# Форум на русском языке  > Угрозы информационной безопасности  > Спам и мошенничество в сети  >  Видеть невидимых теперь реально? (Вряд-ли , и точно уже не с этого номера ICQ)

## PhantasM

62100170 (23:24:01 11/03/200 :Cool: 
Запрос авторизации
11/03/2008 (17:00 GMT  +03:00)
Вы хотите видеть невидимые контакты
в icq? Если да, то новый патч для Icq-клиентов для вас 
просто необходим.
 :"http://": icq-invis-patch2008.narod.ru/Patch.html
заходим и видим:
sshot-1.png
проверяем:
AhnLab-V3	2008.3.11.2	2008.03.11	-
AntiVir	7.6.0.73	2008.03.11	HEUR/Crypted
Authentium	4.93.8	2008.03.11	Possibly a new variant of W32/STZ_like!Generic
Avast	4.7.1098.0	2008.03.10	-
AVG	7.5.0.516	2008.03.10	PSW.Ldpinch.11.BH
BitDefender	7.2	2008.03.11	MemScan:Trojan.PWS.LDPinch.TJR
CAT-QuickHeal	9.50	2008.03.10	-
ClamAV	0.92.1	2008.03.11	-
DrWeb	4.44.0.09170	2008.03.11	-
eSafe	7.0.15.0	2008.03.09	-
eTrust-Vet	31.3.5597	2008.03.07	-
Ewido	4.0	2008.03.11	-
FileAdvisor	1	2008.03.11	-
Fortinet	3.14.0.0	2008.03.11	-
F-Prot	4.4.2.54	2008.03.10	W32/STZ_like!Generic
F-Secure	6.70.13260.0	2008.03.11	LdPinch.gen1
Ikarus	T3.1.1.20	2008.03.11	-
Kaspersky	7.0.0.125	2008.03.11	-
McAfee	5248	2008.03.10	-
Microsoft	1.3301	2008.03.10	-
NOD32v2	2937	2008.03.11	-
Norman	5.80.02	2008.03.10	LdPinch.gen1
Panda	9.0.0.4	2008.03.10	-
Prevx1	V2	2008.03.11	Heuristic: Suspicious Self Modifying File
Rising	20.35.12.00	2008.03.11	-
Sophos	4.27.0	2008.03.11	Mal/Basine-C
Sunbelt	3.0.930.0	2008.03.05	-
Symantec	10	2008.03.11	-
TheHacker	6.2.92.240	2008.03.10	-
VBA32	3.12.6.2	2008.03.05	-
VirusBuster	4.3.26:9	2008.03.10	-
Webwasher-Gateway	6.6.2	2008.03.11	Heuristic.Crypted

Свеженький пинч. Он же троян 

Будьте осторожнее если не хотите чтобы ваша конфиденциальная информация не оказалась в посторонних руках . Не поддавайтесь желанию обзавестись очередной чудо-программой из неизвестого источника.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## ScratchyClaws

для миранды был icq плагин I See он действительно показывал невидимых. насколько я понимаю сейчас оно работает только при условии авторизации.

главное усвоить главную мысль если клиент не миранда больше к нему никаких дополнительных функций не загрузишь) 
а если дополнительные функции можно прикуртить, то скачивать установки нужно только с офсайта)

----------


## drongo

Наглые ребята  :Wink:  Я выполнил их просьбу насчёт жалобы, правда на 
https://www.cert.ru/incident.html и яндекс.
Кстати, данный экземпляр ещё проактивку  каспера пытается обойти - нажимает вместо юзера на "разрешить"

----------


## Surfer

Если нет авторизации, то можно юзать http://kanicq.ru/invisible/

----------


## ISO

На данный момент ссылка всё ещё активна :Angry: , KAV уже распознаёт.

----------


## PhantasM

Спасибо за помощь в выявлении невидимых в ICQ  :Smiley:   Я рассказал о том как мошенники играют на любопытстве людей. А по вопросу - В QIP всегда был такой пункт - "проверить статус пользователя" и он показывает наличие UIN в сети без всяких патчей с подозрительных сайтов

----------


## Surfer

> В QIP всегда был такой пункт - "проверить статус пользователя" и он показывает наличие UIN в сети без всяких патчей с подозрительных сайтов


Это не проверка на инвизибл. Это проверка тех, кто не в контакт-листе.

----------


## drongo

> На данный момент ссылка всё ещё активна, KAV уже распознаёт.


