Разное

Kaspersky updater: Kaspersky Update Utility 3.x

15.10.1980

Содержание

Блокировщик рекламы с майнером в комплекте

Некоторое время назад мы обнаружили ряд поддельных приложений, доставляющих на компьютеры пользователей майнер криптовалюты Monero. Они распространяются через сайты злоумышленников, на которые жертва может попасть из поисковых систем. Судя по всему, это продолжение летней кампании, о которой писали наши коллеги из компании Avast. Тогда злоумышленники распространяли вредоносное ПО под видом установщика антивируса Malwarebytes.

В текущей кампании мы видели несколько приложений, под которые маскировались зловреды: блокировщики рекламы AdShield и Netshield, а также сервис OpenDNS. В данной статье мы проанализируем только атаку с использованием AdShield, однако в других случаях заражение происходит по такому же сценарию.

Технические детали

Зловред распространяется под именем adshield[.]pro и выдает себя за Windows-версию мобильного блокировщика рекламы AdShield. После того как пользователь запускает программу, она меняет настройки DNS на устройстве так, что все домены начинают разрешаться через серверы злоумышленников, которые, в свою очередь, не дают пользователям получить доступ к сайтам некоторых антивирусов, например к Malwarebytes.

com.

После подмены DNS-серверов зловред начинает обновляться и запускает updater.exe с аргументом self-upgrade («C:\Program Files (x86)\AdShield\updater.exe» -self-upgrade). Updater.exe обращается к командному центру и отправляет сведения о зараженной машине и информацию о начале установки. Часть строк в исполняемом файле, в том числе строка с адресом командного сервера, зашифрована для усложнения статического детектирования.

Фрагмент кода

Updater.exe, содержащий зашифрованный адрес

Updater.exe скачивает с сайта transmissionbt[.]org и запускает модифицированный торрент-клиент Transmission (оригинальный дистрибутив находится по адресу transmissionbt.com). Модифицированная программа отсылает на командный сервер информацию об установке вместе с идентификатором зараженной машины и загружает с него модуль для майнинга.

Оповещение С&С об успешной установке

Модуль для майнинга состоит из легитимных вспомогательных библиотек, зашифрованного файла с майнером data.

pak, исполняемого файла flock.exe и файла «лицензии» lic.data. Последний содержит шестнадцатеричный хэш SHA-256 от некоторых параметров машины, для которой предназначен модуль, и данных из файла data.pak. Модифицированный клиент Transmission запускает flock.exe, который первым делом вычисляет хэш от параметров зараженного компьютера и данных из файла data.pak, после чего сравнивает его с хэшем из файла lic.data. Это необходимо, поскольку командный центр генерирует для каждой машины уникальный набор файлов, чтобы затруднить статическое детектирование и предотвратить запуск майнера в различных виртуальных окружениях, предназначенных для анализа.

Если хэши различаются, выполнение прекращается. В противном случае flock.exe расшифровывает данные из файла data.pak с помощью алгоритма AES-128-CTR, при этом ключ для расшифровки и вектор инициализации собираются из нескольких частей, хранящихся в коде образца. После расшифровки получается файл бинарных ресурсов Qt, в котором находятся два исполняемых файла — майнер с открытым исходным кодом XMRig (такой же использовался и в летней атаке) и библиотека bxsdk64.

dll.

Расшифрованный файл data.pak

Файл bxsdk64.dll является частью ПО для создания виртуального окружения BoxedApp SDK, однако в данном случае он используется для запуска майнера под видом легитимного приложения find.exe. Дело в том, что для реализации своей функциональности bxsdk перехватывает вызовы системных функций и может манипулировать их выполнением. В данном случае с помощью функции BoxedAppSDK_CreateVirtualFileA в директории C:\ProgramData\Flock создается файл find.exe (который представляет собой копию файла C:\Windows\System32\find.exe). Дальнейшие манипуляции с find.exe происходят в оперативной памяти и не затрагивают файл на диске. При запуске процесса find.exe bxsdk перехватывает это событие и запускает файл из директории C:\ProgramData\Flock, а затем с помощью функций WriteProcessMemory и CreateRemoteThread внедряет в память процесса расшифрованное тело майнера.

Для обеспечения постоянной работы майнера в планировщике Windows создается задача servicecheck_XX, где XX — случайные цифры. Задача запускает flock.exe с аргументом minimize.

Статистика

По данным Kaspersky Security Network, на момент написания статьи с начала февраля 2021 года были зафиксированы попытки установки поддельных приложений на устройства более 7 тыс. пользователей. На пике текущей кампании атаке подвергались более 2,5 тыс. уникальных пользователей в день, преимущественно из России и стран СНГ.

Количество атакованных пользователей, август 2020 г. — февраль 2021 г. (скачать)

Защитные решения «Лаборатории Касперского» детектируют описанные угрозы со следующими вердиктами:

  • Win64.Patched.netyyk
  • Win32.DNSChanger.aaox
  • Win64.Miner.gen
  • HEUR:Trojan.Multi.Miner.gen

Как удалить майнер

Если на вашем устройстве обнаружен файл QtWinExtras.dll, переустановите программу Malwarebytes. Если приложения Malwarebytes нет в списке приложений, необходимо удалить все папки из следующего списка, которые есть на диске:

  • %program files%\malwarebytes
  • program files (x86)\malwarebytes
  • %windir%\. old\program files\malwarebytes
  • %windir%\.old\program files (x86)\malwarebytes

Если на вашем устройстве обнаружен файл flock.exe, примите следующие меры:

  • Удалите ПО NetshieldKit, AdShield, а также удалите или переустановите OpenDNS (в зависимости от того, что именно установлено на устройстве).
  • Переустановите торрент-клиент Transmission или удалите его, если не планируете использовать.
  • Удалите папки (если они есть на диске)
    • C:\ProgramData\Flock
    • %allusersprofile%\start menu\programs\startup\flock
    • %allusersprofile%\start menu\programs\startup\flock2
  • Удалите задачу servicecheck_XX (где XX — это любые случайные числа) из планировщика задач Windows.

