Security Lab

Hoax.Win32. ArchSMS.hkhb

Hoax.Win32. ArchSMS.hkhb

Данная программа представляет собой платный распаковщик архивов, которые находятся под паролем. Является приложением Windows (PE-EXE файл).

Данная программа представляет собой платный распаковщик архивов, которые находятся под паролем. Является приложением Windows (PE-EXE файл). Размер варьируется в зависимости от ПО, которое находится в архиве. Написана на Delphi.

Инсталляция

Данное приложение загружается пользователем с мошеннических вэб-ресурсов под видом инсталляционных файлов популярных бесплатных приложений, таких как "ICQ", "Skype", "QIP", "Adobe Flash Player", "Djvu Reader", "Lovi Vkontakte" и т.п. Все инсталляторы генерируются при помощи приложения "ZipMonster". Сайт разработчиков:

http://www.zip***nster.ru/

name="doc3">

Деструктивная активность

После запуска пользователю предлагается выбрать язык:

Далее отображается диалог выбора пути установки:

Затем отображаются следующие окна:

После небольшой задержки пользователю предлагается оплатить процедуру распаковки архива с приложением, используя один из перечисленных способов перевода платежей:

WebMoney
Платный звонок
Кредитная карта
Рубли ВКонтакте
Терминалы
PayPal

либо отправить SMS-сообщение на один из премиум номеров:

текст и номер сообщения зависит от страны выбираемой страны. Также после выполнения клика пользователем по метке "Информация для пользователей" - в браузере пользователя открывается вэб-ресурс:

http://hel***mc.ru
На данном ресурсе указаны тарифы различных операторов для выбранного премиум-номера. Тарифы, которые указаны на этом ресурсе, могут отличаться от действительного тарифного плана оператора. При нажатии на кнопку "Перейти на страницу оплаты" осуществляется HTTP запрос:
http://payment.zip***ster.ru/<выбранный_способ_оплаты>/?pay
=<ID_архива>
и открывается вэб-страница партнерского сайта, через который осуществляются запросы оплаты архивов:

Оплата осуществляется через системы “on-line” платежей "Liqpay", "Robokassa", "DaoPay", "WebMoney", "PayPal", "AlertPay".

Программа содержит в своем теле ZIP-архив, который защищен паролем. В данном архиве находится настоящий инсталляционный файл, предлагаемого пользователю, бесплатного ПО. В данном случае пользователю предлагается распаковать утилиту "Everest Ultimate Edition". Также содержит в своем теле библиотеку:

DelZip190.dll – имеет размер 122880 байт.
при помощи которой выполняется распаковка содержимого архива. В ответ сервер возвращает информацию о тарифах для премиум номера, полученную с ресурса:
http://hel***mc.ru

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!