Показано с 1 по 7 из 7.

Будьте осторожны: спам с неприятным секретом

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3189

    Будьте осторожны: спам с неприятным секретом

    "Лаборатория Касперского" сообщила о перехвате нетипичной спам-рассылки. Перехваченные графические спамовые письма необычны тем, что в них, кроме основного английского текста, призывающего срочно покупать акции некой сомнительной компании, содержится фраза на ломаном русском языке "ОТПИСАТЬ ОТ РАССЫЛКИ МОЖНО ЗДЕСЬ" и ссылка на страницу, с которой пользователь перенаправляется на сайт, содержащий вредоносный код.

    В том случае, если письмо получает русскоговорящий пользователь, в действие вступают механизмы социальной инженерии: получатель письма с очень высокой степенью вероятности постарается отписаться от раздражающей рассылки и пройдет по указанному в сообщении адресу. В результате на компьютер пользователя загружается троянская программа Trojan-Downloader.JS.Small.dz, которая, в свою очередь, устанавливает программу-шпион Trojan-Spy.Win32.Goldun.ms, целенаправленно ворующую номера счетов и пароли платежной системы e-gold.

    Таким образом, данная спамовая рассылка ориентирована одновременно на две целевые аудитории: англоязычную, потенциально заинтересованную в покупке акций, и русскоязычную, которая при попытке отписаться от назойливой рассылки заражается вредоносной программой-шпионом. Учитывая, что именно русскоязычные пользователи подвергаются наибольшей опасности при получении таких писем, можно предположить, что именно они и являются основной целью спамеров.

    Троянская программа Trojan-Spy.Win32.Goldun.ms имеет особенность: она предназначена для кражи пользовательских паролей для одной определенной платежной системы.

    Обнаруженная спам-рассылка является еще одним ярким примером тесного симбиоза спамеров и вирусописателей, которые распространяют вредоносные программы вместе с рекламой сомнительных товаров и услуг. Пользователям рекомендуется быть внимательными и не открывать письма от неизвестных адресатов. Дополнительную информацию можно получить на сайте Viruslist. http://www.viruslist.com/ru/viruses/...virusid=135929

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Full Member Репутация Репутация Репутация
    Регистрация
    30.01.2007
    Сообщений
    115
    Вес репутации
    0
    Боюсь, что дело несколько хуже:
    это не хитрые заграничные спамеры придумали приманку на русском языке в свой спам. Не похоже. Хотя конечно могу и ошибаться

    Это наши русские спамеры по подряду занимаются в том числе рассылкой спама заграничных спамерских контор. Это уже транснациональный бизнес. Которому к тому же способствует, что в заграничных спамерских конторах работают тоже наши люди. Как говорится, "в общественном парижском туалете есть надписи на русском языке"

    Прошу помочь в идентификации очередной спам-приманки, вот только что пришла. На обсуждаемую в этой теме она похожа скорее всего тем, что это тоже троянская приманка. Но это пока предположение. Сам проверить не решаюсь: опыта чтобы наверняка не залететь - маловато. Когда захожу туда с отключенной Явой - просто ничего не показывает и ничего не делает. А зайти с включенной Явой - боязно. Помогите, кто силен. Вот такая спам-приманка пришла (текст как всегда рассчитан на полных идиотов):

    Привет!
    давай знакомиться
    Только для секса - все города России
    Нас много - это новая реклама...
    Все бесплатно!!!
    http://85.21.236.107

    хост этот, млин, находится в сети Корбина. Взломан видимо не позднее 4 марта (первый раз спам получил оттуда тогда), и сидит во многих черных списках. Поэтому прошу также помочь - поддержать телегами на [email protected]. Особенно если вы обнаружите загрузку троянов там.

    По косвенным признакам предполагаю, что раздачей этого трояна там занимается та же контора, которая занимается рассылками через агент @Mail.ru. То есть спамерская банда под условным названием ИнформЦентр. Прошу помочь

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SuperBrat
    Регистрация
    09.08.2006
    Адрес
    РК
    Сообщений
    1,194
    Вес репутации
    602
    Цитата Сообщение от kuznetz Посмотреть сообщение
    Обычный сайт знакомств, имхо. Ничего оттуда не прыгнуло даже при включенной Яве. Может, уже все в прошлом и поправлено хостером?
    Опыт — это слово, которым люди называют свои ошибки.

