Csaló szoftver: Win32/Defru

CH azonosító

CH-11548

Angol cím

Rogue:Win32/Defru

Felfedezés dátuma

2014.08.05.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

Ez a biztonsági oldalnak álcázott weboldal úgy tesz, mintha kártékony szoftverek után kutatna a számítógépen, gyakran sok fertőzést találva. Ezek után pénzt próbál meg kicsalni annak érdekében, hogy megtisztítsa a PC-t.

Ezek a találatok azonban hamisak, mivel a program nem antivírus vagy antimalware kereső. Kizárólag arra lett készítve, hogy a becsapott felhasználók pénzt küldjenek a program készítőjének. A weboldalak hivatalos termékneveket és logókat tartalmaznak, melyek jogtalanul testesítik meg a Microsoft termékeket.

Amikor a becsapott felhasználó fizet, nem történik semmi, mivel a számítógép nincs megfertőzve azokkal a kártékony kódokkal, amiket a program “észlel”.

Leírás

A kártékony kód bemásolja magát az  %APPDATA%  könyvtárba w1ndows_<four characters>.exe fájlnév formával, pl. w1ndows_33a0.exe.

Módosítja a következő regisztrációs bejegyzést annak érdekében, hogy automatikusan indulhasson a bejelentkezést követően:

A “HKCUSoftwareMicrosoftWindowsCurrentVersionRun” alatt létrehoz egy bejegyzést a következő néven: w1ndows_<four characters>“, pl. “w1ndows_33a0.exe” az értékét pedig beállítja erre: “<a kártékony kód elérési útvonala és fájlneve>“, pl. %APPDATA%w1ndows_33a0.exe

Miután telepítésre került a szoftver, kapcsolódik a következő kiszolgálóhoz, mely egy “OK” üzenettel nyugtázza a kapcsolat működését: pcdefender.co.vu (82.146.48.21)

Böngésző átirányítás

A program megváltoztatja a host fájlt, hogy átirányítsa a böngészőt a pcdefender.co.vu speciális hamis oldalra. Ezt az oldalt gyakran használják közösségi fejlesztésre hamis antivírus malware-ekhez.

A hamis scanner azt állítja, hogy a következő állományok fertőzöttek:

  • AWCODC32.DLL
  • BANANA.ANI
  • BATCH.EXE
  • COMCTL31.DLL
  • D40_MS.SPD
  • DBLSPACE.BAT
  • DC2250P1.SPD
  • DCIMAN32.DLL
  • DCLPS401.SPD
  • DECPSMW4.DLL
  • E21K3.SYS
  • ELNK3.DOS
  • FONTVIEW.EXE
  • FREECELL.CNT
  • GRPCONV.EXE
  • HP1200C.ICM
  • HPIII522.SPD
  • HPJDUND.HLP

A következő malware fajtákat detektálja (ezek mind hamis detektálások):

  • Adware.Win32.Look2me
  • JS/TrojanDownloader.FraudLoad.NAQ
  • Magic DVD Ripper
  • Trojan Horse IRC
  • Trojan virtumonde
  • Trojan.Fakealert
  • Trojan.Qoologic – Key Logger
  • TrojanDownloader:JS/Renos
  • Trojan-PSW.Win32

A weboldal felajánlja, hogy megtisztítja a rendszert, napi frissítéseket kapunk és hozzáférést a “Windows Security”-hez és “Windows Defender”-hez.

A felhasználó böngészés közben folyamatos átirányítás alatt áll. A következőkben azok a weboldalak találhatóak, melyek biztosan átirányításra kerülnek a fertőzött számítógépen:

  • 101.ru
  • 1tv.ru
  • 2gis.ru
  • 3dnews.ru
  • 4pda.ru
  • accounts.google.com
  • adme.ru
  • admitad.com
  • afisha.mail.ru
  • afisha.ru
  • aif.ru
  • ajax.googleapis.com
  • aliexpress.com
  • allbest.ru
  • anidub.com
  • anonym.to
  • apple.com
  • ask.fm
  • astromeridian.ru
  • auto.ria.com
  • auto.ru
  • auto.yandex.ru
  • avast.com
  • avast.ru
  • avg.com
  • avia.ria.com
  • avira.com
  • avito.ru
  • baby.ru
  • babyblog.ru
  • badoo.com
  • banki.ru
  • baskino.com
  • battle.net
  • battlefield.com
  • bestkino.su
  • bigcinema.tv
  • bing.com
  • bitdefender.com
  • blizko.ru
  • bolshoyvopros.ru
  • bonprix.ru
  • bonprix.ua
  • brb.to
  • career.ru
  • championat.com
  • cityadspix.com
  • clamav.net
  • clamwin.com
  • clip2net.com
  • cloudantivirus.com
  • cnews.ru
  • comodo.com
  • comss.ru
  • coub.com
  • depositfiles.com
  • deti.mail.ru
  • dfiles.com
  • dfiles.ru
  • directadvert.ru
  • dmir.ru
  • dni.ru
  • dojki.com
  • dom.ria.com
  • dom2.ru
  • dota2.ru
  • drive.ru
  • drive2.ru
  • drom.ru
  • drweb.com
  • drweb.ru
  • dr-web.su
  • drweb.ua
  • e1.ru
  • eldorado.ru
  • enter.ru
  • eratransfers.ru
  • eset.ua
  • esetnod32.ru
  • evernote.com
  • ex.ua
  • expert.ru
  • facebook.com
  • farpost.ru
  • fastpic.ru
  • fast-torrent.ru
  • fb.com
  • filehippo.com
  • filmix.net
  • fishki.net
  • fl.ru
  • flickr.com
  • f-lite.ru
  • fontanka.ru
  • fonts.googleapis.com
  • footballhd.ru
  • forex-mmcis.com
  • forum.kaspersky.com
  • forumhouse.ru
  • fotki.yandex.ru
  • fotostrana.ru
  • f-prot.com
  • free.avg.com
  • free-av.com
  • fuxio.net
  • galafinance.com
  • games.mail.ru
  • gazeta.ru
  • get-tune.net
  • gi-akademie.com
  • gidonlinekino.com
  • go.mail.ru
  • google.am
  • google.com
  • google.com.ua
  • google.kz
  • google.ru
  • googleusercontent.com
  • habrahabr.ru
  • hdkinoteatr.com
  • heroeswm.ru
  • hh.ru
  • home.webalta.ru
  • images.yandex.ru
  • imhonet.ru
  • infox.sg
  • inosmi.ru
  • instagram.com
  • iplayer.fm
  • irecommend.ru
  • irr.ru
  • itar-tass.com
  • ivi.ru
  • izvestia.ru
  • jimdo.com
  • job.ru
  • justclick.ru
  • kakprosto.ru
  • kaspersky.com
  • kaspersky.ru
  • kinogo.net
  • kinokrad.net
  • kinopoisk.ru
  • kinozal.tv
  • kommersant.ru
  • kp.ru
  • labirint.ru
  • lady.mail.ru
  • lenta.ru
  • letitbit.net
  • lice-mer.ru
  • lifenews.ru
  • list.ru
  • litmir.net
  • live.ru
  • liveinternet.ru
  • livejournal.com
  • livejournal.ru
  • liveresult.ru
  • livetv.sx
  • livetv.tv
  • lostfilm.tv
  • loveplanet.ru
  • m24.ru
  • mail.google.com
  • mail.ru
  • mamba.ru
  • market.yandex.ru
  • marketgid.ru
  • mcafee.com
  • mediafort.ru
  • meganovosti.net
  • megogo.net
  • microsoft.com
  • minigames.mail.ru
  • mir24.tv
  • mirtesen.ru
  • mk.ru
  • mos.ru
  • moskva.fm
  • msn.com
  • music.yandex.ru
  • muzofon.com
  • mvideo.ru
  • my.mail.ru
  • my-hit.org
  • myvi.ru
  • nanoav.ru
  • neobux.com
  • new-rutor.org
  • news.sportbox.ru
  • news.yandex.ru
  • ngs.ru
