Microsoft предупредила о поддельной программе установки Security Essentials

Microsoft написала пост в блоге TechNet, который предупреждает о вредоносном ПО, которое имитирует Microsoft Security Essentials. Вирус, который известен как Hicurdismos, выступает в качестве установщика Security Essentials. После его установки будет отображаться поддельный (BSOD). Но, как утверждает Microsoft, есть несколько способов для вычисления подделки:

• Имя загруженного файла имеет расширение setup.exe - Microsoft не использует его для официальных установщиков Security Essentials;
• Экран BSOD включает в себя контактную информацию – реальные сообщения BSOD не содержат контактную информацию;
• Свойства файла будут отличаться; например, компания не будет отображаться как компания Microsoft, а размер файла будет меньше 1 Мб;

Компания также отметила, что пользователям Windows 8 или Windows 10 не нужен Security Essentials, так как у них уже есть Windows Defender.

BSOD показывает информацию о технической поддержке и просит пострадавших пользователей набрать её. Набор этого номера приведёт к мошенничеству. После звонка будет просьба оплатить ремонт. Ну и далее данное вредоносное ПО продолжит работать на вашем ПК.

Microsoft рекомендует сообщать об этом им. Компания постоянно собирает и исследует данные об инцидентах, связанных с Windows, а также поддерживает связь с соответствующими органами.

Нравится28
Комментарии (14)
  • 5
    Сижу на болген ОС, там хороший антивирус.
  • 0
    Лол
  • 4
    Бомбардировщик
    и не скучные обои
  • 1
    Gunlinger


  • 1
    Сижу на десятке и не о чем не парюсь !!!
  • 10
    Твою налево, как же вы задрали уже со срачем windows 7 или 10, сидите и молчите...
    Вон кто сидит до сих пор на XP вообще не слышно, берите с них пример
  • 1
    • Имя загруженного файла имеет расширение setup.exe - Microsoft не использует его для официальных установщиков Security Essentials;
    • Экран BSOD включает в себя контактную информацию – реальные сообщения BSOD не содержат контактную информацию;
    • Свойства файла будут отличаться; например, компания не будет отображаться как компания Microsoft, а размер файла будет меньше 1 Мб;
    Хорошая инфа, теперь те засранцы знают как сделать свой вирус "правдоподобнее"
  • 0
    Demonfail написал:
    Вон кто сидит до сих пор на XP вообще не слышно, берите с них пример

    Могу найти с десяток таких комментариев, но лень
  • 2
    стоит линка на 2 машине, вот уже 10 лет ни одного вируса. делаем выводы господа...
  • 1
    1. Поиск RootKit и программ, перехватывающих функции API
    Спойлер
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Функция kernel32.dll:ReadConsoleInputExA (1094) перехвачена, метод ProcAddressHijack.GetProcAddress ->75828B33->7514C0B3
    Функция kernel32.dll:ReadConsoleInputExW (1095) перехвачена, метод ProcAddressHijack.GetProcAddress ->75828B52->7514C0D7
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Функция advapi32.dll:SystemFunction001 (1760) перехвачена, метод ProcAddressHijack.GetProcAddress ->75477EE5->74F04A91
    Функция advapi32.dll:SystemFunction002 (1761) перехвачена, метод ProcAddressHijack.GetProcAddress ->75477F01->74F031B5
    Функция advapi32.dll:SystemFunction003 (1762) перехвачена, метод ProcAddressHijack.GetProcAddress ->75477F1D->74F03436
    Функция advapi32.dll:SystemFunction004 (1763) перехвачена, метод ProcAddressHijack.GetProcAddress ->75477F39->74F04756
    Функция advapi32.dll:SystemFunction005 (1764) перехвачена, метод ProcAddressHijack.GetProcAddress ->75477F55->74F0489F
    Функция advapi32.dll:SystemFunction034 (1793) перехвачена, метод ProcAddressHijack.GetProcAddress ->75478219->74F032F4
    Функция advapi32.dll:SystemFunction036 (1795) перехвачена, метод ProcAddressHijack.GetProcAddress ->75478252->74F011C0
    Функция advapi32.dll:SystemFunction040 (1796) перехвачена, метод ProcAddressHijack.GetProcAddress ->7547826E->74F01256
    Функция advapi32.dll:SystemFunction041 (1797) перехвачена, метод ProcAddressHijack.GetProcAddress ->7547828A->74F012AA
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text

    Это свежий Лог утилиты AVZ !!!
    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Функция kernel32.dll:ReadConsoleInputExA (1094) перехвачена, метод ProcAddressHijack.GetProcAddress ->75E58B33->759AC0B3
    Функция kernel32.dll:ReadConsoleInputExW (1095) перехвачена, метод ProcAddressHijack.GetProcAddress ->75E58B52->759AC0D7
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Функция advapi32.dll:SystemFunction001 (1760) перехвачена, метод ProcAddressHijack.GetProcAddress ->775F7EE5->75764A91
    Функция advapi32.dll:SystemFunction002 (1761) перехвачена, метод ProcAddressHijack.GetProcAddress ->775F7F01->757631B5
    Функция advapi32.dll:SystemFunction003 (1762) перехвачена, метод ProcAddressHijack.GetProcAddress ->775F7F1D->75763436
    Функция advapi32.dll:SystemFunction004 (1763) перехвачена, метод ProcAddressHijack.GetProcAddress ->775F7F39->75764756
    Функция advapi32.dll:SystemFunction005 (1764) перехвачена, метод ProcAddressHijack.GetProcAddress ->775F7F55->7576489F
    Функция advapi32.dll:SystemFunction034 (1793) перехвачена, метод ProcAddressHijack.GetProcAddress ->775F8219->757632F4
    Функция advapi32.dll:SystemFunction036 (1795) перехвачена, метод ProcAddressHijack.GetProcAddress ->775F8252->757611C0
    Функция advapi32.dll:SystemFunction040 (1796) перехвачена, метод ProcAddressHijack.GetProcAddress ->775F826E->75761256
    Функция advapi32.dll:SystemFunction041 (1797) перехвачена, метод ProcAddressHijack.GetProcAddress ->775F828A->757612AA
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    Windows 7x64 SP 1 !!!

    От Вирусов избавился а от перехвата процессов (нет) (Мышь и Клавиатура) !!!
    Лечение нет (переустановил ОС и всё повторяется) !!!
  • 3
    ZiZu Zankercu
    На линуксе вирусов сейчас дохрена, просто нацелены они не на компы простых школьников, а веб сервера, раб станции и хостинги на которых сейчас работает подавляющее большинство интернет узлов. Иначе если бы было всё на винде, то интернет сейчас бы во всём мире стоил бы в 10 раз дороже из за барыг из мелкософта, которые брали бы хороший процент за использование операционки на узлах.
  • 2
    Вынь 10 и без вирусов неплохо синие экраны производит, зачем нужен вирус с синим экраном на божественной 7-ке, где синих экранов никогда не было?
  • 1
    ZiZu Zankercu
    Ибо ОС на ядре Linux имеют меньше, так сказать, софта, чем наша Windows, и, как ни странно, большинство пользователей сидят на WIndows, так что вирусам выгоднее атаковать Окна.
  • 1
    StarveMan
    линка не то что бы имеет меньше приложений, чем на винде, а дело в том, что линка это узкоспециализированная ОС. наиболее часто встречается на серверном оборудовании. ну и с ней работать надо уметь, не то что в винде - одна основная кнопка для всего :D
B
i
u
Спойлер