19 фев 2019

Вредоносное ПО в торрент-файлах, ворует адреса криптовалютных кошельков

Вредоносный файл, способный красть криптовалюту, был недавно обнаружен в торренте фильма на трекере The Pirate Bay. ПО встроено в ярлык для Windows и, помимо своей способности перенаправлять платежи с использованием криптовалюты, может использоваться и для других действий на зараженном устройстве.

 

Вирус в торрентах

 

Вирус был обнаружен в торренте фильма «Девушка, которая застряла в паутине», который, по иронии судьбы, представляет собой фильм о хакере, и затрагивает он только быстрых кликеров и неопытных пользователей. На момент первоначального обнаружения торрент имел более 2000 сидеров. Исследователь по кибер-безопасности, известный в Твиттере под ником “@0xffff0800”, обнаружил этот файл, заметив, что вместо файла фильма на торренте «Пиратская бухта» был ярлык с расширением .LNK и низким уровнем обнаружения антивирусами. Он поделился этим, со своими фолловерами в Twitter, и это открытие привлекло внимание средств массовой информации из-за его необычной природы.

Анализ, проведенный Лоуренсом Абрамсом из BleepingComputer, показывает, что вредоносный файл .LNK является лишь верхушкой айсберга, и проблема гораздо серьезнее, чем первоначально предполагалось. После установки вредоносного ПО его вредоносное влияние распространяется не только на ваше устройство: он внедряет код JavaScript в такие сайты, как Википедия или результаты поиска Google. В случае с Гуглом, вы получите поддельные результаты поиска, в верхней части списка. Согласно исследованию, проведенному Advanced Web Ranking, около 33 процентов всего трафика Google приходится на первую статью, которая появляется в результатах поиска. Таким образом, ваши шансы открыть рекламу, размещенную там, вредоносным рекламным инжектом, довольно высоки.

 

Как действует вирус?

 

Когда речь заходит о Википедии, в момент, когда жертва заходит на сайт, вредоносная программа вставляет фальшивый баннер для пожертвований криптовалюты и два адреса, по которым люди могут «пожертвовать» свои монеты. Вредоносная программа также отслеживает адреса ваших криптовалютных кошельков на веб-сайтах, а затем заменяет их другими, принадлежащими человеку или людям, стоящим за атакой. Таким образом, если жертва не будет достаточно осторожна и не проверит адрес перед отправкой, деньги будут переведены мошенникам.

Вот, как выглядит вирус на сайте ВикиВот, как выглядит вирус на сайте Вики

 

Учитывая, что файл представляет собой ярлык .LNK, а не мультимедийный файл, идеальными целями вредоносного ПО являются пользователи, которые щелкают торренты без их проверки дважды, или неопытные пользователи, которые не могут различить файлы.

Согласно BleepingComputer, эти файлы являются распространенными в пиратском контенте, например, на одном из самых популярных торрент-трекеров, The Pirate Bay. Файл предназначен для устройств на Windows, он отключает Windows Defender. После запуска ярлыка, выполняется команда PowerShell, которая тяжело распознается антивирусом. Ник Карр, член команды продвинутых специалистов FireEye, ответил в ветке Twitter, что эти зараженные файлы .LNK, являются распространенным явлением в последнее время.

 

Как удалить торрент-вирус? Инструкция для Windows 10

 

  1. Скачайте программу Autoruns. Программа показывает автозапуск приложений, реестр и расположение системных файлов.
  2. Нажмите логотип Windows и выберите значок питания. В открывшемся меню нажмите «Перезагрузить», удерживая кнопку «Shift» на клавиатуре. В окне «выбрать вариант» нажмите «Устранение неполадок», затем выберите «Дополнительные параметры». В меню расширенных параметров выберите «Параметры запуска» и нажмите кнопку «Перезагрузка». В следующем окне вы должны нажать кнопку «F5» на клавиатуре. Это перезагрузит вашу операционную систему в безопасном режиме с сетью (safe mode with networking).
  3. Распакуйте скачанный архив и запустите Autoruns.exe.
  4. В приложении Autoruns нажмите «Параметры» вверху и снимите флажки «Скрыть пустые местоположения» и «Скрыть записи Windows». После этой процедуры нажмите значок «Обновить».
  5. Проверьте список, предоставленный приложением Autoruns, и найдите файл вредоносного ПО, который вы хотите удалить. Вы должны записать его полный путь и имя. Обратите внимание, что некоторые вредоносные программы скрывают имена процессов под допустимыми именами процессов Windows. На этом этапе очень важно избегать удаления системных файлов. После того, как вы найдете подозрительную программу, которую хотите удалить, щелкните правой кнопкой мыши по ее имени и выберите «Удалить».Найти и уничтожить
  6. После удаления вредоносной программы через приложение Autoruns (это гарантирует, что вредоносная программа не запустится автоматически при следующем запуске системы), вам следует искать ее имя на вашем компьютере. Обязательно включите скрытые файлы и папки, прежде чем продолжить. Если вы найдете файл вредоносной программы, обязательно удалите его.
  7. Перезагрузите компьютер в обычном режиме.

 Достаточно сложно? Тяжела жизнь пирата! Вот простой вариант: обновите ОС и установите антивирус с последними обновлениями. И повнимательнее с тем, что скачиваете, открываете и кому переводите деньги!

Автор 
Опубликовано в Мануалы
Onion

Главред Darkmore.ru

Другие материалы в этой категории: « Solaris - Солярис Medusa - Медуза »

Добавить комментарий


Защитный код
Обновить