Просмотр полной версии : Новая зараза...
В агенте уже как неделю рассылаются сообщения такого типа:
Привет)) С праздничком тебя! :-)
otkpbltku.vu/love/2575/?A349551F523E737515
По этой ссылки пытается загрузится файл с именем happy.exe, похоже он собирает почтовые адреса и пороли от агента(и соответственно почты). Сам его не открывал, так что прошу знающих людей посмотреть эту заразу.
в закрытом я эту ссылку кидал, в тему про урлы..
http://forum.kaspersky.com/index.php?showtopic=30843
Jolly Rojer
07.02.2007, 12:33
Как уже не однократно было сказанно... не знаеш от кого не открывай а безжалостно мочи!
Как уже не однократно было сказанно... не знаеш от кого не открывай а безжалостно мочи!
Это точно!
Я предполагаю, что эта рассылка является ответом спамеров на блокировку сообщений от собеседников, которые не находятся в контакт листе, тоесть сообщения просто не доходят. А этот зверь, будуче запущеным, рассылает себя дальше по всему контакт листу. Что мешает спамерам таким же образом рассылать потом спам?
В теле программы есть адреса. Как почтовые так и сайтов. То ли отчеты по ним отправляет, то ли создатель хотел подставить сайт...
может быть, кто-нибудь пробовал (или может это сделать?) исследовать широко известные рассылки троянских приманок "Машка, меня пялили в две дырки"?
вот например сегодняшняя указывает на:
hhhp://flock0www.nm.ru/cgi-bin/dendolo.cgi/www.exe?session_id=Po2vIl9pal9gVUeThVZbecX0puddxoH x&file=/www.exe
Как насчет установить про эту штуку всё что можно? можно выйти на распространителей, хотя бы примерно, как вы думаете?
почему нет, если это троян то он отсылает куда-то пассы, а там куда он отсылает их кто-то забирает ну и т.д...
На выходных попробую. Не знаю, что выйдет. У меня была идея - слать создателю ложные отчеты. :) Кстати, троян, указанный Аркадием проверяет машину на факт заражения. Значит есть возможность иммунизации машины? Кстати, пара идеек программистам:
1. Что если перехватить запуск программ из временной папки и при таких попытках спрашивать разрешения у пользователя? Эта папка - излюбленная для всякой ерунды...
2. Что если также перехватывать запросы CreateFile и FindFile и для наиболее посещаемых вирусами папок (system32) спрашивать разрешения пользователя? Для перехватчика можно создать список программ, которым это можно.
Идейки не Бог весть какие, но может пригодятся? Ведь так можно отбить и неизвестный вирус.
Кстати, если файл лежит на сервере в cgi-bin, есть шанс, что кликая по этой ссылке вы сольете вполне безобидный файл, но отправите серверу текущие куки, то есть грубо говоря свой пароль. :)
Спасибо. Будем надеяться.
Да, программировать антивирусы на профилактику - это перспективное направление. Это мысль.
Насчет программки мне пока известно вот что:
Скачивается не безобидная программа, а небольшой загрузчик 2-3 килобайта. Он уже тянет тело, 180 килобайт. Что дальше - я выяснить не могу, толку не хватает
Скажите пожалуйста, каким образом получается, что серверу отправляются текущие куки? все что ли куки какие есть на компьютере у данного пользователя? как это?
Кстати, если файл лежит на сервере в cgi-bin, есть шанс, что кликая по этой ссылке вы сольете вполне безобидный файл, но отправите серверу текущие куки, то есть грубо говоря свой пароль. :)
Глупости. Куки передаются только для домена к которому произошло обращение.
Возможно и глупости, но... Можно посмотреть хотя бы хттп://old.antichat.ru/sniff
Блин, не хватает тяму. :( Или червь брезгает моей машиной по причине отсутствия мэйл агента, либо я что-то делаю не так. Нахрапом не выходит. Виртуальную машину ставить некуда - тесно.
Если не вернусь в инет - считайте мазохистом. :)
ну и как видно из примера, так можно стибрить куки только если атакуемый сайт уязвим к инжекции кода
Ну, ещё периодически всплывают уязвимости в браузерах. Типа XSS information disclosure. Про куки тоже бывало.
Если проследить с пом. проги куда уходят пакеты и айпи адрес то можно в эти пакеты всунуть.........всё что угодно.
