-
Новый метод распространения троянов
Сегодня я наблюдал новую методику "впаривания" троянской программы LdPinch. Сегодня мне по почте прислали следующее письмо с адреса [email protected] (адрес подделан):
Почтовые антивири такое письмо естественно пропускают, т.к. вложений, скриптов и прочего там - простое текстовое письмо. Текстовка типовая для открыток сервиса mail.ru. Если внимательно посмотреть на адрес "открытки", то легко заметить, что он ссылается на файл postcard.scr. Если скачать и посмотреть данный файлик, то обнаружится, что это Trojan-PSW.Win32.LdPinch.pq, сжатый FSG. Собственно, дальше смешнее - в подписи указан адрес http://cards.mail.ru/ (это правильный адрес службы открыток), а вот в ссылке - postcardz.hotmail.ru - это просто сайт с именем postcardz на халявном хостинке hotmail.ru.
Выводы:
1. Начинающий юзер может запросто щелкнуть такую ссылку и заполучить трояна, мало кто из пользователей будет внимательно анализировать адрес в ссылке - в службам открыток все привыкли ...
2. Админам сетей стоит внести postcardz.hotmail.ru в черные списки для блокирования данной заразы ... плюс не повредит проанализировать логи прокси
-------
Подобная методика естественно не является новой - я уже много раз видел подобное, но с такой "качественной" маскировкой из области социальной инженерии еще ничего не попадалось. Адрес "кулхацкера" - [email protected], отправка письма идет через сервис mail.ru ... Интересной особенностью этой разновидности трояна является то, что он имитирует
открытие "открытки", отображая на экране какую-то картинку
Последний раз редактировалось Зайцев Олег; 20.06.2005 в 09:41.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Не такой он и новый, я впервые с этим "ноу-хау" столкнулся пару месяцев назад. Ну в этот раз фальшивка действительно достойна похвалы.
А вот "это" уже не сильно "радует" ... половина пока ещё не в курсе
AntiVir 6.31.0.7 06.17.2005 no virus found
AVG 718 06.14.2005 no virus found
Avira 6.31.0.7 06.17.2005 no virus found
BitDefender 7.0 06.20.2005 BehavesLike:Trojan.FirewallBypass
ClamAV devel-20050501 06.19.2005 Trojan.LdPinch-19
DrWeb 4.32b 06.19.2005 Trojan.PWS.LDPinch.438
eTrust-Iris 7.1.194.0 06.19.2005 no virus found
eTrust-Vet 11.9.1.0 06.17.2005 no virus found
Fortinet 2.35.0.0 06.18.2005 suspicious
Ikarus 2.32 06.18.2005 no virus found
Kaspersky 4.0.2.24 06.20.2005 Trojan-PSW.Win32.LdPinch.pq
McAfee 4516 06.17.2005 no virus found
NOD32v2 1.1145 06.18.2005 a variant of Win32/PSW.LdPinch
Norman 5.70.10 06.17.2005 W32/EMailWorm
Panda 8.02.00 06.19.2005 no virus found
Sybari 7.5.1314 06.20.2005 W32/EMailWor
Symantec 8.0 06.19.2005 no virus found
TheHacker 5.8-3.0 06.20.2005 Posible_Worm32
VBA32 3.10.3 06.20.2005 suspected of Trojan.LdPinch.3
-
-
VBA32 Пинча эвристиком детектит железно
-
-
Visiting Helper
- Вес репутации
- 76
>VBA32 Пинча эвристиком детектит железно
там если прогладется - детектить можно лехко... ибо никто там не меняет код получения паролей... поэтому можно легко ловить пинча по например - грабберилке паролей от Миринда
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
-
-
Интересно, но у методики есть продолжение
You have received a greeting card!
You`ll see the personal greeting by using the following
web location
http://uploadhut.com/view.php/171295.scr
Your greeting card will be available for the next 90 days.
There is no charge for this service. Have fun!
и
На Ваше имя пришла открытка!
Вы можете увидеть ее:
http://uploadhut.com/view.php/171295.scr
Открытку можно просмотреть в течение 90 дней.
Эта услуга абсолютно бесплатна! Приятного просмотра!
__________________________________________________ __________
Открытки@Mail.Ru. Обрадуй друзей!
http://cards.mail.ru/
__________________________________________________ __________
171295.scr упакован FSG и KAV его уже не ловит (поправка - теперь видит - Trojan-PSW.Win32.LdPinch.pw) ...
Самое анекдотичное в том, что все они идут с одного адреса где-то в Сочи,
это этот же самый пинч, и шлет он пароли на тот-же адрес - [email protected]
Последний раз редактировалось Зайцев Олег; 22.06.2005 в 16:21.
-
-
А давно так на virusscan? :
Norman Virus Control -
Found Sandbox: W32/EMailWorm; [ General information ]
* File might be compressed.
* File length: 13824 bytes.
[ Changes to filesystem ]
* Creates file C:\temp\ole320.
[ Changes to registry ]
* Reads value "SMTP Email Address"="" in key "HKCU\Software\Microsoft\Internet Account Manager\Accounts\unreal".
[ Changes to system settings ]
* Read RAS entry properties.
[ Network services ]
* Connects to "194.67.23.114" on port 25 (TCP).
* **Connects SMTP server.
[ Spreading through EMail ]
* To : [email protected].
* From : .
* Subject: Passes from FAKE.
* Mass-mailer; spreads through SMTP.
[ Process/window information ]
* Enumerates running processes.
-
-
Давно - но срабатывает не всегда ...
