# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Описания вредоносных программ  >  Новый метод распространения троянов

## Зайцев Олег

Сегодня я наблюдал новую методику "впаривания" троянской программы LdPinch. Сегодня мне по почте прислали следующее письмо с адреса [email protected] (адрес подделан):



> На Ваше имя пришла открытка!
> Вы можете увидеть ее:
> хттп://postcardz.hotmail.ru/h95uiv5sd49rt/getid=uf56ws40hnc5/postcard.scr
> Открытку можно просмотреть в течение 90 дней.
> Эта услуга абсолютно бесплатна! Приятного просмотра!
> __________________________________________________  __________
> Открытки@Mail.Ru. Обрадуй друзей!
> http://cards.mail.ru/


Почтовые антивири такое письмо естественно пропускают, т.к. вложений, скриптов и прочего там - простое текстовое письмо. Текстовка типовая для открыток сервиса mail.ru. Если внимательно посмотреть на адрес "открытки", то легко заметить, что он ссылается на файл postcard.scr. Если скачать и посмотреть данный файлик, то обнаружится, что это Trojan-PSW.Win32.LdPinch.pq, сжатый FSG. Собственно, дальше смешнее - в подписи указан адрес http://cards.mail.ru/ (это правильный адрес службы открыток), а вот в ссылке - postcardz.hotmail.ru - это просто сайт с именем postcardz на халявном хостинке hotmail.ru. 
Выводы:
1. Начинающий юзер может запросто щелкнуть такую ссылку и заполучить трояна, мало кто из пользователей будет внимательно анализировать адрес в ссылке - в службам открыток все привыкли ...
2. Админам сетей стоит внести postcardz.hotmail.ru в черные списки для блокирования данной заразы ... плюс не повредит проанализировать логи прокси
-------
Подобная методика естественно не является новой - я уже много раз видел подобное, но с такой "качественной" маскировкой из области социальной инженерии еще ничего не попадалось. Адрес "кулхацкера" - [email protected], отправка письма идет через сервис mail.ru ... Интересной особенностью этой разновидности трояна является то, что он имитирует 
открытие "открытки", отображая на экране какую-то картинку

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## RiC

Не такой он и новый, я впервые с этим "ноу-хау" столкнулся пару месяцев назад. Ну в этот раз фальшивка действительно достойна похвалы.

А вот "это" уже не сильно "радует" ... половина пока ещё не в курсе  :Sad: 
AntiVir	6.31.0.7	06.17.2005	no virus found	
AVG	718	06.14.2005	no virus found	
Avira	6.31.0.7	06.17.2005	no virus found	
BitDefender	7.0	06.20.2005	BehavesLike:Trojan.FirewallBypass	
ClamAV	devel-20050501	06.19.2005	Trojan.LdPinch-19	
DrWeb	4.32b	06.19.2005	Trojan.PWS.LDPinch.438	
eTrust-Iris	7.1.194.0	06.19.2005	no virus found	
eTrust-Vet	11.9.1.0	06.17.2005	no virus found	
Fortinet	2.35.0.0	06.18.2005	suspicious	
Ikarus	2.32	06.18.2005	no virus found	
Kaspersky	4.0.2.24	06.20.2005	Trojan-PSW.Win32.LdPinch.pq	
McAfee	4516	06.17.2005	no virus found	
NOD32v2	1.1145	06.18.2005	a variant of Win32/PSW.LdPinch	
Norman	5.70.10	06.17.2005	W32/EMailWorm	
Panda	8.02.00	06.19.2005	no virus found	
Sybari	7.5.1314	06.20.2005	W32/EMailWor	
Symantec	8.0	06.19.2005	no virus found	
TheHacker	5.8-3.0	06.20.2005	Posible_Worm32	
VBA32	3.10.3	06.20.2005	suspected of Trojan.LdPinch.3

----------


## Geser

VBA32 Пинча эвристиком детектит железно  :Smiley:

