Information Security
May 2013 17

Mail.Ru тестирует новый способ заражения компьютеров


Как-то среди ночи меня пробила ностальгия и я решил скачать с зайцев.нет композицию Анжелики Варум — «Городок».

Нахожу, подходит битрейт, выбираю mp3 и качаю.

Но почему-то скачался .exe файл… и со странного адреса dls3.moilru.ru/output/.../02/96/6b/9f/audio/varum_anzhelika_-_gorodok_zaycev_net.exe
Что за ерунда думаю.


Выбираю .rar формат, то же скачивается — .exe файл размером на 160KБ.

Запускаю whois по домену и получаю:
domain:        MOILRU.RU
nserver:       ns1.reg.ru.
nserver:       ns2.reg.ru.
state:         REGISTERED, DELEGATED, UNVERIFIED
person:        Private Person
registrar:     REGRU-REG-RIPN
admin-contact: http://www.reg.ru/whois/admin_contact
created:       2013.05.13
paid-till:     2014.05.13
free-date:     2014.06.13
source:        TCI


Опа! Свеженький!

Заливай файл на ВирусТотал и получаю отчет по файлу.

Скриншоты свойств файла.


Выборочно потыкал другие композиции, везде качается вместо mp3 исполняемый файл.

Cкаченные файлы имеют разный размер, но у всех подпись сертификатом mail.ru.

Мой юзерагент:
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:21.0) Gecko/20100101 Firefox/21.0

Меняю его на Андроид. Сразу идет редирект на m.zaycev.net и теперь уже качаются нормальные mp3…

Ничего себе!
Послушал, называется, музычку на ночь.

В комментах мне напомнили другую статью.

P.S. Задаю риторический вопрос — как можно без ведома mail.ru подписать её сертификатом столько разных файлов?

P.P.S. Проверил IP сайта, DNSов и шлюза провайдера — никакого спуфинга. Проверился вторым антивирусом — чисто.

Update.
(Спустя 12 часов):

Сменен раздающий домен на downloader.com и сменен формат url:
http://dwnloader.com/MjU1NTtodHRwJTNBJTJGJTJGZGwuemF5Y2V2Lm5ldCUyRjExNWE3ZGY2LTE4NjMtNGQxNy1iOWRjLWM5MTI0ZGIwZGVkOCUyRjE2NTA1JTJGMTY1MDUxOCUyRm5hdGFsaV8tX29fYm96aGVfa2Frb3lfbXV6aGNoaW5hXyh6YXljZXYubmV0KS5tcDM7bmFtZT1uYXRhbGlfLV9vX2JvemhlX2tha295X211emhjaGluYV8oemF5Y2V2Lm5ldCkubXAzO3NpemU9ODY1MDc1Mjt0eXBlPW1wMw==

Немного позже опять сменен домен на dawnloader.ru (78.140.165.153)
Через двое суток сменен на dwnloader.net (46.254.18.232).

Который редиректит на другие домены, с который и происходит закачка:
vengera.ru
savtopo.ru
dojdipo.ru
astonka.ru
hkovma.ru
owsezam.ru
gudlet.ru
pilagi.ru
zyankokhi.ru
iqtaxib.ru
goditsa.ru
ekzofo.ru
rfaksa.ru
liqra.ru
skachatfayl.ru
dwnloader.net 


Эти домены также участвует в заражении посетителей сервиса torrentino.com
Все они находятся на IP 146.255.192.214. ДатаЦентр на абьюзы не реагирует :(

Внутри такой же подписанный сертификатом от mail.ru файл.
Я нахожусь в Украине, возможно поэтому мне не выдается файл, подписанный LLC Pentagon.

Update.
(Спустя 16 часов)
Появилась надпись при скачке:
Скачивание файла производится при помощи специального загрузчика (троянов) от наших партнеров — Mail.ru и Rambler. Запуск загрузчика абсолютно безопасен для вашего компьютера, что подтверждено цифровой подписью, но возможны ложные срабатывания антивирусов.


Перевожу: С Лабораторией Касперского мы договорились, он не считает эти файлами троянами, а Dr.Web, который классифицирует файлы как трояны, вообще не антивирус.

И получен ответ от распространителей:

От: Николай nik[a]openprog.ru

Вы жалуетесь на Загрузчик (который якобы содержит вирус).

Настоящим уведомляем, что имеет место ложное положительное срабатывание. Сам файл представляет из себя ни что иное, как HTTP-клиент для загрузки любого контента и совершенно точно не является вирусом. Файл подписан цифровой подписью его производителя — компании Mail.Ru и находится на серверах Mail.Ru, что дополнительно подтверждает происхождение и благонадежность этого файла.

Эвристические анализаторы некоторых антивирусов могут срабатывать на внутреннюю структуру и действия этого файла, однако мы гарантируем, что данные срабатывания — ложные.

Если возникают вопросы по файлам, которые распространяются с нашего сервера — просьба писать о них на nik[a]openprog.ru


Еще им не хватает IP и они дозаказали у Датацентра новые :(
+76
141.1k 37
Support the author
Comments 97
Top of the day