Paczki, malware, złośliwe pliki, linki itp.

[jasiekkidawa]

105 malware by tachion z dnia 2014-02-02

Treść widoczna jedynie dla zarejestrowanych użytkowników

KIS 2014:
83/105 ( 79,0% )

[slav]

KIS 2013 83/105

[tachion]

Android_AVPass

Treść widoczna jedynie dla zarejestrowanych użytkowników

Próbka ma możliwość uzyskania wszystkich informacji jakie są zawarte w telefonie m.in.kontakty, dzienniki połączeń, potrafi również nagrywać dźwięki i wysyłać zdalnie lokalizację GPS.

[F4z]

Phishing

Treść widoczna jedynie dla zarejestrowanych użytkowników

[Snajpiq]

Avast zablokował mi link na serwisie PlayTube. Jako zagrożenie podał URL:Mal. Na VT tylko ESET uznał stronę za podejrzaną.

Treść widoczna jedynie dla zarejestrowanych użytkowników

---

Dodano: 02 lut 2014, 23:46

Po analizie WOT wygląda na to, że może to być phishing lub scam.

[tachion]

Dokładnie po przez analizę tej strony która się znajduje w settings.xml

[Aby zobaczyć linki, zarejestruj się tutaj]

Kod:

Log generated by nsdecoder from http://www.nosec-inc.com
[html] http://lp.sonxxie.com/pl/unlockmoviequick2/?networkid=20&category=b2c&country=pl&pageid=203&programid=191&saleid=1&optinfo=93181_688881_20tcaP4uOUzIOPJJ3ggu7a1w9WFC000.&publisher=176681&ce_cid=20tcaP4uOUzIOPJJ3ggu7a1w9WFC000.
[script] http://ajax.googleapis.com/ajax/libs/jquery/1.6.4/jquery.min.js
[script] http://lp.sonxxie.com/pl/unlockmoviequick2/js/main.js
[script] http://lp.sonxxie.com/pl/unlockmoviequick2/settings.xml
[html] http://lp.sonxxie.com/pl/unlockmoviequick2/../disclaimer2.html

S || UK || AU || CAN || GRE || CH
disclaimer text
legalline on/off
legalline text
t_and_c on/off
timer on/off
keyword, template and programid
sms_text, sms_number
-->
<external_settings>

<!-- VISUALS -->
<setting name="page_title">
Odblokuj teraz!
</setting>
<!-- <setting name="lang">
sa
</setting> -->
<setting name="disclaimer">
<![CDATA[<b>6 Miesięcy Okres Promocji. Jej warunki określa regulamin. Jest to usługa subskrypcyjna. Opłaty za subskrypcję dla użytkownik&ograve;w sieci Plus, T-Mobile, Play oraz Orange wynoszą 3,00zł netto (3,69 zł VAT) za jeden produkt (otrzymany SMS), maksymalna liczba zamawianych produkt&ograve;w w ciągu tygodnia wynosi 5. Usługa jest dostępna w następujących sieciach GSM: Orange, T-Mobile oraz Plus. Obowiązują standardowe opłaty za wiadomość tekstową oraz usługi WAP, GPRS i UMTS. Użytkownicy muszą mieć ukończone 18 lat oraz zgodę osoby opłacającej rachunek telefoniczny. Użytkownik&ograve;w tej usługi obowiązują og&ograve;lne oraz szczeg&ograve;łowe warunki korzystania z serwisu Gogogy. Wszyscy uczestnicy otrzymują mobilną zawartość z dodatkową możliwością wygrania nagrody. Na koniec użytkownik otzymuje WAP link, kt&ograve;ry zawiera 3 pytania. Osoba kt&ograve;ra odpowie na te pytania prawidłowo i w najkr&ograve;tszym czasie wygrywa gł&ograve;wną nagrodę. Aby zatrzymać subskrypcję wyślij sms o treści STOP WIN pod numer 60568(koszt zwykłego SMS a u danego operatora PLUS= wolny). Organizatorem serwisu jest firma: Mobile Minded BV. Meander 252, 6825 MC w Arnhem, Holandia. Sp&ograve;łka zarejestrowana przez Izbę Handlową w Amsterdamie pod numerem 34202974. Informacje: 48 12 432 68 64, <!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e -->] ] >
</setting>
<setting name="show_legalline">
off
</setting>
<setting name="legalline">
<![CDATA[Join the quiz for 拢3 per question, this is NOT a subscription service. You will receive an additional 拢3 charge for a reminder message tomorrow. Minimum age 18+ with bill payers permission. The competition is a randow draw among all entries, if your number is selected you will win the iPhone 4S.] ] >
</setting>
<setting name="show_operator">
on
</setting>
<setting name="check_operator">
on
</setting>
<setting name="pin_check_always">
on
</setting>
<setting name="pin_check_sms_text">
<![CDATA[Send a text to 12345 with the pin] ] >
</setting>
<setting name="pin_check_provider">
<provider id="Era">on</provider>
<provider id="Plus">off</provider>
<provider id="Orange">on</provider>
<provider id="Play">on</provider>
</setting>
<setting name="show_t_and_c">
off
</setting>
<setting name="t_and_c">
<![CDATA[Wyra偶am zgod臋 na przetwarzanie moich danych osobowych w celach prowadzenia promocji, w tym w celu wy艂aniania i og艂aszania zwyci臋zc贸w, przyznawania, wydawania, odbioru i rozliczania nagr贸d. Potwierdzam zapoznanie si臋 z regulaminem promocji, zasadami przetwarzania danych osobowych oraz list膮 partner贸w i <a href=''

