Latvijas Policijas virus

[RockstarUnicorn]

Tātad vēlos jūs informēt, ka pa latviju ir sācis ceļot scam, Kas uzdodas, par Policijas Kibernoziegumu departamentu.

Tiek pieprasīti 50ls kurus jums ir jāmaksā, lai neuzsāktu kriminālvajāšanu, kas protams būtu stulbi to darīt (maksāt)

 

Tātad, jā kāds viņu ir noķēris , tad pamācība ir lūk šiet, kā arī var aplūkot ,kā šis nezvērs izskatās

 

http://malwaretips.com/blogs/latvijas-policijas-virus/

[versatile]

tvnet par šito laikam pirms mēneša rakstīja... tātad, parādījās tas vēl ātrāk...

[RockstarUnicorn]

Hmm, laikam, būšu palaidis garām....

 

Bet, nu izskatās, ka sācies, kāds ziemassvētku uzliesmojums...

Ar 4 izkrāptiem miljoniem laikam ir par maz, lai davanas sapirktu...

[wellstar]

Vakar, kā reiz vienu laptopu no šitās zarazas tīriju

 

System restore+Malwarebytes+ComboFix!

 

Viss o.k.

[e = d]

http://www.cert.lv/resource/show/251

[keksis]

Jau 4 tādi izārstēti. Mazliet savādākā veidā, nekā aprakstīts, bet ārstējas diezgan viegli. Cureit un Avast klusē pilnīgi. Neatrod to brīnumu.

[lexxx]

Uz xp mašīnas no šitā tiku vaļā vienkārši caur safe mode.

Pēc nedēļas vienam klientam uz win 7 pat safe modē neļāva tikt. Restore on his ass.

[maize]

Viens no inficēšanās veidiem ir caur cauru Adobe reader pluginu, savukārt pati infekcija vienu brīdi bija noķerama populāra ar kultūru saistītā lapā.

Infekcijai ir vairākas versijas, katra nākamā arvien advancētākā un grūtāk izdzēšama - ar safe modi pēdējām nepietiek.

Par ~1k $ jebkurš var nopirkt šo zarazu un sākt "biznesu".

[gB.]

4 miljoniem ? :D

[Firza]

kas ir ar veciem Adobes Flash & Reader, Oracle Java

Esmu stipri atpalicis no vīrusu, antivīrusu un programmu ievainojamību dzīves. Varbūt kāds var pastāstīt, vai tās augstāk minētās Adobe, Java ievainojamības ir ar privilēģiju eskalāciju uz Windows 7? Tas ir - vai ar šīm ievainojamībām var apiet UAC?

[DFI-Partyboy]

Varbūt kāds var pastāstīt, vai tās augstāk minētās Adobe, Java ievainojamības ir ar privilēģiju eskalāciju uz Windows 7? Tas ir - vai ar šīm ievainojamībām var apiet UAC?

UAC apiet nevar ja vien viņš nav atslēgts vai brauzeris nav palaist run as administrator

[mickys]

Šodien arī vienu ārstēju, ārstējās caur Safe modi ar komandrindu. Bet pēc instrukcijas nesanāca, uzmeklēju tos failus kas bija minēti instrukcijā, viņi dzīvojās pa citām mapēm, izdzēsu un viss..

[Firza]

UAC apiet nevar ja vien viņš nav atslēgts

Par to man arī bija aizdomas. Nu tādā gadījumā tik vaļa no tāda vīrusa ir vairāk nekā vienkārši, jo nekur tālāk par konkrētā lietotāja Startup tas nevar ierakstīties, kas nozīmē, ka SAFE MODE tāds vīruss nedarbosies, un atrast iekš msconfig vietu kur tas vīruss ir ierakstījis ir minūtes jautājums. Parasti normālas programmas nemēdz automātiski palaisties no konkrētā lietotāja %UserProfile% mapes.

[lexxx]

Tagad sēžu pie kārtējā upura ar vistu.

