TSPY_FAREIT.VK — Энциклопедия угроз
Это шпионское ПО попадает в систему в виде файла, сброшенного другими вредоносными программами, или в виде файла, неосознанно загружаемого пользователями при посещении вредоносных сайтов.
Удаляет себя после выполнения.
Сведения о поступлении
Это шпионское ПО попадает в систему в виде файла, сброшенного другим вредоносным ПО, или в виде файла, неосознанно загруженного пользователями при посещении вредоносных сайтов.
Установка
Эта программа-шпион создает следующие папки:
- %User Profile%\Application Data\Cuesf
- %User Temp%\LFEDFAC
- %User Profile%\Microsoft\Address Book
(Примечание: %User Profile% — папка профиля текущего пользователя, обычно это C:\Documents and Settings\{имя пользователя} в Windows 2000, XP и Server 2003 или C:\Users\{имя пользователя} в Windows Vista и 7.. %User Temp% является текущим временная папка пользователя, обычно это C:\Documents and Settings\{имя пользователя}\Local Settings\Temp в Windows 2000, XP и Server 2003 или C:\Users\{имя пользователя}\AppData\Local\Temp в Windows Vista и 7.
)
Техника автозапуска
Это шпионское ПО добавляет следующие записи в реестр, чтобы разрешить его автоматическое выполнение при каждом запуске системы:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Ujygy = «%User Profile\%\Cuesf ujygy.exe»
Другие модификации системы
Эта программа-шпион добавляет следующие ключи реестра:
HKEY_CURRENT_USER\Software\WinRAR
HKEY_CURRENT_USER\Software\Microsoft\
Fodyofav
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\Active Directory GC
HKEY_CURRENT_USER\ Software\Microsoft\
Internet Account Manager\Accounts\Bigfoot
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\VeriSign
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\WhoWhere
HKEY_CURRENT_USER\Software\Microsoft\
WAB\WAB4\Wab Имя файла
Добавляет следующие записи реестра:
HKEY_CURRENT_USER «{случайные значения}»
hkey_current_user \ Software \ Winrar
570CF8B686F7B93590FA31680D64B72E = «{Random Values}»
HKEY_CURRRENT_USER \ Software \ WINRAR
69E95AB2E9.
DERIAB2IAB2E13.0003
HKEY_CURRENT_USER\Software\Microsoft\
Fodyofav
211f8fhe = «{random values}»
HKEY_CURRENT_USER\Software\Microsoft\
Fodyofav
1h5d2jd8 = «aaccbee»
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
DisableNotifications = «1»
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\GloballyOpenPorts\
Список
21548: UDP = «21548: UDP:*: включено: UDP 21548»
HKEY_LOCAL_MACHINE \ SYSTEM \ CONTROLSTECT001 \
Services \ SHAREDACCESS \ PAMERETERS \
FIRWALLPOLICY \ Стандарт
DISABLENOTICATERS \
FIRWALLPOLICY \ Стандарт. ControlSet001\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\GloballyOpenPorts\
List
29701:TCP = «29701:TCP:*:Enabled:TCP 29701»
HKEY_CURRENT_USER\Software\Microsoft 90of09 Fody0039 f5d0608 = «MurMqryCPGLnuvZ4_CHAR(0x05)_re????ed.
»
HKEY_CURRENT_USER\Software\Microsoft\
Fodyofav
25fae4hd = «{random values}»
HKEY_CURRENT_USER\Software\Microsoft\
Fodyofav
2jghbce1 = «{random characters}»
HKEY_CURRENT_USER\Software\Microsoft\
Fodyofav
2jghbce1 = «{случайные значения}»
HKEY_CURRENT_USER\Software\Microsoft\
Fodyofav
25fae4hd = «{случайные символы}»
HKEY_CURRENT_USER\Software\Microsoft\
Fodyofav
aegdehi = «{случайные значения}»
HKEY_CURRENT_USER\Software\Microsoft\
Fodyofav
5g185ic = «p5p9+yYk8B28D1NFec4W3vyD4PdwXfIo.W_CHAR(0x0E)_??»
hkey_current_user \ Software \ Microsoft \
Fodyofav
1eihgjcg = «{случайные значения}»
hkey_current_user \ Software \ Microsoft \
Fodyofav
C7G5H57 = «{random Values}»
hly_19.crorn = «2Zp9+w==r_CHAR(0x03)_i_CHAR(0x0E)_»
HKEY_CURRENT_USER\Software\Microsoft\
Fodyofav
1h5d2jd8 = «D77Mqg==?_CHAR(0x03)_?»