[Aby zobaczyć linki, zarejestruj się tutaj]

'' target=''_blank''><u>sponsor贸w</u></a> organizatora promocji.] ] >
</setting>
<setting name="show_timer">
off
</setting>
<setting name="keyword">
price
</setting>
<!-- <setting name="cpID">
230575
</setting> -->

<!-- API -->
<setting name="country_id">
PL
</setting>
<setting name="TemplateID">
1
</setting>
<setting name="NetworkID">
1
</setting>
<setting name="template">
1
</setting>
<setting name="programid">
1
</setting>
<setting name="useserverip">
../serverip.php
</setting>
<setting name="usepincheck">
../pincheck.php
</setting>
<setting name="weboptinapi">

[Aby zobaczyć linki, zarejestruj się tutaj]

</setting>
<setting name="weboptinapi2">

[Aby zobaczyć linki, zarejestruj się tutaj]

</setting>
<setting name="locationofcheckforanswer">
../questions/
</setting>
<setting name="affiliateurl">
<![CDATA[

[Aby zobaczyć linki, zarejestruj się tutaj]

] ] >
</setting>
<setting name="scenario">
21760
</setting>
<setting name="cmguid">
F25DE992-8988-44A0-884C-F9BB7BEA4016
</setting>
<setting name="hash">
38A396A4-C3C8-4C0B-B7CA-46614A242718
</setting>
<!-- Phone & SMS -->
<setting name="country_code">
0048
</setting>
<setting name="phonenumber_length">
9
</setting>
<setting name="phonenumber_prequel">

</setting>
<setting name="exampletext_phone_number">
b.v.0712345678
</setting>
<setting name="sms_text">
SPATNE
</setting>
<setting name="sms_number">
9004050
</setting>

<!-- Feedback -->
<setting name="feedback_txt">
WIN
</setting>
<setting name="feedback_message_voorwaarden">
<![CDATA[Klik -OK- om de voorwaarden te accepteren!] ] >
</setting>
<setting name="feedback_message_nummer">
<![CDATA[Wprowad藕 numer swojego telefonu kom贸rkowego!] ] >
</setting>
<setting name="feedback_message_error">
<![CDATA[Wyst膮pi艂 b艂膮d, spr贸buj ponownie.] ] >
</setting>
<setting name="feedback_message_operator">
<![CDATA[Wybierz swojego dostawce!] ] >
</setting>
</external_settings>

[Aby zobaczyć linki, zarejestruj się tutaj]

Jakiś wyłudzacz

[tommyklab]

105 malware by tachion z dnia 2014-02-02

HitmanPro 89/105 (84,76%)

[preter]

105 malware by tachion z dnia 2014-02-02

Treść widoczna jedynie dla zarejestrowanych użytkowników

Ad-Aware Antivirus Free 11
Ochrona w czasie rzeczywistym - 90/105 - 85,71%
+ skanowanie na żądanie - 90/105 - 85,71%
+ skanowanie MBAM - 90/105 - 85,71%

Android_AVPass

Treść widoczna jedynie dla zarejestrowanych użytkowników

Próbka ma możliwość uzyskania wszystkich informacji jakie są zawarte w telefonie m.in.kontakty, dzienniki połączeń, potrafi również nagrywać dźwięki i wysyłać zdalnie lokalizację GPS.

