# Форум на русском языке  > Новости  > Новости компьютерной безопасности  >  Вирус snatch.exe - В Рунете началась вирусная ICQ-эпидемия

## XeNuM

По ICQ стали распространять следующий файл:

Это вирус, крадет пароль ICQ и меняет его на свой сразу же.

*Информационный бюллетень о snatch.exe:
http://virusinfo.info/showthread.php?t=85613*

Вот репорт с VirusTotal:

_Antivirus results_
AhnLab-V3 - 2010.08.16.02 - 2010.08.16 - Malware/Win32.Generic 
AntiVir - 8.2.4.34 - 2010.08.16 - -
Antiy-AVL - 2.0.3.7 - 2010.08.16 - -
Authentium - 5.2.0.5 - 2010.08.16 - W32/Infostealer.A!Maximus 
Avast - 4.8.1351.0 - 2010.08.15 - -
Avast5 - 5.0.332.0 - 2010.08.15 - -
AVG - 9.0.0.851 - 2010.08.16 - -
BitDefender - 7.2 - 2010.08.16 - DeepScan:Generic.Malware.FPPkTkg.7388E5A8 
CAT-QuickHeal - 11.00 - 2010.08.16 - -
ClamAV - 0.96.0.3-git - 2010.08.16 - -
Comodo - 5758 - 2010.08.16 - -
DrWeb - 5.0.2.03300 - 2010.08.16 - -
Emsisoft - 5.0.0.37 - 2010.08.16 - Win32.SuspectCrc!IK 
eSafe - 7.0.17.0 - 2010.08.15 - -
eTrust-Vet - 36.1.7793 - 2010.08.16 - -
F-Prot - 4.6.1.107 - 2010.08.16 - W32/Infostealer.A!Maximus 
F-Secure - 9.0.15370.0 - 2010.08.16 - DeepScan:Generic.Malware.FPPkTkg.7388E5A8 
Fortinet - 4.1.143.0 - 2010.08.16 - -
GData - 21 - 2010.08.16 - DeepScan:Generic.Malware.FPPkTkg.7388E5A8 
Ikarus - T3.1.1.88.0 - 2010.08.16 - Win32.SuspectCrc 
Jiangmin - 13.0.900 - 2010.08.16 - -
Kaspersky - 7.0.0.125 - 2010.08.16 - -
McAfee - 5.400.0.1158 - 2010.08.16 - -
McAfee-GW-Edition - 2010.1 - 2010.08.16 - -
Microsoft - 1.6004 - 2010.08.16 - -
NOD32 - 5369 - 2010.08.16 - -
Norman - 6.05.11 - 2010.08.15 - -
nProtect - 2010-08-16.01 - 2010.08.16 - -
Panda - 10.0.2.7 - 2010.08.15 - Suspicious file 
PCTools - 7.0.3.5 - 2010.08.16 - -
Prevx - 3.0 - 2010.08.16 - -
Rising - 22.61.00.04 - 2010.08.16 - -
Sophos - 4.56.0 - 2010.08.16 - -
Sunbelt - 6740 - 2010.08.16 - Trojan.Win32.Generic!BT 
SUPERAntiSpyware - 4.40.0.1006 - 2010.08.16 - -
Symantec - 20101.1.1.7 - 2010.08.16 - -
TheHacker - 6.5.2.1.349 - 2010.08.16 - -
TrendMicro - 9.120.0.1004 - 2010.08.16 - -
TrendMicro-HouseCall - 9.120.0.1004 - 2010.08.16 - -
VBA32 - 3.12.14.0 - 2010.08.13 - -
ViRobot - 2010.8.16.3990 - 2010.08.16 - -
VirusBuster - 5.0.27.0 - 2010.08.15 - -
_File info:_
MD5: 058ebc415a27694b7cff3093cfaf2f4a
SHA1: b0f3ccd65414853eb120b01e1ad7fbf25fc59690
SHA256: 41e19d03853208caec30a3c6c9bffa038e6b03f0a021b24bba  c092dbdbff788c
File size: 938496 bytes
Scan date: 2010-08-16 11:39:59 (UTC)

