Russian
Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано. Уровень опасности: 1

Сюрприз для любителей халявы

Закоржевский Вячеслав
Эксперт «Лаборатории Касперского»
опубликовано 13 янв 2011, 14:07  MSK
Сюжеты: Социальная инженерия
1.2
 

Программы для взлома коммерческого ПО, к сожалению, пользуются определенной популярностью. Обратили на них внимание и вирусописатели, подготовив пару сюрпризов для любителей халявы.

Недавно нами был обнаружен троянец-дроппер, который выдает себя за генератор ключей для продуктов «Лаборатории Касперского». Файл называется kaspersky.exe.

После запуска файла на экране появляется окно генератора ключей с предложением выбрать продукт для взлома. После выбора одного из пунктов, программа начинает генерировать ключ.



Окно работающего кейгена

Пока любитель бесплатного сыра ожидает результата, на его компьютере уже орудуют два других зловреда, которые были тайком установлены и запущены дроппером.

Один из них «Лаборатория Касперского» детектирует как Trojan.MSIL.Agent.aor. Эта вредоносная программа ворует регистрационную информацию от других программ и пароли, в основном, к онлайн-играм, заботливо собирая украденные данные в одном файле. Фрагмент этого файла приведен на скриншоте ниже.



Фрагмент файла, который заполняется регистрационными данными
от соответствующего ПО

Этот зловред также изменяет системный файл hosts, блокируя таким образом доступ к некоторым сайтам. Например, сайты virustotal.com и virusscan.jotti.org, предоставляющие сервис сканирования файлов многими антивирусными вендорами, будут недоступны для пользователя.

Фрагмент измененного hosts-файла:

##Do not touch this file, changing it will cause SERIOUS damage to your computer
127.0.0.1 virustotal.com
127.0.0.1 www.virustotal.com
127.0.0.1 www.virusscan.jotti.org/
127.0.0.1 www.virusscan.jotti.org/en
127.0.0.1 www.virusscan.jotti.org/en

Второй установленный дроппером зловред — типичный бэкдор, который работает также в качестве кейлоггера, собирая информацию о нажатиях на клавиши. Детектируется он как Trojan.Win32.Liac.gfu.

Так, запустив якобы генератор ключей для Kaspersky Internet Security, можно “поселить” на своем компьютере парочку серьезных зловредов, с которыми придется бороться KIS. Если, конечно, сгенерированные ключи сработают.


22 комментариев

старые сверху
«дерево»
 

OlegAndr

16 янв 2011, 18:04
7
 

А ключи конечно же не сработают.

Необходимо подчеркнуть, что ключи не могут сработать, так как система активации проверяет ключи на существование, и таким генератором рабочий ключ не сгенереить.
Так что никакой пользы кроме вреда этот кейген не принесет.

Fixxxer

26 янв 2011, 14:20
3
 

Re: А ключи конечно же не сработают.

Ключи безусловно сгенерить нереально, но всегда можно надуть результат работы системы активации ;)

Александр Алексеев

16 янв 2011, 23:42
5
 

Полностью согласен с OlegAndr.

innalabs

26 янв 2011, 17:56
3
 

Re:

С вами согласен, систему активации надуть не возможно. О левом ключе ЛК узнает рано или поздно, но однозначно узнает.

Андрей

18 янв 2011, 20:54
4
 

"Так, запустив якобы генератор ключей для Kaspersky Internet Security, можно 'поселить' на своем компьютере парочку серьезных зловредов, с которыми придется бороться KIS. Если, конечно, сгенерированные ключи сработают." Мне кажется большинство пользователей на руках триал имеют, так что борьба Кейгена с KIS' ом будет. После этого по KSN информация о пользователях этого кейгена передастся в "Лабораторию Касперского", которая разберётся с недобросовестными людьми...
Олегу +1.
И сисадмину тоже за единое со всеми (и правильное) мнение.

innalabs

26 янв 2011, 17:57
4
 

Re:

+1 вам :)

Андрей

18 янв 2011, 21:01
4
 

Интересное изменение hosts' а

Если приглядеться в изменённом файле hosts вредонос прописывает комментарий:
##Do not touch this file, changing it will cause SERIOUS damage to your computer
(Не изменяйте этот файл, иначе Ваш компьютер может повредиться)
Скажу честно: зловредов приписывающих подобные комментарии в hosts' е я не встречал.

innalabs

26 янв 2011, 17:58
2
 

Re: Интересное изменение hosts' а

Теперь придётся встретить...

