Этот пост бы никогда не появился, если бы не некоторые моменты, которые напрягли настолько, что пришлось разбираться детально в этой истории (Спойлер: Антивирусы которым плевать). Но обо всём по порядку.

Однажды придя с работы и сев за ПК, которым постоянно пользуется мой сын 8 лет, я увидел на рабочем столе новую программу, что не сильно удивило... Но самое интересное было в том, что эта программа висела в трее и у неё НЕ БЫЛО МЕНЮ ДЛЯ ВЫХОДА! Кликнув левой кнопкой мыши, открылось вот такое «тёмное» окно...

Я попробовал ещё раз нажать на красную точку, он «упал» в трей и опять та же ситуация: закрыть программу нельзя... Пришлось убивать через диспетчер задач. Такое поведение программы насторожило, и решил проверить сам файл моим антивирусом DrWeb, который не нашёл никакой угрозы.

По надписям Minecraft сразу понял, что это типа программа для запуска этой игры, которую мой сын сильно любит. Пришлось его позвать и устаивать допрос, откуда он это скачал. Оказалось, его порекомендовал один из блогеров на YouTube, который снимает по Minecraft и которого смотрит мой сын. Собственно вот название канала Эшли ;3 и само видео youtube.com/watch?v=dftp3vq0F9E

Смотреть видео вам необязательно, всё видео в нём говорят плохо о какой-то программе (по словам сына, именно её и использовал раньше для запуска игры, а уже и опять), а в конце рекомендуют этот самый MCLauncher... Собственно слишком очевидная реклама меня насторожила ещё больше, но расчёт идёт на их аудиторию: маленьких детей, которых можно напугать и заставить использовать рекламный продукт.

Решив погуглить про MCLauncher, наткнулся на их сайт mclauncher dot su (dot - точка), который являлся простым одностраничником и не то, что не внушал доверия, так и ещё раз подтверждал мои догадки - похоже придется чистить компьютер от вируса :(

Собственно, меня не сильно удивило, когда в поиске нашёл такую вот статью, про данную программу. Статья называется MCLauncher - Вирусный лаунчер с ДДОСом. Дальше, буду использовать некоторые скриншоты и информацию с этого сайта, надеюсь автор не сильно обидеться).

В статье расписан вирусный потенциал данной программы (весь ли?). Когда данная программа запущена на компьютере, разработчики вируса могут начать с вашего компьютера ддосить какой либо сайт или сервер по игре. То есть, получается это типичный троян...

В статье автор использовал программу «Process Monitor», предоставив не только скриншоты, но и полный свой лог из данной программы, что как бы внушает.

Далее рассказывается о том, что данный вирус удаляет все остальные программы по Minecraft, что является очередным навязываем продукта маленьким детям. Видео автора статьи было залито на сам сайт (сюда нельзя было вставить), я нашел в интернете другое, где показывается момент удаления.

Плюс говорится о том, что вводя данные от лицензионного аккаунта Minecraft, его скорее всего они украдут, да и он на самом компьютере хранится в открытом видео.

Дальше начинается самое интересное, я по примеру автора статьи про это недоразумение, отправил файл на VirusTotal, и его анализ несколько смутил меня - ПОЧЕМУ ТАК МАЛО??? Чего только стоит отсутствие стандартного закрытия, удаление других программ без спросу, автозагрузка и так далее... Я отправил файл в техподдержку DrWeb и получил ответ: Файл чист... Файл мать его чист, что, с этим антивирусом не так?

Потратив пару минут на поиск по ютубу, нашел некоторые каналы, которые рекламировали этот вирус. Может кому интересно (кому?), выкладываю ссылки на видео:

Эшли ;3

youtube.com/watch?v=dftp3vq0F9E

Позитивчик

youtube.com/watch?v=CRq3TSaRAU8

Маленький Мир Юни

youtube.com/watch?v=d8JwpHj4Jmc

SlyStudio

youtube.com/watch?v=Wj7ZPTHdoPE

Deanoss!

youtube.com/watch?v=fQ_B0uq9Ejc

LilClick

youtube.com/watch?v=S0s2h4Q-jfc

Собственно, фраза про «безопасный» у них это стёб что ли? По ним видно, что кто делал это всё, сами ещё дети и похоже не знают, что пособничество в распространении вирусов является вполне явной статьёй УК:

УК РФ Статья 273. Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации

А если ещё и по предварительно сговору группой лиц (а группа лиц, как мы видим есть), то санкции будут ещё суровее...