  5. #4
    Full Member Репутация Репутация Репутация
    Регистрация
    30.01.2007
    Сообщений
    115
    Вес репутации
    0
    Спасибо! Но хотелось бы уточнить - как Вы определяете, что ничего не прыгнуло? Антивирус может не взять. Это легко может быть.
    Я думал, что сниферить все контакты IE требуется, чтобы определить, прыгнуло или нет.

    Дело в том, что этот хост сидит снова в списках CBL и прочих с 8 марта. За это время хостер поправить не мог.

    То есть сокс на этом хосте по-прежнему работает. Поэтому сомнительно, что там в остальном всё в порядке.
    Последний раз редактировалось kuznetz; 09.03.2007 в 09:54.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SuperBrat
    Регистрация
    09.08.2006
    Адрес
    РК
    Сообщений
    1,194
    Вес репутации
    602
    Цитата Сообщение от kuznetz Посмотреть сообщение
    Спасибо! Но хотелось бы уточнить - как Вы определяете, что ничего не прыгнуло? Антивирус может не взять. Это легко может быть.
    Я думал, что сниферить все контакты IE требуется, чтобы определить, прыгнуло или нет.

    Дело в том, что этот хост сидит снова в списках CBL и прочих с 8 марта. За это время хостер поправить не мог.

    То есть сокс на этом хосте по-прежнему работает. Поэтому сомнительно, что там в остальном всё в порядке.
    Вы правы, моя проверка субъективна и не претендует на комплексный анализ. Антивирус (+последние обновления Windows) ничего не обнаружил, и это дает мне 90-99% процентов гарантии. После похода на сайт проверил систему с последним AVZ (базы тоже последние): чисто. Во время посещения не всплывали подозрительные окна, не запускалась закачка каких-либо файлов. Сообщений об ошибках от браузера тоже не было. Если, kuznetz, вы считаете что этого мало, то обратитесь к хостеру. Пусть он посмотрит.
    Опыт — это слово, которым люди называют свои ошибки.

  7. #6
    Full Member Репутация Репутация Репутация
    Регистрация
    30.01.2007
    Сообщений
    115
    Вес репутации
    0
    Спасибо. Да, конечно, к хостеру обратился. Но не по поводу возможной раздачи троянов - у хостера и так головняка хватает, чтобы еще и проверять предположения.

    Обратился по поводу просто спама.

    Необнаружение трояна вызывает сомнения понимаете почему - вот почему: кто же будет поднимать и раскручивать сайт знакомств по IP-адресу, даже без доменного имени? это крайне не похоже на реальность. Поэтому и думаю, что это троянская приманка должна быть

  8. #7
    Full Member Репутация Репутация Репутация
    Регистрация
    30.01.2007
    Сообщений
    115
    Вес репутации
    0
    Выясняются любопытные детали.

    Действительно ничего не прыгнуло. Спасибо за проверку этого сайта, и прошу извинить за занудство.

    Любопытная деталь вот в чем: не запрыгнуло, потому что там было - просто редирект на сайт loveplanet.ru
    совершенно случайно это заметил

    То есть тот сайт знакомств, который размещается по адресу проблемного компьютера http://85.21.236.107 - это просто loveplanet.ru, а на компе 85.21.236.107 - редирект туда.

    Однако это только полдела.
    Сегодня спам с компа 85.21.236.107 насчет сайтов знакомств повалил снова. Рекламируются там все те же редиректы на loveplanet, только находящиеся не на самом этом компе, как в прошлый раз (хотя редирект этот там по-прежнему есть и сегодня), а в других местах. Экземпляр спама прилагаю.

    Возникает тяжелый вопрос к loveplanet.ru - похоже, это они рекламируют себя посредством спама. И рекламируют, надо понимать, уже с 8 марта, поскольку первый раз было замечено тогда
    Вложения Вложения
    • Тип файла: rar spam.rar (2.7 Кб, 3 просмотров)

Похожие темы

  1. Будьте добры, помогите с вирусом.
    От RRyue в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 13.01.2012, 11:45
  2. Будьте добры, помогите пожалуйста
    От dedcoliseum в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 19.08.2011, 18:49
  3. Будьте бдительны! Трояны в почте!
    От ScratchyClaws в разделе Вредоносные программы
    Ответов: 69
    Последнее сообщение: 11.04.2008, 20:42

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00119 seconds with 20 queries