Sahte FedEx, USPS, UPS ve Mahkeme Uyarısı malspam'tan Kovter ve Locky siteleri

Bu yazıyı arkadaşlarınızla ve kişilerinizle paylaşın. Onların güvenli kalmalarına yardımcı olun:  Sahte Kimlik Avı ve USPS (ve diğer teslimat servislerini) zaman zaman tarif eden bu [  FEDEX ] [  USPS ] mesajlarından sonra, bu kötü amaçlı yazılımın yayılmasında yer alan mevcut sitelerin bir listesini güncel tutmaya çalışacağım. Ayrıca o gün kullanılan kötü amaçlı yazılımları almak için kullanılan komutu göstereceğim. Her gün yeni siteleri listelere ekleyeceğim, ancak lütfen eski sitelerin barındıranlar tarafından kaldırılıncaya dek her gün yeniden kullanıldığını unutmayın.  Bu kötü amaçlı yazılım yayma kampanyasında kullanılan tüm siteler, WordPress, magento e-ticaret, Joomla, Drupal veya diğer CMS sitelerine saldırı / saldırıya uğradı . Oldukça yüksek bir oran, e-ticaret siteleri şeyler satıyor ve sitelerde kredi kartı kabul ediyor . Bu siteler saldırıya uğradığında ve kötü amaçlı yazılım yaymakla geçiyorsa, başka ne oluyor? Diğer suç çetelerinin aynı açıkları kullanabileceği ve bu sitelere yüklenen herhangi bir bilgiyi, kredi kartı, e-posta adresini, şifreyi vb. Çalması olası değildir. Bu sitelerin bazıları Google Güvenli Tarama'da listelenir ve Google aramalarda göründüklerinde uyarı alır, ancak çoğunluk bunu yapmaz.

Kötü amaçlı yazılım çeteleri uzlaşmaya ve etkili bir şekilde malware yaymak için siteyi ele geçirdiğinde, bazen site düzgün çalışmaya devam eder, bazen bu ekran görüntüleri gibi php hataları alırsınız Bazen hiçbir içerik barındırmayan düz bir beyaz ekran elde edersiniz.

Hâlâ çalışan bir web sitesine sahip olan web sitesi sahibini tehlikeye attıklarını ikna etmek son derece zordur. Bunların çok yüksek bir kısmı raporları görmezden gelmekte ve bir devekuşu taklidi yapmaktadır (başlarını kuma gömer). Bunun en büyük tehlikesi, bir çete siteyi ele geçirirse, diğer çeteler / bilgisayar korsanları / suçlular da yapabilir ve yapabilir. Siteler botnet'lere kaydoluyor ve spam göndermek veya siyah şapka SEO bağlantı spam'ı için kullanılıyor.

Komut, listedeki ilk denemeyi dener ve sonra sunucudan bir cevap alana kadar aşağıya gider. İlk indirilen dosyayı (bilgisayarınızda arama yapıp, geçici internet dosyalarından doğrudan arayarak counter.js) görmezsiniz. Counter.js, daha sonra 01, sonra 02, sonra 03 dosyalarını karşıdan yükleyen farklı bir counter.js varyantını indirir. 05'e ulaşıncaya kadar. Herhangi bir sitede dosyaya sahip değilseniz, o dosyanın listesindeki bir sonraki siteye taşınır. Listedeki her site tam bir dosya grubuna sahiptir. Ancak, counter.js dosyasını gerçekte kendisinden indiren site için nadirdir, normal olarak bu dosyalar listede farklı bir siteden indirilir. Tüm dosyalar (orijinal counter.js dışında) png (resim dosyaları) gibi davranırlar. Aslında hepsi yeniden adlandırılmış .exe dosyaları veya şifrelenecek dosyaları listeleyen yeniden adlandırılmış bir php betiği. Counter.js, orijinal WSF, JS, VBS veya diğer kodlama dosyalarında listelenen sitelerin çoğunu ve normal olarak bir veya iki tane ek dosyayı içeren indirilecek sitelerin listesini içerir. İkinci counter.js almak için değiştirmeniz gereken & r = 01 için url sonunda için & m = 01 (veya 02-05) . Bu ikinci counter.js, WSF'de veya ilk counter.js'de yer almayan önceki gün listelerindeki siteleri sıklıkla içeren karşıdan yüklenecek ek siteler içerir. M = 01 (veya 02-05) . Bu ikinci counter.js, WSF'de veya ilk counter.js'de bulunmayan önceki gün listelerindeki siteleri sıklıkla içeren karşıdan yüklenecek ek siteler içerir. M = 01 (veya 02-05) . Bu ikinci counter.js, WSF'de veya ilk counter.js'de yer almayan önceki gün listelerindeki siteleri sıklıkla içeren karşıdan yüklenecek ek siteler içerir.

El ile özgün wsf dosyasını (ve özgün counter.js) çözdüğümde ve yanlış yazılmış / yanlış kopyalanmış & r = ve kullanılmış & m = yerine , yalnızca yanlışlıkla ikinci / 3/4/5 sayaç.js hakkında öğrendim . Açıkçası, URL'ler veya siteler bilinen ve bir virüsten koruma veya web filtresi hizmeti tarafından engellendiğinde gerçek zararlı yazılımların bir kurbanın bilgisayarına indirilmesini sağlamak için bir kemer ve dirsek yaklaşımıdır.

Alınan her wsf dosyasında dosyada kodlanmış farklı "komutlar" kümesi olsa da, hepsi aşağıdaki / sayaç /? Aynı yapıya sahip herhangi bir komut kümesi, kötü amaçlı yazılım yükünü teslim edecektir. Aşağıda listelenen set 25 Aralık'tı ve burada listelenen her sitede çalışıyor.