Stantinko вирус что это
Рекламное ПО – не самый простой для анализа тип вредоносных программ. Обнаружив комплексную угрозу Stantinko, мы не сразу поняли, что это: рекламное ПО, вредоносная или шпионская программа. Потребовалось время, чтобы выявить ее цели и схемы, поскольку угроза оставляет не так много следов на зараженной машине. Разбираться в экосистеме Stantinko – примерно как собирать пазл.
Stantinko специализируется на рекламном мошенничестве, но выделяется на общем фоне технической сложностью. Шифрование кода и оперативная адаптация для защиты от обнаружения антивирусами позволили операторам Stantinko оставаться вне зоны видимости как минимум на протяжении пяти лет. Кроме того, внимание привлекает масштаб Stantinko – это одна из наиболее распространенных в России киберугроз, в составе ботнета около 500 000 устройств.
Для заражения системы операторы Stantinko вводят в заблуждение пользователей, которые ищут пиратское ПО и загружают исполняемые файлы, иногда замаскированные под торренты. Далее FileTour, начальный вектор заражения, демонстративно устанавливает множество программ, чтобы отвлечь внимание пользователя от скрытой установки первой службы Stantinko в фоновом режиме. В видео 1 показано, как пользователь запускает вредоносный файл.ехе.
Видео 1. Пользователь загружает и запускает вредоносный файл
Операторы Stantinko управляют ботнетом и монетизируют его, в основном, путем установки вредоносных расширений браузера для несанкционированного внедрения рекламы и кликфрода. Проблема в том, что на этом они не останавливаются. Вредоносные службы позволяют исполнить на зараженной системе все, что угодно. Мы наблюдали отправку полнофункционального бэкдора, бота для массового поиска в Google, а также утилиты для брутфорс-атак на панели управления Joomla и WordPress (предназначена для взлома и возможной перепродажи).
На рисунке ниже представлена полная схема киберкампании Stantinko – от вектора заражения до постоянных сервисов и соответствующих плагинов.
Рисунок 1. Полная схема угрозы Stantinko
Характерная особенность Stantinko – обход обнаружения антивирусом и противодействие реверс-инжинирингу, определяющему вредоносное поведение. Для проведения всестороннего анализа угрозы необходимо несколько компонентов – загрузчик и зашифрованный компонент. Вредоносный код скрыт в зашифрованном компоненте, который находится либо на диске, либо в реестре Windows. Код загружается и расшифровывается безвредным на первый взгляд исполняемым файлом. Ключ генерируется для каждого из заражений. Некоторые компоненты используют идентификатор бота, другие – серийный номер тома жесткого диска ПК жертвы. Детектирование по незашифрованным компонентам – крайне сложная задача, поскольку артефакты, хранящиеся на диске, не показывают вредоносного поведения до выполнения.
Кроме того, в Stantinko предусмотрен механизм восстановления. После успешного заражения на машину жертвы с операционной системой Widnows устанавливаются две вредоносные службы, которые запускаются вместе с системой. Службы могут переустанавливать друг друга в случае удаления одной из них. Таким образом, чтобы успешно устранить угрозу, необходимо одновременно удалить две службы. Иначе C&C-сервер направит новую версию удаленной службы, которая еще не была обнаружена, либо содержит новую конфигурацию.
Основные функциональные возможности Stantinko – установка в зараженной системе вредоносных расширений браузера The Safe Surfing и Teddy Protection. На момент анализа оба расширения были доступны в Chrome Web Store. На первый взгляд, это легитимные браузерные расширения, блокирующие нежелательные URL-адреса. Но при установке в рамках схемы Stantinko расширения получают иную конфигурацию, содержащую правила кликфрода и несанкционированного показа рекламы. В видео 2 показан процесс установки расширения The Safe Surfing. Кликнув по ссылке, пользователь перенаправляется в поисковик Rambler.
