# Форум на русском языке  > Угрозы информационной безопасности  > Спам и мошенничество в сети  >  Посмотрите пожалуйста эту ссылку

## Driada

Здравстыуйте, просмотрите пожалуйста вот эту ссылку ///после прохождения по ней не могу получить доступ к своему аккаунту на мейл.ру! Заранее спасибо!

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Kuzz

Вообще-то здесь предполагается лечение от вирусного заражения,
а судя по тому, что указанная ссылка выходит на  :"http://": noo****ak.netfast.org это очень похоже на фишинг.
Вы вводили логин/пароль по этой ссылке?
Если да - то попробуйте воспользоваться восстановлением пароля (но очень большая вероятность того, что ящик уже не вернуть..).

И еще одно. Ссылку деактивируйте, пожалуйста.

----------


## Driada

Спасибо, хоть знать буду отчего пострадала!

*Добавлено через 7 часов 16 минут*

Подскажите - как бороться с фишингом и , как распознавать эти ссылки оборотни? :Smiley: 

*Добавлено через 9 минут*

Подскажите - как бороться с фишингом и , как распознавать эти ссылки оборотни? :Smiley:

----------


## SDA

Поставить антивирус, к примеру тот же КIS, где есть функции борьбы с фишингом.

----------


## Kuzz

> Подскажите - как бороться с фишингом и , как распознавать эти ссылки оборотни?


В дополнение к 


> Поставить антивирус, к примеру тот же КIS, где есть функции борьбы с фишингом.


скажу еще:
Альтернативные браузеры (например FireFox. об Опере не знаю, есть и у нее такое) тоже уведомляют о "поддельных" и опасных сайтах.
Ну и главное правило - внимательность.
Просто вводя личные данные всегда надо смотреть на адрес в адресной строке браузера, в данном случае видно, что noo****ak.netfast.org никак не является mail.ru

----------


## priv8v

> Подскажите - как бороться с фишингом и , как распознавать эти ссылки оборотни?


Используйте последние версии браузеров - желательно Firefox -как уже отметили - в нем есть функция антифишинга. Использовать какую-либо старую версию IE не желательно потому-что в нем яваскрипт может заменять текст в адресной строке.
При этом нужно обязательно следить за тем, что находится в адресной строке браузера, когда вы вводите какой-либо пароль, рассмотрим это на примере мейл.ру:
адрес должен иметь такой вид: **.*mail*.*ru/*
где под * имеется в виду какой-либо текст, при этом расстановка точек должна быть именно такой, как и в примере, при этом не обязательно наличия всех двух "звездочек"
Вот верная ссылка для залогинивания:
win.mail.ru/cgi-bin/login
как видим, все по правилам - все звездочки и точки на месте...

=======================

Также советую Вам попробовать восстановить свой ящик через службу восстановления пароля - если у вас статичный IP-адрес, то это будет сделать очень просто. Или если у вас небольшая подсеть - тоже просто. 
Иначе говоря шансы достаточно высоки. Не бойтесь написать им еще и еще - возможно на первую просьбу и не откликнуться.

----------


## senyak

А можно глянуть эту ссылку:  :"http://": besthqmovies.com/video17637
У Авиры срабатывает на этту ссылку эвристика. Вирустотал вот что сказал: http://www.virustotal.com/ru/analisi...5fcfb1b259ebc2

----------


## Karlson

предлагает загрузить очередной кодек, каспер не знает еще.. качается с порн-ютубе.нет
по вирустоталу - 8/34

др.Веб уже отписались что в базы добавили..



> Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.
> Вирус: Trojan.Popuper.7180.
> 
> Спасибо за сотрудничество.

----------


## Eele

Посмотрите пожалуйста эту ссылку. Мне пришло Вконтакте на стене (не в сообщении!). Сильно подозревая что это вирус. Подруга говорит что ничего мне не посылала.

Привет!!! Обязательно скачай и посмотри второй ролик в первом ряду на :хттп:w_w_w.video80.ru , там на третьей минуте такооое)))) У меня ничего в жизни столько смеха не вызывало))))
1929215585

----------


## Strange

Это ссылка на сайт-накрутчик. Вирусов там я не обнаружил, во флэшки не смотрел, там м.б. и есть что-то. Но ссылку на Вашем месте я был убрал или сделал неактивной.

