# Форум на русском языке  > Угрозы информационной безопасности  > Спам и мошенничество в сети  >  Подтверждение аккаунта ВКонтакте.ру

## Bacardi

Пиьсмо следующего содержания пришло ко мне на электронную почту:

"Здравствуйте, в связи с возросшим количеством спама просим подтвердить Ваш аккаунт. Для этого Вам необходимо авторизироваться во вложении которое содержится в этом письме. 

В противном случае работа Вашего аккаунта будет приостановлена.
С уважением, администрация сайта ВКонтакте.ру 


Hello, with increased amount of spam, please confirm your account. To do this you need to log in the attachment contained in this letter. 

Otherwise, the work of your account will be suspended.
Sincerely, site administration VKontakte.ru 

Прикрепленные файлы: 1
account.exe
206 Кб              Скачать   Удалить"

Письмо пришло с такого адреса: 
От кого:  "ВКонтакте.ру" <[email protected]>

__________________________________________________  ______

Это спам? Это официальное письмо?

И что за приложение в 206 кб?

Я зарегистрирован на данном сайте - поэтому это письмо озадачило меня!

 :Wink:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## anton_dr

Это явно отправлено не администрацией. Скорей всего, запустив прилагаемый *account.exe*, вы получите себе на ПК целый букет вредоносного ПО.

----------


## Bacardi

> Это явно отправлено не администрацией. Скорей всего, запустив прилагаемый account.exe, вы получите себе на ПК целый букет вредоносного ПО.


Хочется с этим согласиться!

Но не после ли таких писем появляется:"Информация на данной странице может не соответствовать действительности" (что вроде как пользователь не подтвердил свой аккаунт)?

И как письмо может быть отправлено с такого чистого: "ВКонтакте.ру" <[email protected]>?

P.S. очень правдиво выглядит!

----------


## anton_dr

> И как письмо может быть отправлено с такого чистого: "ВКонтакте.ру" <[email protected]>?


Посмотрите полный заголовок письма - увидите много интересного  :Smiley: 




> Но не после ли таких писем появляется:"Информация на данной странице может не соответствовать действительности" (что вроде как пользователь не подтвердил свой аккаунт)?


После таких писем (и запуска чегототам.exe) появляются надписи - "Помогите, от меня идёт спам", "Мою страничку ВКонтакте взломали" и пр. (Полный список здесь)

----------


## Bacardi

> Посмотрите полный заголовок письма - увидите много интересного


Вы имеете ввиду проинспектировать элемент (опция, которая доступна в Опере), так?

Я проинспектировал ссылку (ехе-файл):

<a title="account.exe" class="a-name" href="http://win.mail.ru/cgi-bin/getattach?file=account.exe&id=12765072690000000101  ;0;1&mode=attachment&channel=&notype">account.exe</a>

----------


## olejah

А если файл на вирустотале проверить? Развод это конечно, просто интересно что за зловред и детектится ли он.

----------


## Bacardi

> А если файл на вирустотале проверить?


То есть все-таки скачать придется?

----------


## anton_dr

> Вы имеете ввиду проинспектировать элемент (опция, которая доступна в Опере), так?


Нет. К примеру, на Яндексе в вебинтерфейсе его можно посмотреть так  http://help.yandex.ru/mail/?id=287969

----------


## olejah

> То есть все-таки скачать придется?


 Если нет уверенности, лучше не делать, это я так - просто предложил, в любом случае фишка расчитана на то, что пользователь сам запустит файл.

P.S. Любят они по выходным этими тёмными делишками заниматься :Wink:

----------


## Lexxus

Это наверняка спам.
Через программу не надо ничего подтверждать )))

А плашка: "Информация на данной странице может не соответствовать действительности" ставится в случае, если ты был:
Валера Сиплый, а потом стал Батон Ядренный, и это кто нибудь запалил из твоих друзей или врагов - сообщил админам. 

А не из-за того, что ты что то там не подтвердил  :Smiley: 
А то, что письмо пришло от "администрации" - думаю, надо сделать вывод о дырявости Вконтакте.

----------


## grobik

> Это спам? Это официальное письмо?
> 
> И что за приложение в 206 кб?


Это однозначно спам.
На своём компьютере это приложение лучше не открывать :Wink: 

*Добавлено через 6 минут*




> Но не после ли таких писем появляется:"Информация на данной странице может не соответствовать действительности" (что вроде как пользователь не подтвердил свой аккаунт)?


Нет.
Пост *Lexxus*, а также:обратите внимание-на своей странице ВКонтакте,в самом низу *техподдержка*.Следуем по ссылке,*самые популярные вопросы - информация на данной странице может не соответствовать действительности*.

