كما يجب أن يكون الإنترنت لتحميل الأفلام من الناس إلى "سيل" ليست جديدة. ملف التورنت هو ملف نصي على الطبيعة، أنه يحتوي على معلومات التتبع ومعلومات الملف في جزأين. ويحتاج المعلومات تعقب أساسا لاستخدام BT تحميل تعقب عنوان الخادم وإعدادات الملقم تعقب، يتم إنشاء ملف المعلومات استنادا إلى حساب الملف الهدف، يتم ترميز النتائج وفقا لقواعد الترميز ضمن بروتوكول B تورنت. لذلك، يمكن أيضا أن يقال ملفات التورنت إلى أن "فهرسة" لتحميل الملف.

في الآونة الأخيرة، وقد وجد الباحثون أن سيل تعقب صدر فيلم القراصنة في خليج (بايريت) يتسبب في سلسلة من الأنشطة مؤذ على جهاز الكمبيوتر، مثل المهاجم أراد إظهار محتويات دخول ملاحظة ارتفاع في ويكيبيديا وجوجل وياندكس البحث وغيرها من المعروف جيدا على شبكة الإنترنت، أو عن طريق سرقة عملة التشفير.

وعلى الرغم من وجود برامج ضارة على خليج القراصنة ليست شيئا جديدا، ولكن هذه المرة باستخدام جهاز كمبيوتر والضحايا المصابة كما هي أو يمكن الدردشة.

هذه ليست لمشجعي الترفيه

يتعين على الباحثين 0xffff0800 فيلم "نسيج العنكبوت في البنات تحميل الملفات على TPB، وجدت" .LNK "اختصار لتنفيذ" أمر PowerShell ". بعد يعمل على مسح الخدمات فايروس توتال مكافحة الفيروسات، والنتيجة هي عينات CozyBear. وكانت عينة كبار الخطر (APT29، CozyDuke، CozyCar، الدب) المستخدمة من قبل البرامج الضارة، واكتشفت المنظمة في عام 2015، وتحديدا لمنصة ويندوز وتبقى نشطة.

واحد طريقة العدوى التي تستخدمها المنظمة هو سلاح من ملف ".LNK"، قم بتشغيل الأمر PowerShell لاستخراج ملف نصي من الاختصار. ومع ذلك، فإن CozyBear نتيجة الكشف هو الخطأ.

عيون كبار أعضاء فريق التدريب على الرماية وقال نيك كار تسليح الملفات ".LNK" التي تظهر محتوى المقرصنة العادي. وأشار أيضا إلى أن هذا السلوك في أبريل 2017 بدأت في الانتشار مرة أخرى، المهندسين بلوق اسمه وأوضح فيليكس بالتفصيل في ملف الاختصار القبض على تكنولوجيا المعلومات، وطريقة وضع الحمولة، يتم استخدام الأسلوب في الهجوم 2013 ولكن ابتداء من عام 2017 لعدد من الاستخدامات لهذه التقنية بدأت في الارتفاع، تم الكشف عنها تريند مايكرو أيضا مايو من ذلك العام.

على شبكة الإنترنت عن طريق الحقن السام نتائج بحث Google، ياندكس

0xffff0800 حصة اكتشافهم الخبيثة ". LNK" نتيجة العينة. ووجدت الدراسة أن "روتين" لن يحدث أعمق من ذلك بكثير: نظرة هو إعلانا على صفحة البحث الرئيسية جوجل حقن، والنتيجة هي مجرد غيض من فيض.

نشاط ضار يمتد إلى صفحات الويب الأخرى، بما في ذلك نتائج بحث Google وياندكس ودخول ويكيبيديا، بما في ذلك غرض مراقبة الصفحة وبيتكوين محفظة عنوان ساحة إيثرنت واستبدالها صفحة عن المهاجمين. لتمكين وظيفة مايكروسوفت مكافحة الفيروسات لجهاز الكمبيوتر، والبرمجيات الخبيثة يعدل إدخالات تسجيل لتعطيل جدار الحماية ويندوز، ولكن أيضا "حماية فايرفوكس" التمديد على فايرفوكس أجبر على تثبيت اسمه، ومع "pkedcjkdefgpdelpbcmbmeomcjbeemfm" هذا اسم معرف "كروم وسائل الإعلام راوتر "خطف الموسعة.

بعد إطلاق المتصفح، ملحقات البرامج الضارة مرتبطة مباشرة إلى قاعدة بيانات Firebase، وجافا سكريبت، وعرض مجموعة متنوعة من الإعدادات، إدراج صفحات متعددة.

على صفحة نتائج بحث Google، والمهاجمين الخبيثة دفعة قوية بقيادة حقن النتائج بحث بحث النتائج. على سبيل المثال: تشغيل "التجسس" الاستعلام، نتيجتين الأولى الحل الأمني نقطة تسمى "TotalAV" من.

