test adv
,

Сутки чистил ПК от вирусов, оказался стиллер. Что это такое и как не попасться

Не стоит думать, что вас это не коснётся. Я был в числе таких людей и в итоге на меня свалилась куча проблем

Вирусы — штука неприятная и в большинстве случаев неожиданная. Будучи уверенным, что я знаю абсолютно все трюки и обманки злоумышленников, я даже не думал, что когда-нибудь попадусь на такое. Именно по этой причине я отключил абсолютно все встроенные в Windows антивирусные средства и не стал устанавливать сторонние. Так и прошло несколько лет, я действительно спокойно пользовался компьютером и не знал горя, пока не настал тот день, когда вредоносное ПО всё-таки настигло мой компьютер.

Скупой платит дважды

Как бы то ни было странно, началось всё с того, что мой друг заинтересовался одной малоизвестной программой, которая была способна растянуть видео до большего разрешения при помощи нейросетей. Так как в тот момент был доступен только мой компьютер, друг решил скачать эту программу на него с какого-то непонятного сайта. Это и вылилось в проблему под названием «Стиллер».

Сутки чистил ПК от вирусов, оказался стиллер. Что это такое и как не попасться
Так выглядит тот сайт. Обычно такие заглушки выглядят аляповато и выдают себя мгновенно, но здесь друг не успел обратить внимания на различные мелочи, так как в целом сайт казался нормальным

Сама программа находилась в запароленном архиве, что является обычной практикой для пиратских сайтов, поэтому и на это мы особого внимания не обратили. После распаковки архива и запуска программы (конечно же, с правами администратора) компьютер начал сильно шуметь, а на экране происходило адовое месиво из огромного количества командных строк cmd.exe и PowerShell.

Сутки чистил ПК от вирусов, оказался стиллер. Что это такое и как не попасться
Происходило что-то примерно похожее | ionos

После этого я принудительно перезагрузил компьютер, так как штатными средствами сделать это не представлялось возможным, и… просто продолжил им пользоваться. Да, тогда я ещё не знал про стиллеры и думал, что это очередной установщик хлама. Какого же было моё удивление, когда хлама на компьютере я не обнаружил — я чётко видел, что программа пыталась что-то установить, но в итоге в списке программ ничего нового я не заметил. Сразу же после произошедшего я поспешил удалить тот зловещий файл и всё, что он оставил после себя. Остатки находились преимущественно в папке Temp.

Сутки чистил ПК от вирусов, оказался стиллер. Что это такое и как не попасться
Все эти файлы со странными названиями — дело рук вируса

Успокоившись и понадеявшись, что с вредоносом покончено, я продолжил заниматься своими делами. К сожалению, не получилось. Через 15 минут после перезагрузки вирус снова дал о себе знать — опять огромное количество окон командной строки. И именно после этого я всерьёз занялся чисткой компьютера и стал копать информацию о вирусе, который подхватил.

Принцип работы стиллера. Всё оказалось хуже, чем я ожидал

Стиллер, как понятно из прямого перевода этого слова, крадёт. Существуют разные стиллеры с разными функциями, злоумышленники могут создавать разные сборки для разных целей, но далее я собираюсь описать всё, что они умеют, так как никогда не знаешь, какой конкретно вирус ты подхватил.

В первую очередь, конечно же, после запуска файла стиллер проверяет, находится он в операционной системе или в песочнице. Для этого он применяет функцию анти-отладки из WinAPI и всё равно проникает в изначальную среду выполнения, поэтому крайне не рекомендуется проверять подобные вирусы даже в виртуальных машинах. Затем, как ни странно, стиллер крадёт данные. Давайте по порядку.

Браузеры

Сутки чистил ПК от вирусов, оказался стиллер. Что это такое и как не попасться
Код, крадущий пароли из Google Chrome | Habr

Стиллер умеет красть множество данных из Chromium-браузеров, в их числе: пароли, закладки, история, куки-файлы, автозаполнение, список скачанных файлов. Из Gecko-браузеров (основанных на движке Firefox) обычно можно украсть только закладки и куки. Раньше я думал, что нельзя просто так пошариться в файлах и вынуть оттуда мои пароли — там же всё зашифровано. Оказалось, я был в корне не прав. Конечно, данные там может быть и зашифрованы, только вот к ним очень легко получить доступ через библиотеку SQLite3, которой активно пользуются не только программисты, но и злоумышленники.