*Добавлено через 6 минут*

По Вашей теме:*техподдержка - разделы - вредный контент - вопросы - социнженерия:сообщения от лица  "администрации сайта"*.А лучше задайте конкретный вопрос о полученном письме с вложением!Думаю,Вы приятно удивите админа сайта адресом отправителя левых посылок,плюс к тому-остальным 75 млн вконтактеров будет полезно узнать ответ.Наверняка,другим подобные письма приходили или ещё в пути :Smiley:

----------


## valho

Прикольно счётчик молотит, через 85 лет там будет зарегистрировано всё население земного шара  :Smiley:

----------


## Bacardi

> Посмотрите полный заголовок письма


From [email protected] Mon Jun 14 13:21:09 2010
Return-path: <[email protected]>
Received: from [217.197.114.147] (port=1970 helo=e-post07.km.ru)
	by mx57.mail.ru with esmtp 
	id 1OO5qv-0009nR-00
	for ящик@mail.ru; Mon, 14 Jun 2010 13:21:09 +0400
Received: from wimax-client.yota.ru (wimax-client.yota.ru [109.188.228.188])
	by e-post07.km.ru with ESMTP
	id 59FCFC582608220426338; Mon, 14 Jun 2010 13:21:06 +0400
From: "=?Windows-1251?b?wsru7fLg6vLl?=.=?Windows-1251?b?8PM=?=" <[email protected]>
To: "ник" <ящик@mail.ru>
Subject: =?Windows-1251?b?z+7k8uLl8Obk5e3o5SDg6urg8+3y4A==?=
Date: Mon, 14 Jun 2010 13 :20: 19 +0400
MIME-Version: 1.0
Content-Type: multipart/mixed;
        boundary="----=_NextPart_000_0000_01C6527E.AE8904D0"
Message-Id: <[email protected]>

___________________________________________

IP проверить возможно?

----------


## olejah

*Bacardi*, 


> % This is the Ripe-Mirror Whois server.
> 
> % Note: this output has been filtered.
> 
> % Information related to '217.197.114.0 - 217.197.114.255'
> 
> inetnum:        217.197.114.0 - 217.197.114.255
> netname:        KM-ALL1
> descr:          WEB Services Company http://www.km.ru
> ...


Проверять тут - http://www.ripn.net:8080/nic/whois/

*Добавлено через 7 минут*




> IP  	217.197.114.147
> IP Location: 	Russian Federation
> Resolve Host: 	e-post07.km.ru
> % This is the RIPE Database query service.
> % The objects are in RPSL format.
> %
> % The RIPE Database is subject to Terms and Conditions.
> % See http://www.ripe.net/db/support/db-terms-conditions.pdf
> 
> ...


http://2ip.ru/

----------


## pig

Первоисточник вот:


```
Received: from wimax-client.yota.ru (wimax-client.yota.ru [109.188.228.188])
by e-post07.km.ru with ESMTP
id 59FCFC582608220426338; Mon, 14 Jun 2010 13:21:06 +0400
```

Кто-то с Йоты отправлял. Из Питера.


```
inetnum:         109.188.128.0 - 109.188.255.255
netname:         SCARTEL
remarks:         Contact information:
                *************************************
                Abuse:[email protected]
                Peering:[email protected]
                *************************************
descr:           infrastructure in SPb
country:         RU
admin-c:         PHL76
tech-c:          PHL76
status:          ASSIGNED PA
mnt-by:          SCARTEL-MSK-MNT
mnt-lower:       SCARTEL-MSK-MNT
mnt-routes:      SCARTEL-MSK-MNT
source:          RIPE # Filtered
person:          Phil Latyshev
address:         Rusakovskaya, 13, 107140 Moskow RUSSIAN FEDERATION
phone:           +79254116273
nic-hdl:         PhL76
source:          RIPE # Filtered
% Information related to '109.188.128.0/17AS47395'
route:           109.188.128.0/17
descr:           SPB SCARTEL network
origin:          AS47395
mnt-by:          SCARTEL-SPB-MNT
source:          RIPE # Filtered
```

----------


## DefesT

http://www.virustotal.com/ru/analisi...b50-1276546425

----------


## Bacardi

> http://www.virustotal.com/ru/analisi...b50-1276546425


Результат: 9/41 (21.95%)
File size: 210231 bytes

Все верно!

Плохо, что нет даже 50% распознавания вируса программами!

Хорошо, что разобрались в этом вопросе!

____________________________________

*DefesT*, *pig*, *Olejah*, *grobik*, *Lexxus*, *anton_dr* - спасибо Вам!

----------