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\Active Directory GC
LDAP Server ID = «0»
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\Bigfoot
LDAP Server ID = «1»
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\VeriSign
ИД сервера LDAP = «2»
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\WhoWhere
LDAP Server ID = «3»
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager
Server ID = «4»
HKEY_Software\CURRENT_USER
Internet Account Manager\Accounts
PreConfigVer = «4»
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts
PreConfigVerNTDS = «1»
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\Active Directory GC
Имя учетной записи = «Active Directory»
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\Active Directory GC
Сервер LDAP = «NULL»
HKEY_CURRENT_USER\Software\Microsoft \
Internet Account Manager\Accounts\Active Directory GC
LDAP Search Return = «64»
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\Active Directory GC
LDAP Timeout = «3c» 9
Аутентификация LDAP = «2» »
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\Active Directory GC
DN привязки LDAP = «0»
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\Active Directory GC
Порт LDAP = «cc4»
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\Active Directory GC
Флаг разрешения LDAP = «1»
HKEY_CURRENT_USER\Software\Microsoft\ 90 Internet Account Manager\Accounts\Active GC
Безопасное соединение LDAP = «0»
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\Active Directory GC
Имя пользователя LDAP = «NULL»
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\Active Directory GC
База поиска LDAP = «NULL»
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\Bigfoot
Имя учетной записи = «Bigfoot Internet Directory Service»
HKEY_CURRENT_USER\Software\ Microsoft\
Internet Account Manager\Accounts\Bigfoot
Сервер LDAP = «ldap.
bigfoot.com»
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\Bigfoot
URL-адрес LDAP = «http://www.{BLOCKED» }t.com»
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\Bigfoot
Результат поиска LDAP = «64» \Software\Microsoft\
Internet Account Manager\Accounts\Bigfoot
Аутентификация LDAP = «0»
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\Bigfoot
LDAP Simple Search = «1»
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\Bigfoot
Логотип LDAP = «%ProgramFiles%\Common Files\Services\bigfoot.bmp»
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\VeriS
Имя учетной записи = «VeriSign Internet Directory Service»
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\VeriSign
Сервер LDAP = «directory.verisign.com»
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\VeriSign
LDAP URL = «http://www.
{BLOCKED}gn.com»
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\VeriSign
LDAP Search Return = «64»
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\VeriSign
LDAP Timeout = «3c»
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\VeriSign
LDAP Authentication = «0»
HKEY_CURRENT_USER\ Программное обеспечение\Майкрософт\
Internet Account Manager\Accounts\VeriSign
База поиска LDAP = «NULL»
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\VeriSign
Простой поиск LDAP = «1»
HKEY_CURRENT_USER\Software9\0039 Internet\ Account Manager\Accounts\VeriSign
Логотип LDAP = «%ProgramFiles%\Common Files\Services\verisign.bmp»
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\WhoWhere
Имя учетной записи = «WhoWhere Internet Directory Service»
HKEY_CURRENT_USER\Software\Microsoft\
Диспетчер учетных записей Интернета\Accounts\WhoWhere
Сервер LDAP = «ldap.
whowhere.com» //www.{BLOCKED}re.com»
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\WhoWhere
LDAP Search Return = «64»
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\ КтоГде
Время ожидания LDAP = «3c»
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\WhoWhere
Аутентификация LDAP = «0» = «1»
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\WhoWhere
Логотип LDAP = «%ProgramFiles%\Common Files\Services\whowhere.bmp»
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager
Учетная запись LDAP по умолчанию = «Active Directory GC»
HKEY_CURRENT_USER\Software\Microsoft\
WAB\WAB4
OlkContactRefresh = «0»
HKEY_CURRENT_USER\Software\Microsoft 999WAB0\
HKEY_CURRENT_USER \ IDEDITIES \ {8A24C031-62FE-4BF5-94F0-BFD4FCD674B}
Identity Ordinal = «1»
HKEY_CURRENT_USER \ Software \ Microsoft \
FODYOFAV
1HISE_CURRENT_USER \ Software \ Microsoft \
FODYOFAV
1HIFIE_CURRENT_SERISE \ 9003.
0003
hkey_current_user \ Identities
Identity Ordinal = «2»
(Примечание. Данные по значению по умолчанию указанного реестра 1 .)
Рутина сброса
. %User Temp%\101437.exe
(Примечание: %User Temp% — папка Temp текущего пользователя, обычно это C:\Documents and Settings\{имя пользователя}\Local Settings\Temp в Windows 2000, XP и Server 2003 или C:\Users\{пользователь name}\AppData\Local\Temp в Windows Vista и 7.. %User Profile% — это папка профиля текущего пользователя, обычно это C:\Documents and Settings\{имя пользователя} в Windows 2000, XP и Server. 2003 или C:\Users\{имя пользователя} в Windows Vista и 7.. %Application Data% — это папка Application Data текущего пользователя, обычно это C:\Documents and Settings\{имя пользователя}\Application Data в Windows 2000, XP и Server 2003 или C:\Users\{имя пользователя}\AppData\Roaming в Windows Vista и 7.