Рисунок 2. Teddy Protection в Chrome Web Store
Рисунок 3. The Safe Surfing в Chrome Web Store
Видео 2. Переадресация трафика на сайт Rambler
Stantinko – модульный бэкдор. Его компоненты включают загрузчик, позволяющий выполнять любой исполняемый Windows-файл, передаваемый C&C-сервером напрямую в память. Эта функция реализована в виде гибкой системы плагинов, которая позволяет операторам выполнить в зараженной системе все, что угодно. В таблице ниже приведено описание известных нам плагинов Stantinko.
Разработчики Stantinko используют методы, которые чаще встречаются в APT-кампаниях. Тем не менее, их главная цель – деньги. Операторы предлагают свои услуги на самых доходных рынках компьютерных преступлений.
Во-первых, кликфрод сегодня является крупным источником доходов в экосистеме киберпреступников. Исследование, проведенное компанией White Ops и Национальной ассоциацией рекламодателей (США), оценило мировые издержки от кликфрода в 2017 году в 6,5 млрд долларов США.
Как уже описывалось выше, Stantinko устанавливает два расширения браузера – The Safe Surfing и Teddy Protection, которые показывают рекламу или осуществляют редирект. Это позволяет операторам Stantinko получать деньги за трафик, который они обеспечивают рекламодателям. На рисунке ниже показана схема переадресации.
Рисунок 4. Кликфрод, процесс переадресации
Во-вторых, операторы Stantinko пытаются получить доступ к панелям управления сайтов на Joomla и WordPress. Атака построена на брутфорсе с перебором логинов и паролей по списку. Цель – угадать пароль, испробовав десятки тысяч комбинаций. Взломанные аккаунты могут быть перепроданы и далее использоваться для переадресации посетителей сайтов на набор эксплойтов или для размещения вредоносного контента.
В-третьих, наше исследование раскрыло, как Stantinko работает в соцсетях. Мы уже описывали этот тип мошенничества в отчете по Linux/Moose. Схема действительно приносит прибыль – 1000 лайков на Facebook стоят около 15 долларов (даже если их генерируют фейковые аккаунты в составе ботнета).
Операторы Stantinko разработали плагин, взаимодействующий с Facebook. Помимо всего прочего, он может создавать аккаунты, ставить лайк на странице и добавлять друзей. Для обхода капчи в Facebook он использует специальный сервис (на рисунке 5). Масштаб сети Stantinko является преимуществом операторов, поскольку позволяет им распределять запросы между всеми ботами – это усложняет задачу Facebook по распознаванию мошенничества.
Рисунок 5. Сервис по обходу капчи, используемый Stantinko
Stantinko – это ботнет, который специализируется на рекламном мошенничестве. Продвинутые технологии, включая шифрование кода и хранение кода в реестре Windows, позволяли операторам оставаться незамеченными на протяжении пяти лет.
Кроме того, операторам Stantinko удалось выложить в Chrome Web Store два расширения для браузера, которые выполняли несанкционированное размещение рекламы. Одно из них впервые появилось в Chrome Web Store в ноябре 2015 года.
Пользователь вряд ли заметит присутствие Stantinko в системе, поскольку угроза не перегружает ЦП. С другой стороны, Stantinko приносит убытки рекламодателям и значительный доход – операторам. Кроме того, присутствие полнофункционального бэкдора позволяет злоумышленникам следить за всеми зараженными машинами.
Привезли родственники компьютер, старенький относительно. Пользуются часто дети, который запросто могли скачать какую-то фигню. Решила проверить на вирусы, предпосылками были - запуск после включения только через черный экран и нажатие кнопки F1, каждый раз при включении сбивается дата и время, нужно настраивать каждый раз.
Касперский Virus Removal Tool нашел троян в системной памяти, ни лечить, ни удалить не удается.
Вроде всё, что надо сделала. Если нужно что-то ещё - сообщите, сделаю
Консультанты
Старожилы
Решила проверить на вирусы, предпосылками были - запуск после включения только через черный экран и нажатие кнопки F1, каждый раз при включении сбивается дата и время, нужно настраивать каждый раз.
прикрепите свежие логи.
батарейку на материнке надо поменять
Не сказала бы, что сильно в этом разбираюсь. Подскажите, пожалуйста, где купить, как правильно называется, как правильно подобрать? Можно ли поменять самостоятельно или лучше обратиться к специалисту?
Все остальные рекомендации завтра постараюсь исполнить. Большое спасибо за ответ.
Консультанты
Старожилы
Все остальные рекомендации завтра постараюсь исполнить.
Можно ли поменять самостоятельно или лучше обратиться к специалисту?
Консультанты
Старожилы
Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,
- Скачайте Universal Virus Sniffer (uVS)
- Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
- Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
. Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.
. Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Санитарная обработка станции в Сеуле в связи с распространением нового коронавируса из Китая. Фото: EPA/ТАСС -->
Обновлено в 18:49
Всемирная организация здравоохранения рекомендует всем странам мира быть готовыми к сдерживанию нового коронавируса на фоне роста количества заболевших и погибших от 2019-nCoV. Об этом говорится в сообщении ВОЗ в Twitter
Как избежать заражения коронавирусом — рекомендации Всемирной организации здравоохранения pic.twitter.com/GXOo6sIbx7
Ранее Роспотребнадзор рекомендовал россиянам воздержаться от поездок в Китай из-за распространения коронавируса. Ведомство также советует не посещать в КНР зоопарки, культурно-массовые мероприятия с участием животных, а также использовать маски, тщательно мыть руки и употреблять только термически обработанную пищу и бутилированную воду.
По последним данным, которые приводит The Guardian со ссылкой на китайские власти, в КНР общее число заболевших превысило 830 человек. В результате пневмонии, вызванной новым типом коронавируса 2019-nCoV, погибли по меньшей мере 26 человек. Тем временем, как сообщает агентство Sina, в Шанхае вылечили 56-летнюю женщину, которая первой в мире заразилась новым коронавирусом. Она уже выписана из больницы.
Как сообщило Центральное телевидение Китая, для борьбы с распространением коронавируса в Ухане в город направлены 40 военных медиков. При этом в пятницу утром в городе началось строительство больницы, в которой будут размещены зараженные новым коронавирусом пациенты. Здание площадью 25 тысяч квадратных метров будет рассчитано на одновременный прием тысячи пациентов. Построить больницу обещают за шесть дней.
Китайский центр по контролю и профилактике заболеваний показал первый снимок коронавируса, сделанный при помощи электронного микроскопа.
Китай обнародовал полный биологический портрет нового коронавируса 2019-nCoV. Доступны фото, сделанные с помощью электронного микроскопа, а также опубликованы данные секвенирования генома возбудителя. #коронавирусpic.twitter.com/2nY61VYMKM
Чем этот коронавирус отличается от предыдущих, рассказывает эксперт Всемирной организации здравоохранения, заведующая отделом вирусологии Института экспериментальной медицины Лариса Руденко.
Достаточно ли мер, которые принимает сейчас Россия по предупреждению распространения вируса? Об этом Business FM спросила доцента кафедры инфекционных болезней РУДН Вениамина Голуба.
— Пока принимаемые меры вполне достаточны. Полностью закрыть границы для России — это почти невозможно. Ограничить полностью движение между Китаем — не было такого никогда.
— В России китайских туристов очень много, то есть, получается, наша страна в зоне риска?
— Зона риска, конечно, есть. В первую очередь это Дальний Восток. Сейчас миграция китайских граждан, которая связана с празднованием Нового года. Но сейчас пока идет миграция внутрь Китая, потом будет возвращение. Нужно быть очень внимательными, когда китайские граждане, которые работают в России на Дальнем Востоке, будут возвращаться.
— Какие меры можно принять еще с нашей стороны?
— Может быть, появятся еще какие-то возможности, потому что не все известно об эпидемиологических особенностях этого вируса. Еще совсем недавно, несколько дней тому назад говорили, что от человека к человеку не передается. Сегодня уже говорят, что возможна передача через воздух от человека к человеку. И много непонятно в закономерностях распространения этого вируса, на что он способен.
