Alexey Podtoptalow
2008-11-01 20:24:15 UTC
Hi All,
Скачал Flashget по ссылке с официального сайта. Установил. Вроде чисто.
При первом запуске обновил - вот тут и поперло счастье.
Загрузка конфига с оф. сайта (неотключаемая):
http://dl.flashget.com/flashget/flashget3.ini?m=a47014b09dec2c3c6fccf840b5a8984
0&t=1352562
Ответ:
302 Found
The document has moved http://60.28.209.126/flashget3.ini?m=a4701
b09dec2c3c6fccf840b5a89840 here
Apache/2.2.0 (Unix) PHP/5.1 Server at dl.flashget.com Port 80
В конфиге, скачанном уже с 60.28.209.126 всё на первый взгляд красиво:
[updates.exe]
url=http://dl.flashget.com/flashget/updates.cab
flag=3
path=%product%
Hо при скачивании этого updates.cab опять редирект на 60.28.209.126, и оттуда
скачивается Trojan.MulDrop.21329.
Этот дроппер:
1. переименовывает системный C:\WINDOWS\system32\dmserver.dll в
dmserveresl.dll, ложит на его место уже патченный dmserver.dll.
(виндовый dmserver.dll - Logical Disk Manager service dll )
Патченная dll детектится плохо, Trojan.Win32.Loader.p (Rising) или
Trojan.Patched.BU.30 (AntiVir).
2. дропает C:\WINDOWS\system32\mstKde.dll (Trojan.Starter.681) (имя меняется,
msbios.dll etc)
После удаления Flashget троянские файлы в system32 остаются.
Итого: Бесплатный Flashget сейчас распространяет трояны.
ЛК писала об этом в марте этого года:
http://www.viruslist.com/ru/weblog?weblogid=207758686
но там предполагался взлом их сайта, в результате в течение 10 дней
пользователям программы раздавался троян.
В данное время псевдо-взлом практически один в один повторяется.
Имхо, это совершенно не похоже на очередной взлом сайта. Китайский
разработчик программы попросту подрабатывает на распространении сторонних
программ, включая и трояны.
Исходная информация: http://virusinfo.info/showpost.php?p=304755&postcount=22
Скачал Flashget по ссылке с официального сайта. Установил. Вроде чисто.
При первом запуске обновил - вот тут и поперло счастье.
Загрузка конфига с оф. сайта (неотключаемая):
http://dl.flashget.com/flashget/flashget3.ini?m=a47014b09dec2c3c6fccf840b5a8984
0&t=1352562
Ответ:
302 Found
The document has moved http://60.28.209.126/flashget3.ini?m=a4701
b09dec2c3c6fccf840b5a89840 here
Apache/2.2.0 (Unix) PHP/5.1 Server at dl.flashget.com Port 80
В конфиге, скачанном уже с 60.28.209.126 всё на первый взгляд красиво:
[updates.exe]
url=http://dl.flashget.com/flashget/updates.cab
flag=3
path=%product%
Hо при скачивании этого updates.cab опять редирект на 60.28.209.126, и оттуда
скачивается Trojan.MulDrop.21329.
Этот дроппер:
1. переименовывает системный C:\WINDOWS\system32\dmserver.dll в
dmserveresl.dll, ложит на его место уже патченный dmserver.dll.
(виндовый dmserver.dll - Logical Disk Manager service dll )
Патченная dll детектится плохо, Trojan.Win32.Loader.p (Rising) или
Trojan.Patched.BU.30 (AntiVir).
2. дропает C:\WINDOWS\system32\mstKde.dll (Trojan.Starter.681) (имя меняется,
msbios.dll etc)
После удаления Flashget троянские файлы в system32 остаются.
Итого: Бесплатный Flashget сейчас распространяет трояны.
ЛК писала об этом в марте этого года:
http://www.viruslist.com/ru/weblog?weblogid=207758686
но там предполагался взлом их сайта, в результате в течение 10 дней
пользователям программы раздавался троян.
В данное время псевдо-взлом практически один в один повторяется.
Имхо, это совершенно не похоже на очередной взлом сайта. Китайский
разработчик программы попросту подрабатывает на распространении сторонних
программ, включая и трояны.
Исходная информация: http://virusinfo.info/showpost.php?p=304755&postcount=22