RSS-каналы
Уровень опасности: 1
Главная→Блог→Исследования→13 янв 2011→Сюрприз для любителей халявы
Сюрприз для любителей халявы
Эксперт «Лаборатории Касперского»
опубликовано 13 янв 2011, 14:07 MSK
Сюжеты: Социальная инженерия
Программы для взлома коммерческого ПО, к сожалению, пользуются определенной популярностью. Обратили на них внимание и вирусописатели, подготовив пару сюрпризов для любителей халявы.
Недавно нами был обнаружен троянец-дроппер, который выдает себя за генератор ключей для продуктов «Лаборатории Касперского». Файл называется kaspersky.exe.
После запуска файла на экране появляется окно генератора ключей с предложением выбрать продукт для взлома. После выбора одного из пунктов, программа начинает генерировать ключ.
Окно работающего кейгена
Пока любитель бесплатного сыра ожидает результата, на его компьютере уже орудуют два других зловреда, которые были тайком установлены и запущены дроппером.
Один из них «Лаборатория Касперского» детектирует как Trojan.MSIL.Agent.aor. Эта вредоносная программа ворует регистрационную информацию от других программ и пароли, в основном, к онлайн-играм, заботливо собирая украденные данные в одном файле. Фрагмент этого файла приведен на скриншоте ниже.
Фрагмент файла, который заполняется регистрационными данными
от соответствующего ПО
Этот зловред также изменяет системный файл hosts, блокируя таким образом доступ к некоторым сайтам. Например, сайты virustotal.com и virusscan.jotti.org, предоставляющие сервис сканирования файлов многими антивирусными вендорами, будут недоступны для пользователя.
Фрагмент измененного hosts-файла:
127.0.0.1 virustotal.com
127.0.0.1 www.virustotal.com
127.0.0.1 www.virusscan.jotti.org/
127.0.0.1 www.virusscan.jotti.org/en
127.0.0.1 www.virusscan.jotti.org/en
Второй установленный дроппером зловред — типичный бэкдор, который работает также в качестве кейлоггера, собирая информацию о нажатиях на клавиши. Детектируется он как Trojan.Win32.Liac.gfu.
Так, запустив якобы генератор ключей для Kaspersky Internet Security, можно “поселить” на своем компьютере парочку серьезных зловредов, с которыми придется бороться KIS. Если, конечно, сгенерированные ключи сработают.
16 янв 2011, 18:04
А ключи конечно же не сработают. Необходимо подчеркнуть, что ключи не могут сработать, так как система активации проверяет ключи на существование, и таким генератором рабочий ключ не сгенереить. |
|
3 |
Re: А ключи конечно же не сработают.
Ключи безусловно сгенерить нереально, но всегда можно надуть результат работы системы активации ;)
|
16 янв 2011, 23:42
Полностью согласен с OlegAndr. |
|
3 |
Re:
С вами согласен, систему активации надуть не возможно. О левом ключе ЛК узнает рано или поздно, но однозначно узнает.
|
18 янв 2011, 20:54
"Так, запустив якобы генератор ключей для Kaspersky Internet Security, можно 'поселить' на своем компьютере парочку серьезных зловредов, с которыми придется бороться KIS. Если, конечно, сгенерированные ключи сработают." Мне кажется большинство пользователей на руках триал имеют, так что борьба Кейгена с KIS' ом будет. После этого по KSN информация о пользователях этого кейгена передастся в "Лабораторию Касперского", которая разберётся с недобросовестными людьми... |
|
18 янв 2011, 21:01
Интересное изменение hosts' а Если приглядеться в изменённом файле hosts вредонос прописывает комментарий: |
|
2 |
|
19 янв 2011, 00:03
Бесплатный сыр Только в мышеловке! Тут и так всё ясно, и видно что это надувательство, даже если логический рассудить. Касперского взломать не возможно, (откуда знаю читал статью в каком то журнале) а что уж говорить про подбор ключей. Смешно смотреть как не некоторых сайтах, выкладывают (левые ключи) а потом видишь посты, с текстом типа (:а у меня ключ занесён в чёрный список) пытаются обмануть, а обманывают сами себя. Я за легальный софт!! |
|
2 |
Re: Бесплатный сыр Только в мышеловке!
Эээээ.... Вы немного отстали. А можно пруфлинк на журнал?
|
2 |
Re: Re: Бесплатный сыр Только в мышеловке!
В этом случае человеческая эвристика не отстаёт от антивирусной программы.
|
19 янв 2011, 20:45
Всё ключи, что выкладывают на сайты долго никогда не живут, да и можно сказать, что это всё мусор тем более Лаборатория собирает статистику использования ключей при каждом обращении на их сервер. Я тоже за легальный софт проще купить и жить спокойно чем ломать голову, где очередной варезный ключ достать на 60 дней их на сколько я знаю, делает кто то. |
|
2 |
Вот и я о том же купить на год и не париться по пустякам. Обновляю каждые два дня, и вирусы не вирусы. Сплю спокойно.
|
1 |
Re: Re: Re:
Может и упало в цене. Но я знаю одно, что Касперский не заламывает цены не то что типа (доктор вэп, или норд32) цены просто не реальные, толку и зашиты просто НОЛЬ! Я уж молчу про заграничные анти вирусы. Да и ещё Касперского не так то просто (подделать или взломать) на днях видел норд 32 на 66 лет!! С обновлением базы!! Это как так?? Может я в чём то не прав, или ошибаюсь, но я знаю одно что Касперский самый зачётный из всех. Который не раз спасал моё железо от всякой (profanity) так что вот. Такие дела.
|
26 янв 2011, 14:16
Ну как сказать.... В сети куча поделок на основе эксплоита от ElCrabe с детектом Hacktool.Win32.Kiser.* Который, надо сказать, до сих пор эффективно кладёт на лопатки проверку лицензионного ключа продуктами Касперского. |
|
1 |
|
-4 |
Re: Re: Ну как сказать....
Всё начиналось почти как шутка - а закончилось сенсацией! Уж не хотите ли Вы сказать, что ЛК заинтересована в наличии пиратских версий своих продуктов? :)
|
-3 |
Re: Re: Re: Ну как сказать....
Нет, не хочу. :) Я не знаю, кто там в чем заинтересован, мое дело читать требования и проверять соответствие им. :)
|
3 |
Re: Ну как сказать....
Мы тут не причем, вообще в стороне стоим цветочки кагбэ выращиваем =)
Также в аналитике
В блоге
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей