PDA

Просмотр полной версии : Новая зараза...



Arkadiy
07.02.2007, 00:01
В агенте уже как неделю рассылаются сообщения такого типа:

Привет)) С праздничком тебя! :-)
otkpbltku.vu/love/2575/?A349551F523E737515
По этой ссылки пытается загрузится файл с именем happy.exe, похоже он собирает почтовые адреса и пороли от агента(и соответственно почты). Сам его не открывал, так что прошу знающих людей посмотреть эту заразу.

Ego1st
07.02.2007, 00:10
в закрытом я эту ссылку кидал, в тему про урлы..
http://forum.kaspersky.com/index.php?showtopic=30843

Jolly Rojer
07.02.2007, 12:33
Как уже не однократно было сказанно... не знаеш от кого не открывай а безжалостно мочи!

Arkadiy
07.02.2007, 14:40
Как уже не однократно было сказанно... не знаеш от кого не открывай а безжалостно мочи!

Это точно!

Я предполагаю, что эта рассылка является ответом спамеров на блокировку сообщений от собеседников, которые не находятся в контакт листе, тоесть сообщения просто не доходят. А этот зверь, будуче запущеным, рассылает себя дальше по всему контакт листу. Что мешает спамерам таким же образом рассылать потом спам?

eech
08.02.2007, 13:04
В теле программы есть адреса. Как почтовые так и сайтов. То ли отчеты по ним отправляет, то ли создатель хотел подставить сайт...

kuznetz
08.02.2007, 22:29
может быть, кто-нибудь пробовал (или может это сделать?) исследовать широко известные рассылки троянских приманок "Машка, меня пялили в две дырки"?

вот например сегодняшняя указывает на:
hhhp://flock0www.nm.ru/cgi-bin/dendolo.cgi/www.exe?session_id=Po2vIl9pal9gVUeThVZbecX0puddxoH x&file=/www.exe

Как насчет установить про эту штуку всё что можно? можно выйти на распространителей, хотя бы примерно, как вы думаете?

Ego1st
09.02.2007, 00:50
почему нет, если это троян то он отсылает куда-то пассы, а там куда он отсылает их кто-то забирает ну и т.д...

eech
09.02.2007, 06:32
На выходных попробую. Не знаю, что выйдет. У меня была идея - слать создателю ложные отчеты. :) Кстати, троян, указанный Аркадием проверяет машину на факт заражения. Значит есть возможность иммунизации машины? Кстати, пара идеек программистам:
1. Что если перехватить запуск программ из временной папки и при таких попытках спрашивать разрешения у пользователя? Эта папка - излюбленная для всякой ерунды...
2. Что если также перехватывать запросы CreateFile и FindFile и для наиболее посещаемых вирусами папок (system32) спрашивать разрешения пользователя? Для перехватчика можно создать список программ, которым это можно.
Идейки не Бог весть какие, но может пригодятся? Ведь так можно отбить и неизвестный вирус.

Кстати, если файл лежит на сервере в cgi-bin, есть шанс, что кликая по этой ссылке вы сольете вполне безобидный файл, но отправите серверу текущие куки, то есть грубо говоря свой пароль. :)

kuznetz
09.02.2007, 13:30
Спасибо. Будем надеяться.

Да, программировать антивирусы на профилактику - это перспективное направление. Это мысль.

Насчет программки мне пока известно вот что:
Скачивается не безобидная программа, а небольшой загрузчик 2-3 килобайта. Он уже тянет тело, 180 килобайт. Что дальше - я выяснить не могу, толку не хватает

Скажите пожалуйста, каким образом получается, что серверу отправляются текущие куки? все что ли куки какие есть на компьютере у данного пользователя? как это?

Geser
09.02.2007, 13:49
Кстати, если файл лежит на сервере в cgi-bin, есть шанс, что кликая по этой ссылке вы сольете вполне безобидный файл, но отправите серверу текущие куки, то есть грубо говоря свой пароль. :)
Глупости. Куки передаются только для домена к которому произошло обращение.

eech
09.02.2007, 14:40
Возможно и глупости, но... Можно посмотреть хотя бы хттп://old.antichat.ru/sniff

Блин, не хватает тяму. :( Или червь брезгает моей машиной по причине отсутствия мэйл агента, либо я что-то делаю не так. Нахрапом не выходит. Виртуальную машину ставить некуда - тесно.
Если не вернусь в инет - считайте мазохистом. :)

maXmo
10.02.2007, 01:23
ну и как видно из примера, так можно стибрить куки только если атакуемый сайт уязвим к инжекции кода

pig
10.02.2007, 02:18
Ну, ещё периодически всплывают уязвимости в браузерах. Типа XSS information disclosure. Про куки тоже бывало.

