# Форум на русском языке  > Новости  > Новости компьютерной безопасности  >  securelist.com: Скомпрометированы данные десятков тысяч пользователей «ВКонтакте»

## Kuzz

Сегодня в свободный доступ попали данные учетных записей более чем 130 тысяч пользователей популярной российской социальной сети «ВКонтакте».

Информация была опубликована на одном из хакерских сайтов.

Наши эксперты проанализировали эти данные и подтверждают факт компрометации.

Согласно нашей информации инцидент выглядит следующим образом:

Сайт, указанный в сообщении (83.133.120.252), известен «Лаборатории Касперского» как фишинговый и блокируется при попытке обращения к нему персональными продуктами.

Вредоносная программа Trojan.Win32.VkHost.an (детектируется нами с 28 июля) распространялась через приложение ВКонтакте (hxxp://vkontakte.ru/app711384?&m=2, в настоящий момент заблокировано администрацией ресурса).

После установки в систему данный троянец подменял файл hosts на следующий:



```
83.133.120.252 vkontakte.ru
83.133.120.252 odnoklassniki.ru
```

Потом, когда пользователь пытался открыть сайт одной из этих социальных сетей, то его перенаправляли на фишинговую страницу, в которой надо было залогиниться.

Логин и пароль уходили в базы на том же сайте 83.133.120.252. В настоящий момент база «Одноклассников» пуста, поэтому говорить о компрометации данных пользователей и этой социальной сети — пока рано.

securelist.com

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## ALEX(XX)

Хе, социальные сети есть зло  :Smiley:  Убедите меня в обратном

----------


## gdn

Зло!, но такие события несут и пользу - может хоть что-то заставит пользователей внимательнее относиться к тому что и кому они доверяют /личные данные и т.д./.

----------


## Kuzz

> может хоть что-то заставит


Не заставит :Sad:

----------


## SDA

в дополнение:
Вредоносная программа Trojan.Win32.VkHost.an распространялась через приложение "ВКонтакте" (hxxp://vkontakte.ru/app711384?&m=2, в настоящий момент заблокировано администрацией ресурса). После установки в систему данный троянец подменял файл hosts на следующий:
83.133.120.252 vkontakte.ru
83.133.120.252 odnoklassniki.ru

Потом, когда пользователь пытался открыть сайт одной из этих социальных сетей, его перенаправляли на фишинговую страницу, где надо было залогиниться. Логин и пароль уходили в базы на том же сайте 83.133.120.252. В настоящий момент база "одноклассников" пуста, поэтому говорить о компрометации данных пользователей и этой социальной сети - пока рано.

После того, как пользователь логинился на поддельной странице, происходил редирект - сначала на новую страницу. На данной странице имеется следующий текст:

"ВНИМАНИЕ! Ваш аккаунт опознан системой как потенциально опасный. С вашего IP-адресса ведётся Спам-рассылка. Аккаунт признан фейком,созданным злоумышленниками для Спам-рассылок, и будет удалён через 24 часа после прочтения данного уведомления, в случае отказа от подтверждения аккаунта. Если аккаунт настоящий, его необходимо подтвердить. Отправьте смс с текстом orderit30193 (без пробелов), на номер 6008 в ответном смс вам придёт Код активации. Стоимость смс соответствует стоимости по вашему тарифному плану."

Что самое интересное, если пользователь отправит смс, то он действительно получает некий код, так как на сайте имеются страницы с следующим содержанием:

"Kод принят! Скачайте и запустите файл - Скачать."

По ссылке находится файл access.exe, который восстанавливает оригинальный файл hosts (127.0.0.1 localhost).

"Вы ввели не правильный код. Вернитесь и введите код из смс сообщения!"

Мы рекомендуем всем пользователям "ВКонтакте" и "Одноклассников" проверить содержимое своих файлов hosts, которые находятся в каталоге %windir%\system32\drivers\etc, и если в них обнаружены ссылки на vkontakte.ru и odnoklassniki.ru - удалить их.

Обязательно сменить все пароли от всех аккаунтов в социальных сетях. В случае попадания на подобные фишинговые страницы, ни в коем случае не вводить свои логин и пароль и не отправлять никаких смс-сообщений.

Злоумышленники достаточно часто используют подмену hosts-файлов для перенаправления пользователей на фишинговые веб-страницы. К сожалению, такой примитивный способ иногда приносит преступникам свои плоды. Если говорить об подобных схемах атаки на пользователей онлайн-банкинга, то они наиболее популярны в Латинской Америке. 
Денис Масленников, антивирусный эксперт "Лаборатории Касперского"

----------


## Kuzz

*Онлайн-проверка для пострадавших пользователей «ВКонтакте»* 

И еще дополнение:

Сегодня мы сообщили об обнаруженном факте компрометации аккаунтов пользователей социальной сети «ВКонтакте».

В настоящее время база аккаунтов остается в свободном доступе, но мы крайне не рекомендуем пользователям самостоятельно обращаться к ней, даже если вы подозреваете что ваши данные могли также быть скомпрометированы.

Сайт, на котором находится база, принадлежит киберпреступникам и кража пользовательских аккаунтов происходила именно там. Нет никакой гарантии, что в любой момент вместо базы данных там не окажется очередная троянская программа.

