Рубрика развивается при поддержке
Advertisement

Bitdefender сообщила о вирусе MosaicLoader — он распространяется через пиратские дистрибутивы и майнит криптовалюту Статьи редакции

Компания Bitdefender, известная по разработке антивирусных продуктов, опубликовала технический отчёт с описанием нового семейства вредоносных программ под названием MosaicLoader.

Загрузчик распространяется через пиратские дистрибутивы (в том числе игры) и может подгружать дополнительные модули в заражённую систему.

После установки вредоносное ПО создаёт сложную цепочку процессов и пытается выполнить произвольный код — от кражи файлов cookie до майнинга криптовалюты.

Это не первый вирус такого плана, но интересно то, насколько скрытно он работает и как избегает обнаружения существующими системами компьютерной безопасности.

Мы назвали его MosaicLoader («Мозаичный загрузчик») из-за сложной внутренней структуры, которая направлена на то, чтобы сбить с толку специалистов и предотвратить обратное проектирование.

Bitdefender

Отмечается, что вирус автоматически записывает свои процессы в список исключений Защитника Windows, умеет имитировать параметры легального ПО и запутывать код, дробя его на фрагменты и перемешивая порядок выполнения.

Информацию подтвердили и специалисты корпорации Fortinet, зафиксировав «классические приёмы анти-отладки» и случаи нагрузки на систему из-за фонового майнинга.

Лучший способ защититься — это, как и всегда, избегать скачивания и установки подозрительных файлов.

Ранее ведущие мировые СМИ сообщили о шпионском ПО Pegasus, которое уже несколько лет следит за пользователями iOS и Android, маскируясь под системные процессы.

{ "author_name": "Виталий Рассказов", "author_type": "editor", "tags": ["\u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u043a\u0440\u0438\u043f\u0442\u043e\u0432\u0430\u043b\u044e\u0442\u0430"], "comments": 122, "likes": 74, "favorites": 22, "is_advertisement": false, "subsite_label": "hard", "id": 805982, "is_wide": true, "is_ugc": false, "date": "Fri, 23 Jul 2021 16:48:49 +0300", "is_special": false }
0
122 комментария
Популярные
По порядку
Написать комментарий...

Новый вирус "Бомж"
Ничего не делает, только роется в Корзине.

111
Горячий Паша

и восстанавливает файлы обратно, с комментарием "ты чего удалил, это же новое фото"

67

новый вирус "фемка"
ни на что не влияет, только указывает что тебе делать

29
Непрерывный Никита

Вымогатели уже давно изобрели

1
Отрицательный Кирилл

Скачал игру с торрента — намайнил эфира. Выгодно!

18
Отрицательный Кирилл

Жаль не себе

88

Тебе что, жалко для пацанов?  ред.

37

Они ведь так старались, а их не порадовали криптой

0

Но это, в общем-то, справедливо.
Они работали, старались - ты поиграл, получил удовольствие.

А горбатится - комп.

3

Мой комп, значит должен горбатиться на меня, а не на других, да и за электроэнергию плачу я, так что мне решать. 

0

Не тому, кто скачал, хах

0
Театральный турник

Открываешь Диспетчер Задач. Проверяешь загрузку видюхи. Закрываешь. ред.

17
Свежий цвет

*Вирус сбрасывает нагрузку при открытии диспетчера задач или подменяет данные* ред.

41

*не закрываешь диспетчер задач*

45
Театральный турник

*Ставишь свой майнер, по его производительности отлавливаешь чужие* ред.

49

*подключается к вебке и работает только когда вы моргаете*

15

*нарушены условия содержания майнера*

3

Люблю эту серию. :)

0
Отдаленный велосипед

*система настолько нагружена что скрипт обработки не срабатывает и диспетчер выдает правдивую инфу

1
Свежий цвет

**система настолько нагружена что диспетчер задач не открывается

9

И мы радостно переустанавливаем винду.