MD5   : 058ebc415a27694b7cff3093cfaf2f4a
SHA1  : b0f3ccd65414853eb120b01e1ad7fbf25fc59690
SHA256: 41e19d03853208caec30a3c6c9bffa038e6b03f0a021b24bba  c092dbdbff788c
ssdeep: 12288:nXd+LIjfE/LpHIwRHmHpoAyco8BJ3y88j0/CQn3IZfnN:nXSQKL2wRHi1LW88OCe3K
File size : 938496 bytes
First seen: 2010-08-14 13:38:20
Last seen : 2010-08-16 11:39:59
TrID: 
Win32 Executable Borland Delphi 7 (66.6%)
Win32 Executable Borland Delphi 6 (26.1%)
InstallShield setup (4.2%)
Win32 Executable Delphi generic (1.4%)
Win32 Executable Generic (0.8%)
sigcheck: 
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
PEiD: BobSoft Mini Delphi -> BoB / BobSoft
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x7F4B4
timedatestamp....: 0x2A425E19 (Fri Jun 19 22:22:17 1992)
machinetype......: 0x14c (I386)

[[ 8 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
CODE, 0x1000, 0x7E51C, 0x7E600, 6.55, d78ea6492c93264eadaae1ceed20074f
DATA, 0x80000, 0x2C00, 0x2C00, 4.84, d44e68cf5d4c96329c627a69c4246158
BSS, 0x83000, 0x3C89, 0x0, 0.00, d41d8cd98f00b204e9800998ecf8427e
.idata, 0x87000, 0x2630, 0x2800, 4.89, c64a92d4df06da306828fe87901de092
.tls, 0x8A000, 0x10, 0x0, 0.00, d41d8cd98f00b204e9800998ecf8427e
.rdata, 0x8B000, 0x18, 0x200, 0.18, 24dad9c95f5615eda29f922c58522c15
.reloc, 0x8C000, 0x8EB0, 0x9000, 6.66, 2b5c34c2b127d7fcf5ab8231b305abbe
.rsrc, 0x95000, 0x58200, 0x58200, 6.14, 616c3a01e62f0b70559ed241670f42a1

