Телефон принесли в сервис, уже наверное, третий за неделю с вирусом, который рассылается через смс с другого заражённого устройства, при этом также списываются деньги с карт. Удалив вредоносное приложение через безопасный режим, решил повторить те действия которые необходимо выполнить, что бы «заразить» устройство. У меня просто нет слов…
ребзя, это ж экранизация древней копипасты. странно, что её ещё никто не запостил:
Пару месяцев назад в очередной раз чистил знакомому телефон от вирусов, знакомый ныл о том, что ему пришла вирусная смска и его слабозащищенный самсунг не выдержал этой ужасной атаки.
"Может я что то не понимаю в этой жизни?" - подумал я, и уже почти успел забыть об этом случае, как вдруг сегодня днем мне пришла заветная смска загадочного содержания.
Имея в руках старый телефон я убедился насколько все таки слаба защита, поскольку для полного заражения моего телефона винлокером мне потребовалось сделать всего пару простых шагов:
1 Открываем смс
2 "Ваш браузер опера устарел, пожалуйста скачайте его обновления пожалуйста перейдите по данной ссылке"
3 Игнорируем факт отсутствия браузера "Опера" в системе, переходим по ссылке
4 "Напоминаем вам о том, что переход по ссылке может вызвать боль и страдание. Вы уверены что хотите перейти?"
5 Да конечно, я уверен
6 Внимание! Браузер хром обнаружил что данная ссылка является вредоносной, в целях безопасности мы рекомендуем немедленно уйти с данной страницы"
7 Игнорируем
8 Качаем файл
9 Внимание, установка файлов напрямую а не из плей маркета может привести к заражению вашего телефона туберкулезом, пожалуйста не ставьте приложения которым не доверяете.
10 Игнорируем
11 Для установки приложения требуется включить настройку "Установка приложений не из плей маркета. Включите ее пожалуйста"
12 Включение настройки "Неизвестные источники" потенциально подвергает ваш телефон опасности, вы уверены что хотите ее включить?
13 Игнорируем
14 Приложение "Браузер опера требует от вас следующих разрешений:
Доступ к вай фаю, доступ к смскам, доступ к звонкам, доступ к файловой системе, код от банковской карты, ключи от квартиры, вашу почку в качестве донорской а вашу собаку для проведения опытов"
15 Игнорируем
16 Внимание! Приложение "Обновление для оперы" требует администраторских прав к устройству. Это подразумевает что приложение сможет делать с вашим телефоном ВООБЩЕ ЧТО УГОДНО. Давайте админский доступ ТОЛЬКО приложениям которым вы доверяете
17 Игнорируем
18 О ГОСПОДИ НА МОЕМ ТЕЛЕФОНЕ ВИРУС! ЧТО ЖЕ ДЕЛАТЬ ТЕПЕРЬ ОН ПРОСИТ ДЕНЕГ ЗА РАЗБЛОКИРОВКУ ДА ЕЩЕ И НА ЦЕЛЫЙ 1 КОНТАКТ ИЗ КОНТАКТ ЛИСТА ОТОСЛАЛ ТАКУЮ ЖЕ СМС. КАК ТАКОЕ МОГЛО СЛУЧИТЬСЯ?
18 кликов, 18 КЛИКОВ, КАРЛ!
Товарищи имеющие опыт заражения, поясните мне что я делаю не так?
Как-то я проверял возможность заражения WinXP локером-вымогателем. Это было время Windows 8. У меня был ноут с лицензионной копией Win 8 и Arch Linux на домашнем компе. Описываю методику проверки:
1. Хост - Arch Linux, VirtualBox, Windows XP без активации (30-дневный Trial период) SP 2 или 3 - не помню уже. Никаких антивирусных программ, установлены только дополнения гостевой ОС
2. Не отключаем встроенные системы защиты. Отключаем обновление.
3. Открываем IE.
4. Открываем yandex.ru.
5. Печатаем "порно бесплатно без смс".
6. Начинаем беспорядочно дрочить кликать по любым ссылкам, включая рекламу. Чем быстрее происходят переходы по ссылкам, тем интереснее, поскольку в реале пользователь делает переходы медленнее.
7. Через, приблизительно, 20 минут (смешно, но рука устала), одна из ссылок приводит к скачиванию файла. Экзешник.
8. IE выдаёт предупреждение о том, что файл может быть потенциально опасным и не хочет его скачивать.
9. Путём чтения варнинга, находим как принудительно скачать файл.
10. Запускаем файл. Система выдаёт варнинг.
11. Путём чтения варнинга находим, как запустить файл.
12. Запускаем файл, возникает окошко с требованием войти в безопасный режим.
13. Перезапускаем виртуалку. Ничего не происходит.
14. Снова открываем экзешник. Снова ловим варнинг, снова принудительно запускаем его. Снова получаем требование запуска системы в safe mode.
