# Форум на русском языке  > Новости  > Новости компьютерной безопасности  >  Ложная служба поддержки «Одноклассников.ру» рассылает спам

## ALEX(XX)

В Рунете была обнаружена массовая рассылка спам-писем, якобы от службы поддержки «Одноклассников.ру». Как сообщили специалисты из «Лаборатории Касперского», в письмах говорится о том, что получателю пришло письмо от одного из пользователей социальной сети, которое можно просмотреть, перейдя по предлагаемой ссылке (odnoklassniks.info/***). Также в письме пишется «вы получили это письмо, потому что зарегистрированы на odnoklassniki.ru; вы можете настроить отправку уведомлений о новых сообщениях в разделе «Моя страница», «Мои настройки»». Интересно, что в настоящих письмах от службы поддержи социальной сети всегда добавляется фраза «Если Вы считаете, что данное сообщение послано Вам ошибочно, просто проигнорируйте его, и все данные будут автоматически удалены». Однако, в спам-письмах этого нет. Как передает «РБК», в «Лаборатории Касперского» отмечают, что при переходе по указанной ссылке ПК обращается в серверу, размещенному в Малайзии, но дальше запрос обращается к настоящему сайту «Одноклассники.ру». Причем не было обнаружено распространения троянов или других вредоносных программ. Однако компания «Доктор Веб», которая также зафиксировала эту спам-рассылку, отмечает, что при переходе по указанной ссылке, пользователь скачивает троян, который определяется антивирусом Dr.Web как Trojan.DownLoader.62860. Причем, в компании также отмечают, что сайт odnoklassniks.info был перегружен запросами пользователей и был не доступен.
Источник

uinc.ru

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Alex_Goodwin

Trojan.Win32.Agent.qxk

----------


## SDA

Добавлю:
Сигнатура троянской программы Trojan.Win32.Agent.qxk была добавлена в
антивирусные базы "Лаборатории Касперского" сразу после ее
обнаружения вирусными аналитиками компании. Кроме того, сайт
www.odnoklassniks.info был включен в "черный список" "Лаборатории
Касперского", что позволяет блокировать к нему доступ тех пользователей,
которые решили перейти по подложной ссылке, содержащейся в спамовом
письме.

А  "Доктор Веб" сообщает, что ....Пользователям антивируса Dr.Web указанные вирусы не страшны и вообще, тот же Win32.Ntldrbot (aka Rustock.C) - Почти месяц прошел со дня изготовления противоядия, но до сих пор Dr.Web - единственный антивирус, который способен не только детектировать, но и лечить зараженные Win32.Ntldrbot ПК.  :Smiley:  http://info.drweb.com/show/3383/ru почуствуйте разницу ....Процедуры детектирования и лечения зараженных файлов были выпущены «Лабораторией Касперского» 20 мая 2008 года (через 8 дней после начала исследования).
Возможность детектирования активного руткита в зараженной системе и лечения зараженных файлов полностью реализована в новой версии нашего антивируса — KAV\KIS 2009. http://www.viruslist.com/ru/analysis?pubid=204007614 
Скромняга Dr.Web  :Smiley:

----------


## Зайцев Олег

> Trojan.Win32.Agent.qxk


Указанный зловред имеет размер 8 кб, упакован. В случае запуска скрытно копирует WINDOWS\system32\userinit.exe под именем WINDOWS\system32\userini.exe (в имени файла не хватает буквы t на хвосте), после чего копирует свой исполняемый файл под именем WINDOWS\system32\userinit.exe, затирая системный. Соответственно в результате он получает управление, загружаясь вместо системного объекта. Подмена объекта видна в логах AVZ - он показывает неопознанный по базе безопасных объект автозапуска userinit.exe, запускаемый при помощи ключа HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit. Соответственно запустившись зловред запем запускает переименованный системный компонент (файл userini.exe), создав предварительно троянский поток. После выполнения данных операций процесс зловреда завершается. В случае удаления трояна в процессе лечения срабатывает защита системных файлов Windows и предлагает вставить диск для того, чтобы восстановить удаленный userinit.exe из дистрибутива - лучше последовать совету системы, *иначе в противном случае система перестанет загружаться* !!

----------


## SDA

Монитор перехватит?

----------


## Зайцев Олег

> Монитор перехватит?


да, KAV\KIS любой версии например ловит его сигнатурно и не даст ему запуститься и набезобразничать в системе.

----------