[[ 16 import(s) ]]
kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, GetTickCount, QueryPerformanceCounter, GetVersion, GetCurrentThreadId, InterlockedDecrement, InterlockedIncrement, VirtualQuery, WideCharToMultiByte, MultiByteToWideChar, lstrlenA, lstrcpynA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLastError, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, ExitProcess, ExitThread, CreateThread, WriteFile, UnhandledExceptionFilter, SetFilePointer, SetEndOfFile, RtlUnwind, ReadFile, RaiseException, GetStdHandle, GetFileSize, GetFileType, CreateFileA, CloseHandle
user32.dll: GetKeyboardType, LoadStringA, MessageBoxA, CharNextA
advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey
oleaut32.dll: SysFreeString, SysReAllocStringLen, SysAllocStringLen
kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA
advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegFlushKey, RegCreateKeyExA, RegCloseKey
kernel32.dll: lstrcpyA, WriteFile, WinExec, WaitForSingleObject, VirtualQuery, VirtualAlloc, Sleep, SizeofResource, SetThreadLocale, SetFilePointer, SetEvent, SetErrorMode, SetEndOfFile, ResumeThread, ResetEvent, ReadProcessMemory, ReadFile, OpenProcess, MultiByteToWideChar, MulDiv, LockResource, LoadResource, LoadLibraryA, LeaveCriticalSection, InitializeCriticalSection, GlobalUnlock, GlobalSize, GlobalReAlloc, GlobalHandle, GlobalLock, GlobalFree, GlobalFindAtomA, GlobalDeleteAtom, GlobalAlloc, GlobalAddAtomA, GetVersionExA, GetVersion, GetUserDefaultLCID, GetTickCount, GetThreadLocale, GetTempPathA, GetSystemInfo, GetStringTypeExA, GetStdHandle, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLocalTime, GetLastError, GetFullPathNameA, GetFileSize, GetExitCodeThread, GetDiskFreeSpaceA, GetDateFormatA, GetCurrentThreadId, GetCurrentProcessId, GetCPInfo, GetACP, FreeResource, InterlockedIncrement, InterlockedExchange, InterlockedDecrement, FreeLibrary, FormatMessageA, FindResourceA, FindNextFileA, FindFirstFileA, FindClose, FileTimeToLocalFileTime, FileTimeToDosDateTime, EnumCalendarInfoA, EnterCriticalSection, DeleteFileA, DeleteCriticalSection, CreateThread, CreateFileA, CreateEventA, CompareStringA, CloseHandle
version.dll: VerQueryValueA, GetFileVersionInfoSizeA, GetFileVersionInfoA
gdi32.dll: UnrealizeObject, StretchBlt, SetWindowOrgEx, SetWinMetaFileBits, SetViewportOrgEx, SetTextColor, SetStretchBltMode, SetROP2, SetPixel, SetMapMode, SetEnhMetaFileBits, SetDIBColorTable, SetBrushOrgEx, SetBkMode, SetBkColor, SelectPalette, SelectObject, SaveDC, RestoreDC, Rectangle, RectVisible, RealizePalette, PlayEnhMetaFile, PatBlt, MoveToEx, MaskBlt, LineTo, LPtoDP, IntersectClipRect, GetWindowOrgEx, GetWinMetaFileBits, GetTextMetricsA, GetTextExtentPoint32A, GetSystemPaletteEntries, GetStockObject, GetPixel, GetPaletteEntries, GetObjectA, GetEnhMetaFilePaletteEntries, GetEnhMetaFileHeader, GetEnhMetaFileDescriptionA, GetEnhMetaFileBits, GetDeviceCaps, GetDIBits, GetDIBColorTable, GetDCOrgEx, GetCurrentPositionEx, GetClipBox, GetBrushOrgEx, GetBitmapBits, ExcludeClipRect, DeleteObject, DeleteEnhMetaFile, DeleteDC, CreateSolidBrush, CreatePenIndirect, CreatePalette, CreateHalftonePalette, CreateFontIndirectA, CreateEnhMetaFileA, CreateDIBitmap, CreateDIBSection, CreateCompatibleDC, CreateCompatibleBitmap, CreateBrushIndirect, CreateBitmap, CopyEnhMetaFileA, CloseEnhMetaFile, BitBlt