Ne safe mods nepalīdz, ne restore nestrādā, ne arī tas kikstart usb flešs normāli nebūtojas.

psc

[Firza]

Nezinu kas ir "kikstart usb flešs", bet ja dators nelādējas no citas OS, tad tas vairāk izskatās pēc dzelžu defekta, nevis pēc vīrusa radītām sekām.

Protams, ka ne Vista, ne Windows 7 nespēs pasargāt datoru no lietotāja, kurš uz visiem UAC brīdinājumiem zina tikai vienu - jāspiež YES, vai vēl labāk atslēgt vispār to traucējošo UAC.

Arī Android lietotāju iemanās uz saviem telefoniem un planšetēm uzinstalēt destruktīvas programmas, kaut arī pie instalēšanas tiek parādīts brīdinājums par to kādas tiesības dotā programma grib izmantot un it kā nav mehānisma, ka vīrusu rakstītāji varētu apiet šo brīdinājumu, neuzrādot visas pieprasītās tiesības. Tak nelasa un nelasīs neviens tos paziņojumus. Ja grib uztaisīt drošu sistēmu, kurā vīrusu ir liels retums, attieksmei pret programmu instalēšu ir jābūt daudz bargākai, nevis tikai pliks YES vai NO. Nezinu, varbūt prasīt lietotājam ievadīt paroli, kas nevar būt īsāka par 8 zīmēm un kura nevar būt vienkārša, vai arī ievadīt paroli no CAPTCHA, kur var atrast tikai aizejot līdz brīdinājuma beigām.

[keksis]

Super jauna versija Tagad sods ir nevis 50,- , bet 100 Ls jāmaksā .Nosēdēju veselu pusotru stundu, uz Win7 tas brīnums bija. Arī bez tīkla leca virsū un arī safe mode, vājprāts, bet nu beigās izcīniju kaut kā. Ja jautāsiet, kā - nav ne jausmas . Nepierakstiju darbības. Jau domāju būs jāvelk HDD ārā un jāslēdz pie cita datora, bet nu slinkums bija, beigās izdevās. P.S. Restore nekad nepalīdzēs pie vīrusu ārstēšanas. Tā ir jāatslēdz.

Labots Decembris 23, 2012 - keksis

[Firza]

Restore nekad nepalīdzēs pie vīrusu ārstēšanas. Tā ir jāatslēdz.

Kāpēc nepalīdzēs? Ja dators tikai inficēs zināmā laika periodā, tad atjaunojot sistēmās stāvokli uz laiku pirms datorā parādījās vīruss, tad datorā nebūs ne vīrusu ne tā radīto seku. Tas gan ir pie nosacījuma, ka vīruss nav tik „gudrs” lai pats pirms datora inficēšanas atslēgtu System Restore.

Tēma par to ko dara un ko nedara System Restore šeit jau tika apspriesta, tā kam man vairs nav nekādas vēlēšanās mēģināt atkal no jauna kliedēt 10 gadus vecos mītus par to, ka System Restore ir mēsls, ka tas nekam neder, ka tas ir tikai vīrusu perēklis, ka vīrusiem ļoti patīk slēpties mapē „System Volume Information”.

[keksis]

nu pamēģini iztīri šito drazu ar ieslēgtu restore. gribu redzēt kā tev tas izdosies.

[Firza]

nu pamēģini iztīri šito drazu ar ieslēgtu restore. gribu redzēt kā tev tas izdosies.

Nav man tāda vīrusa tā, ka nevaru patiek vai no tā var, vai nevar tik vaļā ar ieslēgtu System Restore, vai izmantojot System Restore. Grūti gan atrast racionālu iemeslu kāpēc to nevarētu izdarīt. Pat, ja Windows 7 nedarbojas SAFE MODE un nav iespējams palaist System Restore, to var izdarīt no Windows instalācijas diska.

