少し前に、スパムに関する投稿を書きました (そして、警告だけを書きませんでした)。 物語が終わったように見えた...しかし、いや! そして再び、同様の性質の手紙が私に届いた。
こんにちは
Web Design Studio INTINITYがフリーランス労働者の募集を発表
専門分野別:
デザイナー、レイアウトデザイナー、
外国語翻訳者、
コピーライター、リライター、
写真家、アーティスト(photoshopの知識)
代理店やスタジオにも協力を呼びかけます
私たちはあなたの仕事に対してまともな料金を保証します、
タスクはここからダウンロードできます。narod.ru/disk/17519876000/T3.rar.html
当社のウェブサイトwww.intinity.org
デザインスタジオ「INTINITY」
予想どおり、実際には何も変わっていません。
から-火2月02日21:12:02 2010
X-Account-Key:account1
X-UIDL:1265134310870
X-Mozilla-Status:0001
X-Mozilla-Status2:00000000
X-Mozilla-Keys:
リターンパス:<spravka@intinity.org>
受信:[206.190.52.176]から(ポート= 26921 helo = smtp107.biz.mail.re2.yahoo.com)
esmtpを使用したmx20.mail.ru
id 1NcNE5-000NiP-00
XXX@mail.ru; 2010年2月2日火曜日21:11:49 +0300
Received-SPF:なし(mx20.mail.ru:206.190.52.176は、intinity.orgのドメインによって許可も拒否もされません)client-ip = 206.190.52.176; envelope-from=spravka@intinity.org; helo = smtp107.biz.mail.re2.yahoo.com;
X-Mru-BL:0:4:0
X-Mru-PTR:オフ
X-Mru-NR:1
X-Mru-OF:不明(イーサネット/モデム)
X-Mru-RC:米国
受信:(ネットワークから呼び出されたqmail 68778); 2010年2月2日18:11:47 -0000
受信:d54C3F021.access.telenet.be(spravka@84.195.240.33 with login)
SMTPを使用したsmtp107.biz.mail.re2.yahoo.com 2010年2月2日10:11:46 -0800 PST
X-Yahoo-SMTP:OGyL7BeswBAyEJCfyh3zpU0Ux00x
X-YMail-OSG:Z2tGzJUVM1kYtCxOkf2SYY50vDvMU0C6IGaK4cVfIg_cxKJM7Hk1YGKLpn_BnIZo5WKYIk86JSB.UuZoCkugEGVeRy8CGIbg_gltmyjOgzZy5lgKdyKkqXrUQR5QcBBWfeShmMw7mMZSO8hYNZhaGCrvj_aWYFB7AJ1bJQ48NKUs_ByHw4XtN5Y9ZemsZNr0kmZ3DKuPEIFdvv6GSugwxtNbii9LkIrM1_6U0kV_JzhSnzU5odZ_ezmiJ_FAkdr18N_eKDxGB1.diT61FJz7mnxYppQeYWJtQNMwt9KB7oQU5xFn_aFYXEYQczvdRg.Al3GdHatGBxB7Rgdll5.u3PMM.YCXh9Ek.QOCmZru4JZsYE6EEUa.x1bcyxefY4_z9ZethmvaRBQ97m76C.a1tNDpp3yKegdC7RAMMEcv6xb5pTCThzzY1DaTwhhq53F8jvl0vBN.6m60GbbFJettinZ90jha2bBotn8Ny2u2qIpCudretLjemC_SqAIsBU1uGt0W5A6x
X-Yahoo-Newman-Property:ymail-3
メッセージID:<00de97b9-40211-0e898831779861 @ user>
返信先: "Studio \" INTINITY \ "" <spravka@intinity.org>
From: "Studio \" INTINITY \ "" <spravka@intinity.org>
宛先:XXXX@mail.ru
件名:スタジオ「INTINITY」
日付:2010年2月2日火曜日21:11:47 +0300
MIMEバージョン:1.0
コンテンツタイプ:テキスト/プレーン
コンテンツ転送エンコード:8ビット
X優先度:3
X-Mailer:送電ソケットv5.1
X-Spam:検出されません
X-Mras:OK
こんにちは
Web Design Studio INTINITYがフリーランス労働者の募集を発表
専門分野別:
デザイナー、レイアウトデザイナー、
外国語翻訳者、
コピーライター、リライター、
写真家、アーティスト(photoshopの知識)
代理店やスタジオにも協力を呼びかけます
私たちはあなたの仕事に対してまともな料金を保証します、
タスクはここからダウンロードできます。narod.ru/disk/17519876000/T3.rar.html
当社のウェブサイトwww.intinity.org
デザインスタジオ「INTINITY」
。
結局のところ、Yandexはすべての点でスパマー攻撃者に貢献することを決定し、そこには危険なものは何もないことをフレンドリーに報告しています。 ウイルス対策プログラムが何も見つけられなかったように。
ただし、すでに確立されているvirustotal.comは、トロイの木馬が私たちを待っていると報告しています。 そして、トロイの木馬は狭い範囲を標的にしています...