Проверить, не оказались ли ваши данные в руках злоумышленников, вы можете с нашей помощью.

Форма онлайн-проверки и статья доступны тут:
http://www.securelist.com/ru/weblog/...eley_VKontakte

----------


## Lexxus

Мда, приведу парочку паролей:

_хочу быть с тобой 
nokia1993 
даэтоправдаяеголюлю_

 :Smiley: 

Слава богу ни меня, ни моих знакомых там нет  :Smiley: 
Научил таки уму разуму  :Smiley:

----------


## DVi

> Мда, приведу парочку паролей:
> 
> _хочу быть с тобой 
> nokia1993 
> даэтоправдаяеголюлю_


Хм... В моей базе таких нет. Зато есть:




> .....
> минибэйба
> duradura

----------


## Lexxus

*DVi*, Просто база посвежее чуть  :Smiley: 

Успел скачать, сейчас сервер лежит, и там пустота  :Smiley: 
А Opera предупреждает, что сайт фишинговый...


P.S. Еще улыбнуло:
_
паша92
ПАША-ЗАИНЬКА-ОКСАНА 
_

P.P.S. Таких вот юзеров мне ничуть не жалко. Интересно, где у них голова была? :Smiley: 
И очень странно, раздули по всему интернету... А то, что XSS вконтакте до сих пор... - об этом все молчат

----------


## bolshoy kot

> Зло!, но такие события несут и пользу - может хоть что-то заставит пользователей внимательнее относиться к тому что и кому они доверяют /личные данные и т.д./.


Скорее этот инцидент приведет, к тому, что в следующий раз хакеры не будут объединять это с Ransom (отправить СМС) и полностью скопируют дизайн сайта. Большинство пользователей вообще ничего не отличат.

*Добавлено через 37 секунд*

83.133.120.252 не пингуется

----------


## pig

> 83.133.120.252 не пингуется


Это ни о чём не говорит.

----------


## glider

> Авторы: *Алексей Стародымов*, *Марина Пелепец*
> Опубликовано 30 июля 2009 года
>   Троян работает по следующему принципу: он модифицирует файл hosts (расположен по адресу C:\WINDOWS\system32\drivers\etc\) таким образом, что при попытке пользователя зайти в любимую социальную сеть браузер его компьютера открывает сайт-двойник; в результате адрес электропочты и пароль сразу же после введения на поддельном ресурсе добавляются в базу ворованных аккаунтов. 
> В 4,2-мегабайтном файле содержатся несколько десятков тысяч действующих адресов и паролей. Изначально сообщалось о 130 или даже 150 тысячах взломанных аккаунтов, однако путем отброса повторяющихся комбинаций мы выяснили, что их там в два-два с половиной раза меньше. (Что, впрочем, тоже впечатляет.) Известно также, что в ближайшее время под удар могут попасть пользователи сети "Одноклассники": хакеры уже создали соответствующий файл для их данных, однако в настоящее время он пуст. 
> Мы попросили специалистов компаний, занимающихся разработкой антивирусов, прокомментировать ситуацию, а также рассказать о подобных атаках.


Продолжение  в статье-оригинале http://www.computerra.ru/vision/445594/

Если вы зарегистрированы в социальных сетях,проверяйте свой файл hosts. Лично лицезрел данный файл,это не шутка. Да и сами пароли конечно это жесть: "невзломаешь","люблютебяядура","хакеротвали" и прочие перлы.

----------


## gdn

> Скорее этот инцидент приведет, к тому, что в следующий раз хакеры не будут объединять это с Ransom (отправить СМС) и полностью скопируют дизайн сайта. Большинство пользователей вообще ничего не отличат.
> 
> *Добавлено через 37 секунд*
> 
> 83.133.120.252 не пингуется


Почему бы не сделать авторизацию хотя бы на сайте по SSL  - на мой взгляд помогло бы, хотя пришлось бы больше загрузить оборудование и потратиться на сертификат  :Smiley: , раз так такое кол-во пользователей использует сей сервис...

----------


## PavelA

> Хе, социальные сети есть зло  Убедите меня в обратном


Да, не буду пытаться, но так хочется найти друзей.

----------


## SDA

> Да, не буду пытаться, но так хочется найти друзей.


Некоторых Интернет отучил знакомиться вживую и находить друзей в реале.Рай для страдающих всякими комплексами, скажем для них это "палочка-выручалочка"  :Wink:  ну и для бездельников на работе  :Smiley:

----------


## Rampant

Вот новый вариант этого зверя.

----------


## anton_dr

> екоторых Интернет отучил знакомиться вживую и находить друзей в реале.


Думается, Павел имел ввиду старых друзей, с которыми потеряна связь  :Smiley:

----------


## DVi

> [B][CENTER]Форма онлайн-проверки и статья доступны тут:


Тут тоже есть эта форма проверки: http://virusinfo.info/showthread.php?t=51236

----------


## PavelA

> Думается, Павел имел ввиду старых друзей, с которыми потеряна связь


Да, именно их.

----------


## SDA

> Да, именно их.


Поиск старых друзей, наверное еденичные полезные исключения в общей массе общения в соц.сетях.

----------