[email protected]
У меня на днях произошла подобная ситуация, только сообщение я получила по ICQ.
Hi, you've just received a postcard.
To view the postcard click this link or copy it to your browser's address bar.
038.uidjeinhfdunhdasetuoon.com/2/5586/
По ссылке я естественно не заходила, НО проблемма в том что ICQ я использую только по работе и в контакт листе у меня только коллеги из других фирм, жутко деловые люди которые подобной фигнёй страдать не будут! Вообщем получила я это сообщение, да и забыла про него. Через час получаю то же сообщение только уже от другого человека, потом ещё от другого и так за три дня я получила 5-6 подобных открыток. Потом уже не выдержа и спрашиваю у одного, мол чего спам рассылаеш, а он и понятия не имеет о чём это я и вообще такого сообщения у себя не видит!
Теперь внимание, вопрос: Что делать???
Просто совершенно не хочется чтоб меня использовали как спаморассылалку.:)
Теперь внимание, вопрос: Что делать???
Посоветовать им наш форум, пусть приходят лечиться
В данном случае никак нельзя сказать "спаморассылалку".
Можно лишь говорить о "спамополучалку".
Спаморассылалками стали Ваши корреспонденты, потому что, в отличие от Вас, были настолько наивны, что зашли по присланной им ссылке.
Вам ничего не грозит. Если не заходить по ссылке. А Вашим корреспондентам следует вылечиться от попавшего к ним вируса и синдрома Дауна :))) в каждой шутке доля истины
Ситуация достаточно простая. И достаточно распространенная
Jolly Rojer
16.02.2007, 12:34
Посоветовать им наш форум, пусть приходят лечиться
Согласен ! Однозначно им сюда! А заодно и антивиры если есть повыкидывать на помойку!
Сегодня в почтовом ящике обнаружила новую заразу.
, 26 wF
2007 18:00:58 +0200
From:
[email protected]
Mime-Version: 1.0
To:
Subject: Mail server report.
Content-Type: multipart/mixed;
boundary="-----------21B493CB25A0BDEB"
-------------21B493CB25A0BDEB
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: 7bit
Mail server report.
Our firewall determined the e-mails containing worm copies are being sent from your computer.
Nowadays it happens from many computers, because this is a new virus type (Network Worms).
Using the new bug in the Windows, these viruses infect the computer unnoticeably.
After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail
addresses
Please install updates for worm elimination and your computer restoring.
Best regards,
Customers support service
-------------21B493CB25A0BDEB
Content-Type: APPLICATION/OCTET-STREAM; name="Update-KB4890-x86.zip"
Content-transfer-encoding: base64
Content-Disposition: attachment; filename="Update-KB4890-x86.zip"
[cut]
-------------21B493CB25A0BDEB--
Такие же сообщения пришли и на другие почтовые ящики в inbox.lv,
с разных адресов.
Это что?
это варезов скорее всего..
Вот ещё хотела спросить, мне месяца два назад, пришло сообщение от Яндекса от том что моя компания была зарегестрированна в системе Яндекс-деньги и поступили жалобы от пользователей о том что я их "кидаю". В никакой российской системе, как и в любой другой, моя компания не зарегистрирована!
Что это было и что с этим делать?
Update-KB4890-x86.zip - это Email-Worm.Win32.Warezov.ls.
Win32:Warezov-AAV
Win32:Warezov-BDK
однозначно.
такую ж хренотень на майлру цепанул намедни. задолбался выковыривать.
тут подробнее http://virusinfo.info/showthread.php?t=8277
Вот ещё хотела спросить, мне месяца два назад, пришло сообщение от Яндекса от том что моя компания была зарегестрированна в системе Яндекс-деньги и поступили жалобы от пользователей о том что я их "кидаю". В никакой российской системе, как и в любой другой, моя компания не зарегистрирована!
Что это было и что с этим делать?
Одно из двух - или это был не Яндекс, а развод для лохов, или кто-то из мошенников поработал от вашего имени. А делать, наверное, уже поздно.
Я бы попытался выяснить, какой вариант имеет место быть. Во втором случае, конечно, нужен официальный ответ администрации Яндекса.
vBulletin® v4.2.5, Copyright ©2000-2024, Jelsoft Enterprises Ltd. Перевод: zCarot