----------


## Eele

Нашла ссылку в интернете на статью про эту ссылку. Эксперты сообщают что это вирус (сайт новостей):
http://www.lenta.ru/news/2008/07/21/vkontakte/

----------


## Strange

> Нашла ссылку в интернете на статью про эту ссылку. Эксперты сообщают что это вирус


Ну, так далеко я не заходил, т.к. не думал, что кто-то, ожидая что-либо смешное, будет качать что-то с порносайта. А сам код сайта незаразный.

А с кодеками - я как-то просматривал папку спама в своём ящике и заодно посмотрел, что там предлагают. Там те же самые "кодеки".

А подруге рекомендую зайти в раздел "Помогите!" и создать новую тему, обязательно выполнив требования.

----------


## Strange

Опасно!
 :"http://": rtkom.com/live.html загружает вирус - http://www.virscan.net/report/ecd3b4...8e1c460e3.html
Одновременно применяется два способа - через iframe и "хитрозакодированный" яваскрипт и по нажатию на кнопку.
Яваскрипт пытается положить вирус по адресу "C:\Documents and Settings\All Users\Start Menu\Programs\Startup\smss.exe"
Он что-то ещё пытается делать, так что исследование продолжается.

----------


## McRousseaux

Дабы не плодить темы.
Посмотрите ещё одну ссылку, пришла в письме на мыло.
https://passport.yandex.ru/1598125981082

----------


## priv8v

это же яндекс...

----------


## pig

Вредоносные ссылки обычно с двойным дном. Та, что сверху, для маскировки - безобидная. А копать надо вглубь, настоящая ссылка внизу лежит, её так просто не взять.

----------


## priv8v

pig, что Вы имеете в виду?..
При переходе по этой ссылке меня кидает на
https://passport.yandex.ru/passport?mode=passport

Или Вы имеете в виду вот такой вот "трюк":
https://webmoney.ru

----------


## McRousseaux

Я имею ввиду, что когда я перешёл по этой ссылке, то хватанул вирус, который повесил Эксплорер и вызвал непонятную ДОС-сессию. Вроде вылечил ДрВебом.
Возможно, проблема с авторизацией, и по этой ссылке могу пройти только я...

В общем, если кто сможет проанализировать ссылку, буду благодарен, если сообщит, что же за гадость за ней скрывается. Возможно, мне это поможет подчистить все следы (ключи реестра и т.д.).

----------


## priv8v

попробуйте зайти еще в свой почтовик и найти это плохое письмо, зайдите в него. затем наведите курсор мышки на эту ссылку (которую вы написали тут на форуме) и щелкните по ссылке правой кнопкой мышки. должно появиться контекстное меню, в нем выберите пункт "Копировать ссылку". нажмите на этот пункт. затем в свое сообщение на этом форуме вставьте то, что копирнулось в буфер обмена - т.е в своем посте нажмите контрл+v или щелкните правой клавишей мыши и в контекстном меню выберите "Вставить" и нажмите - вставиться ссылка (скорее всего она будет не такой, какую вы уже тут размещали...)

----------


## McRousseaux

Кстати, сейчас над письмом появилась следующая шапка
"Внимание! Не отвечайте на это письмо и не переходите по ссылкам из него. Яндекс.Почта считает это письмо мошенническим."

Вот ссылка
http://mail.yandex.ru/r?url=http%3A%...fs=inbox&phg=1

----------


## senyak

А та самая ссылочка " Содержит сигнатуру Java-скрипт вируса JS/Dldr.Iframe.DJ". Результат: http://www.virustotal.com/ru/analisi...c0e714c3467d12

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## McRousseaux

У меня почему-то  как Trojan.proxy 1824 определялось... Или, сопутствующее, может быть?
Подскажите, пожалуйста имена исполнительных файлов и ключи реестра.
Больше интересуют ключи реестра, ДРВебом вроде вылечил компа, но он реестр не чистит, только файлы удаляет.