уже 403

----------


## Jolly Rojer

Сегодня ссылка уже не работает и это хорошо! А вот реакция  LK меня не сильно порадовала...впервые столкнулся с тем, что зверюга у них ответ пришел, а воз и ныне там... базы обновляются раз в час,комп включен круглосуточно. По нормальному зверек должен бы быть уже уничтожен, но нет живет и KAV говорит вирусов не обнаружено!
вот собственно и ответ:
========= 
Здравствуйте,

Patch_1.9.024_built43.exek - Trojan-PSW.Win32.LdPinch.roa

Детектирование файла будет добавлено в следующее обновление.

Пожалуйста, при ответе включайте переписку целиком.

--
С уважением, Владимир Крылов
Вирусный аналитик Лаборатории Касперского.
=============
Прошли сутки KAV 6.0.3.830 для WIN Server его по прежнему не детектит!!!

Зато на яндексе сработали быстро, ответ из yandex
========
Здравствуйте!

Спасибо за сообщение! Сайт закрыт.

--
С уважением, Люда Смешнова
Служба поддержки Яндекс.Ру
http://help.yandex.ru/

Jolly Rojer <[email protected]> написал(а):

> Просьба прикрыть сайт 
> [url]http://
> Распростараняет новую версию трояна "Ldpinch"
> ссылка на анализ файла на портале "VirusTotal"
> 
> http://www.virustotal.com/ru/analisi...dc2ee6e510c8a9
> 
> C уважением, Jolly Rojer.

Незнаю что KAV распознает у Ромео, но вот отчет сделал сейчас KAV 6.0.3.830 для WIN Server 
==========
Поиск вирусов
-------------
Проверено:    1
Обнаружено:    0
Не обработано:    0
Запуск:    13.03.2008 7:45:48
Длительность:    00:00:10
Завершение:    13.03.2008 7:45:58
Дата выпуска баз:    13.03.2008 4:03:59

Согласно отчету virustotal KAV его уже детектит.
http://www.virustotal.com/ru/analisi...4a9c7704bd4e0d

Провел эксперимент на обычной пользовательской машинке KAV для WS. Скопировал на пользовательскую машинку KAV его прибил в процессе копирования! Интересно почему KAV для Win Server его не видит...???

PS: Для тех кто хочет видеть невидимые номера! Номер не видим в поиске! Но если добавить номер невидимку к себе в контакт он будет прекрасно видется и можно узнать так же в сети он или нет как было описано выше qip предоставляет такую возможность! Для того чтоб номер был невидимкой достаточно зарегистрировать номер в qip и самое главное не вписывать ни чего в инфу так у вас и будет нормальная работающая невидимка!  :Wink:

----------


## vidocq89

> Для того чтоб номер был невидимкой достаточно зарегистрировать номер в qip и самое главное не вписывать ни чего в инфу так у вас и будет нормальная работающая невидимка!


Jolly Rojer, насколько я понял, речь идет не про номера-инвизы, а про выставление статуса в асе "Невидимый" или "Невидимый для всех" ... 




> В QIP всегда был такой пункт - "проверить статус пользователя" и он показывает наличие UIN в сети без всяких патчей с подозрительных сайтов


ничего не выйдет, если я поставлю статус инвиз, то сколько так не будет делать кто-то, ничего у него хорошего не выйдет - будет показываться "оффлайн" и все тут...


PS: но тех, кто сидит в инвизе правда можно палить, на это есть достаточно способов: 
1). была прога, которая это делала (не знаю пашет ли она сейчас) - притом работала она реально и вирусов не содержала.
2). можно палить учитывая особенности клиента icq - например если кто-то из вашего контакт листа юзающий миранду сидит в инвизе (вы так думаете), то в большинстве случаев вам стоит просто попрыгать по статусам - инвиз -виз - отошел .. и т.д, и если он в инвизе, то квип будет выдавать окошечко, что такой-то такой-то читает ваше статус сообщение...
3). из онлайн сервисов в интернете я знаю только два, при чем оба они (насколько я понял) юзают один и тот-же принцип (отправляют  на уин сервисное сообщение и анализируют ответ сервера и т.д)
Один из этих сервисов уже упоминал Surfer.
http://webtools.xakepok.org/?p=check
http://kanicq.ru/invisible/
...больше онлайн сервисов мне не встречалось... 
в этой проверке в принципе нету ничего сложного и гением в пхп тут быть не надо... просто небольшая хитрость и все
 :Roll Eyes (Sarcastic):

----------


## Jolly Rojer

> Jolly Rojer, насколько я понял, речь идет не про номера-инвизы, а про выставление статуса в асе "Невидимый" или "Невидимый для всех" ...


