Исследователи из компании ESET выявили распространение неизвестными злоумышленниками вредоносной сборки Tor Browser. Сборка позиционировалась как официальная русская версия Tor Browser, в то время как к проекту Tor её создатели не имеют никакого отношения, а целью создание была подмена кошельков Bitcoin и QIWI.

Для введения пользователей в заблуждение создатели сборки зарегистрировали домены tor-browser.org и torproect.org (отличается от официального сайта torproJect.org отсутствием буквы "J", что многими русскоязычными пользователями остаётся незамеченным). Оформление сайтов было стилизовано под официальный сайт Tor. На первом сайте выводилась страница с предупреждением об использовании устаревшей версии Tor Browser и предложением установить обновление (ссылка вела на сборку с троянским ПО), а на втором содержимое повторяло страницу для загрузки Tor Browser. Вредоносная сборка была формирована только для Windows.

Троянский Tor Browser с 2017 года продвигался на различных русскоязычных форумах, в обсуждениях связанных с даркнетом, криптовалютами, обходом блокировок Роскомнадзора и вопросами обеспечения конфиденциальности. Для распространения браузера на pastebin.com также было создано множество страниц, оптимизированных для вывода в топе поисковых систем по темам, связанным с различными незаконными операциями, цензурой, именами известных политиков и т.п. Страницы с рекламой фиктивной версией браузера на pastebin.com были просмотрены более 500 тысяч раз.

Фиктивная сборка была основана на кодовой базе Tor Browser 7.5 и кроме встроенных вредоносных функций, небольшой корректировки User-Agent, отключения проверки цифровых подписей для дополнений и блокирования системы установки обновлений была идентична официальному Tor Browser. Вредоносная вставка сводилась к прикреплению обработчика контента в штатное дополнение HTTPS Everywhere (в manifest.json был добавлен дополнительный скрипт script.js). Остальные изменения были произведены на уровне корректировки настроек, а все бинарные части оставались от официального Tor Browser.

Интегрированный в HTTPS Everywhere скрипт при открытии каждой страницы обращался к управляющему серверу, который возвращал JavaScript-код, который следовало исполнить в контексте текущей страницы. Управляющий сервер функционировал как скрытый сервис Tor. Через выполнения JavaScript-кода злоумышленники могли организовать перехват содержимого web-форм, подстановку или скрытие произвольных элементов на страницах, отображение фиктивных сообщений и т.п. Тем не менее, при анализе вредоносного кода было зафиксирован только код для подмены реквизитов QIWI и кошельков Bitcoin на страницах приёма платежей в darknet. В ходе вредоносной деятельности на используемых для подмены кошельках накопилось 4.8 Bitcoin, что соответствует примерно 40 тысячам долларов.

Доброго времени суток дамы и господа. Возник вопрос отчего такой вайн вокруг пакета Яровой, кто что скрывает и безопасность в сети.

Столкнулся с данным трояном в сети,облака типа яд и G его не распознают

Распознается специфическим софтом а именно клинерами и портативными деблокерами

Может ковырять ваш реестр

По сути рыбак в вашем озере, пользователям онлайн игр похер,возникает вопрос зачем одевали пакет на голову?

З.Ы.не претендую на рейтинг просто подгорело на примере обычного трояна

Баннер вымогатель.

Все ссылки предоставлены по «доброте душевной» и не в целях рекламы (Хотя я был бы не против получить за это денежку =) Yandex Деньги 41001318778812 (наглость – второе счастье))

Практически каждый сталкивался с подобным вирусом. Тема очень популярна. Я часто встречал посты с советами по удалению подобной беды. Тем не менее, советы по удалению вымогателя довольно сильно устарели, подобным способом можно было удалить лишь первые версии подобной гадости. Вот пример подобного поста.

Как убрать баннер с рабочего стола http://pikabu.ru/story/_1427548

Устарел он потому, что подобные вирусы или как их еще называют «Winlock-еры». Дублируются везде где только можно, где именно я описывать не буду. Это отдельная, довольно большая тема, изучив которую вы можете не только баннеры вычищать, но и с помощью специальных программ, таких как AVZ и HJTHIS лечить довольно большой спектр вирусных угроз…

Мало удалить заставку, важно также справится с последствиями особо «противных» вирусов. Так как беда редко приходит одна. Например после удаления (руками) «таблички на весь экран» мы можем столкнуться с неприятными последствиями:

• Блокировка диспетчера задач.
• Потеря контроля над учетной записью. (Была «Администратор», стала «с ограниченными правами»)
• Установления пароля на учетную запись после перезагрузки компьютера.
• Перенаправление и или блокировка ваших любимых интернет страниц. (Было vk.com стало yandex.ru, были «одноклассники» стало «википедия», ну или какой-нибудь порнографический ресурс.

И так далее. Подробнее можно посмотреть в видео на http://www.antiwinlocker.ru
http://www.antiwinlocker.ru/antiwinlockerlivecdmanual.html
Подробнее о том, что же такое «Баннер-вымогатель» можно узнать в «Википедия». Trojan.Winlock
http://ru.wikipedia.org/wiki/Trojan.Winlock

Основная проблема заражения подобным вирусом, является добровольная установка. Как правило пользователь просто не успевает заметить того момента.

Как же это происходит. Да очень просто, в основном, через рекламные модули.

Например в нижнем правом углу, появляется псевдо сообщение о вирусной угрозе от… скажем Касперского. Пользователь, уже сонный, второй час ночи, может и нажать, да запустить…

И наконец лечение.
Самый действенный способ запустить AntiWinLocker CDLive. О том как его скачать/записать/использовать можно посмотреть на официальном сайте.
Как только почистили обязательно просканируйте антивирусной утилитой такой как, либо:
• Dr.Web CureIt http://www.freedrweb.com/cureit/
• Kaspersky virus removal tool http://www.kaspersky.ru/antivirus-removal-tool
Как правило это помогает в большинстве случаев.

Для того чтобы не заразится подобным вирусом необходимо:
• Антивирус (рекомендую Avast Free Antivirus для начинающих пользователей – придется пройти бесплатную регистрацию)
• Блокировка рекламы (Либо программа, как правило платная, такая как Ad Muncher или Adguard. Но можно и бесплатно, дополнением AdBlock на Chrome, Opera, Firefox, подробнее http://pikabu.ru/story/_589136 или в аналогичных статьях).
• Внимательный пользователь.
На этом все.
«Спасибо за внимание, сейчас по ходу будут убивать» - Капитан Флинт из песни мультфильма «Остров сокровищ»