----------


## borka

> У меня почему-то  как Trojan.proxy 1824 определялось... Или, сопутствующее, может быть?


По ссылке живут JS.DownLoader.27 и JS.DownLoader.28, которые могут загружать все что угодно.




> ДРВебом вроде вылечил компа, но он реестр не чистит, только файлы удаляет.


Вообще говоря, Доктор не только удаляет троянов, но и чистит за ними реестр. А что не так у Вас с реестром?

----------


## Karlson

причем там еще загрузка идет с rzk.kz:


```
обнаружено: троянская программа Packed.JS.Agent.a 
URL: rzk.кз/caramel/eng/-/1/
```

причем если зайти просто на RZK.KZ, то попадаешь на вполне приличную страничку..

----------


## Alex_Goodwin

Сейчас там живет и сливается сплоитами ntos - zeus.

----------


## McRousseaux

> По ссылке живут JS.DownLoader.27 и JS.DownLoader.28, которые могут загружать все что угодно.
> 
> 
> Вообще говоря, Доктор не только удаляет троянов, но и чистит за ними реестр. А что не так у Вас с реестром?


Не знал, что дрВеб реестр чистит. Если чистит - тогда всё ОК и с реестром всё в порядке.
Я не профессионал в этом деле, поэтому только предположения делал.

*Добавлено через 1 минуту*

Кстати эти JS Downloader-ы что из себя представляют? где живут и какие оставляют следы жизнедеятельности?

----------


## Гриша

JS Downloader-это код написанный на Java Script,который размещается в html коде страницы и при обработке браузером загружает на компьютер пользователя вредоносное ПО

----------


## ISO

:"http://": absoluts.org/00700/ под видом самого скачиваемого ролика пытаются впарить пинча. Вот детект этого clips01505.scr

----------


## DefesT

хттп://ввв.alfastrah.ru/- проверьте сайт Альфа Страхования!

Друг говорит, там прикол - "в верхнем правом углу номер телефона Альфа Страхования: 
5-ть раз быстро кликните на нолик и наслаждайтесь :Cheesy: ". Но там вроде внизу скрипт висит нехороший! :Angry:

----------


## PavelA

@DefesT ссылочку не до конца убил. Подредактируй, плс.

----------


## HATTIFNATTOR

Есть скрипт, нехороший. Тащит Trojan-Downloader.HTML.Agent.lv, тот Trojan-Spy.Win32.Zbot.gkj

----------


## DefesT

> Есть скрипт, нехороший. Тащит Trojan-Downloader.HTML.Agent.lv, тот Trojan-Spy.Win32.Zbot.gkj


 
Спасибо модераторам и хэлперам за оперативное реагирование. Конечно я поздно пишу, но детект скрипта был моментальным!)
А еще вот, это Вы постарались  :Smiley: http://www.viruslist.com/ru/weblog?weblogid=207758755 :Roll Eyes (Sarcastic): ?

----------


## bolshoy kot

Прошу изучить сайт хттп://рамблер-inform.ru/?n5pns9sk1
(хттп и рамблер надо писать по-английски).
Мне пришло такое на почту:
Пользователь портала Vladimir  добавил вас в свой список контактов и оставил  личное сообщение. Чтобы прочитать его, вам необходимо перейти на наш портал по  ссылке *(выше упомянутый адрес)*
Данные  для входа:
логин *(тут был типа логин)*
пароль *(тут был типа пароль)*

С уважением,  
администрация портала.
*Жирным* выделены мои изменения текста.

----------


## Alexey P.

> Прошу изучить сайт хттп://рамблер-inform.ru/?n5pns9sk1


 Спам. Всё та же надоевшая реклама платного порно. Отправь SMS и т.п.

----------


## bolshoy kot

хттп://justchristmasгифт.com/?c8eb4ef98a75f55c19e592a5b6e
Пришло сейчас. Типа "James wants to show you a custom Online Greeting Card". Опять вирусы новогодней тематики? Никаких James-ов не знаю. (гифт по-английски)

----------


## senyak

Ссылка мертвая

----------


## senyak

> При доступе к данным по URL "http://icaapi.com/html/2440/f8ae8aedaf494548b681dedb37dd3d5f/"
> обнаружен вирус или вредоносная программа 'HEUR/HTML.Malware' [heuristic].