Системная информация

Сутки чистил ПК от вирусов, оказался стиллер. Что это такое и как не попасться
Так выглядит лог стиллера | CryptoWorld

Разные стиллеры собирают разную информацию, но в целом они могут узнать буквально всё. Помимо данных со снимка экрана выше, стиллеры крадут информацию о сетях и пароли к ним, IP, ключ активации Windows и делают снимок экрана жертвы. Я до сих пор так и не понял, для каких целей злоумышленнику могут пригодиться пароли от моего Wi-Fi или информация о том, какая в моём ноутбуке видеокарта.

Файлы и токены

Сутки чистил ПК от вирусов, оказался стиллер. Что это такое и как не попасться
Компьютер отображается мой, но вот геопозиция и IP-адрес — чужие

В целом стиллер может выкачать всё, что захочет. Но, очевидно, большие по объёму файлы скачивать нет никакого смысла, так как не факт, что они окажутся полезными и дойдут до места назначения. Поэтому, зачастую, стиллер копирует всю папку AppData и помимо неё сессии Telegram и Discord из подпапки Roaming. Именно такой способ позволяет заходить в ваш аккаунт Telegram без необходимости авторизации по номеру и даже ввода пароля двухфакторной аутентификации. Если внедрить украденные файлы сессии (иначе говоря, — токен) в другой клиент Telegram, сервер будет думать, что в аккаунт заходят с того же устройства, что и раньше. Помимо этого стиллер целенаправленно крадёт изображения, документы, файлы с расширением, присущим исходным кодам (.py, .cs, .cpp и так далее), а также сессии из игровых приложений (Steam, Uplay, Battle.net и, возможно, другие).

Остальные возможности

Примерно в таком виде злоумышленник получает собранную стиллером информацию | Habr, CyberForum

Помимо вышеописанного, стиллеры могут содержать в себе следующие функции:

  • Кража банковских и криптовалютных кошельков (применяется редко, так как особенно строго преследуется по закону).
  • Установка кейлоггера (считывание информации с клавиатуры и передача её злоумышленнику, умеет распознавать программы, в которых вводится текст).
  • Установка клиппера (подмена содержимого буфера обмена на другой, как пример — подмена адресов в браузере).
  • Фото с веб-камеры.
  • Запись структуры директорий.
  • Заражение всех .exe-файлов с целью навсегда остаться на компьютере жертвы.

Последнее точно было в попавшемся мне стиллере, так как даже после огромных усилий по очистке компьютера, в моём Telegram появлялись чужие геопозиции и IP-адреса. При этом новые пароли, которые я установил для всех своих аккаунтов, украдены не были.

Как очевидный итог — мои данные разлетелись по всему интернету

Сутки чистил ПК от вирусов, оказался стиллер. Что это такое и как не попасться
Такие сообщения я стал получать регулярно

Конечно же, почти сразу после случившегося я сменил все пароли на важных мне аккаунтах и стал отслеживать почту на предмет странных входов и запросов сброса пароля. Результат не заставил себя долго ждать. На аккаунтах «ВКонтакте», которые не представляли для меня особую ценность и остались со старым паролем, появился спам непристойного характера и подписки на странные группы. Как ни странно, в Instagram* ничего не произошло — то ли тот аккаунт не представлял особой «спамерской» ценности, то ли его просто не успели как следует настроить для бота. Также я обнаружил попытки входа в Dropbox, Mail.ru и MEGA. В общем, судя по всему, ценность представляют аккаунты большинства популярных сайтов и социальных сетей.

Сутки чистил ПК от вирусов, оказался стиллер. Что это такое и как не попасться
Вредоносное сообщение, разосланное моим аккаунтом

О своей подозрительной активности в Discord я узнал от знакомых, которые начали писать мне по поводу случившегося. С моего аккаунта было разослано сообщение с вредоносной ссылкой по всем личным чатам и серверам — конечно, было стыдно перед одногруппниками и коллегами. Увы, в Discord нельзя просто закрыть доступ ко всем активным сессиям кроме одной, как в Telegram, поэтому пришлось в мороз и на ходу менять пароль прямо со смартфона (что не очень-то и удобно). Обычно смена пароля сбрасывает все активные сессии, так что если вы видите подозрительную активность на каком-то аккаунте — наиболее быстрым и действенным шагом будет именно это действие.

