MYPCTuneUp fra MySecurityCenter og AnyTech365 - en lille historie


(Thomas Huulbæk) #1

I Sikker.net havde vi for et par dage siden en supportsag, hvor kunden var bange for, at han var blevet hacket. Det hele startede med, at han fik følgende advarsel i sin browser:

Vinduet advarer om, at du måske [er] inficeret med adware/spyware eller virus. Samtidig oplyser vinduet om din offentlige IP-adresse og at det måske er et problem at privatlivet er ophørt (Privacy Breached). Det er værd at bemærke, at alle IP adresser som standard er offentlige - det er den måde, internettet fungerer på.

En anden advarsel er mere direkte:

Når du ser disse pop-ups betyder det, at du kan have en virus installeret på din computer, hvilket udsætter dine personlige datas sikkerhed i alvorlig fare. Det anbefales stærkt, at du ringer til nummeret ovenfor og får din computer ordnet, inden du fortsætter med at bruge dit internet, især m.h.t. indkøb.

Derudover er der et par logoer, der minder meget om Microsofts.

Advarslen er rapporteret flere steder og telefonnummeret (78733264) har ikke det bedste omdømme.

Kunden ringede til nummeret før han ringede til os og fik fat i Charlotte, der talte dansk. Hun kunne fortælle det samme som advarslen - at han nok var inficeret og at det var bedst, hvis hun lige fik kigget på computeren.

Hun fik overtaget computeren og fik installeret programmet MYPCTuneUp fra MySecurityCenter

Charlotte fortalte, at det så helt galt ud og hun kunne ordne det, hvis han betalte 1.400 kroner. Det ville kunden gerne tænke lidt over, hvorefter han kontaktede os.

Følgende var installeret da vi overtog computeren:

Ingen tvivl om, at kunden var inficeret før Charlotte kom til, så på den måde havde popup-vinduet ret. Spørgsmålet er bare, hvad sammenhængen mellem infektion og Charlotte er? Er der tale om en “almindelig” reklame eller en reklame, der netop blev vist, fordi brugeren var inficeret?

Hvis man ringer til nummeret får man fat i AnyTech365, som også har forbindelse til MySecurityCenter. Reklamen ser ud til at blive serveret fra en adresse i Kina:

Domain Name: open-issue-needs-helping-115.com
Registry Domain ID: 1970167211_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.zitian.cn
Registrar URL: new.zitian.cn
Updated Date: 2015-11-07T06:49:30Z
Creation Date: 2015-10-20T06:48:44Z
Registrar Registration Expiration Date: 2016-10-20T06:48:39Z
Registrar: ZhengZhou Zitian Network Technology Co. Ltd.
Registrar IANA ID: 1742
Registrar Abuse Contact Email: 
Registrar Abuse Contact Phone: +86.371-55555151
Domain Status: ok http://icann.org/epp#ok
Registry Registrant ID: 
Registrant Name: Liu Xiao Kuo
Registrant Organization: Liu Xiao Kuo
Registrant Street: Gen Zi Zhen Guan Tong Xing Hua Cun
Registrant City: Mao Ming
Registrant State/Province: Guangdong
Registrant Postal Code: 
Registrant Country: CN
Registrant Phone: 8653652
Registrant Phone Ext: 
Registrant Fax: 8653652
Registrant Fax Ext: 
Registrant Email: 
Registry Admin ID: 
Admin Name: Liu Xiao Kuo
Admin Organization: Liu Xiao Kuo
Admin Street: Gen Zi Zhen Guan Tong Xing Hua Cun
Admin City: Mao Ming
Admin State/Province: Guangdong
Admin Postal Code: 
Admin Country: CN
Admin Phone: 8653652
Admin Phone Ext: 
Admin Fax: 8653652
Admin Fax Ext: 
Admin Email: 
Registry Tech ID: 
Tech Name: Liu Xiao Kuo
Tech Organization: Liu Xiao Kuo
Tech Street: Gen Zi Zhen Guan Tong Xing Hua Cun
Tech City: Mao Ming
Tech State/Province: Guangdong
Tech Postal Code: 
Tech Country: CN
Tech Phone: 8653652
Tech Phone Ext: 
Tech Fax: 8653652
Tech Fax Ext: 
Tech Email: 
Name Server: ns1.5oceansrafting1a.com
Name Server: ns2.5oceansrafting1a.com
DNSSEC: unSigned

Vi fik renset ud i computeren og man kan se logs fra HitmanPro og AdwCleaner herunder. Kunden havde Microsoft Security Essentials installeret.

HitmanPro_20151107_1459.txt (603.8 KB)
AdwCleaner[S0].txt (10.9 KB)
AdwCleaner[R1].txt (11.3 KB)


(Sander TeamSpywarefri) #2