Проверте ссылку, пожалуйста. Вот результат файла: http://www.virustotal.com/ru/analisi...b01f2dfd5fe57b

----------


## Alexey P.

> Проверте ссылку, пожалуйста. Вот результат файла: http://www.virustotal.com/ru/analisi...b01f2dfd5fe57b


 Троян.
http://www.virustotal.com/ru/analisi...c4699960375e4e


```
http://icaapi.com/files/2440/f8ae8aedaf[SANITIZED]b37dd3d5f/0.exe.bak

Microsoft	1.4205	2008.12.25	Trojan:Win32/Boaxxe.J

File size: 123392 bytes
MD5...: b66b6ee78cb727fb2e006ff70ae29c2c
SHA1..: 48c47d6b404b0dfd4b28d1d259b7ad213d2d19b7

packers (Kaspersky): PE_Patch.UPX, UPX, PE_Patch.UPX, UPX, PE_Patch.UPX, UPX
packers (F-Prot): UPX
```

----------


## senyak

Ссылка Ваша на вирус не рабочая. Как Вы ношли на сайте трояна? Хочу тоже его скачать...  :Smiley:

----------


## DefesT

хттп://mountainrovers.in/team/roz/
Постоянно на почту приходят письма с темой - Вам сообщение (или типа того) и ссылка хттп://passport.yandex.ru/classic/message?ids=1581, хотя в строке состояния виден верхний URL, похоже на фишинг!

----------


## Гриша

Да это фишинг, нацеленный на систему Яндекс.Деньги...

Со следующего обновления будет детектироваться антивирусом Касперского...

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## DefesT

Пришло в аську - прога для поднятия рейтинга Вконтакте.ру - upwap.ru/282260
А там предлагают программу для отпраки смс с подменного номера скачать на мобильный телефон. Явно что-то нехорошее.

----------


## Гриша

smspodmenka.jar-*Trojan-SMS.J2ME.Swapi.c*

----------


## SDA

> Пришло в аську - прога для поднятия рейтинга Вконтакте.ру - upwap.ru/282260
> А там предлагают программу для отпраки смс с подменного номера скачать на мобильный телефон. Явно что-то нехорошее.


Для общей информации http://virusinfo.info/showthread.php...690#post329690

----------


## Boriss72

Посмотрите пожалуйста adobe.com\ru\ , может я что-то не правильно делаю , но ИЕ7 виснет наглухо - приходится убивать в диспетчере ! Вроде приличная компания . Это проблемы с сайтом или компутэром ? Всё остальное работает отлично . Только обнавления продуктов Adobe недоступны .

Н-да , похоже не в тему . Прошу ногами не пинать ...

----------


## valho

> Посмотрите пожалуйста adobe.com\ru\ , может я что-то не правильно делаю , но ИЕ7 виснет наглухо - приходится убивать в диспетчере ! Вроде приличная компания . Это проблемы с сайтом или компутэром ? Всё остальное работает отлично . Только обнавления продуктов Adobe недоступны .


С addons.mozilla.org у меня тоже самое было несколько часов, щас смотрю ожил...

----------


## DefesT

От другана в аську пришло, хотя он был в оффлайне - 'оцени мое фото)), в контакте не влезает - ввв.mycode.ws/foto62.gif'

----------


## Alex_Goodwin

http://www.virustotal.com/ru/analisi...e5dda2939abaa1

----------


## senyak

У кого есть связь с ЛК, отошлите им, пожалуйста, эту ссылку: evportal.info/portal/
На нее реагирует Каспер эвристикой. Отправлял им по емаилу, но оно не дошло. Видимо без прикрепленного файла им письма не доходят

----------


## Jack D.

Прислал спамер.