 

Īsumā System Restore:

1) Saglabā Registry kopijas

2) Saglabā visus izdzēstos, izmainītos sistēmai svarīgos failus (exe, dll, inf utt. failus tipu saraksts ir ļoti garš)

3) Pie atjaunošanas tiek atjaunotas arī atinstalētās programmas un arī izdēstie vīrusi

4) System Restore nešķiro programmas labajās un sliktajās. Tas nav antivīrusus. Ja lietotājs ar rokām izdzēš vīrusu, tad tas kā EXE fails tiek saglabāts iekš System Restore.

5) Vīrusu neslēpjas mapē „System Volume Information”, tur var atrasties vienīgi beigtie vīrusi. „System Volume Information” nav vīrusu slēptuve – tā ir vīrusu kapsēta.

6) System Restore neko nedara uz sava prāta bez prasīšanas. Bez prasīšanas sistēmai svarīgos failus atjauno "Windows File Protection", bet tas atjauno vienīgi Windows failus no instalācijas diska, ne visus failus kas izliekas par Windows failiem.

 

Šajā sarakstā nav nekā tāda, kas varētu traucēt likvidēt kādu sistēmā esošu vīrusu.

Labots Decembris 23, 2012 - Firza

[Gestapo]

nelieto programmas, ko lieto 100,000,000+ cilvēku pasaulē?

Jā, velns parāvis!

[Firza]

Android lietotāji savas ierīces ar vīrusiem inficē ne jau caur Google Play, pārsvarā tas notiek caur kaut kādām kreisajiem aplikāciju veikaliem, vai tiešajiem linkiem uz APK faiiliem. Ja reiz lietotājs bija tik gudrs, ka atrada kā atslēgt noklusēto aizliegumu instalēt ne_Google Play aplikācijas, tad esi tik pat gurds un izlasi arī 3 lapu garu tiesību aprakstu no "kreisās" programmas.

[Gestapo]

google + veiklie freepr0n pirksti?

[maize]

Drunk & Gestapo, jūs abi neatpaliekat no indigio, kas informāciju uztver fragmentāri un dzird tikai to ko grib dzirdēt. PDF, flash, java esat kaut ko šādu internetā lietojuši? Piespēle interneta lietotājam, kuram ir exploitējama Adobe Acrobat, Flash Player vai Sun Java modificētu saturu un kontrole pār datoru rokā.

 

Ja kāds ir samaksājis, tad nekavējoties rīkojoties ir iespējas atcelt maksājumu un naudu atgūt. Bet visādi citādi sistēma ir atstrādāta un īstos vainīgos līdz kuriem nauda nonāk atrast ir neiespējami.

[Firza]

Mūsdienās, par galveno vīrusu izplatīšanās avotu ir kļuvusi prasta spama sūtīšana. Tas ir - vīrusi (vīrusu rakstītāji) vairs nesūta pa pasauli paši sevi, vīrusi sūta pa labi pa kreisi spamu uz forumiem, e-pastu, sociālajiem tīkliem ar intriģējošiem nosaukumiem, atkarībā no mērķa auditorijas – vīriešiem links uz it kā jaunas meitenes kailfoto, skolniekiem links uz kaut kas saistīts ar datorspēlēm (čīti, kraki). Un, ja vīrusu rakstītajam izdodas kādu pie sevis ievilināt, tad tālāk jau viss ir atkarīgs no viņa kvalifikācijas – kas tāds švakāks iztiks ar parastu linku ielikšanu uz EXE failu, kurš lietotājam pēc novilkšanas pašam jāpalaiž, tas kurš adavncētāks piekombinēs savai mājas lapai klāt piemēram metasploit un izmantos kādu no lietotāja datorā atrastajām programmu ievainojamībām, lai izpildāmais fails palaistos pats, pēc faila novilkšanas.

Man slinkums meklēt informāciju par tām „Adobe Acrobat, Flash Player, Sun Java” ievainojamībām. Ir tās ievainojamības ar privilēģiju eskalāciju, vai nav? Ja nav, tad pat 10 tādām ievainojamībām bez lietotāja atļaujas un Windows 7 nekas briesmīgs nenotiks. Jebkuru tādu vīrusu varēs likvidēt caur SAFE MODE. Nu, ja lietotājs ir tik gudrs, ka katrreiz kad parādās UAC brīdinājums zina tikai nospiest YES, tad pats pie visa ir vainīgs.

[maize]

Par pdf pornololāpas jautā Gestapo, neesmu pornolapas pieminējis. Personīgi redzēju kultūras - teātra lapu inficētu, tas gan bija agrā rudenī, un nesen bija viens internetveikals inficēts. Kuru tu tieši šobrīd vari paskatīties kāds tas zvērs dzīvē izskatās nevaru atbildēt.

 

Firza, ir vesels komplektiņš ar caurumiem, jau minētajiem vēl komplektā nāk IE ievainojamība, kurai UAC nav šķērslis.

 

Starp citu mājaslapās infekcijas vairs netur līdz brīdim, kad visa pasaule uzzinās, bet inficē desmitus/simtus lietotājus un saite uz ļauno failu pazūd, līdz nākamai reizei, tādejādi neviens var nepamanīt, ka ir caurums.

 

P.S. Kas pirmo reizi tankā, varētu būt interesanti palasīt, ka exploitu paku var izīrēt uz diennakti, vai ka gluži kā jebkurai programmai arī exploitu izplatītājiem iznāk jaunākās versijas un kas tajā ir uzlabots http://malware.dontneedcoffee.com/2012/09/blackhole2.0.html

Labots Decembris 24, 2012 - maize

[RockstarUnicorn]

CIk nu es atceros, man viss, sākās pēc pop-up loga izlēkšanas, un tad jau paliek 3. saites, kurās, iespējams noķēru to zarazu: prakse.lv, mediafire. jeb gmail...

 

Es arī sliecos, domāt. ka viņs varētu ceļot caur torrentiem...

[Firza]

ir vesels komplektiņš ar caurumiem, jau minētajiem vēl komplektā nāk IE ievainojamība, kurai UAC nav šķērslis.

Nezinu, var jau būt, ka tādas ievainojamības arī ir bijušas, bet pārsvarā Internet Explorer „aprobežojas” ar ievainojamībām, kas ļauj izpildīt jeb kuru kodu, bet ne vienmēr tas nozīmē privilēģiju eskalāciju. „Labākajā” gadījumā tāda ievainojamība dod iespēju izdzēst failus no lietotāja profila, vai ieperināties kā vīruss iekš lietotāja Startup, iekš lietotāja %UserProfile%, un tas arī viss. Lai datoru inficētu dziļāk, lietotājam vajag apstiprināt UAC pieprasījumu. Lai apietu UAC vajag ievainojamību, kura dod iespēju iegūt System tiesības. Tas, ka Internet Explorer ir iekļauts iekš Windows nenozīmē, ka šī programma darbojās kaut kā savādāk par pārējām programmām. Tāpat kā visām citām programmām, arī Internet Explorer ir savi procesi iekš Task Manager, un katram procesam ir savs konkrēts lietotājs ar savām ierobežotām tiesībām un nebūt tie iexplorer.exe nedarbojas no System.

Vispār jau arī Windows 7 labāka ir nestrādāt no pseido administratora konta, bet gan izmantot parasto lietotāja kontu. Vismaz, tad UAC pieprasījums apstiprinājums vairs nevarēs notikt automātiski vienkārši spiežot YES, bet nāksies vēl ievadīt administratora paroli.

 

Divos gadījumos tika atzīts ka norauts esot browsejot pornu

Es gan uzreiz tā visu vainu nenoveltu uz porn lapu apmeklēšanu. Nu ne jau JPG porn bildēs vai video ir tie vīrusu, vīrusu ir EXE failos, un tas EXE lietotājam vispirms ir jānovelk un tad jāpalaiž, lai datoru inficētu. Porn lapu turētāji "labākajā" gadijumā aprobežojas ar to, ka piedāvā uzinstalēt trūkstošo kodeku vai super ekskluzīvo XXX player. Ir pat redzētas sīkas instrukcijas, kā novilkt šo programmu, kā uzinstalēt, kā nospiest pogu YES uz UAC pieprasījuma. Var jau būt, ka tas nemaz nav vīrusus, bet kaut kāda figņa, kura lietošanas laikā tikai rādīs reklāmas, bet tik un tā, datoram nav vajadzīgs ne vēl viens XXX Media Player, ne specializēts XXX kodeks. Vispār jau nopietni porn mājas lapu turētāji ar tādām muļķībām nenodarbojas, jo viņiem ir izdevīgāka iegūt kādu pastāvīgu maksāt spējīgu klientu uz ilgu, nekā izkrāpt no naudu no pāris winlocker upuriem.

[garais]

Es ceturtdien no šitās zarazas tiku vaļā izmantojot nod32 online scan. izmēza ar pirmo piegājienu. Avasts -nepazina

[none2]

Cik es sapratu tad atnivīrus šo neņem bet UAC apiet nevar t.i. izpildāmo failu jāpalaiž, no kurienes šis brīnums nāk?

[aywars]

Es šito arī noķēru. Viss, ko varēju izdarīt, bija restartēt datoru. Safe mode nevarēja palaist. Domāju jau taisīt kādu boot disku, taču pamanīju, ka pie katra restarta uz apmēram 1-2 sek tā zaraza aizveras un ir normāli redzams desktop. Uzspēju restartu atcelt un dators bija lietojams. Malwarebytes pēc tam tika galā ar šo.

[maize]

Firza, nevaru šobrīd atrast vajadzīgo CVE, bet taisnība tev.

 

Ja kāds samaksā, un maksāšas veids joprojām ir PaySafe, tad nekavējoties, zvanam: http://www.paysafeca...s-par-izdeveju/ "80004278 (angļu valodā, par vietējo tarifu) Pr. - Pk., no plkst. 12.00 līdz 20.00" ir cerības atcelt maksājumu.

Labots Decembris 24, 2012 - maize

[Firza]

Tam „policijas vīrusam” var arī nebūt pārāk daudz to versiju, tas var būt arī viens vienīgs vīruss, kurš atkarībā no situācijas rīkojas pēc tā vai cita plāna. Piemēram, vīrusā ir ieprogrammēts, lai tas pie palaišanas pārbauda kur tas ir nonācis, ja uz vīrusa jautājumu kur es atrodos, Windows atbild: „Uz Windows 7”, tad vīruss inficē datoru tikai konkrētajam lietotājam, ierakstoties iekš lietotāja Startup, un slēpjoties iekš %UserProfile%, nemaz neizsaucot UAC brīdinājumu (tas brīdinājums parāds tad, ja programma mēģina kaut ko mainīt tur, kur tai nav tiesību, vai ja programma saucas Setup.exe, Install.exe). Ja uz vīrusa jautājumu, kur es atrodos, Windows atbild: „Uz Windows XP”, tad tiek iedarbināts cits scenārijs un dators tiek inficēts pēc „pilnas programmas”, līdz pat SAFE MODE iestatījumu izmanīšanai, tā lai vīruss varētu darboties arī iekš SAFE MODE.

Piemēram Google Chrome arī ļoti eleganti instalējas ar parastā lietotāja tiesībām neizsaucot UAC brīdinājumu, jo šim procesam nav vajadzīgas Administratora tiesības – visa programma pilnībā instalējas iekš %UserProfile%, nemaz nemēģinot kaut ko pievienot mape %ProgramFiles% vai iekš HKLM.

[keksis]

Tas ko vakar tīriju, bija jauns paveids, kas lika maksāt 100 Ls. Uz Win 7. Arī safe mode nestrādāja, reģistros nevienos arī nesēdēja, zem %userprofile% arī nē. Palaidās vienlaicīgi sistem32 ar kaut kādu run32dll (precīzi neatceros). Izdzēsties neļāva ne normalmode, ne safe mode. Kamēr bija ieslēgta system restore, vispār bezcerīgi bija iztīrīt, momentā bija atpakaļ. Safe mode vispār nerādijās opcija atslēgt vai ieslēgt system restore. Kaut kā izdevās šamējo uz brīdi nostopēt un ātri ātri aizliedzu pieejas tiesības sistēmai. Pēc tam pēc restarta šis vairs nepalaidās un ar user tiesībām izdevās izdzēst. P.S. UAC sistēmā bija ieslēgts.