1

Но ведь на дтф всегда пишут, что пиратские программы это безопасно 😯

–10

...но даже так игры лагают меньше, чем с Денуво.

46

Не удивлюсь если однажды окажется что денува это майнер)

32

Справедливости ради, на крупных площадках раньше следили за раздачами и старались сносить паленку, не знаю, как там сейчас

24

Так они и сами могут не знать о её наличии. К тому же антивирусы часто ругаются на кряки - поди определи, ложная тревога или нет.

6

Да, шанс словить что-нибудь зловредное есть, но по сравнению с тем, что творилось в начале-середине нулевых, он не такой уж и большой. К тому же, если боишься майнеров, всегда есть ГоГ, Стим и прочие средства контрацепции, защищающие от заразы.

7

Кто старался? Seyteспокойно майнеры раздавал и долго.

0

Старание не означает стопроцентную защиту. Я думаю, каждый, кто качает пиратку, должен осознавать это.

0

Так оно и есть. Шанс заразить компьютер вирусом, скачивая контент на пиратских платформах, падает обратно пропорционально росту IQ пользователя этого компьютера. Иными словами: если ты долбаеб и скачиваешь контент с первого попавшегося в выдаче сайта, то не удивляйся, что на фоне у тебя работает майнер, а по рабочему столу весело скачут гомонегры верхом на т-34

7

Шанс заразить компьютер вирусом, скачивая контент на пиратских платформах, падает обратно пропорционально росту IQ пользователя этого компьютера

- Шанс на вирус пропорционален iq = высокий iq, высокий шанс на вирус.
- Шанс на вирус падает пропорционально iq = высокий iq, низкий шанс на вирус.
- Шанс на вирус падает обратно пропорционально iq = высокий iq, высокий шанс на вирус.

5

Ты ж понимаешь, что если мне полчаса назад не хватило интеллекта, чтобы правильно сформулировать комментарий, то сейчас я нихуя умнее не стал? 

18

Но комментарий разумный.

0

Лучше 
гомонегры верхом на т-34

Чем Яндекс бар

2

Вот это  калибр очка у гомонегров, что они могут сесть на зис с-53 с внутренним калибром 85 мм...

0

Сякунду, тут не указано Т-34-76, Т-34-85 или Т-34-100 (было и такое)
А ещё там был пулемётик.

0

Не только безопасно, но исключительно благосклонно влияет на индустрию.

Разработчиков BendStudio за это даже травили, ведь они тупые и не понимают, что пираты рекламируют игру!

0

Человек без денег качает, играет, рассказывает человеку с деньгами, человек с деньгами покупает

Как-то так, да

8

Во влажных фантазиях пиратов разве что

9

Мы сейчас общаемся на сайте игрового издания.
Которое бесплатно получает копии игр.
Которое получает даже деньги за рецензию.
Которое рекламирует игру.
Кто-то купит эту игру.

Мы сейчас общаемся на сайте с блогами.
Где автор может спиратить игру.
Рассказать о ней в блоге или в главных подсайтах.
Кто-то купит эту игру.

Мы смотрим обзоры на ютубе. 
Автор видео может спиратить игру или получить за партнёрство.
Пройти её или обозреть.
Кто-то купит эту игру.

Три примера, где источник не приносит деньги издателю или разработчику напряму, но в конечном счете это ведёт к продажам игры.

Тот, кто пиратит игру априори не имеет денег на её приобретение. 
Но он может рассказать об игре тому, кто её купит.

У меня есть знакомые пираты и у меня довольно обширная игровая библиотека в стиме.  ред.

21

Лол, ты реально чтобы оправдать свою логику, к пиратам приписал чуть ли не всех, кто делает обзоры на игры? Смешно. 

2

Я могу сказать "Вася Пупкин скачал игру и рассказал о ней Пасе Вуськину, который в итоге купил игру"

Но твой первый комментарий был ответом именно на этот пример.

Либо так, либо никак. 