Без специальных анализов терапевты не смогут распознать новый коронавирус, говорит председатель Московского городского научного общества терапевтов, профессор Московской медицинской академии Павел Воробьев. При этом он отметил, что заболевание, которое в последние дни держит весь мир в страхе, не настолько страшное.
— Это стандартная система медикализации и запугивания общества. Она из года в год повторяется для того, чтобы распродать остатки лекарств, которые залежались, и для того чтобы распродать маски, термометры и прочее. Другой задачи у этой программы нет. Ну да, еще ВОЗ должна получить под это деньги. Разговор о том, что какая-то страшная инфекция… Она каждый год новая, каждый год страшная и каждый год кончается пшиком. Так что я уверен, что эта новая инфекция страшна, как и все предыдущие.
— Тем не менее весь мир уже напряжен, есть летальные исходы.
— Вы только вдумайтесь в эти слова. В России каждый год от инфекционных респираторных инфекций, включая пневмонию, умирают не менее 40 тысяч человек, а здесь речь идет о двух десятках человек на весь мир.
— Чисто технически терапевт сможет на приеме распознать этот коронавирус или нет?
— Проблема в том, что все вирусные респираторные инфекции абсолютно одинаковые и распознать их невозможно. Вы можете изобретать какие-то диагностические тесты, которые будут выявлять новые вирусы, и будете говорить: мы выявили новый вирус. А на самом деле этот вирус наверняка хорошо известен, давным-давно существует, просто мы с ним раньше никогда не имели дела, потому что не имели диагностику. Сегодня есть диагностика, и будут вам рассказывать про новый опасный вирус. Спокойно дышите носом. Ничего, кроме распила бюджетного бабла и выемки денег из кармана пациента, за этой истерией не стоит.
Северная Корея с 22 января закрыла границу для всех иностранных туристов из-за опасений распространения коронавируса.
Каспер находит MEM:Trojan.Win32.Stantinko.gen
Предлагает лечить, но после перезагрузки снова находит и снова по кругу.
Васисуалий, Кеш - весь на очистку - потом TMP Все временные каталоги- и это перегружать после каждого удаления
Добавлено 19-05-2018 20:24
cmd del *.tmp но лучше все это зайдя с загруз диска флешки
Добавлено 19-05-2018 20:28
а еще луче достать из коробки дистрибутив переустановить систему и радоваться не засранной! сам недано на ноут SSD воткнул - не нарадуюсь. 5 секунд загрузка 8.1
Васисуалий, возможно ложное срабатывание или реакция на ваш крек или специализировнную прогу..сам файл есть , там где кспер его находит ?
Если есть проверь его на ссылка скрыта от гостей /
Или обратись на
safezone.cc
forum.oszone.net
систему проверят и выпишут лечение если понадобится
Или на любой другой аналогичный форум в раздел лечения, у тамошних специалистов есть договоры на обработку файлов в антивирусных лабораториях.
P.S. если ссылки нарушают местные правила, скажите и я их удалю.
Добавлено 19-05-2018 18:44
dimaps, гораздо проще установленную и налаженную систему заархивировать к примеру акронисом и при надобности в случае глюкавости , просто разворачиваешь новый образ, макс за 15мин. От тебя требуется только пару раз нажать на кнопку.
Угумсс , а потом тра. ся устанавливай драйвера , нужные программы, вспоминай нужные адреса в инете, или выискивай на втором логическом диске записи, вот счастье -то. нее лучше в архивчик , а вслучае несколько минут и порядок.. хакеры тут ни пичем , просто есть несовместимость программ, хакерам твой комп никчему , ..вирусы есть , никтотне отрецает , но побольшей части это выплески самоучек с высоким уровнем самовеличия. но из-за корявости рук их произведения на системе быстро вычисляются, гениальные вирусы в системе живут долго и трудно обнаруживаются .для этого они и созданы..