Labots Decembris 24, 2012 - keksis

[Android1]

Mums par šito figņu stāstīja LU lekcijā darboņi no CERT. Šie pie inficēto datoru izpētes secinājuši, ka pārsvarā šitas ir norauts, kā jau te minēja, brovzējot pr0nu. Kā arī teica, ka daudzi ir samaksājuši tās prasītās naudas.

Interesantākais ir tas, ka samaksājot to piķi, pēc kāda laika (pāris dienas) kompis patiešām tiek atbloķēts, tikai neatceros vai tā bija visos gadījumos.

[DFI-Partyboy]

Cik dumjam jābūt lai brauzējot pr0nu palaistu .exe failu? Es to daru regulāri (brauzēju, ne veru vaļā exe) un pēdējos 10 gadus nevienas infekcijas nav bijis. Tā ka vaina visbiežāk ir lietotāja stulbumā vai neuzmanībā nevis datora sistēmā vai apmeklēto saitu saturā.

[viesturs0711]

Šis mēsls kādus 2 mēnešu atpakaļ gāja laukā tik ar trešo piegājienu. Nod's neatrada neko, AVG ar ne. Tika piešķilts Kaspars no Live cd, tas to mēslu pēc ilgas meklēšanas uzgāja un izmeta! Kompis protams bija bez jebkāda antivīrusa un kā apr laimi tur nekas cits nebija paspējis paviesoties!

[maize]

MS saistība ar vienu IE ievainojamību, bija skaistu inficēšanās shēmu uzzīmējuši

Lietotājam nekas nav jālejupielādē, nekas nav jāpalaiž, tik vien cik inficēta weblapa jāatver, pārējais notiek fona klusi un nemanāmi (iespējams, ka izlec kāds popup vai weblapa redirektējas pirmspēdējā stadijā nokaras pārlūks, vai plugins)

Flash faila vietā var būt pdf vai java applets, savukārt IE lomu spēlē caurs Flash player, Acrobat reader vai Java plugins.

Izvācot infekciju, bet nesalāpot caurās programmas(neuzstādot jauninājumus) tiek novērstas tikai sekas.

Labots Decembris 25, 2012 - maize

[DFI-Partyboy]

gan jau vispirms tev palaiž kādas nebūt Acrobat, Flash, Java mantiņas

Tas viss ir iespējams tāpēc, ka iekš IE un pārējiem pārlūkiem netiek atslēgti visādi gaļimie Adobe plugini un Flash spraudnis arī ir aizlienēts no datormuzeja. Karoče tas kas ir ievainojams un nevajadzīgs ikdienai ir jāatslēdz. Atstāt var tikai un vienīgi Flash Player.

[*M3]

Pirms nedēļas šis brīnums arī tika manā redzes lokā. Iztīrīju pavisam vienkārši. Tiku iekš Safe Mode un no turienes palaidu Eset Smart Security Online scanneri. Sākumā domāju, ka ar tik vieglām metodēm šis brīnums ārā nebūs dabūjams, bet izrādījās diezgan viegli pieveicams. Par jauno paveidu, kur jau 100 LS pieprasa nemācēšu teikt, bet cik lasu augstāk tad šis laikam ir vairāk pārdomāts nekā iepriekšējais.

[Firza]

Varbūt kādam ir saglabājies tas vīruss, gribētos apskatīties kā tas darbojas? Galvenokārt interesē, vai vīruss inficēšanai izmanto kādu nezināmu Windows ievainojamību, kas dod iespēju apiet UAC uz Windows 7, vai arī tas prasti inficē lietotāja rokas, kuras jau pēc tam paša nospiež pogu YES.