Ad-Aware Antivirus Free 11nie wykrył zagrożenia

[tomatto007]

2014-02-03-tomatto007_1088.7z 120.8 MB

Treść widoczna jedynie dla zarejestrowanych użytkowników

[preter]

2014-02-03-tomatto007_1088.7z 120.8 MB

Treść widoczna jedynie dla zarejestrowanych użytkowników

Ad-Aware Antivirus Free 11
Ochrona w czasie rzeczywistym - 206/1078 - 19,11%
+ skanowanie na żądanie - 339/1078 - 31,45%
+ skanowanie MBAM 2.0 Beta - 1053/1078 - 97,68%

Wcześniejsze wyniki były nieprawidłowe, gdyż nie działa skanowanie PPM w MBAM 2.0 Beta.
Jeśli chodzi o Ad-Aware - wynik jego skanowania naprawdę jest taki niski.

Przepraszam wszystkich za pomyłkę.

[tommyklab]

[Malware Pack]2014-02-03 #54 by tommy

Treść widoczna jedynie dla zarejestrowanych użytkowników

[KoalaK]

2014-02-03-tomatto007_1088.7z 120.8 MB

Treść widoczna jedynie dla zarejestrowanych użytkowników

Eset v7 DB 9375 with PUPs detection enabled
1055 / 1088 (96.9 %)

[Malware Pack]2014-02-03 #54 by tommy

Treść widoczna jedynie dla zarejestrowanych użytkowników

Eset v7 DB 9375 with PUPs detection enabled
51 / 54 (94.4 %)

[myciu1974]

[Malware Pack]2014-02-03 #54 by tommy

Treść widoczna jedynie dla zarejestrowanych użytkowników

Emsi 52/54 (96,29%)

[preter]

[Malware Pack]2014-02-03 #54 by tommy

Treść widoczna jedynie dla zarejestrowanych użytkowników

Ad-Aware Antivirus Free 11
Ochrona w czasie rzeczywistym - 50/54 - 92,59%
+ skanowanie na żądanie - 51/54 - 94,44%
+ skanowanie MBAM 2.0 Beta - 54/54 - 100%

[jasiekkidawa]

[Malware Pack]2014-02-03 #54 by tommy

Treść widoczna jedynie dla zarejestrowanych użytkowników

KIS 2014:
35/54 ( 64,8% )

[lanzone]

Zerknie ktoś co to za ustrojsto? Rozsyła się przez FB. Dostałem kilka wiadomości od znajomych.

Treść widoczna jedynie dla zarejestrowanych użytkowników

[tachion]

Ładuje się tylko do autostartu,jest pod inną nazwą ale ten sam hash

C:\USERS\XX\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\{275F10BB-F8E1-180F-A2EB-D1F3275F10BB}.EXE

Brak jakichkolwiek procesów i nie zakłada też haków,brak połączeń z siecią.

[tommyklab]

Zerknie ktoś co to za ustrojsto? Rozsyła się przez FB. Dostałem kilka wiadomości od znajomych.

Treść widoczna jedynie dla zarejestrowanych użytkowników

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Jakiś PUP/PUA/Adware, za każdym razem pobiera się zmodyfikowana wersja (inny hasz) o tej samej wielkości pliku.

[Aby zobaczyć linki, zarejestruj się tutaj]

[tomatto007]

2014-02-05-tomatto007_1011.7z 204.6 MB

Treść widoczna jedynie dla zarejestrowanych użytkowników

[KoalaK]

2014-02-05-tomatto007_1011.7z 204.6 MB

Treść widoczna jedynie dla zarejestrowanych użytkowników

Eset v7 DB 9382 with PUPs detection enabled
998 / 1011 (98.7 %)