«Матрёшка» — новый вирус атаковал пользователей ThePirateBay
Эксперты «Лаборатории Касперского» обнаружили интересную вредоносную кампанию на ThePirateBay. Злоумышленники нередко используют торрент-теркеры для распространения малвари, и в начале года одна из таких кампаний привлекла внимание исследователей: под видом взломанных версий платных программ на торрент-трекере распространялся троян, основная логика которого была реализована с помощью инсталляторов SetupFactory. Вредонос получил идентификатор Trojan-Downloader.Win32.PirateMatryoshka (далее просто PirateMatryoshka). Причем эксперты отметили, что малварь «раздавали» десятки различных аккаунтов, включая те, которые были зарегистрированы на TBP довольно давно.
Схема распространения малвари
Вместо искомого «пиратского» ПО на компьютер жертвы скачивался троян. На начальном этапе установщик расшифровывал еще один инсталлятор SetupFactory, предназначенный для отображения фишинговой страницы, которая открывалась непосредственно в окне установки и запрашивала учетные данные от аккаунта ThePirateBay (якобы для продолжения процесса).
Эксперты полагают, что скомпрометированные учетные записи использовались злоумышленниками для дальнейшего распространения вредоносных торрентов. Как уже было сказано выше, для этого применялись не только свежесозданные аккаунты.
Перед выполнением следующего шага PirateMatryoshka проверяет, что впервые запускается в атакуемой системе. Для этого он ищет в реестре путь HKEY_CURRENT_USER\Software\dSet. Если тот существует, дальнейшее выполнение прекращается. Если результат проверки отрицательный, инсталлятор обращается к сервису pastebin.com для получения ссылки на дополнительный модуль и ключа для его расшифровки.
Второй загруженный компонент так же является инсталлятором SetupFactory, который используется для расшифровки и последовательного запуска четырех PE-файлов.
Второй и четвертый из этих файлов — загрузчики файловых партнерских программ InstallCapital и MegaDowl (классифицируются как Adware). Обычно они попадают к пользователям через сайты-файлообменники, их цель — вместе с загрузкой нужного контента установить дополнительное ПО, при этом тщательно скрывая возможность отказаться от него. Например, в InstallCapital полный список устанавливаемого ПО можно найти только в конце лицензионного соглашения, а в MegaDowl он скрывается за якобы неактивной кнопкой «Дополнительные параметры».
![Run or save file?
Name: XvidCodec Type: File
From: www.divx.com
[ Run ]
Iflono/iHWTe/ib^
Save
Cancel
Terms
Дополнительные параметры
X
0
0
0
0
0
0
0
0
0
0
0
0
0
Installing EveryDayHoliday, you agree with its Privacy Policy
Устанавливая расширение Fast search v2 Вы](http://img0.reactor.cc/pics/post/full/%22%D0%9C%D0%B0%D1%82%D1%80%D1%91%D1%88%D0%BA%D0%B0%22-%D0%B2%D0%B8%D1%80%D1%83%D1%81%D1%8B-thepiratebay-5060742.png "\"Матрёшка\",вирусы,thepiratebay")
Два других файла — автокликеры, написанные на VisualBasic, нужные для исключения варианта, когда пользователю все-таки удастся отказаться от установки дополнительного ПО (в этом случае злоумышленники не получат вознаграждение). Автокликеры запускаются до инсталляторов, а когда обнаруживают их окна, проставляют галочки в нужных местах и нажимают на кнопки, вместо пользователя соглашаясь с установкой ненужного ему софта.
Результатом заражения PirateMatryoshka станет заполнение компьютера жертвы нежелательными программами, которые будут раздражать пользователя, всячески затруднять работу с системой и тратить ее ресурсы. Исследователи подчеркивают, что ситуация осложняется и тем, что владельцы файловых партнерских программ зачастую не следят за софтом, который предлагается в их загрузчиках. По данным «Лаборатории Касперского», каждый пятый файл, предлагаемый партнерскими инсталляторами, является вредоносным (среди них можно встретить трояны pBot, Razy и так далее).
Пример последствий работы загрузчика партнерской программы
Статья взята с сайта https://xakep.ru/
Более подробно на сайте Лаборатории Касперского из ссылки в статье.