user32.dll: CreateWindowExA, WindowFromPoint, WinHelpA, WaitMessage, UpdateWindow, UnregisterClassA, UnhookWindowsHookEx, TranslateMessage, TranslateMDISysAccel, TrackPopupMenu, SystemParametersInfoA, ShowWindow, ShowScrollBar, ShowOwnedPopups, ShowCursor, SetWindowsHookExA, SetWindowTextA, SetWindowPos, SetWindowPlacement, SetWindowLongA, SetTimer, SetScrollRange, SetScrollPos, SetScrollInfo, SetRect, SetPropA, SetParent, SetMenuItemInfoA, SetMenu, SetForegroundWindow, SetFocus, SetCursor, SetClassLongA, SetCapture, SetActiveWindow, SendMessageA, ScrollWindow, ScreenToClient, RemovePropA, RemoveMenu, ReleaseDC, ReleaseCapture, RegisterWindowMessageA, RegisterClipboardFormatA, RegisterClassA, RedrawWindow, PtInRect, PostQuitMessage, PostMessageA, PeekMessageA, OffsetRect, OemToCharA, MsgWaitForMultipleObjects, MessageBoxA, MapWindowPoints, MapVirtualKeyA, LoadStringA, LoadKeyboardLayoutA, LoadIconA, LoadCursorA, LoadBitmapA, KillTimer, IsZoomed, IsWindowVisible, IsWindowEnabled, IsWindow, IsRectEmpty, IsIconic, IsDialogMessageA, IsChild, InvalidateRect, IntersectRect, InsertMenuItemA, InsertMenuA, InflateRect, GetWindowThreadProcessId, GetWindowTextA, GetWindowRect, GetWindowPlacement, GetWindowLongA, GetWindowDC, GetTopWindow, GetSystemMetrics, GetSystemMenu, GetSysColorBrush, GetSysColor, GetSubMenu, GetScrollRange, GetScrollPos, GetScrollInfo, GetPropA, GetParent, GetWindow, GetMessageTime, GetMenuStringA, GetMenuState, GetMenuItemInfoA, GetMenuItemID, GetMenuItemCount, GetMenu, GetLastActivePopup, GetKeyboardState, GetKeyboardLayoutList, GetKeyboardLayout, GetKeyState, GetKeyNameTextA, GetIconInfo, GetForegroundWindow, GetFocus, GetDesktopWindow, GetDCEx, GetDC, GetCursorPos, GetCursor, GetClipboardData, GetClientRect, GetClassNameA, GetClassInfoA, GetCapture, GetActiveWindow, FrameRect, FindWindowA, FillRect, EqualRect, EnumWindows, EnumThreadWindows, EndPaint, EnableWindow, EnableScrollBar, EnableMenuItem, DrawTextA, DrawMenuBar, DrawIconEx, DrawIcon, DrawFrameControl, DrawFocusRect, DrawEdge, DispatchMessageA, DestroyWindow, DestroyMenu, DestroyIcon, DestroyCursor, DeleteMenu, DefWindowProcA, DefMDIChildProcA, DefFrameProcA, CreatePopupMenu, CreateMenu, CreateIcon, ClientToScreen, CheckMenuItem, CallWindowProcA, CallNextHookEx, BeginPaint, CharNextA, CharLowerBuffA, CharLowerA, CharUpperBuffA, CharToOemA, AdjustWindowRectEx, ActivateKeyboardLayout
kernel32.dll: Sleep
oleaut32.dll: SafeArrayPtrOfIndex, SafeArrayGetUBound, SafeArrayGetLBound, SafeArrayCreate, VariantChangeType, VariantCopy, VariantClear, VariantInit
ole32.dll: CreateStreamOnHGlobal, IsAccelerator, OleDraw, OleSetMenuDescriptor, CoCreateInstance, CoGetClassObject, CoUninitialize, CoInitialize, IsEqualGUID
oleaut32.dll: GetErrorInfo, SysFreeString
comctl32.dll: ImageList_SetIconSize, ImageList_GetIconSize, ImageList_Write, ImageList_Read, ImageList_GetDragImage, ImageList_DragShowNolock, ImageList_SetDragCursorImage, ImageList_DragMove, ImageList_DragLeave, ImageList_DragEnter, ImageList_EndDrag, ImageList_BeginDrag, ImageList_Remove, ImageList_DrawEx, ImageList_Draw, ImageList_GetBkColor, ImageList_SetBkColor, ImageList_ReplaceIcon, ImageList_Add, ImageList_GetImageCount, ImageList_Destroy, ImageList_Create
wsock32.dll: WSACleanup, WSAStartup, WSAGetLastError, gethostbyname, socket, send, select, recv, inet_ntoa, inet_addr, htons, getsockopt, getpeername, connect, closesocket
Symantec reputation:Suspicious.Insight