Сутки чистил ПК от вирусов, оказался стиллер. Что это такое и как не попасться
Единственный след, который оставили злоумышленники — одна введённая команда в Spam Info Bot

В Telegram, как не странно, ничего не произошло. Постоянно заходили разные люди, но ничего подобного произошедшему в Discord мной замечено не было. Вполне вероятно, что несколько разных людей успели выкачать архивы с моими данными, но прошёл почти месяц с тех пор и я до сих пор не получил угроз и шантажа.

Главный урок, который я извлёк

После произошедшего я всерьёз задумался о безопасности своего компьютера и о том, как избежать подобного в дальнейшем. Конечно, это первый такой случай за много лет, но даже так эта ситуация заставила меня сильно нервничать и потратить несколько дней на разбирательства и устранение последствий. В следующий раз может получиться так, что времени заниматься подобным просто не будет и мне пришлось бы идти на компромиссы.

В первую очередь — антивирус

Сутки чистил ПК от вирусов, оказался стиллер. Что это такое и как не попасться

Раньше я был убеждённым противником антивирусов, так как был уверен, что подхватить вирус настолько сложно, что приходится делать это чуть ли не специально. Теперь же я всегда держу на готове встроенный антивирус Windows, который с выходом десятой версии операционки очень похорошел и стал надлежащим образом выполнять свою работу. Но ещё более лучшим решением для простых пользователей будет установка стороннего проверенного антивируса, и здесь стоит помнить, что лучший — не всегда популярный. Изучите отзывы и обзоры антивирусного ПО и выберите то, которое сочтёте подходящим.

Хотя бы проверяйте файлы через VirusTotal

Сутки чистил ПК от вирусов, оказался стиллер. Что это такое и как не попасться
Тот самый файл, который скачивал друг, вызвал тревогу у 23-ёх антивирусов

Перед запуском подозрительных файлов, скачанных из сомнительных источников, пропускайте их через VirusTotal. Это удобный бесплатный сервис, который использует вирусные базы огромного количества антивирусов, тем самым являясь, по сути, самым мощным антивирусным средством, существующим на данный момент. Им пользуются многие сайты, доказывая, что их файлы безопасны, в том числе и Trashbox.

Помимо вышеописанного, после смены паролей нужно отказаться от привычки пользоваться автозаполнением. Именно из-за этой функции и утекают пароли — если на серверах Google они, скорее всего, в безопасности, то при хранении локально на компьютере оказываются доступны всем желающим. 

* Деятельность Meta* (соцсети Facebook* и Instagram*) запрещена в России как экстремистская.


Последнее изменение:
 
Astramak
Astramak, 13 января 2022, 10:22   #   (...)
а почему тут так часто в каментах речь идет о нод32? типа самый лучший антивирус или что?
Ответить
toddnach
toddnach, 13 января 2022, 11:14   #   (...)
Для @Kot0S да
Ответить
luxdixxxi
luxdixxxi, 13 января 2022, 23:10   #   (...)
Лошара ми кантара.
Ответить
Alvarius
Alvarius, 14 января 2022, 05:19   #   (...)
Где комменты о том, что во всем правообладатели виноваты, если бы не их нежелание выпускать софт на одном только энтузиазме, то никто бы не искал кейгены всякие лол
Ответить
tCode
tCode, 14 января 2022, 09:30   #   (...)
Сначала скачивал и ставил «друг», но позже автор пальнулся
«Тот самый файл, который я скачивал, вызвал тревогу у 23-ёх антивирусов»
Ответить
toddnach
toddnach, 14 января 2022, 13:46   #   (...)
Интересно, как главным объектом обсуждений стал факт скачивания вируса :) Рассказ об этом занимает один пункт
Ответить
studen_ich
studen_ich, 14 января 2022, 19:34   #   (...)
Да я сам в шоке эту проблему решили 60 лет назад сделав антивир на микрокоде процика но капитализм делает свае дело
Ответить
andbna
andbna, 14 января 2022, 17:13   #   (...)
Пхах, разумеется антивирус будет не лишним, главное контролировать его(настроить), что бы он каждый день судорожно не сканировал диск на наличие вирусов😂 и у вас не будет проблем от него.
Ответить
studen_ich
studen_ich, 14 января 2022, 19:27   #   (...)
Вот пошаговая инструкция что делать в таких ситуэйшанах
youtu.be/_m-4ja9NZuY
Ответить
eugeneshilenko
eugeneshilenko, 14 января 2022, 23:31   #   (...)