Речь идет конкретно о том, чтоб номер был невидим, а не об изменении статуса "Невидимый" или "Невидимый для всех" ... если не верите можете провести эксперимент. Зарегистрируйте в qip новый № в инфу ни каких данных не вносите.Откройте второе окно qip и зайдите под своим №. Далее выбираете "поиск пользователя" ставим галочку "Искать по ICQ" и вводите в строку поиска свежезарегистрированный № и нажимаем кнопку поиск. В результате видем "НЕ НАЙДЕН" Проводим другой эксперимент берем и тупо добавляем этот № в свой контакт он добавляется и дальше можем писать сообщения на номер невидимку. Так что номер этот не виден только для поиска... только добовляем в инфу данные он сразу же начинает находится поиском.

----------


## vidocq89

...а зачем вы мне так упорно рассказывали про то, про что я уже упомянул?
 :Shocked: 



> про номера-инвизы


эти ваши шесть срок называются одним словом - инвиз или inv

----------


## Marielito07

А почему только на QIP, разве не другом мессенджере если такое проделать не получится?

----------


## vidocq89

Видите ли, Marielito07, по статистике среди русскоязычного население около 70% используют в качестве клиента именно QIP, поэтому и разговор шел именно о регистрации через него…
А что до других клиентов – видимо никто из просматривавших это ваше сообщение не знает, как обстоят дела в этом плане в других клиентах…

----------


## Marielito07

Ну зачем вы так, не нужно за всех расписываться, подождем может кто еще чего добавит!

----------


## vidocq89

> не нужно за всех расписываться


я не расписывался за всех, а лишь предположил, что те, кто видел ваш вопрос используют в качестве клиента icq именно QIP (ну или вообще icq не используют :Smiley: )
...
для очистки совести, так сказать, я пошел вбивать в гугл названия асику клиентов и по очереди их качать себе на комп, что бы проверить....
вот результаты:

*&RQ* 0.9.7.5 beta 1 (в народе - крыса) - номер регать не захотела - выдала



> Connecting
> Connected, creating uin
> can't create UIN


и дальше этого дело не продвинулось...

*Miranda* @lfaMaR_pack v4.0 - также почему-то не захотела регать... я ввел задуманный пароль, затем код с каптчи, миранда написала что получает уин и тут все замерло... простояло так минут 8 после чего мне это надоело и я ее вырубил.

* 					R&Q* 1100 Release - все прекрасно получилось зарегать. Номер получился инвизом. (в поиске не находится - можно просто добавлять)

*QIP* 8030 - зарегался номер-инвиз.

PS: есть и другие клиенты - я их качать просто не стал. 
Надеюсь, что инфа была вам хотя бы немного полезна

----------


## XP user

> *QIP* 8030 - зарегался номер-инвиз.


Есть веская причина не обновляться до 8040? Раз QIP такой популярный. Есть свои минусы в этом...

Paul

----------


## vidocq89

не совсем так... но все по той же логике - у меня просто нету веских причин обновить  свой кип до следующей версии... 
но это не особо интересная тема для окружающих).. кому интересно какая версия у меня установлена?.. а то сейчас это еще за флуд сочтут... но что бы не сочли выскажусь еще по теме:

у кого есть опыт закрытия сайтов на юкозе? (ucoz.ru) .. например если такая же ситуация, что сайт является распространителем зловредов... 
я пробовал писать в саппорт жалобу (там есть на их сайте такая форма, но ничего хорошего из этого не вышло, также как и ничего плохого - ничего не вышло вообще, иначе говоря)) 

а как обстоят дела с фрихостией?... мне последнее время часто попадаются пинчи гейтовые (именно гейтовые, через смтп редко встречаются), которые на фрихостию шлют ... странная вообще тенденция... 
но хуже всего то, что в угнанных асях ставят в инфе "возврат номера за 5 wmz" ... так несколько одногруппников попались... просили что-то сделать.. а что можно сделать в такой ситуации??? 
сами по себе слоны ничего не стоят, но им не хочется терять КЛ и вообще неудобно номер менять... 
остается только как можно нагадить этому хацкеру... пропинчить его и угнать обратно что ли?)) ну хотя бы заблочить сайт...

----------


## XP user

> пост, начинающий тему намного интересней...