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## olejah

Я его только что киберу скормил.

----------


## Pauls

клиенты уже начали валом звонить по этой проблеме

----------


## g0dl1ke

интересная тенденция: ни один Русский антивирь не среагировал, видно автор не из за "бугра"

кстати скорее всего вирус ворует icq номера, ждем новой волны слез ну и конечно новой волны спама

----------


## Pauls

кстати при удалении snatch.exe через удаление фала с диска в AVZ - создался файлик там же snatch.bak ! его удалил вручную просто.

----------


## rodocop

Тысячи пользователей стали жертвой нового ICQ-вируса Snatch, запустив пришедший к ним по сети ICQ одноименный .exe-файл. Вирусная эпидемия началась около полудня 16 августа; на момент написания заметки в блогосфере были сотни сообщений о вирусе...

http://lenta.ru/news/2010/08/16/icq/

----------


## anton_dr

Нефиг жамкать что нипопадя...

----------


## rodocop

Проморгал я - есть уже здесь тема:
http://virusinfo.info/showthread.php?t=85536

Звиняйте, и - можно тереть...

----------


## Karlson

похоже в ICQ выключили возможность смены пароля. ни у кого не получается поменять.. по крайней мере из квипа и через сайт..

----------


## antanta

> интересная тенденция: ни один Русский антивирь не среагировал, видно автор не из за "бугра"


 Вероятно, как буржуйских пользователей, так их антивирусы настораживает уже одно название (ну воистину - "биспалева").

----------


## SDA

еще есть хипс

----------


## Kuzz

http://www.anti-malware.ru/forum/ind...pic=14680&st=0

----------


## ALEX(XX)

Тысячи пользователей стали жертвой нового ICQ-вируса Snatch, запустив пришедший к ним по сети ICQ одноименный .exe-файл. Вирусная эпидемия началась около полудня 16 августа; на момент написания заметки в блогосфере были сотни сообщений о вирусе. После запуска snatch.exe вредоносная программа берет под свой контроль ICQ-аккаунт и рассылает по всему списку контактов свои копии. Настоятельно рекомендуется не принимать и не запускать этот файл. Так как в будущем название файла может измениться, стоит обратить внимание на его размер. В случае snatch.exe он составляет 916,5 килобайта. Захватив ICQ-аккаунт, вирус способен поддерживать короткий диалог с пользователями в списке контактов. Вот некоторые фразы, которым его обучили создатели: "глянь ))", "нет, глянь )))", "ну мини игра типа )", "привет!". Так как вирус распространяется в виде исполняемого файла .exe, в опасности находятся только пользователи Windows. Стоит отметить, что по состоянию на 16 августа большинство антивирусов не реагируют на данный файл. Согласно отчету Virus Total, snatch.exe опознали как вредоносную программу лишь 9 антивирусов из 42: Authentium, BitDefender, Emsisoft, F-Prot, F-Secure, GData, Ikarus, Panda и Sunbelt. В "Лаборатории Касперского" сообщили, что в случае заражения следует в диспетчере задач Windows удалить процесс с именем snatch.exe, после чего удалить само тело червя (скачанную программу) и по возможности сменить пароль от своей учетной записи ICQ. 
Подробности


uinc.ru

----------


## Зайцев Олег

Добавлю, что я изучал сегодня эту вирусяку, зловред действительно ведет "адаптивный диалог", например в ответ на фразу со словом "вирус" или "троян" будет ответ типа "нет, что ты ? как можно ?"  :Smiley:  Более того, в диалоге есть фраза "включи в настройках передачу файлов" для реагирования на фразы про ошибки - т.е. вирус рекомендует пользователю, как ему заразиться. В остальном все просто - пользователь должен сам запустить зловреда и эпидемия говорит о том, что получив ссылку и описание вида "ну мини игра типа" от знакомого контакта типовой пользователь тут-же принимает/загружает/запускает это не думая - что говорит о повальной компьютерной безграмотности. Зверь был немедленно внесен в базы ЛК и детектируется под именем IM-Worm.Win32.QiMiral.ax

----------


## amcenter

Вопрос. А как сработала проактивка или эвристика в домашних и корпоративных продуктах ЛК? В случае запуска были ли убедительные сигналы пользователям на подозрительное поведение или процессы? Говорят, что корпоративная версия молчала...