Автор, что за чушь ты несёшь?)
Ты просто неопытный пользователь, который решил что он крутой системный админ. Нагуглил инфы и сделал ненужный пост, употребляя умные слова, значения которых ты сам не знаешь. Пишу, потому что прочитал статью и смеюсь — так что принимай критику нормально. Незачем дезинформировать людей. Специально создал аккаунт тут, ради этого коммента.
Давай разберём подробно.
1) Сутки чистил компьютер — чел, после такого лучше ставить начисто Винду, или пройтись нормальным антивирусом, после чего выполнить проверку целостности системных файлов винды, промониторить реестр. То, что ты чистил сутки — только из-за твоей некомпетентности в вопросе. В крайнем случае, есть безопасный режим. Чистая Винда с дальнейшим восстановлением данных из бекапа старой ОС — заняло бы пол дня максимум, с установкой всего (всего!) софта.
2) Сайт казался нормальным — в каком месте?) Любой человек, который имеет хоть малейшие знания об ИБ скажет, что страничка не вызывает ну никакого доверия, слишком уж она пустая, простая. Не говоря уже о том, что если сайт не знаешь — не качай с него ничего) С проверенных источников надо, эх...
3) Код, крадущий пароли из Chromium-основанных браузеров. Ты действительно думаешь, что злоумышленник, который выпустил в прод свой вирус — оставит комменты на русском? Совершенно надёжно и безопасно, как швейцарские часы, бл#ть. Нашёл в интернете пример? Так укажи в статье, что это просто скрин-пример.
4) Посмотри на характеристики своего компа. (а точнее, ноутбука, правильно?) О каком запуске программ с нейронками идёт речь? Чёрт, да есть куча онлайн-сервисов с нейронками, хоть по апскейлу видео-фоток, так и по полной генерации чего-то с нуля.
5) Стиллер может содержать в себе функции... — чё? Это тогда не стиллер, а более продвинутый вирус. Работа стиллера в том, чтобы похитить данные as is — и всё, ничего более. От слова Steal — воровать, stealer — похититель.
6) В телеграмме ничего такого не произошло — потому что читай документацию, смотри инциденты, которые уже имели место быть. Могут только мониторить переписки, а если поставил локальный и облачный пароль — то вообще ничего.
Могу и подробнее расписать, дать рекомендации, но есть ли смысл? Статья чисто о том, как кто-то думал что знает больше, чем обычные пользователи, а оказалось немножко не так)
Добра всем, и меньше подобных инцидентов.
Ответить
toddnach
toddnach, 14 января 2022, 23:44   #   (...)
1) Переставил
2) Да, казался
3) Под снимком экрана указан источник
4) Скинь онлайн апскейл видео, буду благодарен
5) Ну, видимо, вы гуглили меньше чем я :)
6) Я и написал, что факта шантажа не было, но могли делать что угодно)
Ответить
Lololol_7777
Lololol_7777, 15 января 2022, 21:56   #   (...)
Судя по комментаторам, надо юзать линух, юзать шейрвейр проги и не заходить никогда в интернет
Ответить
id154216985
id154216985, 18 января 2022, 23:17   #   (...)
Добавлю свои пять копеек) Тоже антивирусами не пользуюсь, давно. Но, есть сканер zemana(просканить файл и убедиттся в его безопасности, так же просканить систему раз в месяц), песочница (для запуска как подозрительных программ, да и любых программ, которые не нужны для долгого использования, очистив песочницу можно быть увереным, что она не оставила после себя ниикаких следов и хвостов). Фаерволл, а вот здесь смею уверить, что это фактически основная защита. Вот сценарий: скачал я ваш файл, запустил и он оповестил меня что эта прога лезет в инет. Я бы подумал, какого черта она туда полезла, если она должна работать без доступа в интернет? И заблокировал доступ. Стмллер не получил команды от управляющего сервера и не сработал. конец)
Ответить
devzer0-1
devzer0-1, 27 января 2022, 04:48   #   (...)
