"Лаборатория Касперского" сообщила о перехвате нетипичной спам-рассылки. Перехваченные графические спамовые письма необычны тем, что в них, кроме основного английского текста, призывающего срочно покупать акции некой сомнительной компании, содержится фраза на ломаном русском языке "ОТПИСАТЬ ОТ РАССЫЛКИ МОЖНО ЗДЕСЬ" и ссылка на страницу, с которой пользователь перенаправляется на сайт, содержащий вредоносный код.
В том случае, если письмо получает русскоговорящий пользователь, в действие вступают механизмы социальной инженерии: получатель письма с очень высокой степенью вероятности постарается отписаться от раздражающей рассылки и пройдет по указанному в сообщении адресу. В результате на компьютер пользователя загружается троянская программа Trojan-Downloader.JS.Small.dz, которая, в свою очередь, устанавливает программу-шпион Trojan-Spy.Win32.Goldun.ms, целенаправленно ворующую номера счетов и пароли платежной системы e-gold.
Таким образом, данная спамовая рассылка ориентирована одновременно на две целевые аудитории: англоязычную, потенциально заинтересованную в покупке акций, и русскоязычную, которая при попытке отписаться от назойливой рассылки заражается вредоносной программой-шпионом. Учитывая, что именно русскоязычные пользователи подвергаются наибольшей опасности при получении таких писем, можно предположить, что именно они и являются основной целью спамеров.
Троянская программа Trojan-Spy.Win32.Goldun.ms имеет особенность: она предназначена для кражи пользовательских паролей для одной определенной платежной системы.
Обнаруженная спам-рассылка является еще одним ярким примером тесного симбиоза спамеров и вирусописателей, которые распространяют вредоносные программы вместе с рекламой сомнительных товаров и услуг. Пользователям рекомендуется быть внимательными и не открывать письма от неизвестных адресатов. Дополнительную информацию можно получить на сайте Viruslist. http://www.viruslist.com/ru/viruses/...virusid=135929
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Боюсь, что дело несколько хуже:
это не хитрые заграничные спамеры придумали приманку на русском языке в свой спам. Не похоже. Хотя конечно могу и ошибаться
Это наши русские спамеры по подряду занимаются в том числе рассылкой спама заграничных спамерских контор. Это уже транснациональный бизнес. Которому к тому же способствует, что в заграничных спамерских конторах работают тоже наши люди. Как говорится, "в общественном парижском туалете есть надписи на русском языке"
Прошу помочь в идентификации очередной спам-приманки, вот только что пришла. На обсуждаемую в этой теме она похожа скорее всего тем, что это тоже троянская приманка. Но это пока предположение. Сам проверить не решаюсь: опыта чтобы наверняка не залететь - маловато. Когда захожу туда с отключенной Явой - просто ничего не показывает и ничего не делает. А зайти с включенной Явой - боязно. Помогите, кто силен. Вот такая спам-приманка пришла (текст как всегда рассчитан на полных идиотов):
Привет!
давай знакомиться
Только для секса - все города России
Нас много - это новая реклама...
Все бесплатно!!! http://85.21.236.107
хост этот, млин, находится в сети Корбина. Взломан видимо не позднее 4 марта (первый раз спам получил оттуда тогда), и сидит во многих черных списках. Поэтому прошу также помочь - поддержать телегами на [email protected]. Особенно если вы обнаружите загрузку троянов там.
По косвенным признакам предполагаю, что раздачей этого трояна там занимается та же контора, которая занимается рассылками через агент @Mail.ru. То есть спамерская банда под условным названием ИнформЦентр. Прошу помочь
Спасибо! Но хотелось бы уточнить - как Вы определяете, что ничего не прыгнуло? Антивирус может не взять. Это легко может быть.
Я думал, что сниферить все контакты IE требуется, чтобы определить, прыгнуло или нет.
Дело в том, что этот хост сидит снова в списках CBL и прочих с 8 марта. За это время хостер поправить не мог.
То есть сокс на этом хосте по-прежнему работает. Поэтому сомнительно, что там в остальном всё в порядке.
Последний раз редактировалось kuznetz; 09.03.2007 в 09:54.
Спасибо! Но хотелось бы уточнить - как Вы определяете, что ничего не прыгнуло? Антивирус может не взять. Это легко может быть.
Я думал, что сниферить все контакты IE требуется, чтобы определить, прыгнуло или нет.
Дело в том, что этот хост сидит снова в списках CBL и прочих с 8 марта. За это время хостер поправить не мог.
То есть сокс на этом хосте по-прежнему работает. Поэтому сомнительно, что там в остальном всё в порядке.
Вы правы, моя проверка субъективна и не претендует на комплексный анализ. Антивирус (+последние обновления Windows) ничего не обнаружил, и это дает мне 90-99% процентов гарантии. После похода на сайт проверил систему с последним AVZ (базы тоже последние): чисто. Во время посещения не всплывали подозрительные окна, не запускалась закачка каких-либо файлов. Сообщений об ошибках от браузера тоже не было. Если, kuznetz, вы считаете что этого мало, то обратитесь к хостеру. Пусть он посмотрит.
Опыт — это слово, которым люди называют свои ошибки.
Спасибо. Да, конечно, к хостеру обратился. Но не по поводу возможной раздачи троянов - у хостера и так головняка хватает, чтобы еще и проверять предположения.
Обратился по поводу просто спама.
Необнаружение трояна вызывает сомнения понимаете почему - вот почему: кто же будет поднимать и раскручивать сайт знакомств по IP-адресу, даже без доменного имени? это крайне не похоже на реальность. Поэтому и думаю, что это троянская приманка должна быть
Действительно ничего не прыгнуло. Спасибо за проверку этого сайта, и прошу извинить за занудство.
Любопытная деталь вот в чем: не запрыгнуло, потому что там было - просто редирект на сайт loveplanet.ru
совершенно случайно это заметил
То есть тот сайт знакомств, который размещается по адресу проблемного компьютера http://85.21.236.107 - это просто loveplanet.ru, а на компе 85.21.236.107 - редирект туда.
Однако это только полдела.
Сегодня спам с компа 85.21.236.107 насчет сайтов знакомств повалил снова. Рекламируются там все те же редиректы на loveplanet, только находящиеся не на самом этом компе, как в прошлый раз (хотя редирект этот там по-прежнему есть и сегодня), а в других местах. Экземпляр спама прилагаю.
Возникает тяжелый вопрос к loveplanet.ru - похоже, это они рекламируют себя посредством спама. И рекламируют, надо понимать, уже с 8 марта, поскольку первый раз было замечено тогда