1

Я просто к тому веду, что большинство пиратов никого не вынудили купить игру. Они просто качают и играют. Говорить о какой то пользе пиратства с логикой "пират посоветует человек с деньгами и тот купит" просто смешно

5

Ну, как скажешь. Согласен быть не согласным и твою точку зрения понимаю и принимаю. 

0

Только у тебя тут когнитивное искажение подъехало, и ты не учитываешь вариант нормального человека, когда "Вася Пупкин КУПИЛ игру и рассказал о ней Пасе Вуськину, который в итоге купил тоже игру"

Тот, кто пиратит игру априори не имеет денег на её приобретение.

Но он может рассказать об игре тому, кто её купит.
И это тоже неверно. До сих пор есть куча людей с позицией "я не буду платить несколько тысяч за игрушку".

0

Это у тебя как раз искажение. В твоём сценарии будет "Вася Пупкин не купил игру. Все, конец."

0

Если бы возможность спиратить не было в принципе (давай на секунду представим это), то Вася Пупкин либо в принципе не является нашей ЦА, т.к. не покупает игры и не любит их, либо давится, ругается, но покупает. Возможно по скидкам, но покупает.

0

Если у Пупкина нет денег, то купить он никак не сможет.

0

Тот, кто пиратит игру априори не имеет денег на её приобретение.

Ерунда какая.

1

Ведьмак 2 так переобулся 
на старте сдлелали антипиратскую защиту - которая... срабатывала у легальных пользователей а не у пиратов)))

2

CDPR тогда сами запороли защиту, и начали наезжать на тех, кто слово «Ведьмак», даже не слышал, наняв непрофессиональных идиотов.

Когда переобувались, DRM, уже вскрыли, так что они ничего не теряли. ред.

0

Человек без денег качает, играет, рассказывает человеку с деньгами, человек с деньгами покупает

Ты забыл часть про то, как он начинает пропагандировать про "я чо, дурак игры дороже 2к рублей покупать, а ты что, купить собираешься? Ну и даёшь, скачать же можно. О, хочешь купить что бы со мной онлайн поиграть? Не выйдет, качай пиратку, я на левых серваках сижу" и вот это всё. Я не имею ничего против скачивания для себя в тихую, но пираты регулярно стараются убедить всех вокруг что пиратство - это спасение индустрии и вообще им за это благодарны должны быть и всё такое и как то сложно верить что человек который ходит по форумам и всем советует пиратить на самом деле каким то образом этим убеждает их купить игру. 

2
Горячий Паша

что пираты рекламируют игру!

А потом видят ценник в магазине и продолжают играть в пиратку.

6

Ну а фиг ли 8к ломить за то, что в стиме без скидок за 500.
Привет Нинтендо.

0

И в чём они не правы?

5

Качай раздачи со специализированных сайтов а не мусорки типа рутрекера
CGpeers например. Там внимательно следят за содержанием файла 

1

 Там внимательно следят за содержанием файла

Так против уязвимостей нулевого дня ни один антивирус не спасёт. Пусть хоть заследятся.
К тому же на рутрекерах работают большие числа, в отличии от закрытых клубов с 3 инвалидами.

3

Поэтому я и не качаю раздачи моложе месяца :) Чего и всем советаю))) 
и нет на рутреке нет такого набора CG материалов как на CG пирс :D

0

а не мусорки типа рутрекера

А с ним, что не так? Как я знаю всю заразу разносят репакеры софта/игр, тот-же Кролик встраивает различную гадость (скрипты с переназначением гл. страницы и прочее), такое же делает и Дьяков тоже репакер софта (любопытная тема, где человек разбирает их репаки https://safezone.cc/threads/hi-ru-arxiv-softa-s-trojanami.24802/ )
Популярные в своё время R.G Steamgames тем же самым занимались, ну а почему бы и нет? Все же делают а им, что нельзя? Только одна интересна деталь, если заразится твой компьютер ты его спасти уже не сможешь, поподробнее в статье. (https://imtw.ru/topic/39841-borba-s-virusnei-v-repakah/ )
Даже вот новость с crackwatch где репакер встроил в установщик криптомайнер, настроил майнер грамотно, но сам майнер нашли. (https://www.reddit.com/r/CrackWatch/comments/oeq0tk/xgirox_repack_contains_crypto_miner/ )
Качай раздачи со специализированных сайтов