DNS

142[.]4[.]214[.]15
185[.]201[.]47[.]42
176[.]31[.]103[.]74
37[.]59[.]58[.]122
185[.]192[.]111[.]210

Домены

adshield[.]pro
transmissionbt[.]org
netshieldkit[.]com
opendns[.]info

Хэш-суммы

5aa0cda743e5fbd1d0315b686e5e6024 (установщик AdShield)
81BC965E07A0D6C9E3EB0124CDF97AA2 (updater. exe)
ac9e74ef5ccab1d5c2bdd9c74bb798cc (модифицированный установщик transmission)
9E989EF2A8D4BC5BA1421143AAD59A47 (установщик NetShield)
2156F6E4DF941600FE3F44D07109354E (установщик OpenDNS)

Выпуск утилиты Kaspersky Software Updater

Выпуск утилиты Kaspersky Software Updater

28.12.2016 1521


Эта утилита дает возможность централизованно обновлять установленные программы на вашем компьютере, это позволяет значительно повысить вашу информационную безопасность и пресечь для злоумышленников использовать способы проникновения на ваше устройство через устаревший софт.

Непредвиденные ошибки существуют почти в 100% случаев написания нового программного кода и это в свою очередь дает возможность использовать эту программу не по назначению, такие программные недостатки принято называть уязвимостями. Злоумышленники особенно активно стараются найти такие уязвимости в популярных программах и приложениях, чтобы распространить компьютерный вирус в как можно большее количество устройств.

В свою очередь разработчики приложений и программ имеют серьезное отношение к наличию ошибок в своих продуктах, поэтому стараются постоянно выявлять и устранять ошибки программного кода, тем самым совершенствуя и выпуская все новые и новые версии программ. Однако если посмотреть на пользователей, то как правило у них нет большого стремления или времени на то, чтобы проверять наличие обновлений для программ, установленных на личном устройстве, либо этих программ так много, что такая проверка становится весьма трудной задачей.

Для увеличения уровня безопасности и удобства своих пользователей, “Лаборатория Касперского” создала Kaspersky Software Updater. Этот продукт хорошо зарекомендовал себя в виде бета-версии на устройствах 800 тысяч пользователей, и теперь антивирусная компания презентует его официально.

Kaspersky Software Updater сканирует пользовательское устройство в поиске популярных программ, текущая версия которых устарела и предоставляет пользователю список таких программ. В настройках можно установить функцию, чтобы обновления загружались без согласия пользователя с сайта изготовителя программы, и затем производилась замена устаревшего обновления.

Руководитель отдела антивирусных исследований “Лаборатории Касперского”, Вячеслав Закоржевский говорит следующее: “Наша основная задача — повысить уровень безопасности пользователей от киберугроз. Уязвимости в программном обеспечении сегодня — одна из ключевых проблем, так как они позволяют преступнику незаметно получить контроль над чужим ПК. Мы уверены, что лучше предотвращать угрозу, чем бороться с ее последствиями, поэтому призываем всех пользователей регулярно обновлять операционную систему и установленные приложения”.


P.S. Если у вас возникли проблемы с техникой, обращайтесь в наш компьютерный сервис либо закажите выезд компьютерного мастера.

Kaspersky Seamless Update Service — что это за служба? (avpsus)

  • Разбираемся
  • Дальнейшие действия

Сразу коротко ответ: данный сервис необходим для отслеживания состояния антивируса в сети.

РЕКЛАМА

Разбираемся

Грузить ПК или использовать много оперативки служба не должна.

Службу можно заметить например в диспетчере задач (вкладка Процессы):

РЕКЛАМА

Что интересно — если выйти из антивируса Касперского то служба все равно может остаться висеть в диспетчере. Чтобы остановить можно попробовать использовать Process Explorer.

Дальнейшие действия

Мои некоторые рекомендации:

  1. Сперва попробуйте полностью выйти из Каспера. То есть нажмите выход в контекстном меню значка в трее. Потом попробуйте остановить службу через штатные настройки Windows: зажмите Win + R > напишите команду services.msc, кликните ОК, откроется список служб. Найдите по самому названию или по служебному названию avpsus. Нажмите два раза. Потом в меню Тип запуска выберите Отключена, а ниже нажмите кнопку Остановить.
  2. Если не получится — попробуйте запустить антивирус. Посмотрите настройки, может стоит отключить какой-то компонент. Службу спокойно может запускать какой-то сетевой компонент.
  3. Радикальный способ: найдите процесс службы в диспетчере. Нажмите правой кнопкой > выберите пункт открыть расположение. Откроется папка с выделенным файлом. Сам процесс завершаем, если не получится — ничего страшного. Теперь качаем утилиту Unlocker (точнее ее можно загрузить заранее). Файл в открытой папке — переименовываем, просто советую добавить символ нижнего пробела. Если будут ошибки — тогда уже используем Unlocker (она специально создана чтобы удалять/переименовывать заблокированные файлы/папки).

Надеюсь кому-то данная информация окажется полезной. Удачи и добра, до новых встреч друзья!

На главную! 23.03.2021

РЕКЛАМА

обновляйте установленное программное обеспечение в актуальном состоянии 📀