-
Vkontakte 2 - подниматель рейтинга в контакте.
Новый подниматель рейтинга Вконтакте
рейтинг приходит через 24 часа
Это реально? Или очередной файлик, который отправляет пароли? Как думаете? И размер файла 84 кбайта...
P.S. фаил чист http://www.virustotal.com/ru/analisi...3693d5e93f065d
Ссылка на клуб: http://vkontakte.ru/club6026128
Ссылка на фаил:
Последний раз редактировалось drongo; 09.12.2008 в 22:37.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Файл сохранён как 081209_224127_Vkontakte2_493ec9e705446.zip
Размер файла 40469
MD5 2b3b9cded6580873219c5a481ae1474b
-
-
Файл является трояном, написан на Basic, автор русскоговорящий. Размер исполняемого файла 86 кб, сжатие и шифровка не применяются. В случае запуска спрашивает у доверчивого юзера логин и пароль к его почтовому ящику (воистину это очень нужная вещь для накрутки рейтинга), и отправляет введенные данные скрипту PHP на одном сайте. Короче говоря детский троян, расчитанный на доверчивых и малограмотных в области информационной безопасности пользователей. Не детектируется никем ввиду того, что является GUI утилитой и не ворует сохраненные пароли доступа к почте, а просто терпеливо ждет, пока пользователь сам добровольно введет их.
Последний раз редактировалось Зайцев Олег; 09.12.2008 в 22:57.
-
-
Тогда почему его никто не ловит? Авире уже отправил в вир лаб
-
-
Сообщение от
senyak
Тогда почему его никто не ловит? Авире уже отправил в вир лаб
Я выше написал - он GUI приложение, т.е. пока юзер сам не введет данные и не нажмет кнопку, ничего не будет. Помимо отправки введенных данных он ничего не делает злобного - в автозапуск не прописывается, в систему не внедряется, на к каким критическим ключам реестра и файлам на диске не обращается .... Поэтому эмуляторы вполне оправдано не детектят его, так как детектить нечего
-
-
А мне казалось, он ворует в первую очередь аккаунт Вконтакте, а если повезет, то мыло (ну если пароль подойдет)
-
-
Сообщение от
senyak
А мне казалось, он ворует в первую очередь аккаунт Вконтакте, а если повезет, то мыло (ну если пароль подойдет)
Все как раз наоборот Воруют почту, точнее захватывают тот ящик, реквизиты которого ввел доверчивый пользователь при условии, что
1. Это не корпоративный сервер (т.е. он пускает подключаться снаружи кого угодно и не требует всяких смарт-карт и USB-токенов для расширенной авторизации)
2. Настройки почтового сервера классические (т.е. почтарь находится на хосте, указанном после "собаки", порты у него стандартные и т.п.)
Ну а уже своровав почту можно атаковать и аккаунты, при регистрации которых эта почта применялась
Последний раз редактировалось Зайцев Олег; 09.12.2008 в 23:06.
Причина: очепятки
-
-
Ну а уже своровав почту можно атаковать и аккаунты, при регистрации которых эта почта применялась
Ну да, действительно. Думаю, эта программа заслуживает статуса, типо "потенциально-опасное ПО". Я не прав?
-
-
Сообщение от
senyak
Ну да, действительно. Думаю, эта программа заслуживает статуса, типо "потенциально-опасное ПО". Я не прав?
Это классический троян-шпион по определению - так как он никкого рейтинга не поднимает (он даже не передает цифру с ползунка "на сколько поднять рейтинг", а вместо жтого скрытно передает введенную информацию третьим лицам, и место ему в антивирусных базах с детектом Trojan-Psw.*. Это отличает функционал трояна от потенциально опасного ПО, которое делает то, для чего предназначено, но эти действия могут нести угрозу для компьютера, безопасности и т.п.
-
-
Спасибо! Интересно было читать Ваши ответы.
и место ему в антивирусных базах с детектом Trojan-Psw.*
Надеюсь, так и будет
-
-
Давайте тогда так:trojan-psw-social engineering family
-
-
Информация по зверю - его детект добавлен в базы Лаборатории Касперского, называться он будет Trojan-Spy.Win32.VB.azb
-
-
Клуб создли заново. Тот прикрыли, видимо кто-то от сюда написал. А учасников клуба он набирает быстро
http://vkontakte.ru/club6108389
-
-
Как написать администрации, чтобы клуб удалили? Я что-то не нашел как...
Последний раз редактировалось senyak; 12.12.2008 в 18:10.
Причина: Дописать надо кое шо
-
-
Junior Member
- Вес репутации
- 61
-
Прикольно. Нод32 видит троян, но позволяет его запускать
-
Авира вилит как TR/Spy.VB.azb. Запустить не позволяет
-