Антивирусы находят вирусы согласно своим базам, в которых есть данные файла ввиде кода к примеру MD5, каждый файл имеет свой код, контрольную сумму, но из-за ограничений, бывают файлы с одинаковым кодом. также антивирусы анализируют деятельность фоновых программ , и елси их деятельность попадает под подозрение , то сразу включается блокировка этой деятельности.
Если файла нет , а сообщение висит то попробуй
ссылка скрыта от гостей /
Iskander, Зачем? Диск от Мамки - и все..
Добавлено 19-05-2018 21:24
с 1998 года с окнами. ну если чо.
с 1998 года с окнами. ну если чо.
В прочем могу дать совет, если снова не обидишься.
Возьми рамку для фоток побольше и вставь в нее распечатку рабочего стола!
Все дело относительное!
Паяльный набор из хозяйственного магазина плюс батарейка КБС-Л, это тоже ЭЛЕКТРОНИКА!
В прочем могу дать совет, если снова не обидишься.
Возьми рамку для фоток побольше и вставь в нее распечатку рабочего стола!
А когда при попытке открыть папку , видя что не реагирует, поискать привод и попробовать вставить диск..ь
Иногда по работе приходится одновременно работать и спланшетом и с компом , при очередном действе открыв на планшете браузер , печатают адрес и несколько секнуд не могу понять почему в адреснгй строке пусто.. и замечаю , что печатал на клаве компа .. или на оборот на мониторе пытался повести действие тыкая по монику как на планшете ..
заускай проги от каспер
Васисуалий, каспер нормальный, но бывает фальсит , как и любой другой антивирь. попоробуй аваст. есть утилита MBAM при установке откажись от пробного периода, и установится только сканер, он и нужен. запускаешь и просканируй , у него другой принцип действия. когда просканируешь неспеши удалять или исправлять что он найдет. Он может указать что к примеру плохое в системе и указать ключ по которому видно что просто отключено автоматическое обновление операционной системы..
Лучше сначала показать отчет кому-нибудь кто разбирается или обратится на спец. Форум ..на пару из них я ссылки дал выше. там проведут проверку . и избавят от паранои .
Если ошибгчно удалишь сам то, в погах есть раздел карантин, откуда удаленый файл или ключ реестра можно вернуть,
если система не рухнула.
Добавлено 19-05-2018 20:25
JUDI71, специализированные утилиты следует назначать при подозрении на заражение файловым вирусом, при наличии определенных характеристиках поведения системы, к примеру мбам покажет специфичные драйвера некоторцх видов , файлового вируса, аваст также это покажет, особенно во время сканирования перед загрузкой системы.
Васисуалий , лучше обратиться на спец форум на предмет подозрения заражения..
Васисуалий, Каспера - не для себя в конторе с 2000 года юзаю - вещь классная - только поганая и тормознутая. систему - тормозит по полной - у меня -просто сервак дорогой а клиенты- по дешевке - но вебер хоть и не тормозит и не жрет ресурсы - Еще хуже. Самое классное - ваще без ав. самому шарить.
Добавлено 19-05-2018 22:29
Я забыл. Каспер - корпоратив - сбербанк - NOD32- Автодор! MacAffi - дрянь голимая и жрет и пропускает. Каспер рулит - но надо строить тонко его..
dimaps, совершенно верно, ! Но разбираться в куче файлов , может только опытный, а васисуалий в этой области отстает, поэтом ему лучше к спецам. Запустив по их рекомендациям утилиты и показав им отчеты утилит.
Добавлено 19-05-2018 20:32
dimaps, аваст еще не плох.. нравится их фича сканирование перед загрузкой системы.
Iskander, По опыту Уважуха Тебе! Лучший антивирус - сбербанк автодор лесхоз - ставишь минимальный доступ нп юзера чтоб они не смогли одн в конт.. и тп
Добавлено 19-05-2018 22:45
Iskander, Аваст очень нравиться - на одном из своих - задейсттвован
Читайте также:
