# Форум на русском языке  > Угрозы информационной безопасности  > Спам и мошенничество в сети  >  Вирусы в виде ICQ контактов

## ScratchyClaws

Опять летят сообщения типа 




> Привет. Скажи пожалуйста всем своим контактам в ICQ, чтобы контакт Крошка_Лю (307369910) не принимали. Это вирус.Винда летит при первом включении компа. А если кто-то из твоих контактов зарегистрирует его,то у тебя он будет автоматически.


Только ники и номера меняются...

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Geser

> Опять летят сообщения типа 
> 
> 
> 
> Только ники и номера меняются...


Глупости

----------


## pig

Это народный медиавирус  :Smiley:

----------


## Xen

Я таких сразу в игнор.

----------


## MOCT

> Опять летят сообщения типа 
> Только ники и номера меняются...


письма счастья, только вид в профиль

----------


## ScratchyClaws

Да, я-то в курсе, просто у меня знакомая одна вечно *фигней страдает* хотела вот её успокоить....

----------


## WAPS

Это всё бред.
Мне даже те, кто у меня в контакт-листе, это присылают.
 :Cheesy:

----------


## GrAnd

Месячишка 4 назад от одной шапочной знакомой пришла такая аська:



> Оцени новый патч для асечных клиентов http://topsecrets-234.narod.ru/icq_patch.rar мне очень нравится
> он добовляет новые скины новые смайлики статусы и много чего ещё подходит для разных клиентов
> очень хорошоя вешь он пойдёт и на qip и на &rq ещё идёт на миранде


Мы с ней еще немного потрепались. Потом она отконнектилась. Я качнул этот архивчик ... и обнаружил в нем трояна. Конкретно так. Не просто файл заражен. А просто инсталлятор трояна и больше ничего.

Вот я и думаю. Точно ли я с ней самой трепался? Может быть, украли ее UIN и активно использовали? Вроде бы раньше я ее в западлостроении не замечал. Впрочем, все когда-то случается впервые.

----------


## MOCT

> Точно ли я с ней самой трепался? Может быть, украли ее UIN и активно использовали? Вроде бы раньше я ее в западлостроении не замечал. Впрочем, все когда-то случается впервые.


и первое, и второе подмечено верно, так что никакой вероятности исключать нельзя

----------


## ScratchyClaws

А ещё может быть ей прислали этот спам и она не задумываясь скопи-пастила сообчение...

----------


## GrAnd

> А ещё может быть ей прислали этот спам и она не задумываясь скопи-пастила сообчение...


Это вряд ли.
Ведь она (?) писала, что *установила* этот патч и ей понравилось. А на самом деле никакого патча и нет. Если запустить инсталлятор, то ровным счетом ничего видимого не происходит. Не только с аськой, но вообще. Только антивирь обнаруживает установленный троян. Хоть бы замаскировали чем-нить. Например, на самом деле простенький корявый патч сделали.

----------


## ScratchyClaws

ну вполне вероятна такая история ей приходит спам *Оцени новый патч для асечных клиентов http://topsecrets-234.narod.ru/icq_patch.rar мне очень нравится
он добовляет новые скины новые смайлики статусы и много чего ещё подходит для разных клиентов
очень хорошоя вешь он пойдёт и на qip и на &rq ещё идёт на миранде* она читает, потом выделяет весь текст, жмет копировать, и отправляет это тебе... Одна МОЯ знакомая именно так и делает. при таком варианте она может даже не знать что там троян

----------


## GrAnd

> при таком варианте она может даже не знать что там троян


Так, мы же с ней говорили про этот патч. И она общалась так, чтобы вынудить меня установить:



> Я: А на просто аське идет? :-)
> Она: да
> Я: А для каких версий, не знаешь?
> Она: да вроде на все идёт
> попроьуй себе установить


Абсолютно безинформационные ответы с единственной целью - подвигнуть меня к инсталляции.
В то же время, если бы она просто скопи-пастила чужое сообщение, то как бы она утверждала бы, что этот патч и для простой аськи?

----------


## XL

мне вот уже неделю подряд в рабочую аську от самых разнообразных отправителей приходит запрос авторизации со ссылкой на _www.sexgirl.host.sk где любой линк приводит к загрузке пинча. как бы сайтик закрыть этот злосчастный... я в разговорном инглише не силен, прошу подсобить в связи с администрацией!

----------


## ScratchyClaws

*GrAnd*, все *безинформативные* ответы основанны на первом спамерском сообчении... Кстати вполне возможен вариант, что хитрая знакомая просто не решилась себе поставить этот патч и решила на тебе его испробовать))) А спаммеры на 99,99% являются ботами и на вопросы редко отвечают...

----------


## MOCT

> _www.sexgirl.host.sk где любой линк приводит к загрузке пинча. как бы сайтик закрыть этот злосчастный... я в разговорном инглише не силен, прошу подсобить в связи с администрацией!


на host.sk много троянописательских сайтов, так что помощи от администрации ждать не стоит.

----------


## SDA

Компания "Доктор Веб" информирует о вирусной опасности - Trojan.PWS.LDPinch.1061! Позаботьтесь о сохранности своих паролей!

28 июля 2006 года

Служба вирусного мониторинга компании "Доктор Веб" сообщает о распространении по сети мгновенных сообщений (ICQ)новой модификации троянской программы, получившей по классификации компании "Доктор Веб" название Trojan.PWS.LDPinch.1061. Получаемое пользователем сообщение содержит приглашение посмотреть "прикольную флэшку" и ссылку, по которой эта "флэшка" находится. Скачиваемый файл (oPreved.exe) действительно имеет значок флеш-ролика, но на самом деле - это троянец, перехватывающий пароли.

Техническая информация о данном троянце:

# После запуска oPreved.exe (354 304 байта. Детектируется антивирусом Dr.Web как Trojan.PWS.LDPinch.1061) создаются файлы:
%System%\Expllorer.exe (223 392 байта. Детектируется антивирусом Dr.Web как Win32.HLLW.MyBot)
\%windir%\temp\xer.exe (223 392 байта. Детектируется антивирусом Dr.Web как Win32.HLLW.MyBot)
временный файл C:\a.bat

# Файл Expllorer.exe прописывается в автозагрузку, создавая следующие ключи в системном реестре:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr  entVersion\Run
"Shel"=Expllorer.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr  entVersion\RunServices
"Shel"=Expllorer.exe

# Передача паролей происходит через скрипт на сайте hxxp://220web.ru. Передаются все собранные пароли в системе: icq, ftp, почтовые сервисы, dialup, trilian, miranda и т.д.

# Также Trojan.PWS.LDPinch пытается обойти межсетевые экраны: как встроенный в операционную систему, так и некоторых сторонних разработчиков.

Компания "Доктор Веб" призывает пользователей быть внимательными и не открывать ссылки, пришедшие в сообщениях ICQ от неизвестных адресатов. В случае, если Ваш компьютер поражён трояном Trojan.PWS.LDPinch, рекомендуется отключить компьютер от локальной сети и/или Интернета, проверить его антивирусным сканером Dr.Web

----------


## ScratchyClaws

Сегодня убойное сообщение по аське пришло... Жаль что у из-за анти-спама оно всего несколько секунд существовало...
Содержание такое - *если не хотите получть от нас рекламные сообщения отправьте sms на номер XXXX... * Жаль я номер рассмотреть не успела ))) И цену смски))

----------


## GrAnd

> *если не хотите получть от нас рекламные сообщения отправьте sms на номер XXXX... * Жаль я номер рассмотреть не успела ))) И цену смски))


- В нашей клинике новая акция - две операции по цене одной.
- А я могу отказаться от второй операции?
- Можете. Но эта услуга платная.
 :Smiley:

----------


## Dark_Blaze

А я по другому делаю.Спама у меня почти нет.Из всех трех мыл спам приходит только на одно.В асе 99,99% никогда не было спама,был но оч оч оч редко и только в асе(сенйчася на двух мирандах,кипе и Googole talk).Так вот,мой совет не светить асю в инете и не будет вам приходить мусор,и не светить мыло и не будет спама.На то мыло которое ко мне приходит спам,он у меня осмновное как бы,я через него регестируюсь везде.У мне ялично так :Smiley:  :Wink:

----------


## MOCT

> Так вот,мой совет не светить асю в инете и не будет вам приходить мусор,


на асю приходит мусор не оттого, что ее в инете засветили, а из-за того, что там в качестве адреса подряд идущие номера, которые элементарно по очереди перебираются

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Winsent

Очень хорошо помогает откл. функции *"Показывать мой статус он-лайн для Web и поиска"*. Когда была вкл. эта функция просто заваливало спамом. Отключил и уже года полтора ни одного рекламного сообщения

----------


## Dark_Blaze

Согласен и там и там=)

----------


## fidres

есть ещё выход "принимать сообщения только от пользователей из контакт-листа". контак-лист закрыть для регистрации без вашего разрешения.
=)
всё гениальное - просто!
 :Wink:

----------


## [email protected]

Очередная рассылка по аське. Присылали раньше - не обращал внимания. Теперь прислал друг - грит что у знакомой реально трабла была. Не знаю - боян/нет... Вот суть:



> отправь это сообщение всем людям из твоего контактного списка, даже тем кто сейчас оффлайн, чтобы они не добавляли контакт "XXXXX ( ICQ XXX-XXX-XXX)", потому что это вирус. Его имя в аське XXXX XXX. Он разрушает весь жесткий диск. Если его схватит кто-то из твоего списка, то ты тоже...


и в том же духе...

----------


## rubin

Просто наличие контакта не может послужить причиной зловреда... по крайней мере мне так кажется

----------


## [email protected]

Сообщается, что якобы сам контакт - это и есть вирус.. т.е. как я понимаю, при добавлении этого контакта вирус заражает комп и рассылает себя на все контакты в списке.. вот только я не знаю, программно возможно ли это?

----------


## rubin

Не думаю... То, что вирус может разослать что-нибудь по существующим контактам - да, но простое добавление не должно ничего вызвать имхо

----------


## ScratchyClaws

Я тут копалась в настройках миранды, и среди иконок ICQ-клиентов в fingerprint (плагин который показывает клиент контакта) присутствует virus (stration worm) 
выходит страшный контакт-вирус существует??

----------


## rubin

Все равно не верю... что бы выполнить что-то плохое на компьютере нужно либо послать какую-то внешнюю команду (есть файерволл), либо заслать что-то самостоятельно работающее (есть антивирь), либо заставить меня самого что-то сделать (есть голова на плечах).

----------


## [email protected]

2rubin: ну это хорошо когда все есть :Wink:  но несомненно есть такие у кого вообще ничего нету :Wink:  вот и добавляют кого попало, и нажимают какие-попало сцылки типа "это_страшный_вирус!_нажми_и_тебе_ничего_не_будет.  com"
2ScratchyClaws:Спасибо, что перенесла тему - чесно говоря удивился что не нашел подобной.. оказывается плохо искал)

----------


## RiC

> Не знаю - боян/нет... Вот суть:


Напомнило:



Перевод: Вы получили ирландский вирус. Мы тут не бог весть какие программисты в Ирландии, это рукописный вирус!  Пожалуйста, удалите самостоятельно все файлы на вашем жёстком диске и пошлите эту картинку всем вашим знакомым.

----------


## [email protected]

*RiC:* Ы... надо еще дописать - "не читайте, а то заразитесь вирусом!"

----------


## fotorama

По ICQ  давно ходят такие сообщения а вот что мне недавно прислли 



> сегодня пришло смс что в однокласники запустили вирус,почитай инфу: Перешли, плиз, это сообщение всем людям из твоего контактного списка, даже тем кто сейчас оффлайн, чтобы они не добавляли контакт "Tronox (292-222-820)", потому что это вирус. Его имя в аське Dennis Sieg. Он разрушает весь жесткий диск. Если его схватит кто-то из твоего списка, то ты тоже


замучался обьяснять человеку что это чуш...

----------


## ScratchyClaws

> По ICQ  давно ходят такие сообщения а вот что мне недавно прислли 
> 
> замучался обьяснять человеку что это чуш...


кто-то умный доагадался скопировать сообщение из аськи... ибо после ника идет номер а в одноклассниках должны быть имя-фамилия-город скорее всего. тем не менее все активно копируют и шлют дальше не читая... Сама получила это сообщение от нескольких человек, пыталась объянсить что это бред, но без особого результата...

----------


## SuperBrat

Пост http://virusinfo.info/showpost.php?p...1&postcount=32 по-прежнему актуален. Юзеры сами себя "отзловредят".  :Wink:

----------


## zerocorporated

> отправь это сообщение всем людям из твоего контактного списка, даже тем кто сейчас оффлайн, чтобы они не добавляли контакт "XXXXX ( ICQ XXX-XXX-XXX)", потому что это вирус. Его имя в аське XXXX XXX. Он разрушает весь жесткий диск. Если его схватит кто-то из твоего списка, то ты тоже...





> Если его схватит кто-то из твоего списка, то ты тоже


Получается что если некто вася пупкин из моего контакт листа авторизирует этот контакт то! Я тоже заражен и все его контакты и все мои контакты. Чисто логически рассуждая то такой бы "вирус" распространился бы по планете за пару дней и выходом бы было - полная очистка контакт листа или удаление icq клиента.

----------


## Arkadiy

> пожалуйста, примите меры Скажите всем своим контактам, которые в Mail Agente, что бы контакт "[email protected]" с ником "S......" не принимать! Это вирус! Windows летит при первом выключении компьютера. А если кто-то из ваших контактов его словит, то он у вас тоже будет автоматически. Так что скопируйте это и перешлите всем своим контактам! P.S. Для упрощения нажмите сверху кнопку "Рассылка", установите все галочки и нажмите "Отправить" АДМИНИСТРАЦИЯ mail Если этот текст будет передан  контактам то ваш значок агента станет золотым


Теперь не только пугают вирусами, но и одновременно привлекают золотыми значками...

Как говорится два в одном  :Cheesy:

----------


## SuperBrat

Коллега рассказала. Ее муж клюнул на рекламу "суперантивируса", который "нашел" у него 400 вирусов. Установил, и теперь тот требует денег за полновесную версию для "лечения". Теперь муж требует отказаться от ADSL-подключения к Интернет и вернуться на dial-up, т.к. там такого не было.  :Wink:

----------


## Jolly Rojer

Как уже было сказанно и правильно сказанно, это медиавирус больных голов  :Wink:

----------