الصورة الأولى أعلاه رابط توجه شركة موقع المقارنة مكافحة الفيروسات، مقارنة مع المنتجات المعروفة جيدا، و"TotalAV" يتم تعيين موقع لمنتجاتها الموصى بها.

ويمكن رؤية رمز البرنامج النصي في الشكل، وهو تغيير نتائج البحث عندما استعلام معين على جوجل وياندكس بحث قالب المحرك.

هذه الصفحة على شبكة الإنترنت سوف تظهر أيضا في مواقع الحقن الأخرى وتشمل الاستعلام التوسع أيضا مجموعة متنوعة من رمز الخدمة (سيل تعقب أو العملة التشفير)، تتم إضافة هذه الرموز إلى الشبكة الاجتماعية الروسية "فكونتاكتي" في الشكل التالي.

ما لا يقل عن واحد من هذه الخدمات يقترح توزيع استخدمت الملفات القابلة للتنفيذ غيرها من المواقع السيل، مثل شريط الأدوات بحث ياندكس.

الحيل التبرع ويكيبيديا

كضحايا الوصول إلى ويكيبيديا، حقن البرمجيات الخبيثة إدراج آلية بار التبرع همية، أعلن ويكيبيديا تلقي التبرعات النقدية مشفرة والتبرعات كما يأتي مع اثنين من العناوين.

يتم إعداد محفظة واحدة للتبرع بيتكوين بقيمة 70 $ العملة التشفير.

آخر هو للتحضير للساحة إيثرنت، أرصدة ETH 4.6، أي ما يعادل 600 $.

تم العثور على الثالث عنوان محفظة بيتكوين في البرامج النصية لتحميل البرمجيات الخبيثة، والتوازن من 13 $، وهذا ليس صفحة التبرع أزمة في ويكيبيديا.

التشفير سرقة المال

المحفظة هو الجزء الوحيد من المهام الخبيثة ثلاثة فقط، ويستخدم بدلا من محفظة على الصفحة. لم يكن هذا الأسلوب أي تذكير وعلامات في وقت المستخدمين خدعة. لأن هذه المحافظ هي سلسلة طويلة من الحروف العشوائية، فإن معظم المستخدمين لا تلاحظ الفرق.

قيادة "لا OK"

عندما أعدم، ملف الفيلم وهمية يبدأ أمر PowerShell، قم بتشغيل سلسلة من الأوامر الأخرى، سيتم تحميل في نهاية المطاف تحميلا إلى APPDATA المجلد. يمكنك ان ترى السمة التالية تحتوي على اختصار بوويرشيل أمر ضار.

يتم توصيل بوويرشيل وC2 الاختصار إلى ملقم، ثم إعادة توجيهها إلى عنوان سلة المهملات، والذي يحتوي على مزيد من تنفيذ أمر PowerShell. كما تم وصف الحدث في 0xffff0800 تويت في غاية:

الارتباك الأمر أعلاه، ولكن متصلا هذا العنوان، ومن ثم إعادة توجيهها إلى بعد https://pastebin.com/raw/GbDcvb9u.

طلبات أخرى متصلة ثم بعد الموقع والتي تم إعادة توجيهها، أمر PowerShell بعد التنفيذ.

اثنين من الملفات القابلة للتنفيذ مخبأة في C: (x86) و \ SmartData \ ملف الملفات \ البرنامج. وعلى الرغم من اسم مختلف ( 'servicer.exe "و" performer.exe')، ولكن في الواقع لا فرق.

في هذا التحليل، وجد الباحثون أيضا أن تحاول إضافة "servicer.exe" سلوك خدمة "رصد ذكي"، ولكن لم يكتب الحق التعليمات البرمجية.

تطبيق قانون FIG الحالي:

الشوري خلق "الذكية مراقبة" binpath = "C: \ ملفات البرنامج (x86) و \ SmartData \ servicer.exe / SRV" بدء = تلقائي اسم العرض = "الذكية مراقبة"

استخدموا هذا دون مسافات:

الشوري خلق "الذكية مراقبة" binpath = "C: \ ملفات البرنامج (x86) و \ SmartData \ servicer.exe / SRV" بدء = تلقائي اسم العرض = "الذكية مراقبة"

على الرغم من أنها فشلت في وقف تركيب الإضافات الضارة، لكنه فشل في خدمات التركيب إلى حد معقول.

وأخيرا، أن نضع في اعتبارنا أن المسار صعودا وهبوطا من سيل الفيلم ليس فقط تعطيك بضع ساعات من وسائل الترفيه، ولكن الوقت أكثر البرمجيات الخبيثة "لمرافقة".

المادة الأصلية، كاتب: غامب، مستنسخة من: HTTP: //www.mottoin.com/news/134148.html