Блог за уеб технологии, маркетинг и SEO, мотивация и продуктивност
Stantinko – malware, който инфектира над половин милион компютри
От началото на 2017 г. изследователите на ESET провеждат разследване на комплексната заплаха, насочена главно към Русия и Украйна. Stantinko, който е известен от 2012 година, е увеличил сложността си и се оказва доста як проблем за решаване. От него вече са засегнати над 500 000 компютри.
Какво представлява Stantinko malware и как действа
За да зарази една система, той предлага на потребителите, които търсят пиратски материали в Интернет, да изтеглят изпълними файлове, прикрити понякога като торенти, уверяващи че са проверени за вируси. Първоначалната инсталация се нарича File tour. Един път като завладее компютъра, инсталира два опасни компонента в Windows, които се стартират на всяко включване.
(adsbygoogle = window.adsbygoogle || []).push({});
Гифче на фигурата от Welivesecurity, която показва пълната заплаха от Stantinko от началото на инфекцията до крайните услуги и свързаните с тях плъгини.
Основната функция на Stantinko е да инсталира две разширения на браузера, които се показват на пръв поглед като напълно нормални и полезни. Доскоро се откриваха в Chrome Store: Teddy Protection и The Safe Surfing. Първото даже си има и сайт.
А второто все още съществува към момента в Chrome Store. Когато се инсталират от Stantinko, тези иначе нормални разширения, променят конфигурацията си и започват да изпращат на потребителя нежелани реклами.
Разглежданият злонамерен софтуер е modular backdoor. Дава възможност да се настани плъгин, който на базата на синтактичен анализ търси сайтове на Joomla и WordPress и атакува Административния панел. Неговият Facebook бот извършва редица измами – от поставяне на лайкове, до създаване на фалшиви профили и добавяне на приятели.
Проучването на ESET е открило как Stantinko мами социалната мрежа. Той предлага изгодни реклами за 15$ за 1000 лайка. Но тези лайкове са фейк – фалшиви. За да прескочи CAPTCHA на Facebook, ботът му разчита на онлайн услугата anti-CAPTCHA.
Ликвидирането му е трудно, защото трябва едновременно да се унищожат и двете основни части, които е създал в компютъра. Собственикът трудно го усеща, малуерът не натоварва процесора. Задачата му е да те заведе към рекламите, печели от тях.
Заключение
За повече информация: от източника – Welivesecurity и тяхната White paper (pdf файл).
ESET продуктите откриват Stantinko под името Win32/TrojanDownloader.Stantinko и Win32/Adware.Adstantinko. Можеш да използваш ESET Online Scanner, за да сканираш компютъра си, ако мислиш, че е заразен от този malware.
Прочети още тук: Как да премахнем зловредни програми като Piesearch.com