15. Перезагружаем систему в safe mode. Ничего не происходит. Перезагружаем систему в normal mode. Видим экран входа, входим в систему... УРА! Рабочий стол появляется и исчезает, вместо него появляется локер.
P.S. Локер поленился даже перезаписать вход в систему. Позволял запустить компьютер в безопасном режиме. Висел в автозапуске, как приложение. Это была попытка случайно подцепить локер на системе без дополнительной защиты, путём пробежки по самым жестоким и вырвиглазным порносайтам через устаревший IE. Общее время работы на системе составило около 40 минут. Результаты эксперимента описывались знакомым айтишникам, когда они начинали рассказывать о том, как легко пользователю случайно подцепить локер.
P.P.S. После установки локера и принудительного его удаления из автозапуска, был запущен сканер Dr.Web. Он нашёл вирусный экзешник и пару файлов в Users\UserName\~ЧтоТоТам. Все файлы были класифицированы аналогично экзешнику. Никаких других вредоносных файлов найдено не было. Comodo Antivirus, установленный после проверки, также, не нашёл вредоносного кода.
Окей, а теперь как подцепить вирус на Арче?
1) Узнаём версию ядра.
2) Ищем вирус под текущую версию ядра
...
61) пересобираем ядро под текущую версию вируса
....
98) chmod +x virus
99) sudo init 6
100) sudo python3 virus
Арч - не Джента. Сборка ядра - не стандартное поведение пользователя Арча. А вот установить на него вирус - довоольно просто. Достаточно выложить его в AUR.
Единственный минус - придётся патчить вирус при каждом обновлении используемых компиляторов и библиотек.
кривой локер какой-то, обычно он подменяет логон, роняя систему эксплойтом стандартным (табличка выскакивает с перезагрузкой)
Ну я потратил минут 20, чтобы его найти и "случайно" загрузить. Ещё минут 10 - 15, чтобы заразить систему.
Давным давно сестра поймала вирус аля "вы смотрели гейпорно, теперь вас будут жестоко ебать мы удалим вам биос если не заплатите" (да-да, удалим биос, ага). Я тогда не особо шарил в компах *да и до сих пор не шарю*, но локер снять уже мог. Пока снимал хихикал мол как так, где ты лазила? Нигде говорит, зашла то ли скачать неро, то ли инструкцию к нему посмотреть и сразу заразился. Ну я то думаю ага, щас, конечно, оно само. Вычистил эту хрень, смотрю историю, действительно сайтик связанный с неро. Перехожу и только успеваю заметить скачку, пытаюсь сразу вырубить браузер (опера кажется была). Даже учитывая слабенький на то время канал интернета он скачался быстрее, чем я успел что-то предпринять... С тех пор я не столь категоричен к людям подхватившим вирус
Тоже один раз напарывался на установку через уязвимость браузера - открыл сайт, тут же вылезло сообщение от браузера "Вы хотите <что-то там>..." жму нет, пытаюсь закрыть - сообщение несколько раз появляется, потом ненадолго возникает окно cmd - вуаля, установка через уязвимость в javascript.
ой пиздеть-то о крутости все могут, а как с репаком поставить майнер - так все молчат)))
локер-то для лошков)
да все пишут, что локеры и вирусняки только балбесы себе устанавливают, но в реале сто раз слышал как "качал репак механиков" и "потом не мог два дня майнер удалить" :)
Я описал как раз случай, когда что-то поставилось через уязвимость браузера, при чём тут "репаки" и "балбесы"?
Посмотрите на условия, в которых я тестировал: стандартный защитник винды был включен. Т.е. для того, чтобы препятствовать большинству вирусов проникнуть в систему, нужно иметь защиту от несанкционированного выполнения программ. Чтобы обойти это ограничение, используются уже более сложные методы: установка через плагины браузера, использование API системы и браузера, открывающих доступ к памяти, процессам и ФС. Далее, идут ещё более сложные методы. Например, переполнение буфера, удалённый взлом и т.д. Найти сайт, который использует API браузера или системы труднее. И почти нереально попасть на сайт, где компьютер подвергнется реально сложному взлому. А вот установка плагина браузера сейчас - наиболее частая попытка атаки компьютера. Кроссплатформенный метод, кстати. Часто вижу, как браузер при поиске информации запрашивает разрешение на установку плагина. К тому же, подобный метод не всегда отслеживается системами защиты.
Я не говорю что вы как-то неправильно тестировали. Просто существует шанс того, что оно действительно "само" и даже без порносайта. Я даже почти уверен, что мой случай был скорее исключением, чем правилом. Это я написал чтобы люди не были абсолютно уверены, что подхватить вирус всегда геморрой.
Я имел ввиду, что пользователи отключают стандартную защиту винды. И, скорее-всего, в случае с вашей сестрой, именно эта защита могла сработать при открывании сайта.
Ну это были 2000е, мы выживали как могли и естественно ХРюшка была не лицензионная. Так что да, возможно наличие неких стандартных систем, отключенных во всяких сборках, сделали бы своё дело.