AntiVirus

19 янв 2011, 00:03
2
 

Бесплатный сыр Только в мышеловке!

Тут и так всё ясно, и видно что это надувательство, даже если логический рассудить. Касперского взломать не возможно, (откуда знаю читал статью в каком то журнале) а что уж говорить про подбор ключей. Смешно смотреть как не некоторых сайтах, выкладывают (левые ключи) а потом видишь посты, с текстом типа (:а у меня ключ занесён в чёрный список) пытаются обмануть, а обманывают сами себя. Я за легальный софт!!

Fixxxer

26 янв 2011, 14:18
2
 

Re: Бесплатный сыр Только в мышеловке!

Эээээ.... Вы немного отстали. А можно пруфлинк на журнал?

innalabs

26 янв 2011, 18:00
2
 

Re: Re: Бесплатный сыр Только в мышеловке!

В этом случае человеческая эвристика не отстаёт от антивирусной программы.

Александр Алексеев

19 янв 2011, 20:45
3
 

Всё ключи, что выкладывают на сайты долго никогда не живут, да и можно сказать, что это всё мусор тем более Лаборатория собирает статистику использования ключей при каждом обращении на их сервер. Я тоже за легальный софт проще купить и жить спокойно чем ломать голову, где очередной варезный ключ достать на 60 дней их на сколько я знаю, делает кто то.

AntiVirus

19 янв 2011, 23:48
2
 

Вот и я о том же купить на год и не париться по пустякам. Обновляю каждые два дня, и вирусы не вирусы. Сплю спокойно.

Fixxxer

26 янв 2011, 14:19
4
 

Re:

РАЗ В ДВА ДНЯ???? Ээээ... ну как бы я вас расстрою...

innalabs

26 янв 2011, 18:03
3
 

Re: Re:

Тем более антивирусные программы упали в цене.

AntiVirus

26 янв 2011, 22:37
1
 

Re: Re: Re:

Может и упало в цене. Но я знаю одно, что Касперский не заламывает цены не то что типа (доктор вэп, или норд32) цены просто не реальные, толку и зашиты просто НОЛЬ! Я уж молчу про заграничные анти вирусы. Да и ещё Касперского не так то просто (подделать или взломать) на днях видел норд 32 на 66 лет!! С обновлением базы!! Это как так?? Может я в чём то не прав, или ошибаюсь, но я знаю одно что Касперский самый зачётный из всех. Который не раз спасал моё железо от всякой (profanity) так что вот. Такие дела.

Fixxxer

26 янв 2011, 14:16
1
 

Ну как сказать....

В сети куча поделок на основе эксплоита от ElCrabe с детектом Hacktool.Win32.Kiser.* Который, надо сказать, до сих пор эффективно кладёт на лопатки проверку лицензионного ключа продуктами Касперского.
Ну нашёлся какой-то парень, которому захотелось много денег, а добавить эксплоит, чтобы создать видимость работоспособности - ума не хватило. Ленивый и очень жадный :)

Umnik

26 янв 2011, 15:20
1
 

Re: Ну как сказать....

Это просто не было требования, чтобы он не работал %)

Fixxxer

26 янв 2011, 18:12
-4
 

Re: Re: Ну как сказать....

Всё начиналось почти как шутка - а закончилось сенсацией! Уж не хотите ли Вы сказать, что ЛК заинтересована в наличии пиратских версий своих продуктов? :)

Umnik

27 янв 2011, 11:02
-3
 

Re: Re: Re: Ну как сказать....

Нет, не хочу. :) Я не знаю, кто там в чем заинтересован, мое дело читать требования и проверять соответствие им. :)

Fixxxer

27 янв 2011, 12:05
-6
 

El Crabe

26 янв 2011, 17:56
3
 

Re: Ну как сказать....

Мы тут не причем, вообще в стороне стоим цветочки кагбэ выращиваем =)

Для добавления комментариев необходимо


Bookmark and Share
Закладки

Также в аналитике

В блоге