Что в итоге?

НА КОЛ ВСЕХ ЭТИХ ЮТУБЕРОВ Пришлось поговорить с сыном, чтобы нечего не скачивал и вообще не переходил от ютуберов куда-либо. К тому же и про «общие пункты», как вести себя в интернете.. И чтобы больше не смотрел канал, на котором подхватил эту заразу.

Тем пикабушникам, которые читают это и у них есть малолетние дети, проверьте ещё раз, что смотрят ваши дети в интернете (в частности на ютубе), поговорите про то, что без вас, нечего не скачивали на компьютер... Иначе, вас даже антивирусы не спасут...

Собственно, вопросов к самим разработчикам данного вируса особо и нет, недохакеры решили подняться на детях и их доверчивости. Но есть серьёзный вопрос к антивирусам, доколе такой софт будет попадать на компьютеры? Именно этот вирус, уже достаточно давно (на момент написания поста 4 недели плюс минус) существует и мог бы уже обнаружатся антивирусами, но им плевать, ведь после запуска, она якобы даёт нормальный функционал...

Тем, кто дочитал до сюда, спасибо. Возможно, получилось слишком банально: антивирусы не находят вирусы, блогеры продаёт своё мнение чему угодно за деньги... Но я посчитал, что напомнить про это - не лишнее.

Вирусные аналитики компании «Доктор Веб» зафиксировали распространение троянца Android.BankBot.358.origin, который нацелен на клиентов Сбербанка. Эта вредоносная программа крадет информацию о банковских картах, выводит деньги со счетов, а также блокирует зараженные устройства и требует выкуп. Ущерб, который может нанести Android.BankBot.358.origin, превышает 78 000 000 рублей.

Android.BankBot.358.origin известен компании «Доктор Веб» с конца 2015 года. Вирусные аналитики установили, что новые модификации троянца Android.BankBot.358.origin предназначены для атаки на российских клиентов Сбербанка и заразили уже более 60 000 мобильных устройств. Однако, поскольку вирусописатели распространяют множество различных версий этого вредоносного приложения, число пострадавших может значительно увеличиться. Суммарный объем средств, которые злоумышленники способны украсть с банковских счетов владельцев зараженных устройств, превышает 78 000 000 рублей. Кроме того, киберпреступники могут похитить более 2 700 000 рублей со счетов мобильных телефонов.

Этот банковский троянец распространяется при помощи мошеннических СМС, которые могут рассылать как киберпреступники, так и сама вредоносная программа. Чаще всего сообщения отправляются от имени пользователей сервиса Avito.ru. В таких СМС потенциальной жертве предлагается перейти по ссылке – якобы чтобы ознакомиться с ответом на объявление. Например, популярен текст: «Добрый день, обмен интересен?». Кроме того, иногда владельцы мобильных устройств получают поддельные уведомления о кредитах, мобильных переводах и зачислениях денег на счет в банке.

При переходе по ссылке из такого сообщения жертва попадает на принадлежащий злоумышленникам сайт, откуда на мобильное устройство скачивается apk-файл вредоносного приложения. Для большей убедительности вирусописатели используют в Android.BankBot.358.origin значок настоящей программы Avito, поэтому вероятность успешной установки троянца после его загрузки увеличивается. Некоторые модификации банкера могут распространяться под видом других программ – например, ПО для работы с платежными системами Visa и Western Union.

При первом запуске Android.BankBot.358.origin запрашивает доступ к правам администратора устройства и делает это до тех пор, пока пользователь не согласится предоставить ему необходимые полномочия. После получения нужных привилегий троянец показывает ложное сообщение об ошибке установки и удаляет свой значок из списка программ на главном экране. Так Android.BankBot.358.origin пытается скрыть свое присутствие на смартфоне или планшете. Если же в дальнейшем пользователь пытается удалить банкера из списка администраторов, Android.BankBot.358.origin активирует функцию самозащиты и закрывает соответствующее окно системных настроек. При этом некоторые версии троянца дополнительно устанавливают собственный PIN-код разблокировки экрана.