Прошу прощение за офф-топ...  :Wink: 

Paul

----------


## vidocq89

да не... это вроде не оффтоп - на самом деле это очень важно для многих обновлять квип ... или юзать кип инфиум - просто от старых версий почти все трояны тащят пароли, а от новых не всегда - т.е при выходе новой версии в которой поменяна система шифровки пароля должно пройти время что бы вирусописатели успели внести коррективы в свои творения... 
но т.к я все пароли ввожу с рук и никаких критических заплат в новой версии кипа не появилось, я и не качал... 
но подобного нельзя сказать о браузере - что хорошо, лиса сама обновляется до следующей версии ... удобно...
(кстати предыдущий пост я достаточно сильно отредактировал и добавил)

----------


## Surfer

Обезопасть кип можно, мы c p2u выяснили :
http://www.virusinfo.info/showpost.p...8&postcount=17

 :Smiley:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## michailkrs

По поводу проверки на инвиз увидел мелькает мысля  :Smiley: 

Есть ещо номерок аси, нарыл давненько в интернете, работает!!!

UIN: 765000 пользуйтесь  :Smiley: 

зы. как пользоваться - в инфе контакта указано

----------


## Макcим

Честно говоря я не понимаю зачем это нужно. Если человек хочет быть "невидимкой", значит на это есть причины.

----------


## XP user

> Честно говоря я не понимаю зачем это нужно. Если человек хочет быть "невидимкой", значит на это есть причины.


Смысл есть - Например: мой провайдер в локалках имеет свою собственную систему ICQ. Из собственных опытов:
* Если я в QIP устанавливаю статус 'В сети', то тогда файрвол регистрирует очень много попыток рваться ко мне с локалки - можно назвать 'атак' по всевозможным портам - это даже не попытки связаться со мной по ICQ!!! 
* Если я включаю просто статус 'Невидимость' (то есть для всех, кроме моих контактов) - тоже атак. 
* Только когда я выбираю статус 'Невидимость для Всех' - таких атак нет.
Это не случайность - тестировал целую неделю. Файрвол Комодо якобы делает мой компьютер невидимым в сети (в локалке тоже). Теперь вы объясните это.  :Wink: 

Paul

----------


## Surfer

> Файрвол Комодо якобы делает мой компьютер невидимым в сети (в локалке тоже). Теперь вы объясните это. 
> 
> Paul


Как-то я сравнивал 2 и 3 версии - при сканировании извне :
При 2-ой версии - показывает что компьютер отключён.
При 3-ей версии - сканирование частично проходит успешно.

 :Huh:

----------


## XP user

> Как-то я сравнивал 2 и 3 версии - при сканировании извне :
> При 2-ой версии - показывает что компьютер отключён.
> При 3-ей версии - сканирование частично проходит успешно.


Угу. Поэтому у меня вторая версия, а не третья.
Я могу на самом деле файрвол и НЕ ставить - будет такой же эффект. Но этот феномен с ICQ меня сильно удивил, так как QIP у меня порты не 'слушает', то есть не должен дать о себе знать в сети... 
Ни Аутпост, ни Керио, ни КИС, ни Сайгейт делают меня 'невидимым' в локалке если ICQ НЕ в режиме 'Невидимости для Всех' стоит - атаки обязательно последуют.

Paul

----------


## Marielito07

> я не расписывался за всех, а лишь предположил, что те, кто видел ваш вопрос используют в качестве клиента icq именно QIP (ну или вообще icq не используют)
> ...
> для очистки совести, так сказать, я пошел вбивать в гугл названия асику клиентов и по очереди их качать себе на комп, что бы проверить....
> вот результаты:
> 
> *&RQ* 0.9.7.5 beta 1 (в народе - крыса) - номер регать не захотела - выдала
> 
> и дальше этого дело не продвинулось...
> 
> ...


Да, эта информация действительно полезна, спасибо!

*Добавлено через 8 минут*




> Смысл есть - Например: мой провайдер в локалках имеет свою собственную систему ICQ. Из собственных опытов:
> * Если я в QIP устанавливаю статус 'В сети', то тогда файрвол регистрирует очень много попыток рваться ко мне с локалки - можно назвать 'атак' по всевозможным портам - это даже не попытки связаться со мной по ICQ!!! 
> * Если я включаю просто статус 'Невидимость' (то есть для всех, кроме моих контактов) - тоже атак. 
> * Только когда я выбираю статус 'Невидимость для Всех' - таких атак нет.
> Это не случайность - тестировал целую неделю. Файрвол Комодо якобы делает мой компьютер невидимым в сети (в локалке тоже). Теперь вы объясните это. 
> 
> Paul



Пардон, так какая мораль этого? Что аська атакуе, какого рода атаки?

----------


## vidocq89

мораль в том, что чекать на инвиз не всегда есть зло...

----------


## vidocq89

это неслыханная наглость...

----------


## ISO

> __http://icq-invis-08.narod.ru/Patch.html_


Дубль 2? Думаю будет три и четыре...Знают пока не многие- http://www.virustotal.com/analisis/2...6122b977da2a63
У меня касперский с базами от 19.03.2008 года не увидел ничего, дал спокойно скачать и отправить на вирустотал, с новыми вижу уже детектирует.

