# Форум на русском языке  > Новости  > Новости компьютерной безопасности  >  Новый ICQ-вирус использует искусственный интеллект

## ALEX(XX)

В онлайн-дневниках пользователей Рунета в понедельник появились многочисленные сообщения о кражах паролей от ICQ – у тех, кто нажимает на ссылку, меняется пароль, и они больше не могут зайти в свой аккаунт. 

В понедельник многие пользователи ICQ, QIP и других интернет-мессенджеров получили от пользователей из своих контакт-листов сообщение, призывающее нажать «прямую ссылку для скачивания файла Piggy.zip», после чего пользователя «выбрасывало» из ICQ, а с его аккаунта, в свою очередь, продолжалась рассылка сообщения с вредоносной ссылкой. Особенностью данного спама является то, что «бот» вступает в переписку с пользователем. 

Как сообщили в службе технической поддержки антивирусной программы Dr.Web, главное – не открывать ссылку: «То, что присылается по ссылке, - архив. Чтобы запустить вирус, надо его сначала скачать и запустить». В техподдержке сообщили, что количество звонков с подобными жалобами в понедельник действительно резко увеличилось, а также отметили, что от предшественников новый вирусный спам отличает то, что воры паролей стали использовать элементы искусственного интеллекта. 

Если вы уже «подхватили» вирус, надо зайти на сайт программы ICQ и поменять пароль от своего аккаунта. В Dr. Web отметили, что вирус уже внесен в базу данных

securitylab.ru

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Pshk

Все больше и больше людей (к сожалению, похоже, на своем опыте) отучаются тыкать на всякие «прямые ссылки для скачивания файла Piggy.zip»  :Smiley:  ...а боты тем временем начинают учиться что-то отвечать и уговаривать скачать таки файл... :Angry:

----------


## Torvic99

> В понедельник многие пользователи ICQ, QIP и других интернет-мессенджеров получили от пользователей из своих контакт-листов сообщение, призывающее нажать «прямую ссылку для скачивания файла Piggy.zip», после чего пользователя «выбрасывало» из ICQ, а с его аккаунта, в свою очередь, продолжалась рассылка сообщения с вредоносной ссылкой. Особенностью данного спама является то, что «бот» вступает в переписку с пользователем.


Ну да так прям сразу и выбрасывало из аськи - интересно а кто тогда расспаковывал этот архив и запускал экзешник из него, тоже видать супер пупер умный бот.

----------


## Umnik

Переписка вида: "Хочешь увидеть мои интимные фотки? Ой, это первый раз, я еще стесняюсь." В таком ключе, видимо  :Smiley:  Так, чего там у меня в блоках лежит...



> Сервер, 13.01.2010 15:28:11:
> Запрос авторизации от '(Неизвестный контакт)' (350944877): Приветик
> мне подруга дала твойю фотку вот глянь
> это ты или нет? а то мне она сильно понравилась))) 
> http://image.*****.cn/foto.jar


Пока эти боты с искусственным интеллектом не могут пройти сквозь stopspam.dll

----------


## Юльча

> Ну да так прям сразу и выбрасывало из аськи - интересно а кто тогда расспаковывал этот архив и запускал экзешник из него, тоже видать супер пупер умный бот.


вот-вот.. 
мне тоже показалось - одни боты заражают других "ботов" ..и что в этом удивительного?  :Roll Eyes (Sarcastic): 

*Добавлено через 1 минуту*




> Пока эти боты с искусственным интеллектом не могут пройти сквозь stopspam.dll


угу, у меня тоже через стандартный антиспам (QIP) не пробиваются.. 
а долгими зимними вечерами, если возникает желание - так забавно почитать ботлог.txt  :Cheesy:

----------


## Torvic99

> так забавно почитать ботлог.txt


ага превеселое дело! Вот вчера было такое



> Отправитель: ICQ# 241665782
> Запрос авторизации:
> Уважаемые пользователи, вышла новая защита от спама в сети ICQ! Активируйте ее сейчас, и это будет последний спам, который Вы получите!
> Для получения подробной информации отправьте произвольное сообщение на этот номер ICQ.


А вот вчера я по телефону общался с другом от которого и получил сообщение со ссылкой на этот файл свинка.зип - он божится и клянется что не открывал и не запускал экзешник. но в памяти его компа сидел какой то зловред.

----------


## Юльча

> он божится и клянется что не открывал и не запускал экзешник. но в памяти его компа сидел какой то зловред.


извините, но не верю в "непорочное" проникновение вируса

----------


## SDA

*Вирус Piggy крадет пароли "аськи" и умеет отшучиваться*

Позавчера вечером пользователи ICQ подверглись атаке нового вируса Piggy.zip или H1N1, который крадет пароли и рассылает себя дальше по контакт-листу. Отличительная особенность заразы - вирус умеет отвечать на вопросы пользователей, убеждая их, что он не вирус. А украденные пароли он прячет прямо на icq.com - в поле "О себе" взломанного аккаунта.

Вирус приходит к пользователю от знакомого, который уже заражен. Он содержит предложение скачать файл Piggy.zip. В таких случаях пользователи уже могут заподозрить неладное и спросить у "приятеля", не является ли эта ссылка спамом или вирусом. Ранее вредоносные боты не умели отвечать на такие вопросы, и пользователь понимал, что это зараза. 

Однако умный бот Piggy умеет отвечать. Увидав в вопросе слово "вирус", он говорит в ответ: "нет, это флешка про свинью, глянь  :Smiley: ". В случае вопроса "ты бот?" вирус может ответить "эээ… сам ты бот!" 

Аналогичным образом он отшучивается и на другие вопросы, возвращая фразы со словами "спам", "троян" и другими. Поэтому все выглядит так, словно ссылку действительно прислал знакомый человек. 

Другая особенность вируса: он меняет пароль от ICQ и записывает зашифрованный пароль в информацию о владельце ICQ-аккаунта, в поле «О себе». Вероятно, это делается для того, чтобы злоумышленники могли забирать пароли прямо с сайта icq.com (поскольку эти поля - открыты) и при этом их нельзя было вычислить (за этой информацией обращаются многие поисковые системы, можно заходить туда и вручную).

Владелец взломанной аськи может успеть вернуть себе пароль, если расшифрует поле «О себе» своего взломанного аккаунта (например, заглянув туда через другую аську). В данном поле содержится набор из нулей и единиц, их следует разбить на группы по 10 символов, и каждую группу перевести в одну цифру по данной таблице:

0100110010 - 1
0101100000 - 2
0101100010 - 3
0101100100 - 4
0101100110 - 5
0101101000 - 6
0101101010 - 7
0101101100 - 8
0101101110 - 9
0100110000 - 0 

В результате можно узнать свой "новый пароль", сотоящий из 8 цифр. Его желательно сразу сменить, поскольку его могут расшифровать другие люди. Как сказано выше, такой метод публикации паролей сильно затрудняет поиски злоумышленников - ведь теперь чужие аськи может захватывать кто угодно, если он расшифровал пароль раньше хозяина.

Напомним, что это не первый вирус, который умеет разговаривать по мессенджеру. Еще в 2005 году был замечен червь IM.Myspace04.AIM, который аналогичным образом отшучивался в ответ на предположения о том, что он вирус ("lol no its not its a virus", говорил он). А в 2007 году прославился российский бот, который выманивал деньги с помощью разговоров о сексе.
http://www.webplanet.ru/news/securit.../20/piggy.html

----------


## Юльча

а выглядит этот вирус так же как на скрине?

----------

