Вчора від одного друга ВКонтакте отримую повідомлення з картинкою. а на ній, на цій картинці, написаний ось такий текст:
Протягом тижня ми запустимо новий сервіс «Гості моєї сторінки». Суть сервісу полягає в тому, що він запам'ятовує хто і в який час відвідував вашу сторінку, але не залишив жодних слідів свого перебування, а потім показує Ваших гостей в зручній статистикою.
В даний момент сервіс працює в тестовому режимі, але ви вже можете ознайомиться з його основними функціями. Лічильник для користування сервісом генерується під кожного користувача Вконтакте персонально, це зроблено для того, щоб інші користувачі не дізналися, що вони були помічені і занесені в статистику.
З vkove.ru на відразу ж перенаправляють на blogvkove.ru/news.php і знову знайомлять з можливостями нового «сервісу»:
При кліці по кнопці «Подивитися новий сервіс» відбувається ніби генерація лічильника:
Ні, ну зрозуміло ж що це вірус, але що він робить? А може це не вірус і хлопці з AVG і Avast! тому і не додали його в антивірусні бази?
Розпаковуємо наш екзешник:
і знаходимо в уже розпакованому файлі цікаве місце:
Тут у нас три діючі особи: вміст bat-файлу (виділено жовтим), команда перезавантаження (shutdown.exe -r -t 0) і сам bat-файл (VKGuest.bat). Сценарій для цієї трупи придумати не важко: записуємо команди в файл, запускаємо його і перезавантажуємося. Напевно вірус себе так і веде - я полінувався ставити виртуалку для перевірки або починати дізассамблірованіе.
Bat-файл, до речі, записує в файл system32 / drivers / etc / hosts такі рядки:
У кого такі рядки у файлі hosts. той замість популярних сервісів буде потрапляти на якийсь 91.217.153.21 де у нього спробують вкрасти облікові дані від цих самих популярних сервісів.
Хоча зараз зловмисний сайт нічого не намагається, просто показує таку картинку:
Варто відзначити, що після всього цього я вирішив завантажити CureIt! від Dr. Web і вона, таки, визначила його як Trojan.VkHost.8
Цікаво, що скажуть в AVG.