----------


## Sanja

>VBA32 Пинча эвристиком детектит железно 
там если прогладется - детектить можно лехко... ибо никто там не меняет код получения паролей... поэтому можно легко ловить пинча по например - грабберилке паролей от Миринда  :Smiley:

----------


## Зайцев Олег

Интересно, но у методики есть продолжение  :Smiley: 



> You have received a greeting card!
> 
> You`ll see the personal greeting by using the following
> web location
> 
> http://uploadhut.com/view.php/171295.scr
> 
> Your greeting card will be available for the next 90 days.
> There is no charge for this service. Have fun!


и 



> На Ваше имя пришла открытка!
> Вы можете увидеть ее:
> 
> http://uploadhut.com/view.php/171295.scr
> 
> Открытку можно просмотреть в течение 90 дней.
> Эта услуга абсолютно бесплатна! Приятного просмотра!
> __________________________________________________  __________
> Открытки@Mail.Ru. Обрадуй друзей!
> ...


171295.scr упакован FSG и KAV его уже не ловит (поправка - теперь видит - Trojan-PSW.Win32.LdPinch.pw) ...
Самое анекдотичное в том, что все они идут с одного адреса где-то в Сочи,
это этот же самый пинч, и шлет он пароли на тот-же адрес - [email protected]  :Smiley:

----------


## Shu_b

А давно так на virusscan? :
 Norman Virus Control  	-
Found Sandbox: W32/EMailWorm; [ General information ]

* File might be compressed.
* File length: 13824 bytes.

[ Changes to filesystem ]
* Creates file C:\temp\ole320.

[ Changes to registry ]
* Reads value "SMTP Email Address"="" in key "HKCU\Software\Microsoft\Internet Account Manager\Accounts\unreal".

[ Changes to system settings ]
* Read RAS entry properties.

[ Network services ]
* Connects to "194.67.23.114" on port 25 (TCP).
* **Connects SMTP server.

[ Spreading through EMail ]
* To : [email protected].
* From : .
* Subject: Passes from FAKE.
* Mass-mailer; spreads through SMTP.

[ Process/window information ]
* Enumerates running processes.

----------


## Зайцев Олег

Давно - но срабатывает не всегда ...

----------


## Shu_b

На 17,00 Dr.Web®
171295.scr обнаружен вирус Trojan.PWS.LDPinch.442

----------


## ScratchyClaws

Мммм.. ну теперь понятно откуда на компе вирус... Открытка блин... Жаль письмо не сохранила... Там уже новая версия трояна - Trojan-PSW.Win32.LdPinch.pc
Каспер её тока сегодня увидел, хотя вирус на компе уже минимум неделю... Причем в касперском есть тока название... Лечить он эту штуку не умеет...
Кто-нибудь знает как вылечится??? У меня этот гад прописался в C:/windows/scvhost.exe

Нет, всё-таки это не открытка... а попытка закачать халявку - http://virusinfo.info/showthread.php?t=2837 
 Хотя и открытки странные имели место...

----------


## ScratchyClaws

У меня вот такая штука появилась - Trojan-PSW.Win32.LdPinch.pc DrWeb её не знает, а Каспер тока может название выдать а лечить не умеет....
Кто-нибудь знает как теперь лечиться???

----------


## Geser

> Кто-нибудь знает как вылечится??? У меня этот над прописался в C:/windows/scvhost.exe


Удалить

----------


## ScratchyClaws

:Huh:  


> Удалить


А разве scvhost.exe не очень нужный файл для винды?

----------


## Geser

> А разве scvhost.exe не очень нужный файл для винды?


Не очень  :Smiley:

----------


## Iceman

Издевалцы ;-)))))).
2CePguTKa, сравни:
C:/windows/scvhost.exe
и то, что должно быть в системе:
C:\WINDOWS\system32\svchost.exe
Почувствуйте разницу...

