

FakeAV - WinWebSec - Live Security Platinum

Ashampoo AM niestety przepuszcza tego szkodnika. To jego pierwszy taki poważny w skutkach błąd.
Po restarcie MBAM wykrył i usunął.