Re: payeerfree.com ОСТОРОЖНО!
Добавлено: Вс май 15, 2016 1:00 pm
MBell писал(а):Есть какие нибудь посты со скринами или цитатами о взломе кошельков?
Нашла, например, на mmgp:
Vitalii83 писал(а):Подтверждаю после установки этого плагина доктор веб утилита обнаружила троян панда 6865
http://it-sektor.ru/trojan.pws.panda.387.html Оно-не оно, но похоже.
Trojan.PWS.Panda.387
Детектируется другими антивирусами
Trojan.Win32.Genome.mfgd (Kaspersky), Win32:Spyware-gen (Avast), Pakes.HVX (AVG)
Описание
Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя. Является приложением Windows (PE-EXE файл). Размер - 138550 байт. Упакована при помощи UPX. Распакованный размер — около 138 КБ.
Инсталляция
После запуска троян создает копию своего файла со случайным именем и запускает ее на исполнение:
%AppData%\<rnd1>\<rnd2>.exe
<rnd1> и <rnd2> - наборы из случайный букв латинского алфавита, например, "Evazas" или "rahu";
После запуска на исполнение копии - удаляет свое тело и завершает свое выполнение. Для удаления своего оригинального файла создает и запускает на исполнение файл командного интерпретатора со случайным именем:
%Temp%\tmp<rnd3>.bat
<rnd3> - случайный набор букв латинского алфавита и цифр, например, "bdc5acc3".
Деструктивная активность
Копия трояна выполняет следующие действия:
Внедряет свой код во все пользовательские процессы;
Для хранения своей служебной информации создает файл и ключ реестра:
%AppData%\<rnd4>\<rnd5>
<rnd4> - набор из случайных букв латинского алфавита, например, "Oqys";
<rnd5> - набор из случайных букв латинского алфавита с расширением, также состоящим из случайных букв, например, "uzamy.noe" или "ogezt.uwa".
[HKCU\SOFRWARE\Microsoft\<rnd6>]
"rnd7" = "<зашифрованная служебная информация троянца>"
Создает ключ реестра
[HKLM\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication]
"Name" = "<rnd2>"
"ID" = dword:3e35b794
Для своего последующего автоматического запуска, добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"{<rnd8>}" = "%AppData%\<rnd1>\<rnd2>.exe"
И еще:
Перешла. bitcoinfarm.ru - автоматический сбор с 40 кранов
Напоминает.
И комментарии тоже отжигают.
Сам я этот плагин не устанавливал, но читал отзывы в ВК в группе человека, который первым начал рекламировать этот мошеннический проект. В общем, срочно удаляйте это из браузера, чистите полностью историю и, если на кошельке в блокчейне есть что-нибудь, перекиньте на другой кошелёк, пока не поздно.
Да этот плагин собирает сатоши, но с ВАШИХ кошельков! Зайдите в свой кошелёк и проверьте, каждый лень у ВАС снимаются сатоши. И сколько бы вы ни копили, с других кранов на счету всегда 0.
__________________