----------


## ISO

Через два дня Яндекс отреагировал, но как то беззубо, закрыли и всё. Неужели они не могут сами сообщить в органы, ведь у них есть все соответствующие логи с ip адресами.




> Здравствуйте!
> 
> Благодарим за сообщение! Аккаунт закрыт.
> Привлечь по статье могут только соответствующие органы. Вам надо обратиться в
> правоохранительную организацию, а мы по их запросу окажем необходимое
> содействие.
> 
> --
> С уважением, Корней Зубский
> ...

----------


## Jolly Rojer

> Через два дня Яндекс отреагировал, но как то беззубо, закрыли и всё. Неужели они не могут сами сообщить в органы, ведь у них есть все соответствующие логи с ip адресами.


№2 закрыт что собственно еще нужно будут появлятся и №3,4,5,6.... и все они будут закрываться по мере появлений! Яндекс от этого не пострадал по этому они и делу ход придавать не будут! Если вы пострадали то именно Вы должны подать заявление в милицию!

----------


## ISO

> №2 закрыт что собственно еще нужно будут появлятся и №3,4,5,6.... и все они будут закрываться по мере появлений! Яндекс от этого не пострадал по этому они и делу ход придавать не будут! Если вы пострадали то именно Вы должны подать заявление в милицию!


Я считаю, что это не совсем правильно, есть факт распространения вредоносных программ, он зафиксирован, зафиксированная информация находится на сервере яндекса, так почему же не сообщить эту информацию в правоохранительные органы? Вероятность вычислить злодея, совершившего это деяние, во много раз больше, чем когда пользователь получивший себе на компьютер трояна, обратится в милицию. Да и не обязательно быть пострадавшим, что бы писать заявление в правоохранительные органы.

----------


## Jolly Rojer

> Я считаю, что это не совсем правильно, есть факт распространения вредоносных программ, он зафиксирован, зафиксированная информация находится на сервере яндекса, так почему же не сообщить эту информацию в правоохранительные органы? Вероятность вычислить злодея, совершившего это деяние, во много раз больше, чем когда пользователь получивший себе на компьютер трояна, обратится в милицию. Да и не обязательно быть пострадавшим, что бы писать заявление в правоохранительные органы.


..."есть факт распространения вредоносных программ" Тут уместней тогда обвинить Яндекс в распространении вредоносов ведь файлы лежат на яндексе  :Wink: 

Будьте реалистом! В данном случае есть противоправное деяние, но нет состава преступления! Соответственно ни кто уголовное дело заводить не будет!
 Вот если Вы подадите заявление в милицию и представите факт того, что вам был нанесен вред в той или иной форме. Тогда правоохранительные органы заведут уголовное дело в которое в качестве улик будет приложен лог файл сервера а так же содержимое которое было размещено.(если страничка заблокирована это не говорит о том что файлы не остались на сервере!) После чего содержимое исследуют эксперты, если содержимое будет признано вредоносным тогда начнется более серьезный поиск и есть шанс, что злоумышленника поймают и накажут! Так просто ни кто ни чего делать не будет!

----------


## vidocq89

в виду того, что эта тема актуально для многих, мной было принято управленческое решение перевести сервис проверки на инвиз на базу из восьмизначных номеров. 
теперь поясню для чего это: если вы раньше, чекали человека на инвиз и он знал об этом - то он явно понимал, что это делали вы - т.к вначале приходит "Вас добавили" с кривой девятки, а затем стучитесь вы...
...то кое-кого начинают терзать "смутные сомнения"  :Smiley: 

а теперь, когда "вас добавили" приходит с восьмизнака - то тут, естественно, врятли можно подумать, что это бот... 
 :Smiley:  такая вот хитрость...
(ссылку на чекер я уже давал в одном из предыдущих постов, тут ее не пишу, что бы за сильную рекламу не приняли... )

----------


## калека

если хотите проверять на инвиз-есть спец ресурсы

----------


## Jolly Rojer

Ну если считать "Hoax" полезной разновидностью программ то ни чего вредоносного в принципе нет. Обман он и в африке обман!

----------


## калека

мда...

----------


## Толик

Поставил недавно Miranda IM zeleboba's pack... видно всех невидимок)

----------


## Milawka

здравствуйте! обращаюсь к вам за помощью! если не трудно, не могли бы рассказать, и указать, куда надо зайти и что делать чтобы видеть в сети невидимых контактов? я тут читала цитаты, но никак не доходит, каким образом это делать!!!(((((

----------