После инфицирования устройства Android.BankBot.358.origin соединяется с управляющим сервером, сообщает ему об успешном заражении и ожидает дальнейших указаний. Главная цель троянца – похищение денег у русскоязычных клиентов Сбербанка, при этом основным вектором атаки является фишинг. Злоумышленники отправляют троянцу команду на блокирование зараженного устройства окном с мошенническим сообщением. Оно имитирует внешний вид системы дистанционного банковского обслуживания Сбербанк Онлайн и отображается для всех пользователей независимо от того, являются ли они клиентами Сбербанка или другой кредитной организации. В этом сообщении говорится о якобы поступившем денежном переводе в размере 10 000 рублей. Для получения средств владельцу смартфона или планшета предлагается указать полную информацию о банковской карте: ее номер, имя держателя, дату окончания действия, а также секретный код CVV. При этом без ввода требуемых данных мошенническое окно невозможно закрыть, и устройство остается заблокированным. В результате пользователь вынужден подтвердить «зачисление средств», после чего информация о карте передается злоумышленникам, и они могут беспрепятственно украсть все деньги с банковского счета жертвы.

Однако на момент публикации этого материала существующие модификации троянца не выполняют полную проверку сведений о банковских картах, и после ввода любых данных снимают блокировку. В результате пострадавшие от Android.BankBot.358.origin владельцы мобильных устройств могут избавиться от фишингового окна и воспользоваться антивирусом, чтобы удалить вредоносную программу. Для этого в мошенническую форму необходимо ввести произвольный номер карты, который состоит из 16 или 18 цифр, а также указать любой срок ее действия в диапазоне от 2017 до 2030 года включительно. При этом ни в коем случае нельзя вводить информацию о настоящей карте Сбербанка или другой кредитной организации, т. к. злоумышленники получат к ней полный доступ.

Тем не менее, ничто не мешает вирусописателям отдать команду на повторную блокировку смартфона или планшета после обнаружения обмана. Поэтому после того как фишинговое окно будет закрыто, необходимо как можно скорее проверить устройство антивирусом и удалить троянца с мобильного устройства: https://download.drweb.ru/android/

Если у пользователя подключена услуга Мобильный банк, Android.BankBot.358.origin с ее помощью пытается украсть деньги со счета жертвы. Вредоносная программа незаметно отправляет СМС с командами для выполнения операций в системе онлайн-банкинга. Троянец проверяет текущий баланс карты пользователя и автоматически переводит средства либо на банковский счет злоумышленников, либо на счет их мобильного телефона.

Для получения дополнительного дохода некоторые версии Android.BankBot.358.origin могут заблокировать зараженное устройство сообщением с требованием оплаты штрафа за просмотр запрещенных видео. Кроме того, чтобы скрыть вредоносную активность (например, поступление подозрительных СМС), различные модификации троянца способны также блокировать экран зараженного смартфона или планшета уведомлением об установке некоего системного обновления.

Вирусописатели могут настраивать параметры окон блокировки в панели администрирования управляющего сервера. Например, задавать текст выводимых сообщений, продолжительность их отображения, а также требуемую сумму выкупа.

Наряду с кражей денег и блокировкой зараженных устройств Android.BankBot.358.origin способен выполнять и другие вредоносные действия. Получая команды от злоумышленников, троянец может:

загружать собственные обновления;

рассылать СМС-сообщения по всем номерам из телефонной книги;

рассылать СМС-сообщения по указанным в командах номерам;

загружать заданные киберпреступниками веб-сайты;

отправлять на сервер хранящиеся на устройстве СМС-сообщения;

получать информацию о контактах из телефонной книги;

создавать поддельные входящие СМС-сообщения.

Антивирусные продукты Dr.Web для Android успешно детектируют и удаляют все известные модификации Android.BankBot.358.origin, поэтому для наших пользователей троянец опасности не представляет. Специалисты «Доктор Веб» передали информацию о троянце в Сбербанк и продолжают наблюдать за развитием ситуации.

https://news.drweb.ru/show/?c=5&i=11802&lng=ru

P.s Представители Сбербанка опровергли информацию об угрозе вируса Android.BankBot.358.origin для клиентов банка и заверили, что пользователи банковского приложения защищены средствами, разработанными в «Лаборатории Касперского».

P.p.s Пиздят наверное представители Сбербанка.

Нашел такой диск в закромах. Там же была лицушная хр и офис