Mail.Ruは、コンピューターに感染する新しい方法をテストしています

夜中にノスタルジアに襲われ、うさぎから「Angelica」-「Town」という曲をダウンロードすることにしました。



私は、ビットレートが適切であることを発見し、mp3を選択してダウンロードします 。



しかし、何らかの理由で.exeファイルがダウンロードされました...そして奇妙なアドレスからdls3.moilru.ru/output/.../02/96/6b/9f/audio/varum_anzhelika_-_gorodok_zaycev_net.exe

なんてナンセンスだと思う。





.rar形式を選択すると、同じファイルがダウンロードされます。.exeファイルのサイズは160KBです。



ドメインごとにwhoisを実行し、以下を取得します。

domain: MOILRU.RU nserver: ns1.reg.ru. nserver: ns2.reg.ru. state: REGISTERED, DELEGATED, UNVERIFIED person: Private Person registrar: REGRU-REG-RIPN admin-contact: http://www.reg.ru/whois/admin_contact created: 2013.05.13 paid-till: 2014.05.13 free-date: 2014.06.13 source: TCI
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

おっと！ フレッシュ！



ファイルをVirusTotalにアップロードし、ファイルに関するレポートを取得します。



ファイルプロパティのスクリーンショット。





実行可能ファイルがmp3の代わりに揺れるあらゆる場所で、選択的に他のコンポジションを突く。



ダウンロードしたファイルのサイズは異なりますが、全員にmail.ru証明書の署名があります。



私のユーザーエージェント：

 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:21.0) Gecko/20100101 Firefox/21.0
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

Androidに変更します。 m.zaycev.netへのリダイレクトがすぐに実行され、通常のmp3が既にスイングしています...



わあ！

彼は夜に音楽を聞いた。



コメントは別の記事を思い出しました。



PS私は修辞的な質問をします-どうすればmail.ru証明書のない多くの異なるファイルに署名できますか？



PPSはIPサイト、DNS、およびゲートウェイプロバイダーをチェックしました-なりすましはありません。 2番目のウイルス対策ソフトでチェックされました-クリーン。

更新する

（12時間後）：



配布ドメインがdownloader.comに変更され、URL形式が変更されました。

 http://dwnloader.com/MjU1NTtodHRwJTNBJTJGJTJGZGwuemF5Y2V2Lm5ldCUyRjExNWE3ZGY2LTE4NjMtNGQxNy1iOWRjLWM5MTI0ZGIwZGVkOCUyRjE2NTA1JTJGMTY1MDUxOCUyRm5hdGFsaV8tX29fYm96aGVfa2Frb3lfbXV6aGNoaW5hXyh6YXljZXYubmV0KS5tcDM7bmFtZT1uYXRhbGlfLV9vX2JvemhlX2tha295X211emhjaGluYV8oemF5Y2V2Lm5ldCkubXAzO3NpemU9ODY1MDc1Mjt0eXBlPW1wMw==
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

少し後に、ドメインが再びdawnloader.ru（78.140.165.153）に変更されました

2日後、dwnloader.net（46.254.18.232）に変更されました。



ダウンロードが発生する他のドメインにリダイレクトするもの：

 vengera.ru savtopo.ru dojdipo.ru astonka.ru hkovma.ru owsezam.ru gudlet.ru pilagi.ru zyankokhi.ru iqtaxib.ru goditsa.ru ekzofo.ru rfaksa.ru liqra.ru skachatfayl.ru dwnloader.net
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

これらのドメインは、torrentino.comへの訪問者への感染にも関与しています。

それらはすべてIP 146.255.192.214にあります。 データセンターはabyuzyに応答しません:(



mail.ruからの証明書によって署名された同じファイル内。

私はウクライナにいるので、おそらくペンタゴンLLCによって署名されたファイルが渡されないのはこのためです。

更新する

（16時間後）

ジャンプで碑文が現れました：

ファイルは、パートナーのMail.ruとRamblerから特別なローダー （トロイの木馬）を使用してダウンロードされます。 ブートローダーの起動はコンピューターにとって絶対に安全です。これはデジタル署名によって確認されますが、ウイルス対策の誤検知は可能です。

私は翻訳します：Kaspersky Labに同意しました。これらのファイルをトロイの木馬とはみなしません。



そして、ディストリビューターからの応答を受け取りました：



From：Nikolay nik [a] openprog.ru

ブートローダー（おそらくウイルスが含まれている）について苦情を言っています。



これにより、偽陽性の応答があることをお知らせします。 ファイル自体は、コンテンツをダウンロードするためのHTTPクライアントに過ぎず、ウイルスではありません。 このファイルは、その製造元であるMail.Ru社によってデジタル署名されており、Mail.Ruサーバー上にあり、このファイルの起源と信頼性をさらに確認しています。



一部のウイルス対策のヒューリスティックアナライザーは、このファイルの内部構造とアクションによってトリガーできますが、トリガーされたデータが偽であることを保証します。



サーバーから配布されるファイルについて質問がある場合は、nik [a] openprog.ruにそれらについて書いてください。

また、IPが不足しており、データセンターから新しいIPを注文しました:(