Подробнее
Cfje Prate JÖap
How PirateMatryoshka malware infects users and is distributed on Pirate Bay © 2019 Kaspersky Lab. All Rights Reserved. KA$PER$KY3
Login In order to continue the install please enter your Piratebay user and pass below This is just to confirm that you are Human! username password Login If u don't have an PirateBay account Please Click Here and Register an account. Please fill both username and password Login | Register | Language ./.Select:Janguage | About | Legal threats | Blog Contact us | Usage policy | Downjpads | Promo | Doodles | Search Cloud | Tag Cloud | Forum | TPB..T-shirts
DivxStar DivxStar Setup Install DivxStar will be installed together with OnlineApp, Xtex, FastDataX, Share Folder, MuKfTimer. You can customize which compenents to install here. Please read the terms and Privacy Policy. Close Next > DivxStar Setup 0 Xtex: By clicking "Next", I agree to the Tos and Privacy policy and consent to install Xtex. 0 FastDataX: Installing FastDataX you accept the terms of the License Agreement and Privacy policy by pressing Next. 0 Share Folder: null 0 Multirimer: MultiTimer will help you manage your time, stay on top of things and increase productivity! By clicking "Next", I agree to the EULA and Privacy policy and consent to install MultiTimer. v Close | Next >
Run or save file? Name: XvidCodec Type: File From: www.divx.com [ Run ] Iflono/iHWTe/ib^ Save Cancel Terms Дополнительные параметры X 0 0 0 0 0 0 0 0 0 0 0 0 0 Installing EveryDayHoliday, you agree with its Privacy Policy Устанавливая расширение Fast search v2 Вы соглашаетесь с условиями (лицензионным соглашением! Install desktop shortcuts? Installing Xtex, you agree with its Privacy Policy Installing AvBoost I agree to EULA Установить Zaxar игровой браузер лицензия Устанавливая Taskbar for Windows я согласен с условиями лицензионного соглашения Устанавливая proxyservice я согласен с лицензией Устанавливая "SystemTable", вы соглашаетесь с лиц, соглашением Open ThankYouPage after loading Устанавливая YouTube Adblock, Вы соглашаетесь с Условиями Соглашения и Политикой конфиденциальности Устанавливая QIPApp Вы соглашаетесь с его лицензией By installing WhiteClick, I agree to the terms of the license agreement Назад Отмена 160195264
ЧГг.ЖСТЩ Launch Syste... ^ Apps & Tools System Information: OS: Windows 7 Professional RAI CPU: Intel (R) CorefTM) ¡5-3470 CPU GPU: VirtualBox Graphics Adapter Одноклас, Небеса Angry Pets •*•*•*•*■* Feedbacks: 81 ***** Mafia Farmerama Feedbacks: 63 ***** Feedbacks: 233 ***** Feedbacks: 58 ВКонтакте Искать в Интернете Launch One System Care Launch Fix It У Fixlt PC Cleaner A Find & Clean PC Help & Sup Щ System Healer Q. Scan system WelCG Give V Performance PC Help & Support - Call Toll Free: Welcome to System Healer! Give your PC the care it deserves. ©Scan Complete, samaaia гл----. Sign in Registration Click "Find & Heal" to scan and clean up your PC. Ш Performance Zaxar-* Sign In Registraban CURRENT GAME ONLINE GAMES GAMES 3D TOP GAMES MY PAGE MY MESSAGES MUSIC TV ¡Ü Registry Ф Settings Help & Драконы вечности Sketch & paint ***** Feedbacks: 137 ***** Feedbacks: 63 - ------- Amigo This version is still not registered. H Reaisterto Clean PC issues Li T RAVI AN lb: - □ X 0 One SystemCare A Find & Clean m Performance £2 Registry PC Help & Support - Call Toll Free ©Scan Complete. Samaaia Care Le' © Found 69 System Items to clean additionally, Privacy Concerns detected. For assistance, call Toll Free: (855) 579-9279 В a You imrra ■I > ■! > -! > -! > H > + -! > 2 system issues were found See details 67 registry items were found See details privacy concerns were found See details «Money Back Guarantee
"Матрёшка",вирусы,thepiratebay
"Мы заметили, что опасные раздачи создавались на трекере десятками различных аккаунтов, включая те, которые были зарегистрированы на TBP довольно давно."
То есть я скачаю допустим фотошоп какой-нибудь и в начале установки он у меня попросит логин/пароль от торрент трекера для продолжения. Это каким алешей надо быть чтобы вводить данные никак не относящиеся к программе и продолжить устанваливать это говно.
Инбифо, Адоб много лет успешно и чисто пиратится Монкрусом весь, с несколькими таблэтками от жадности.
Тык
И почему то на подобное говно, но с майлом каспер не агриться. Пидоры наверное