PDA

Просмотр полной версии : Будьте осторожны: спам с неприятным секретом



SDA
03.03.2007, 13:26
"Лаборатория Касперского" сообщила о перехвате нетипичной спам-рассылки. Перехваченные графические спамовые письма необычны тем, что в них, кроме основного английского текста, призывающего срочно покупать акции некой сомнительной компании, содержится фраза на ломаном русском языке "ОТПИСАТЬ ОТ РАССЫЛКИ МОЖНО ЗДЕСЬ" и ссылка на страницу, с которой пользователь перенаправляется на сайт, содержащий вредоносный код.

В том случае, если письмо получает русскоговорящий пользователь, в действие вступают механизмы социальной инженерии: получатель письма с очень высокой степенью вероятности постарается отписаться от раздражающей рассылки и пройдет по указанному в сообщении адресу. В результате на компьютер пользователя загружается троянская программа Trojan-Downloader.JS.Small.dz, которая, в свою очередь, устанавливает программу-шпион Trojan-Spy.Win32.Goldun.ms, целенаправленно ворующую номера счетов и пароли платежной системы e-gold.

Таким образом, данная спамовая рассылка ориентирована одновременно на две целевые аудитории: англоязычную, потенциально заинтересованную в покупке акций, и русскоязычную, которая при попытке отписаться от назойливой рассылки заражается вредоносной программой-шпионом. Учитывая, что именно русскоязычные пользователи подвергаются наибольшей опасности при получении таких писем, можно предположить, что именно они и являются основной целью спамеров.

Троянская программа Trojan-Spy.Win32.Goldun.ms имеет особенность: она предназначена для кражи пользовательских паролей для одной определенной платежной системы.

Обнаруженная спам-рассылка является еще одним ярким примером тесного симбиоза спамеров и вирусописателей, которые распространяют вредоносные программы вместе с рекламой сомнительных товаров и услуг. Пользователям рекомендуется быть внимательными и не открывать письма от неизвестных адресатов. Дополнительную информацию можно получить на сайте Viruslist. http://www.viruslist.com/ru/viruses/encyclopedia?virusid=135929

kuznetz
08.03.2007, 20:55
Боюсь, что дело несколько хуже:
это не хитрые заграничные спамеры придумали приманку на русском языке в свой спам. Не похоже. Хотя конечно могу и ошибаться

Это наши русские спамеры по подряду занимаются в том числе рассылкой спама заграничных спамерских контор. Это уже транснациональный бизнес. Которому к тому же способствует, что в заграничных спамерских конторах работают тоже наши люди. Как говорится, "в общественном парижском туалете есть надписи на русском языке"

Прошу помочь в идентификации очередной спам-приманки, вот только что пришла. На обсуждаемую в этой теме она похожа скорее всего тем, что это тоже троянская приманка. Но это пока предположение. Сам проверить не решаюсь: опыта чтобы наверняка не залететь - маловато. Когда захожу туда с отключенной Явой - просто ничего не показывает и ничего не делает. А зайти с включенной Явой - боязно. Помогите, кто силен. Вот такая спам-приманка пришла (текст как всегда рассчитан на полных идиотов):

Привет!
давай знакомиться
Только для секса - все города России
Нас много - это новая реклама...
Все бесплатно!!!
http://85.21.236.107

хост этот, млин, находится в сети Корбина. Взломан видимо не позднее 4 марта (первый раз спам получил оттуда тогда), и сидит во многих черных списках. Поэтому прошу также помочь - поддержать телегами на [email protected]. Особенно если вы обнаружите загрузку троянов там.

По косвенным признакам предполагаю, что раздачей этого трояна там занимается та же контора, которая занимается рассылками через агент @Mail.ru. То есть спамерская банда под условным названием ИнформЦентр. Прошу помочь

SuperBrat
08.03.2007, 21:21
http://85.21.236.107

Обычный сайт знакомств, имхо. Ничего оттуда не прыгнуло даже при включенной Яве. Может, уже все в прошлом и поправлено хостером?

kuznetz
09.03.2007, 09:48
Спасибо! Но хотелось бы уточнить - как Вы определяете, что ничего не прыгнуло? Антивирус может не взять. Это легко может быть.
Я думал, что сниферить все контакты IE требуется, чтобы определить, прыгнуло или нет.

Дело в том, что этот хост сидит снова в списках CBL и прочих с 8 марта. За это время хостер поправить не мог.

То есть сокс на этом хосте по-прежнему работает. Поэтому сомнительно, что там в остальном всё в порядке.

SuperBrat
09.03.2007, 12:57
Спасибо! Но хотелось бы уточнить - как Вы определяете, что ничего не прыгнуло? Антивирус может не взять. Это легко может быть.
Я думал, что сниферить все контакты IE требуется, чтобы определить, прыгнуло или нет.

Дело в том, что этот хост сидит снова в списках CBL и прочих с 8 марта. За это время хостер поправить не мог.

То есть сокс на этом хосте по-прежнему работает. Поэтому сомнительно, что там в остальном всё в порядке.

Вы правы, моя проверка субъективна и не претендует на комплексный анализ. Антивирус (+последние обновления Windows) ничего не обнаружил, и это дает мне 90-99% процентов гарантии. После похода на сайт проверил систему с последним AVZ (базы тоже последние): чисто. Во время посещения не всплывали подозрительные окна, не запускалась закачка каких-либо файлов. Сообщений об ошибках от браузера тоже не было. Если, kuznetz, вы считаете что этого мало, то обратитесь к хостеру. Пусть он посмотрит.

kuznetz
09.03.2007, 17:41
Спасибо. Да, конечно, к хостеру обратился. Но не по поводу возможной раздачи троянов - у хостера и так головняка хватает, чтобы еще и проверять предположения.

Обратился по поводу просто спама.

Необнаружение трояна вызывает сомнения понимаете почему - вот почему: кто же будет поднимать и раскручивать сайт знакомств по IP-адресу, даже без доменного имени? это крайне не похоже на реальность. Поэтому и думаю, что это троянская приманка должна быть

kuznetz
26.03.2007, 23:04
Выясняются любопытные детали.

Действительно ничего не прыгнуло. Спасибо за проверку этого сайта, и прошу извинить за занудство.

Любопытная деталь вот в чем: не запрыгнуло, потому что там было - просто редирект на сайт loveplanet.ru
совершенно случайно это заметил :)

То есть тот сайт знакомств, который размещается по адресу проблемного компьютера http://85.21.236.107 - это просто loveplanet.ru, а на компе 85.21.236.107 - редирект туда.

Однако это только полдела.
Сегодня спам с компа 85.21.236.107 насчет сайтов знакомств повалил снова. Рекламируются там все те же редиректы на loveplanet, только находящиеся не на самом этом компе, как в прошлый раз (хотя редирект этот там по-прежнему есть и сегодня), а в других местах. Экземпляр спама прилагаю.

Возникает тяжелый вопрос к loveplanet.ru - похоже, это они рекламируют себя посредством спама. И рекламируют, надо понимать, уже с 8 марта, поскольку первый раз было замечено тогда