----------


## Зайцев Олег

> Издевалцы ;-)))))).
> 2CePguTKa, сравни:
> C:/windows/scvhost.exe
> и то, что должно быть в системе:
> C:\WINDOWS\system32\svchost.exe
> Почувствуйте разницу...


 Файлик этот пришел - очередная разновдность LDPinch ...

----------


## ScratchyClaws

Во-первых огромное спасибо Олегу, за помощь в борьбе с пинчем   :Kiss:  

Во-вторых стали попадаться в одном из ящиков странные пиьсма. 
The Bat! их отображает вот так - 
ОТ : Orders & Registration Dept. <[email protected]>
КОМУ : (мой имейл)
ТЕМА : Your eBay Offer Receipt - Response Required

или вот так -
ОТ : Processing & Tracking Dept. <[email protected]>
КОМУ : (мой имейл)
ТЕМА : eBay Offer Confirmation #EBAY21nr0212ro67

(всего таких писем пока 3 штуки)

В теле письма отображается 3 некие картинки из инета (точнее БЭт лишь отображает что они есть, но не грузит их) текст отутствует, но зато в коде html файла имеется небольшое рекламное сообщение (причем не в body а в head) что это может быть? Кому-нибудь попадался подобный спам?

P.S. Сохраняю все 3 html в одни архив и шлю Олегу

----------


## Alexey P.

Угу, есть одно такое письмецо.
 Имхо, ничего страшного в нем самом нет, просто фишеры так зазывают народ на свой поддельный сайт в надежде раскрутить там на ввод критичных данных о своих средствах - номера, пины кредитных карточек, интернет-деньги и т.п.
 Там в адресе страницы написана нормальная ссылка, а при щелчке по ссылке откроется другой адрес, (у меня - на сервере 82.146.34.24), который уже сейчас недоступен, видимо, прикрыли лавочку.
 Никакого отношения к eBay сервер этот не имел:

% Information related to '82.146.32.0 - 82.146.35.255'

inetnum:      82.146.32.0 - 82.146.35.255
netname:      ISPSYSTEM
descr:        ISPsystem UUNET collocation
country:      BE

person:       Dmitry Sidorov
address:      PoBox 74, 1410 - Waterloo, Belgium
phone:        +3204 7438 7349
e-mail:       [email protected]
nic-hdl:      DS2036-RIPE
source:       RIPE # Filtered

person:       Didier Windmeulen
address:      PoBox 74, 1410 - Waterloo, Belgium
phone:        +3204 7438 7349
e-mail:       [email protected]
nic-hdl:      DW758-RIPE
source:       RIPE # Filtered

% Information related to 'DS2036-RIPE'

route:        82.146.32.0/22
descr:        ISPsystem-BRU
origin:       AS29182
mnt-by:       ISPSYSTEM-MNT
remarks:      **************************************
remarks:      * For spamming or other abuse issues
remarks:      * please send your requests to
remarks:      *       [email protected]
remarks:      **************************************
source:       RIPE # Filtered

----------


## ScratchyClaws

приходит письмо с вот такими данными -
от - Novostevpear <[email protected]>
тема - The picture is sent on SMS
внутри пустое message.html и некий In_park.zip 
а внутри него Email-Worm.Win32.Bagle.By

Вот такой вот подарочек   :Cheesy:  

(если кому интересно могу переслать письмо и файлик, мне не жалко   :Smiley:   )

----------


## azza

*CePguTKa*



> если кому интересно могу переслать письмо и файлик, мне не жалко


Будьте любезны, на [email protected] в rar-архиве с паролем virus.

----------


## ScratchyClaws

> *CePguTKa*
> 
> Будьте любезны, на [email protected] в rar-архиве с паролем virus.


Ага.. обязательно... Только я винду недавно переставила... До архиваторов не добралась ещё   :Smiley:   вот винзип проинсталлю и сразу скину

----------