)
Прочие сведения
Эта программа-шпион подключается к следующему потенциально вредоносному URL-адресу:
- http://{BLOCKED}vacances.fr/j0in.exe
Она удаляет себя после выполнения.
Этот отчет создается с помощью автоматизированной системы анализа.
Российскому подростку грозит несколько лет тюрьмы за пост в социальных сетях с критикой войны в Украине
Си-Эн-Эн —
Олеся Кривцова носит антипутинскую татуировку на одной лодыжке и браслет, который отслеживает каждое ее движение, на другой.
19-летняя девушка из Архангельской области России должна носить устройство, пока она находится под домашним арестом после того, как ей было предъявлено обвинение в публикациях в социальных сетях, которые, по мнению властей, дискредитируют российскую армию и оправдывают терроризм.
Кривцовой, студентке Северного (Арктического) федерального университета в городе Архангельске на северо-западе, также предъявлено уголовное обвинение в дискредитации российской армии за якобы критический репост войны в студенческом чате в российской социальной сети ВК.
В настоящее время Кривцова находится под домашним арестом в квартире своей матери в Северодвинске Архангельской области, ей запрещен выход в интернет и другие виды связи.
«Дело Олеси — не первое и не последнее, — сказал CNN Алексей Кичин, адвокат Кривцовой.
Кичин сообщил, что подростку может грозить до трех лет лишения свободы за дискредитацию российской армии и до семи лет лишения свободы по статье «Оправдание терроризма». Однако защита Кривцовой надеется на более мягкое наказание в виде штрафа.
У Олеси на одной лодыжке браслет слежения, а на другой татуировка с надписью «Большой брат следит за тобой» с лицом президента России Владимира Путина, прикрепленным к телу паука.
Наталья Кривцова Олеся Кривцова, на фото в суде, сейчас находится под домашним арестом в квартире своей матери.
По данным независимого правозащитного обозревателя ОВД-Инфо, в 2022 году в России было возбуждено не менее 61 дела по обвинению в оправдании терроризма в Интернете, по 26 из них уже вынесены приговоры.
Мать Олеси, Наталья Кривцова, говорит, что правительство пытается предупредить общественность, а ее дочь фактически «публично пороли» за то, что она не держит свои взгляды при себе.Российский диссидент в изгнании Владимир Осечкин позирует во время фотосессии 20 сентября 2022 года в Париже. (Фото JOEL SAGET / AFP) (Фото JOEL SAGET / AFP через Getty Images)
Джоэл Сагат / AFP / Getty Images Высокопоставленные российские чиновники бегут.
Этот человек помогает им
«Мы живем в Архангельской области, и это обширный регион, но слишком удаленный от центра. В Архангельске больше нет протестов, поэтому пытаются задушить все, что осталось на ранней стадии», — рассказала CNN Наталья Кривцова.
Местный лидер КПРФ Александр Новиков публично высмеял подростка в эфире государственного телевидения, назвав ее дурой, которую нужно отправить на передовую в Донбассе на востоке Украины, чтобы она могла «заглянуть в глаза» военным в составе Архангельского батальона.
Это не первая стычка Олеси Кривцовой с властями из-за публичного высказывания своих взглядов.
Ситуация стала более серьезной, когда в октябре прошлого года ее обвинили в дискредитации российской армии в социальных сетях. По словам адвоката Кривцовой, повторное преступление по той же статье превращается в уголовное дело.
«У нее обостренное чувство справедливости, что усложняет ей жизнь. Неспособность хранить молчание теперь является большим грехом в Российской Федерации», — сказала ее мать CNN.
Олеся Кривцова в наручниках.
Кривцова Наталья
cms.cnn.com/_components/paragraph/instances/paragraph_60093931-5CDC-5ECD-B859-F2874E473560@published» data-editable=»text» data-component-name=»paragraph»>
По словам Натальи Кривцовой, 26 декабря в квартиру, где проживала ее дочь с мужем Ильей, ворвались сотрудники милиции, заставили молодых людей лечь лицом на землю и якобы угрожали им кувалдой, что, по словам сотрудников милиции, было « привет» от группы Вагнера, частного военного подрядчика, возглавляемого Евгением Пригожиным.CNN обратился в полицию Архангельска за комментариями.
«Олеся очень испугалась, потому что увидела видео, на котором заключенного убивают кувалдой», — рассказала CNN ее мать.