Допустим он качает у кого-то юзера раздачи, но через пару дней оказывается, что он встраивал в них вирусы/RAT/скрипты. Что ему делать, сидеть всё чистить? Или вовсе выкинуть хард в окно, внизу чел написал даже на CGPeers после проверки уже десятки скачаны, о чем речь?..

1

CGpeers 

Пользуясь случаем, нет у кого лишнего инвайта на него? 

0

Я специально о нем написал ибо там регистрация нахрен закрыта) Ищи друзей который согласятся поделится учеткой)

0

На пирсе регулярно отлавливают раздачи с вирусней и маркируют их соответствующей подписью. Но к тому времени десятки людей успевают это скачать

0

Поэтому надо качать от проверенных репакеров

0
Отдаленный велосипед

Ну теперь понятно почему игры дорожают- официалы не могут установить тебе майнер чтобы хоть как то заработать

12

ага, базовая версия игры с майнером и DLC его отключающий.
Геймдев, который мы заслужили.

8
Отдаленный велосипед

Геймдев, который мы заслужили

это обязательная аренда пеки у компании без права самостоятельного ремонта, обязательное подключение к интернету компании, запрет на моды.
и до этого мы только дойдём.

4

Консоль в лизинг?
Аренда консоли?
Облачный гейминг?

1
Отдаленный велосипед

но всё это в обязательном порядке и за фулл прайс

3

Звучит как бизнес-план от Нинтендо.

1

Как же мне нравятся все эти дедушкины страшилки.
Ни вирусов, ни зловещих «майнеров» в пиратских дистрибутивах нет, потому что это сразу заметят и пользователи поднимут шум. Сейчас не 2005 год, ну что за бред. ред.

–20

И как, много майнишь через пиратские дистрибьютивы? 

26
Ответный Кирилл

"сразу заметят и пользователи поднимут шум." - вот как раз это уже совсем дедушкина логика))

18

Ну поднял ты тему на форуме мамкиных геймеров и чё? Что даст этот резонанс? Ничего.  Этих дистрибутивов с десяток может быть, просто подсунут майнер в новую сборку.

4

Самое интересное, что там часто поднимают такую тему во многих раздачах, но другие пользователи и сам автор раздачи таким отвечает "сам лох у меня ничего нет, а твой антивирус овно. Люди играют и кайфуют, а у тебя какие-то проблемы, а раз у большинства все ок, то сам виноват и ты просто наговариваешь на мою божественную и девственную раздачу".

12

Никто не качает сборки от васянов кроме подключивших вчера интернет, всегда ищешь знакомые имена и читаешь коменты

8

Неееет ты неправ!!!! Очевидно, что ВСЕ пиратские сборки содержат майнеры, вирусы, заговоры на проклятие до седьмого колена и мучительную смерть!
И вообще всех пиратов на костёр во имя Денуво. ред.

1

щас бы верить что люди просто так дохуя времени тратят на обход защиты
чисто ради спасибо на трекере ред.

6

Никто не мешает встроить загрузчик. Скачал торрент эдишн и вроде все норм, антивирус на него не ругался. А потом эта игра в фоне скачает тебе загрузчик код которого неизвестен антивирусу и дальше все что угодно может быть. У той же императрицы всегда в ее кряках идёт в комплекте файл emp.dll который помогает обходить защиту Денуво эмулируя какие-то процессы. Но никто не мешает ей прописать туда код на загрузку и установку всего что угодно пока ты играешь, причем загрузка может быть отложенной. И хрен ты потом поймёшь откуда у тебя вдруг полный компьютер вирусов когда антивирусы наконец-то обновят и они будут определять наличие таких загрузчиков на компе и прочее идущее с ним в комплекте. А сам файл с торренте при этом чистый будет для антивируса, ведь там ещё нету загрузчика.

