пятница, 12 сентября 2014 г.

На заборе магазин написано

один мой дружбан решил эксперимента для прикрыть один малварный сайт.
Ну в чем малварность была.
Если вкратце, то с этого сайта загрузчик с именем адоб ридер экзе качал запароленный рар архив, при наличии на компе винрара его разархивировывал с захардкоженным паролем и запускал экзе из него, а там что в архив положишь, ту функциональность и получишь.
На самом сайте одна страница и написано, допустим, бест инетмагаз эвер, то есть не поломали сайт и туда положили, а изначально задумали его таковым.
Если бы этот мой дружбан вбил в вирустотал, то был бы детект ну например 5/58, чего уже достаточно по идее для подтверждения малварности, а если бы погуглил, то увидел бы что много где в тематических базах фигурирует.
Ну так вот регистратор и хостинг были американские, а не какие-нибудь там сомали, поэтому и было решено проверить абузу.
на сайте регистратора было написано мол вот вам форма, мы принимаем жалобы на зловредные домены, которые мы зарегали, но делать с ними мы все равно ничего не будем, и разделегировывать тоже не будем, ищите хостеров и пишите им.
а у хостера был целый отдельный сайт только для обращений и всяких жалоб, тоже с формами.

заполнил формы и отправил обоим письмо примерного содержания: вот есть малварный сайт, вот ссылка на вирустотал, если надо, пришлю прямые ссылки на малвари и еще дополнительную инфу, какая понадобится.
от регистратора пришел автоответ типа ваша заявка принята, наши спецы ее уже бросились рассматривать изо всех сил, все дела.
от хостера ниче не пришло, видимо экономят исходящую почту.

проходит два часа и внезапно от хостера письмо.
типа какой-то чел из техподдержки пишет: спасибо вам блаблабла, я просканил антивирусом сайт, но никакого малварного контента не обнаружил, нужен пруф что сайт реально хостит такие штучки, если у вас есть вопросы не стесняйтесь пишите 24х7, синкерели, такое-то фио.

мой друган не растерялся, поправил важно очки и давай умничать мол я анализировал полученный по электропочте файл адобридер.ехе с помощью сервиса-песочницы вот ссылка на отчет, в приложенном пикап-файле можно увидеть сетевую активность этого приложения с обращением на сабжевый сайт, скачиванием по такому-то адресу запароленного рар-архива, пароль там-то можете увидеть и разархивировать еще один малварный бинарник, который тоже, если хотите, можете отправить на вирустотал, например, и убедиться. вот еще вам гет-запрос и ответ сервера.

проходит пара часов и в ответ на такое письмо чувак из техподдержки пишет вот такое сочинение на свободную тему: адобридер.ехе - это не вредоносный файл, это инсталлятор адоб ридера. гугл не позволит отправить экзешники электропочтой, а детектит их как вирусы. если у вас все-таки остались вопросы не стесняйтесь пишите 24х7 и так далее.

мой друган канеш улыбнулся, вспомнил техподдержку своего провайдера с их предложениями трассировки в качестве универсального решения любого вопроса, и пишет дальше в ответ: походу вы не поняли о чем я говорю. ясен же пень, что файл не инсталлер адоб ридера и ваще не знаю почему вы говорите про гуглопочту, в быту я использую не только гуглопочту и никак ее даже не упоминал в своем обращении. смотрели ли ссылки, что я прислал? еще разок гляньте вот вирустотал, вот анубис. читали ли вы мое предыдущее письмо? вот прямая ссылка на запароленный архив с малварью с сайта, вот пароль. другая малварь грузит архив с вашего хостинга, распаковывает и запускает. можете ли вы передать мой этот тикет другому техническому спецу, который понимает как малвари работают?

через пару часов очередной ответ. на этот раз чувак видимо посмотрел ссылки и говорит про вирустотал (5/58): показывает что сайт чист. охлол1.
м про ссылку на архив говорит: показывает 404. охлол2.
мой друган полез проверять и точно, архив стал недоступен, 404.
удалили контент втихушку, но проблему не признали.
поржал со смеху, порыдал от досады и пошел спать.

p.s. кстати звали чувака из техподдержки джеральд. прям как a guy called gerald. #rave #acid
если все техподдержки такие, то немудрено, что малвари процветают.
а регистратор так больше ничего кроме того автоответа и не прислал, как и обещал.

p.s.2 и была вся эта история эдак пару месяцев назад, а спросил я щас у дружбана ссылку на архив, и перед публикацией этого крео решил проверить. а файл-то на месте лежит и качается. такие дела :'(

2 комментария:

  1. кстати этот хостер по совместительству оказался издателем одной небезызвестной адвари

    ОтветитьУдалить
  2. седня внезапно письмо от техподдержки типа "есть ли у вас щас ссылка на малварь?". пока 404 опять

    ОтветитьУдалить