----------


## Зайцев Олег

> Вопрос. А как сработала проактивка или эвристика в домашних и корпоративных продуктах ЛК? В случае запуска были ли убедительные сигналы пользователям на подозрительное поведение или процессы? Говорят, что корпоративная версия молчала...


Этот зверь никуда особенно не внедряется, поэтому ожидать бурного реагирования HIPS/PDM на него не стоит (тем более что в корпоративной версии обычно диалог антивируса с пользователем вообще блокирован). У зверя высокий SR рейтинг (у меня на тесте он уверенно набрал 100%) - поэтому KIS при попытке запуска зверя должен его активно обругивать.

----------


## Kuzz

http://virusinfo.info/showthread.php?t=85536

А по ссылке на АМ (в той теме) можно увидеть реакцию KSN до прихода сигнатур

----------


## rdog

Тысячи пользователей стали жертвой нового ICQ-вируса Snatch, запустив пришедший к ним по сети ICQ одноименный .exe-файл.Вирусная эпидемия началась около полудня 16 августа.

Пользователи ICQ получают от уже зараженных пользователей из своего контакт-листа приглашение скачать файл Snatch.exe. Вирус опасен тем, что умеет маскироваться под "живого" собеседника — например, на вопрос "Что ты мне такое прислал, это вирус?" он отвечает "Нет, глянь", а на фразу "Уйди, бот" реагирует ответом "Сам ты бот".

Если пользователь поддается на уговоры робота и скачивает файл, Snatch крадет логин и пароль от мессенджера и рассылает приглашения людям из контакт-листа. По предварительным данным, жертвами вредоносной программы уже стали несколько тысяч человек.

Чтобы обезопасить компьютер, не следует принимать от других пользователей файл Snatch.exe (его размер — 916,5 КБ) и иные подозрительные исполняемые файлы — даже если их присылает хорошо знакомый человек.

Если заражение все-таки произошло, рекомендуется закрыть процесс Snatch.exe в диспетчере задач, удалить записи с именем Snatch.exe из реестра Windows, переустановить ICQ-клиент и обязательно сменить пароль. Если сменить пароль не удается, это можно сделать на сайте ICQ.

Стоит отметить, что по состоянию на 16 августа большинство антивирусов не реагируют на данный файл. Согласно отчету Virus Total, snatch.exe опознали как вредоносную программу лишь 9 антивирусов из 42: Authentium, BitDefender, Emsisoft, F-Prot, F-Secure, GData, Ikarus, Panda и Sunbelt.
http://www.securitylab.ru

*Добавлено через 5 минут*

В Рунете началась эпидемия очередного говорящего вируса, крадущего номера ICQ. Троян, который опознается лишь несколькими антивирусами (не российскими), рассылает себя по ICQ в виде файла snatch.exe. После того, как пользователь запустит файл, вредоносная программа захватывает его ICQ-клиент и рассылает свои копии по всему контакт-листу.

При этом троян умеет отвечать на вопросы пользователей фразами "нет, глянь )))" или "ну мини игра типа )" и другими. Некоторые ответы используют слова из вопроса, что очевидно увеличивает число пострадавших лохов.

Для лечения рекомендуются удалить файл Snatch.exe из списка процессов в диспетчере задач, а также из системного реестра. Кроме того, желательно поскорее восстановить пароль ICQ через icq.com (по своему почтовому адресу, на который зарегистрирована "аська").

Интересно, что в случае вопроса "ты бот?" робот отвечает "эээ… сам ты бот =\" Такой же фразой отвечал вирус Piggy, эпидемия которого случилась в Рунете в январе. Piggy тоже крал пароли ICQ, рассылая зараженный файл дальше по контакт-листу. При этом вирус менял пароль и записывал новый в зашифрованном виде прямо в информацию о владельце ICQ-аккаунта, в поле «О себе». Вероятно, это делалось для того, чтобы злоумышленники могли забирать пароли прямо с сайта icq.com и при этом их нельзя было вычислить.