> 355176162 (23:39:32 1/02/2009)
> Запрос авторизации
> у меня аську угнали  пишу с этого номера на выходные предки сваливают придешь?и еще вот тебе сюрприз 
> ввв.podarokyou.mag.su/


Сообщение относительно грамотное и повестись можно :Smiley:

----------


## Гриша

Ничего там интересного, это wap-адрес, с телефона посмотрел там пусто, по вашему адресу должно вести сюда wapji.wapix.ru, там игрушки за деньги...

----------


## DefesT

Спам с вируснёй в аську >>>>> sochnai.ru
п.с. ЛК мне никогда не отвечает!

----------


## valho

Да это обыкновенный порно-сайт, они мне тоже иногда спама шлют, во всех чёрных списках засвечены

----------


## serggio

Добрый день. К сожалению уже убегаю с работы. От одного контакта в моем контакт листе пришло сообщение:




> http://   rockfeels.com/img/live.gif
> )


Опера вывалилась. Проверьте плиз, у кого есть время

----------


## valho

Вроде там вирусы ворующие пароли от асек есть, картинка там раньше вроде вот эта была -

----------


## Гриша

rockfeels.com

Недоступен...

----------


## serggio

> rockfeels.com
> 
> Недоступен...


Ну не знаю,  час назад у меня картинка была доступна. Наверное комп на работе уже просканировался, могу подключиться удаленно и выложить логи, если интересно

*Добавлено через 35 секунд*




> Вроде там вирусы ворующие пароли от асек есть, картинка там раньше вроде вот эта была -


Верно!

----------


## Mantiss

> Ну не знаю,  час назад у меня картинка была доступна. Наверное комп на работе уже просканировался, могу подключиться удаленно и выложить логи, если интересно
> 
> *Добавлено через 35 секунд*
> 
> 
> 
> Верно!


Картинка на месте, AVAST говорит что с Rockfeels.com пересылает на 

AP-HOST.ru

ниже whois, если кому нужно.
вирус в index.php на ap-host	

Информация о домене AP-HOST.RU 

Доменное имя ap-host.ru занято.

% By submitting a query to RIPN's Whois Service
% you agree to abide by the following terms of use:
% http://www.ripn.net/about/servpol.html#3.2 (in Russian) 
% http://www.ripn.net/about/en/servpol.html#3.2 (in English).

domain: AP-HOST.RU
type: CORPORATE
nserver: ns1.domohost.ru.
nserver: ns2.domohost.ru.
state: REGISTERED, DELEGATED
person: Private Person
phone: +7 499 6438912
e-mail: [email protected]
registrar: NAUNET-REG-RIPN
created: 2008.12.15
paid-till: 2009.12.15
source: TC-RIPN

----------


## DefesT

Посмотрите линк пожалуйста - хттп;//ovwnbbbrycehunt.blogspot.com

----------


## avirarus

> Посмотрите линк пожалуйста - хттп;//ovwnbbbrycehunt.blogspot.com


Есть там бяка!

----------


## Torvic99

На одном компе аваст выдал такое сообщение - Sign of "HTML:Iframe-inf" has been found in "h..p://www.from-ua.com/" file.
и следующее - Sign of "HTML:Iframe-inf" has been found in "h..p://www.from-ua.com/news/260af0f64c153.html" file.

Проверьте плиз.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## JS/Small.l

Искал на днях программу в интернете по поиску в google, и по одной ссылке меня выкинуло на хттп://p0rn-movies.com/2/getfile.php?f=vispdf  сайт предложил мне зачем-то загрузить файл .pdf а nod32 определил что это вирус PDF/Exploit.Pidief.VR...

ну думаю мало-ли, вопщим удаляю все куки опять ищу по поиску то что мне нужно, опять вижу ресурс(варез какой-то) захожу и опять то же самое только индекс немного поменялся хттп://p0rn-movies.com/2/getfile.php?f=pdf   антивирь nod32- PDF/Exploit.Pidief.ABQ. Я естесно этот пдф файл загружать нестал, а вдруг опасно?

----------


## valho

Он не спрашивая загружается сам по себе

----------


## Kuzz

> Я естесно этот пдф файл загружать нестал, а вдруг опасно?



Опасно. Это эксплоит, направленный на Adobe Reader
Если антивирус не блокирует его, то в систему загружаются другие трояны.

----------

