Введение
Буквально вчерася, наткнулся на интересую новость.
В сети начал гулять новый вирус, с использованием старой доброй «социальной инженерии».
Принцип действия прост как 3 копейки. Троян без особого труда проникает на компьютер жертвы и ищет нужные файлы. Какие вы думаете? Exe? Doc? Неа. .torrent. Если обнаруживает хоть один файл, то на экран получаете вот такую вот картинку:
Торрент троян первый в своем роде
Вкратце перевод: Ляляля тополя, Вы незаконно скачали контент с пиратского сайта и мол требуется заплатить за разрешение и штраф всего 400 долларов. Даже смета прилагается:
Подсчет задолженности Torrent трояном
Далее идут угрозы, мол «нарушать не хорошо», «побойтесь бога», «а как же гражданская ответственность». Кстати все время хочу спросить, кто нибудь вообще в курсе по настоящему, «Что такое гражданская ответственность?» Никогда этого не понимал, не изучал, никто не объяснял, но знаю, что в армии и на допросах, постоянно на это давят. Хрен его знает, что это такое на самом деле. Главное все знают, что это «Ууууу», но когда реально дело доходит до трактовки, то у всех она разная. Извиняюсь, отвлекся от главной темы. Как обычно занесло.
В общем если пытаетесь отказаться от сие действа, то вам выскакивает предупреждение, мол «тебя посядЮт, а ты не воруй» © Попанов.
Пока данного рода зараза распространилась только на западе, так как российские пользователи скорее всего пошлют всех на три буквы за такую сумму, чем чего то будут предпринимать и явно заподозрят что то не ладное. А то писали тут «киношники» одно письмо. Смеялся долго. Ну как с народа пытаются в приказном порядке содрать деньги за говно-фильмы.
Симптомы трояна
Симптомы заразы можно определить по следующему:
Появляется левый файлик в каталоге: %System%\c_100009.exe
Прописывает себя в реестре по следующим разделам:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\ipconfig
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\ipconfig\DEBUG
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
- HKEY_LOCAL_MACHINE\SOFTWARE\qrjaslop
- HKEY_CURRENT_USER\Software\qrjaslop
The newly created Registry Values are:
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\ipconfig\DEBUG]
- Trace Level = ""
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings]
- 6 = 7C 21 51 93
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
- jbte = "%System%\c_100009.exe"
so that c_100009.exe runs every time Windows starts
- [HKEY_LOCAL_MACHINE\SOFTWARE\qrjaslop]
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
- [HKEY_CURRENT_USER\Software\qrjaslop]
Также прописывается в hosts на локальной машине:
127.0.0.1 mininova.org
127.0.0.1 www.mininova.org
127.0.0.1 thepiratebay.org
127.0.0.1 www.thepiratebay.org
127.0.0.1 suprbay.org
127.0.0.1 www.suprbay.org
127.0.0.1 forum.mininova.org
127.0.0.1 blog.mininova.org
Тем самым перехватывая многое и сам уже обрабатывает так как ему надо.
Удачи вам и безопасного интернета.
P. S. Антивирус Касперского про заразу уже знает.