6

Зачем мне антивирус если диспетчер задач моментально выдаст любой Майнер, а чтобы аккаунты в Стиме не угоняли лучше сразу поставить двухфакторную 

0

Как диспетчер задач может выдать майнер?

1

Антивирус по идее блокирует все потенциально опасные для системы действия приложения, вне зависимости от кода, особенно если приложение не подписано.
Что касается "загрузки", то сканируется не только файлы, но содержимое оперативной памяти.

0

Если бы все было так как вы говорите то вирусов бы и не существовало уже 

1

Пока люди ради запуска сомнительного приложения будут отключать защиту системы, вирусы неискоренимы.

0

Антивирус по идее не может с той же рансомварью справиться, причем тут код. 

0

В 2005 году в реверс могло больше чем нынешних полтора человека, поэтому что сейчас, что раньше, шанс есть и он достаточный чтоб заботиться о защите. 

0

я че-то такое только недавно словил, как понял что звиздец - дернул интернет-кабель и запустил зеленый антивирь, потом вручную дочищал ред.

5

Производитель неработающего антивирусного ПО не обманет.

5

Загрузчик распространяется через пиратские дистрибутивы (в том числе игры) и может подгружать дополнительные модули в заражённую систему.

А ясно, нормальным людям боятся нечего.

0

Фотошоп тоже купил? ред.

3

Если бы я им пользовался, я бы купил. А так хватает бесплатных опенсурс аналогов.

1

Gimp, да? Тот самый графический редактор, который имеет максимально убогий интерфейс и не имеет даже половины функционала Photoshop. А Krita только для художников. Если уж топишь за использование лицензии, так называй нормальные альтернативы вроде Affinity Photo. И даже он всё ещё не заменяет Photoshop.

1

paint net мб, как раз как фш но с ~40% функционала

0
Милицейский танк88

Лично мне и Paint хватает. Офис есть бесплатный онлайн от самих Майкрософт, если нужно эксель или док открыть (наши госы почему-то уверены, что у всех людей есть офис, и не пользуются тем же PDF,к примеру). Только на саму винду пришлось потратиться, а остальное все бесплатное, да. ред.

0

Тем временем в офисе "R.G. Механики"

4

Интересно Это просто отсуствие данных, или майнер сугубо географически из своего ареала выбраться не может? ред.

2
Отдаленный велосипед

опять саурон по западному миру бьет сучара

6

О как. Видимо пропустил. Спасибо!

0
Pro tip for the "but how do we protect ourselves?" folks. DarkSide ransomware, like many other strains, will not install on systems where certain Cyrillic keyboard and other scripts are already installed. So, install the Russian keyboard. You don't have to use it.
2

Очень развернутый отчет, спасибо.

0

Скорее из локального интернета. Англоговорящий интернет, русский интернет китайский интернет и японский интернет и прочие языковые сегменты интернета не особо пересекаются, кроме случаев с айтишниками и прочими продвинутыми людьми для которых шанс подцепить вирус маленький. А обычный юзер-ламер у которого шанс подцепить вирус большой может годами из своего национального интернета не вылазить, у него все что нужно есть в своём сегменте, мемы, социальные сети, переводы статей. У меня у самого есть куча знакомых которые качают программы на русском, смотрят видео только на русском, читают русскоязычные статьи и переводы, сидят в русскоязычных соцсетях и прочее и вполне неплохо проживают без реддита и прочих англоязычных сайтов. ред.