А этот маленький засранец оказался не стиллером, а продвинутым многофункциональным вирусом и работал в нулевом кольце защиты ввиде модуля ядра и сим же методом уходил от ваших сканеров. Говорю как вирописец со стажем просто неравнодушный прохожий. Вы б знали, как вирусы в модемы(и usb, и у смартфонов) загружаются, куда ни один антивирус не пролезет. Или в uefi-nvram. Вот там вообще космос и чистое искусство...
Потому лучшая защита — это ваши собственные мозги. Обходите стороной незнакомые сайты, проверяйте каждый файл перед запуском и не надейтесь особо на сканирование системы и на файрволы. Самый банальный метод обойти которые — встроить прокси в ваш браузер и выходить в сеть через него, не беспокоя файрвол
Ответить
devzer0-1
devzer0-1, 27 января 2022, 04:53   #   (...)
К слову, песочница, это уже лучше, чем файрвол и скан системы раз в месяц. Но ещё лучше использовать виртуалку, и желательно, с открытым исходным кодом. Одну — для теста всякой фигни и сёрфинга, другую, с шифрованым диском — для банкинга. И всё будет ОК)
Ответить
id154216985
id154216985, 27 января 2022, 09:59   #   (...)
Мне кажется всё таки вы не дооцениваете возможности фаерволла, а виртуалка это уже совсем паранойя, хотя… У самого куча бэкапов рссовано, и есть для тестирования отдельно жёсткий диск с ОС.)))
Ответить
Dexter72
Dexter72, 19 января 2022, 08:24   #   (...)
Ясно понятно. С того момента, как дал другу в свое распоряжение свой комп, можно дальше не читать. Я тоже не пользуюсь антивирусами, и о чудо чудное — уже много лет винда работает как часики, а пароли мои так никто и не угнал. Что я делаю не так? А, наверное я просто не даю СВОЙ пк кому попало а файлы не качаю от куда папало, ну а если и появляется соблазн скачать что то от куда то «пираццкое», всегда на готове для таких случаев есть виртуалка, где я и запускаю подозрительную дрянь, если «вирус» что то и сделает, то в рамках виртуальной машины.
Ответить
BANka___
BANka___, 23 января 2022, 19:49   #   (...)
Приветствую автор, я где то месяц или больше назад тоже на такую хуйню напоролся практический с точно такого же сайта такого же дизайна, тоже искал кряк на прогу, затупил жестко и в итоге скачал его, тоже как ты «боролся» с ним вручную, ну и у меня также защитник полностью вырублен, а так же есть антивирус 360 тотал, но он так же почти весь выключен, что мог отрубить, но все равно на фоне работает, ну и такая же проблема вышла, через время в ДС людям и серверам отправилось такое же сообщение, ну и за это меня с двуз серверов выгнали :( Ну в итоге сменил пароль, поставил двухэтапную аутентификацию и вроде все почистил ну и на всякий просканировал комп с помощью того антивируса. Да, я из числа таких дурачков, которые не юзают почти антивирусы и с выключенным защитником. Ну теперь я уже более бдительнее отношусь к таким сайтам и файлам, а тот вирус вроде я все его файлы и остатки почистил, которые нашел, и ну и потом уже признаков его никаких я не нашел. Ну из последствий это разве что самое ужасное, это то, что меня исключили с одного хорошего дс сервера((9
Ответить
VeivVovi1502
VeivVovi1502, 5 декабря 2023, 16:37   #   (...)
про эти вирустоталы эт уже бред, ибо даже так стиллеры бывают или я чо та путаю
с уязвимостями? также про эту папку, данные (пароли, куки, скриы компов/ноутов) у взломщицы людей сливаются тогда чо из за уяз
вимостей винды шо ле? причем еще и больше 1к ахахахха
Ответить
VeivVovi1502
VeivVovi1502, 5 декабря 2023, 16:45   #   (...)
поправка: данные сливаются, даже если они не скачивают неизвестные проги и не переходят по неизвестным ссылкам*
Ответить
waltersullivan6
waltersullivan6, 7 декабря 2023, 00:49   #   (...)
апскейлер видео есть у nvidia встроенный
Ответить

Добавить комментарий
Если нужно ответить кому-то конкретно,
лучше нажать на «Ответить» под его комментарием