Djois
12.02.2007, 20:12
Если проследить с пом. проги куда уходят пакеты и айпи адрес то можно в эти пакеты всунуть.........всё что угодно.



[email protected]

Marija
15.02.2007, 20:49
У меня на днях произошла подобная ситуация, только сообщение я получила по ICQ.



Hi, you've just received a postcard.


To view the postcard click this link or copy it to your browser's address bar.
038.uidjeinhfdunhdasetuoon.com/2/5586/

По ссылке я естественно не заходила, НО проблемма в том что ICQ я использую только по работе и в контакт листе у меня только коллеги из других фирм, жутко деловые люди которые подобной фигнёй страдать не будут! Вообщем получила я это сообщение, да и забыла про него. Через час получаю то же сообщение только уже от другого человека, потом ещё от другого и так за три дня я получила 5-6 подобных открыток. Потом уже не выдержа и спрашиваю у одного, мол чего спам рассылаеш, а он и понятия не имеет о чём это я и вообще такого сообщения у себя не видит!
Теперь внимание, вопрос: Что делать???
Просто совершенно не хочется чтоб меня использовали как спаморассылалку.:)

Geser
15.02.2007, 21:23
Теперь внимание, вопрос: Что делать???
Посоветовать им наш форум, пусть приходят лечиться

kuznetz
15.02.2007, 21:23
В данном случае никак нельзя сказать "спаморассылалку".
Можно лишь говорить о "спамополучалку".

Спаморассылалками стали Ваши корреспонденты, потому что, в отличие от Вас, были настолько наивны, что зашли по присланной им ссылке.

Вам ничего не грозит. Если не заходить по ссылке. А Вашим корреспондентам следует вылечиться от попавшего к ним вируса и синдрома Дауна :))) в каждой шутке доля истины

Ситуация достаточно простая. И достаточно распространенная

Jolly Rojer
16.02.2007, 12:34
Посоветовать им наш форум, пусть приходят лечиться

Согласен ! Однозначно им сюда! А заодно и антивиры если есть повыкидывать на помойку!

Marija
06.03.2007, 00:25
Сегодня в почтовом ящике обнаружила новую заразу.


, 26 wF
2007 18:00:58 +0200
From: [email protected]
Mime-Version: 1.0
To:
Subject: Mail server report.
Content-Type: multipart/mixed;
boundary="-----------21B493CB25A0BDEB"

-------------21B493CB25A0BDEB
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: 7bit

Mail server report.

Our firewall determined the e-mails containing worm copies are being sent from your computer.

Nowadays it happens from many computers, because this is a new virus type (Network Worms).


Using the new bug in the Windows, these viruses infect the computer unnoticeably.
After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail
addresses

Please install updates for worm elimination and your computer restoring.

Best regards,
Customers support service

-------------21B493CB25A0BDEB
Content-Type: APPLICATION/OCTET-STREAM; name="Update-KB4890-x86.zip"
Content-transfer-encoding: base64
Content-Disposition: attachment; filename="Update-KB4890-x86.zip"

[cut]


-------------21B493CB25A0BDEB--


Такие же сообщения пришли и на другие почтовые ящики в inbox.lv,
с разных адресов.
Это что?

Ego1st
06.03.2007, 00:30
это варезов скорее всего..

Marija
06.03.2007, 01:06
Вот ещё хотела спросить, мне месяца два назад, пришло сообщение от Яндекса от том что моя компания была зарегестрированна в системе Яндекс-деньги и поступили жалобы от пользователей о том что я их "кидаю". В никакой российской системе, как и в любой другой, моя компания не зарегистрирована!
Что это было и что с этим делать?

TauruS
06.03.2007, 09:42
Update-KB4890-x86.zip - это Email-Worm.Win32.Warezov.ls.
Win32:Warezov-AAV
Win32:Warezov-BDK
однозначно.
такую ж хренотень на майлру цепанул намедни. задолбался выковыривать.
тут подробнее http://virusinfo.info/showthread.php?t=8277

pig
06.03.2007, 18:17
Вот ещё хотела спросить, мне месяца два назад, пришло сообщение от Яндекса от том что моя компания была зарегестрированна в системе Яндекс-деньги и поступили жалобы от пользователей о том что я их "кидаю". В никакой российской системе, как и в любой другой, моя компания не зарегистрирована!
Что это было и что с этим делать?
Одно из двух - или это был не Яндекс, а развод для лохов, или кто-то из мошенников поработал от вашего имени. А делать, наверное, уже поздно.
Я бы попытался выяснить, какой вариант имеет место быть. Во втором случае, конечно, нужен официальный ответ администрации Яндекса.