-
-
На 17,00 Dr.Web®
171295.scr обнаружен вирус Trojan.PWS.LDPinch.442
-
-
Мммм.. ну теперь понятно откуда на компе вирус... Открытка блин... Жаль письмо не сохранила... Там уже новая версия трояна - Trojan-PSW.Win32.LdPinch.pc
Каспер её тока сегодня увидел, хотя вирус на компе уже минимум неделю... Причем в касперском есть тока название... Лечить он эту штуку не умеет...
Кто-нибудь знает как вылечится??? У меня этот гад прописался в C:/windows/scvhost.exe
Нет, всё-таки это не открытка... а попытка закачать халявку - http://virusinfo.info/showthread.php?t=2837
Хотя и открытки странные имели место...
Последний раз редактировалось ScratchyClaws; 30.06.2005 в 16:48.
Причина: новые подробности
At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)
-
-
Троян
У меня вот такая штука появилась - Trojan-PSW.Win32.LdPinch.pc DrWeb её не знает, а Каспер тока может название выдать а лечить не умеет....
Кто-нибудь знает как теперь лечиться???
At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)
-
-
Сообщение от
CePguTKa
Кто-нибудь знает как вылечится??? У меня этот над прописался в C:/windows/scvhost.exe
Удалить
-
-
Сообщение от
Geser
Удалить
А разве scvhost.exe не очень нужный файл для винды?
At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)
-
-
Сообщение от
CePguTKa
А разве scvhost.exe не очень нужный файл для винды?
Не очень
-
-
Издевалцы ;-)))))).
2CePguTKa, сравни:
C:/windows/scvhost.exe
и то, что должно быть в системе:
C:\WINDOWS\system32\svchost.exe
Почувствуйте разницу...
Последний раз редактировалось Iceman; 28.06.2005 в 16:44.
-
-
Сообщение от
Iceman
Издевалцы ;-)))))).
2CePguTKa, сравни:
C:/windows/scvhost.exe
и то, что должно быть в системе:
C:\WINDOWS\system32\svchost.exe
Почувствуйте разницу...
Файлик этот пришел - очередная разновдность LDPinch ...
-
-
Новый вирус? Или просто спам?
Во-первых огромное спасибо Олегу, за помощь в борьбе с пинчем
Во-вторых стали попадаться в одном из ящиков странные пиьсма.
The Bat! их отображает вот так -
ОТ : Orders & Registration Dept. <[email protected]>
КОМУ : (мой имейл)
ТЕМА : Your eBay Offer Receipt - Response Required
или вот так -
ОТ : Processing & Tracking Dept. <[email protected]>
КОМУ : (мой имейл)
ТЕМА : eBay Offer Confirmation #EBAY21nr0212ro67
(всего таких писем пока 3 штуки)
В теле письма отображается 3 некие картинки из инета (точнее БЭт лишь отображает что они есть, но не грузит их) текст отутствует, но зато в коде html файла имеется небольшое рекламное сообщение (причем не в body а в head) что это может быть? Кому-нибудь попадался подобный спам?
P.S. Сохраняю все 3 html в одни архив и шлю Олегу
Последний раз редактировалось ScratchyClaws; 30.06.2005 в 11:02.
At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)
-
-
Угу, есть одно такое письмецо.
Имхо, ничего страшного в нем самом нет, просто фишеры так зазывают народ на свой поддельный сайт в надежде раскрутить там на ввод критичных данных о своих средствах - номера, пины кредитных карточек, интернет-деньги и т.п.
Там в адресе страницы написана нормальная ссылка, а при щелчке по ссылке откроется другой адрес, (у меня - на сервере 82.146.34.24), который уже сейчас недоступен, видимо, прикрыли лавочку.
Никакого отношения к eBay сервер этот не имел:
% Information related to '82.146.32.0 - 82.146.35.255'
inetnum: 82.146.32.0 - 82.146.35.255
netname: ISPSYSTEM
descr: ISPsystem UUNET collocation
country: BE
person: Dmitry Sidorov
address: PoBox 74, 1410 - Waterloo, Belgium
phone: +3204 7438 7349
e-mail: [email protected]
nic-hdl: DS2036-RIPE
source: RIPE # Filtered
person: Didier Windmeulen
address: PoBox 74, 1410 - Waterloo, Belgium
phone: +3204 7438 7349
e-mail: [email protected]
nic-hdl: DW758-RIPE
source: RIPE # Filtered
% Information related to 'DS2036-RIPE'
route: 82.146.32.0/22
descr: ISPsystem-BRU
origin: AS29182
mnt-by: ISPSYSTEM-MNT
remarks: **************************************
remarks: * For spamming or other abuse issues
remarks: * please send your requests to
remarks: * [email protected]
remarks: **************************************
source: RIPE # Filtered
Последний раз редактировалось Alexey P.; 30.06.2005 в 19:32.
-
-
очередная пакость =)
приходит письмо с вот такими данными -
от - Novostevpear <[email protected]>
тема - The picture is sent on SMS
внутри пустое message.html и некий In_park.zip
а внутри него Email-Worm.Win32.Bagle.By
Вот такой вот подарочек
(если кому интересно могу переслать письмо и файлик, мне не жалко )
At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)
-
-
Visiting Helper
- Вес репутации
- 73
CePguTKa
если кому интересно могу переслать письмо и файлик, мне не жалко
Будьте любезны, на [email protected] в rar-архиве с паролем virus.
-
-
Сообщение от
azza
Ага.. обязательно... Только я винду недавно переставила... До архиваторов не добралась ещё вот винзип проинсталлю и сразу скину
At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)
-