  • nn.ru
  • norton.com
  • nova.rambler.ru
  • novayagazeta.ru
  • ntv.ru
  • odnoklassniki.ru
  • ojooo.com
  • ok.ru
  • onclickads.net
  • onlainfilm.ucoz.ua
  • orpoisk.ru
  • otvet.mail.ru
  • otzovik.ru
  • overclockers.ru
  • ovg.cc
  • ozon.ru
  • pandasecurity.com
  • pikabu.ru
  • pinterest.com
  • planeta-online.tv
  • playcast.ru
  • playground.ru
  • poiskm.ru
  • politikus.ru
  • popmog.com
  • pornhub.com
  • pornolab.net
  • pornoload.com
  • pravda.ru
  • prntscr.com
  • profit-partner.ru
  • prostoporno.net
  • r0.ru
  • rabota.ru
  • radikal.ru
  • railnation.ru
  • rambler.ru
  • rbc.ru
  • realty.mail.ru
  • reddit.com
  • redtube.com
  • regnum.ru
  • retre.org
  • rg.ru
  • ria.com
  • ria.ru
  • roem.ru
  • rosbalt.ru
  • rp5.ru
  • rt.com
  • rt.ru
  • ru.clamwin.com
  • ru.msn.com
  • ru.norton.com
  • rugion.ru
  • ruhelp.com
  • rusnovosti.ru
  • rusplt.ru
  • russia.rt.com
  • russia.tv
  • russianfood.com
  • russianpost.ru
  • rusvesna.su
  • rutor.org
  • rutracker.org
  • rutube.ru
  • rzd.ru
  • savefrom.net
  • sbnlife.com
  • search.qip.ru
  • searchengines.guru
  • searchengines.ru
  • seosprint.net
  • sergey-mavrodi.com
  • skladchik.com
  • smotri.com
  • snob.ru
  • soccer.ru
  • sophos.com
  • sovsport.ru
  • sportbox.ru
  • sport-express.ru
  • sprashivai.ru
  • sputnik.ru
  • srclick.ru
  • sru
  • start.qip.ru
  • start.webalta.ru
  • steamcommunity.com
  • steampowered.com
  • stoloto.ru
  • store.steampowered.com
  • subscribe.ru
  • superjob.ru
  • surfingbird.ru
  • svpressa.ru
  • svyaznoy.ru
  • symantec.com
  • t.co
  • t.ru.msn.com
  • tankionline.com
  • tfile.me
  • thepiratebay.se
  • tiu.ru
  • tjournal.ru
  • tnt-online.ru
  • topwar.ru
  • torrentino.com
  • translate.ru
  • tube8.com
  • tumblr.com
  • turbobit.net
  • tutu.ru
  • tv.yandex.ru
  • tvzavr.ru
  • twitter.com
  • ulmart.ru
  • userapi.com
  • utro.ru
  • vedomosti.ru
  • vesti.ru
  • vezuha.me
  • video.yandex.ru
  • vimeo.com
  • viruslab.ru
  • virustotal.com
  • vk.com
  • vk.me
  • vube.com
  • warthunder.ru
  • webalta.ru
  • wildberries.ru
  • wmmail.ru
  • wooman.ru
  • workle.ru
  • worldoftanks.ru
  • xhamster.com
  • xnxx.com
  • xvideos.com
  • ya.ru
  • yadi.sk
  • yahoo.com
  • yandex.com
  • yandex.net
  • yandex.ru
  • yandex.ua
  • yaplakal.com
  • yota.ru
  • youporn.com
  • youtube.com
  • zaycev.net
  • zillya.ua
  • zona.ru
  • zoomby.ru

Amikor a fizetés gombra kattintunk, a böngésző átirányítja a felhasználót a Payeer nevű fizető portálra (payeer.com), ami kiírja a fizetési információkat.

Ez kapcsolódik a galafinance.com weboldalhoz, amelyen megjelenik a “Temporary busy” üzenetet az elemzés során, és jelenleg már nem elérhető.

A káros kód PHP-ban készült és PHP EXE fordítót használ.

Megoldás

Frissítse a vírusirtóját.

Hivatkozások

Gyártói referencia: www.microsoft.com


Legfrissebb sérülékenységek
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
CVE-2024-42327 – Zabbix SQLi sérülékenysége
Tovább a sérülékenységekhez »