1

Да но как заметили выше, Украина имеет случаи заражения, хотя имеет ту же языковую группу, как и остальная часть СНГ. Меня это и привлекло что ареал почему то все равно каким то образом ограничен, или не ограничен, а данные по части стран банально нет. Причем очень интересно ограничен.

1

Почему же. Вся планета почти, кроме: Россия, Беларусь,  Казахстан, Монголия, Китай, и централноафриканские страны, ну и еще пара небольших исключений. Видимо где распространен этот АВ - там и анализ проводился. ред.

0

И тем не менее СНГ в него не входит, что очень странно.

0

Украина, к примеру входит. Украина, Белорусь, Россия - в основном качают все с одних и тех же ресурсов. Битдефендер в России не запрещен случаем?

0

Нет, и поэтому я и озадачен вопросом. Почему в большей части СНГ банально не выявлено следов или почему об этом регионе нет данных.

0

Опытные пираты лучше предохраняются  :)

0

Комментарий удален по просьбе пользователя ред.

2
Отдаленный велосипед

хранишь все логины-пароли в тхт файлах? не трешь историю? не проверяешь комп на вирусню? сидишь в обычном режиме браузера а не в привате и не чистишь логи-реестр?
ну и молодец, ты достоин быть слитым

–3

Комментарий удален по просьбе пользователя ред.

2
Отдаленный велосипед

если так посчитать то вообще нужно выкинуть нахуй пеку. или загружаться каждый раз с одноразовой флешки с линуском.
юзай экранную клаву- да хуй там, считывает изображение с экрана
юзай двойную аутонтификацию-нахуй, взломают номер
Все эти истории про лицухи- помнится эппл мощно обосралась с тем что они говно допустили в свой магазин, люди деньги теряли.
конечно лицуха это какая никакая защита, но за такие охуенные взлеты цен я лучше буду качать репаки проверенных пиратов

1

Комментарий удален по просьбе пользователя

0

есть вирусы, которые считывают набор на клавиатуре.

На моей позапрошлой работе у нас была долбанутая менеджер которая запретила нам в один момент свою предположительную зарплату смотреть в 1С. Просто сменила пароль и никому не говорила, зато сама каждый день смотрела на свою. Ну я просто взял и установил на компьютер этот самый "вирус", который даже не вирус и его антивирусы не определяют (на работе антивирь стоял). Кейлогеры это, есть куча официальных, которые ПК не заражают и не распространяются как вирус и поэтому не палятся и следов не оставляют. Короче поставил ей такой на комп утром пока она не пришла и пошел работать. А вечером когда она ушла, то я все ее пароли в txt файле узнал и восстановил справедливость. Сказал сотрудникам ее пароль, чтобы каждый мог глянуть свою зарплату в любой момент, потому что в других местах нашей компании никто не запрещал это делать)

А если пошаманить, то можно сделать так, что этот txt будет тебе на сервер выгружаться каждый день. Можно годами с таким кейлогером сидеть и не знать о нем.

0

Хватай Иуду!!!

Хотя это давно очевидно, как минимум заработок идёт, с рекламы , на сайтах с торрентами, либо прямых донатов, которые могут кормить пару человек.

0

Комментарий удален

А ты что хотел, чтобы тебе софт ламали за спасибо? Ребят вы совсем охуевшие...

1

Загрузчик распространяется через пиратские дистрибутивы

А на других сайтах я читал про "загрузчики", т.е. про экзешники, которые уже после запуска скачивают через себя игру где-то из инета. В самом докладе тоже вроде как об этом написано.
Так что ничего нового, люди, качающие по первым ссылках из гугла при запросе "скачать игранейм бесплатно без смс и регистрации" - должны всегда страдать.

0

Пользуясь случаем, какие антивирусы юзают жители дтф? Норм ли встроенный в винду и есть ли такие которые можно 1 раз купить, а не по подписке?

0

Судя по описанию это прога чтоб кидать ей файлы или ссылки, но сканировать комп ей нельзя? Интересно

0
Читать все 122 комментария
null