Vkontakte 2 - подниматель рейтинга в контакте.

[senyak]

Новый подниматель рейтинга Вконтакте
рейтинг приходит через 24 часа

Это реально? Или очередной файлик, который отправляет пароли? Как думаете? И размер файла 84 кбайта...

P.S. фаил чист http://www.virustotal.com/ru/analisi...3693d5e93f065d

Ссылка на клуб: http://vkontakte.ru/club6026128
Ссылка на фаил:

[drongo]

http://virusinfo.info/showthread.php?t=23078

[senyak]

Файл сохранён как 081209_224127_Vkontakte2_493ec9e705446.zip
Размер файла 40469
MD5 2b3b9cded6580873219c5a481ae1474b

[Зайцев Олег]

Файл является трояном, написан на Basic, автор русскоговорящий. Размер исполняемого файла 86 кб, сжатие и шифровка не применяются. В случае запуска спрашивает у доверчивого юзера логин и пароль к его почтовому ящику (воистину это очень нужная вещь для накрутки рейтинга), и отправляет введенные данные скрипту PHP на одном сайте. Короче говоря детский троян, расчитанный на доверчивых и малограмотных в области информационной безопасности пользователей. Не детектируется никем ввиду того, что является GUI утилитой и не ворует сохраненные пароли доступа к почте, а просто терпеливо ждет, пока пользователь сам добровольно введет их.

[senyak]

Тогда почему его никто не ловит? Авире уже отправил в вир лаб

[Зайцев Олег]

Тогда почему его никто не ловит? Авире уже отправил в вир лаб

Я выше написал - он GUI приложение, т.е. пока юзер сам не введет данные и не нажмет кнопку, ничего не будет. Помимо отправки введенных данных он ничего не делает злобного - в автозапуск не прописывается, в систему не внедряется, на к каким критическим ключам реестра и файлам на диске не обращается .... Поэтому эмуляторы вполне оправдано не детектят его, так как детектить нечего

[senyak]

А мне казалось, он ворует в первую очередь аккаунт Вконтакте, а если повезет, то мыло (ну если пароль подойдет)

[Зайцев Олег]

А мне казалось, он ворует в первую очередь аккаунт Вконтакте, а если повезет, то мыло (ну если пароль подойдет)

Все как раз наоборот Воруют почту, точнее захватывают тот ящик, реквизиты которого ввел доверчивый пользователь при условии, что
1. Это не корпоративный сервер (т.е. он пускает подключаться снаружи кого угодно и не требует всяких смарт-карт и USB-токенов для расширенной авторизации)
2. Настройки почтового сервера классические (т.е. почтарь находится на хосте, указанном после "собаки", порты у него стандартные и т.п.)

Ну а уже своровав почту можно атаковать и аккаунты, при регистрации которых эта почта применялась

[senyak]

Ну а уже своровав почту можно атаковать и аккаунты, при регистрации которых эта почта применялась

Ну да, действительно. Думаю, эта программа заслуживает статуса, типо "потенциально-опасное ПО". Я не прав?

[Зайцев Олег]

Ну да, действительно. Думаю, эта программа заслуживает статуса, типо "потенциально-опасное ПО". Я не прав?

Это классический троян-шпион по определению - так как он никкого рейтинга не поднимает (он даже не передает цифру с ползунка "на сколько поднять рейтинг", а вместо жтого скрытно передает введенную информацию третьим лицам, и место ему в антивирусных базах с детектом Trojan-Psw.*. Это отличает функционал трояна от потенциально опасного ПО, которое делает то, для чего предназначено, но эти действия могут нести угрозу для компьютера, безопасности и т.п.

[senyak]

Спасибо! Интересно было читать Ваши ответы.

и место ему в антивирусных базах с детектом Trojan-Psw.*

Надеюсь, так и будет

[drongo]

Давайте тогда так:trojan-psw-social engineering family

[Зайцев Олег]

Информация по зверю - его детект добавлен в базы Лаборатории Касперского, называться он будет Trojan-Spy.Win32.VB.azb

[senyak]

Клуб создли заново. Тот прикрыли, видимо кто-то от сюда написал. А учасников клуба он набирает быстро
http://vkontakte.ru/club6108389

[senyak]

Как написать администрации, чтобы клуб удалили? Я что-то не нашел как...

[polimorf]

Не торопятся его в базы добавлять http://www.virustotal.com/ru/analisi...2e983ff903e0cc

[NMF]

Прикольно. Нод32 видит троян, но позволяет его запускать

[senyak]

Авира вилит как TR/Spy.VB.azb. Запустить не позволяет