ネットワークからの情報から判断すると:
Trojan-PSW.Win32.WebMoner.j
ルートキット:いいえ
目に見える兆候:メモリ内の無関係なプロセス
クリップボード内のWebMoneyとYandex.Moneyウォレット番号の置換
同義語:Trojan.PWS.Webmonier(DrWEB)
Basicで記述されたトロイの木馬プログラムは圧縮も暗号化もされておらず、サイズは28672バイトです。 ファイルのアイコンと著作権は、TWAIN Windowsコンポーネントとして偽装しているため、偽物です。 起動の場合、次の操作を密かに実行します。
1. WINDOWSフォルダーに実行可能ファイルのコピーを作成します。 実行可能ファイルの名前は、ユーザーのコンピューター上でトロイの木馬が起動される名前に対応します
2.自動実行、キーCurrentVersion \ Run、パラメーターSystemに登録されている
3.起動後、密かにメモリ内に残り、タイマーによってクリップボードの内容をポーリングします。 WebMoneyウォレット番号がクリップボード(Z、E、R、Uで始まり、文字の後の12桁)で検出された場合、トロイの木馬はこの番号を攻撃者のウォレット番号に置き換えます。 この置換を実行するために、ウォレットの対応する番号Z、E、R、およびUは、トロイの木馬プログラムの本文にクリアテキストで設定されます。 さらに、バッファが「4」で始まり13〜14文字を含む番号を検出した場合、トロイの木馬はそれをプログラムで指定された番号に置き換えます。 Yandex.Moneyシステムウォレットの形式が似ていることは簡単にわかります。
したがって、トロイの木馬の動作原理は、支払いを行う際に、ウォレット番号がクリップボードを介してコピーされることが多く、通常、ユーザーは挿入後に複数桁の番号をチェックしないという事実に基づいています。 トロイの木馬は番号を置き換え、ユーザーは正しいウォレット番号をバッファにコピーし、バッファからトロイの木馬プログラムの作成者のウォレット番号を挿入し、それに応じて送金します。
保護技術
保護手法は非常に簡単です。インターネット経由で支払いを行う前に、常に支払いの詳細を制御する必要があります。 そのような制御は、クリップボードへの入力またはコピー中に、ウォレット番号の改ざんおよび置換のさまざまな方法から保護します。
UPD:
YandexとWebmoneyに、それが何であるか(ファイルとそのアクティビティについて話している)の説明と、アクションを起こすようにとのリクエストとともに、手紙が送られました。
UPD2:
によってlmaster
実行可能ファイルはドロッパー(Delphi)であり、UPXで圧縮されたトロイの木馬自体は%TEMP%でドロップし、実行のために起動します。
トロイの木馬自体はDelphiで書かれており、796 KBの重みがあります。
マルウェアは、被害者のコンピューターから情報を収集し、ゲートに送信します。
maerb.hmsite.net/upload.php
Trojan-PSW.Win32.WebMoner.nlの機能:
1)プログラムはすべてのキーストロークを記録します(キーロガー)
2)マルウェアは、次のプログラムから認証のためにデータを盗みます。
-QIP
-Mail.ruエージェント
-総司令官
-SmartFTP
-アウトルック
-ICQ
-BAT!
-WebMoney
-ファイアフォックス
-IE
-オペラ
3)このプログラムはすべてサイトに送信します:maerb.hmsite.net/upload.php
私から:あなたが見ることができるように、何も変わっていません...すべてが以前のように動作します。 同じように。