По сходству ответов можно предположить, что Snatch - это родственник Piggy. Однако на данный момент "Вебпланете" неизвестно, прячет ли Snatch новые пароли таким же образом. В случае с Piggy схема расшифровки нового пароля была довольно простой. 
----------------------------------------------------------------------------------------------
Позавчера вечером пользователи ICQ подверглись атаке нового вируса Piggy.zip или H1N1, который крадет пароли и рассылает себя дальше по контакт-листу. Отличительная особенность заразы - вирус умеет отвечать на вопросы пользователей, убеждая их, что он не вирус. А украденные пароли он прячет прямо на icq.com - в поле "О себе" взломанного аккаунта.

Вирус приходит к пользователю от знакомого, который уже заражен. Он содержит предложение скачать файл Piggy.zip. В таких случаях пользователи уже могут заподозрить неладное и спросить у "приятеля", не является ли эта ссылка спамом или вирусом. Ранее вредоносные боты не умели отвечать на такие вопросы, и пользователь понимал, что это зараза.

Однако умный бот Piggy умеет отвечать. Увидав в вопросе слово "вирус", он говорит в ответ: "нет, это флешка про свинью, глянь  :Smiley: ". В случае вопроса "ты бот?" вирус может ответить "эээ… сам ты бот!"

Аналогичным образом он отшучивается и на другие вопросы, возвращая фразы со словами "спам", "троян" и другими. Поэтому все выглядит так, словно ссылку действительно прислал знакомый человек.

Другая особенность вируса: он меняет пароль от ICQ и записывает зашифрованный пароль в информацию о владельце ICQ-аккаунта, в поле «О себе». Вероятно, это делается для того, чтобы злоумышленники могли забирать пароли прямо с сайта icq.com (поскольку эти поля - открыты) и при этом их нельзя было вычислить (за этой информацией обращаются многие поисковые системы, можно заходить туда и вручную).

Владелец взломанной аськи может успеть вернуть себе пароль, если расшифрует поле «О себе» своего взломанного аккаунта (например, заглянув туда через другую аську). В данном поле содержится набор из нулей и единиц, их следует разбить на группы по 10 символов, и каждую группу перевести в одну цифру по данной таблице:

0100110010 - 1
0101100000 - 2
0101100010 - 3
0101100100 - 4
0101100110 - 5
0101101000 - 6
0101101010 - 7
0101101100 - 8
0101101110 - 9
0100110000 - 0

В результате можно узнать свой "новый пароль", сотоящий из 8 цифр. Его желательно сразу сменить, поскольку его могут расшифровать другие люди. Как сказано выше, такой метод публикации паролей сильно затрудняет поиски злоумышленников - ведь теперь чужие аськи может захватывать кто угодно, если он расшифровал пароль раньше хозяина.

Напомним, что это не первый вирус, который умеет разговаривать по мессенджеру. Еще в 2005 году был замечен червь IM.Myspace04.AIM, который аналогичным образом отшучивался в ответ на предположения о том, что он вирус ("lol no its not its a virus", говорил он). А в 2007 году прославился российский бот, который выманивал деньги с помощью разговоров о сексе.

http://www.webplanet.ru

----------


## Зайцев Олег

> http://virusinfo.info/showthread.php?t=85536
> 
> А по ссылке на АМ (в той теме) можно увидеть реакцию KSN до прихода сигнатур


Да, KSN сейчас четко отрабатывает в таких ситуациях, что дает оперативную защиту от подобного быстро распространяющегося зверья. Только что вышел апдейт баз AVZ с детектом этой заразы.
А вот так реагирует продукт без возможности выхода в Инет за счет высокого SR рейтинга зловреда:

----------


## ALEX(XX)

И первым же ответом будет да  :Cheesy:

----------


## SDA

КИС всегда выдавал алерты на потенциально опасные программы, ничего нового.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Зайцев Олег

> И первым же ответом будет да


Это если режиме интерактивный - в режиме "домохозяйки" будет "нет" или "ограничение".

----------

