Показано с 1 по 20 из 20.

Новый метод распространения троянов

  1. #1
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,235
    Вес репутации
    3390

    Exclamation Новый метод распространения троянов

    Сегодня я наблюдал новую методику "впаривания" троянской программы LdPinch. Сегодня мне по почте прислали следующее письмо с адреса greetings@mail.ru (адрес подделан):
    На Ваше имя пришла открытка!
    Вы можете увидеть ее:
    хттп://postcardz.hotmail.ru/h95uiv5sd49rt/getid=uf56ws40hnc5/postcard.scr
    Открытку можно просмотреть в течение 90 дней.
    Эта услуга абсолютно бесплатна! Приятного просмотра!
    __________________________________________________ __________
    Открытки@Mail.Ru. Обрадуй друзей!
    http://cards.mail.ru/
    Почтовые антивири такое письмо естественно пропускают, т.к. вложений, скриптов и прочего там - простое текстовое письмо. Текстовка типовая для открыток сервиса mail.ru. Если внимательно посмотреть на адрес "открытки", то легко заметить, что он ссылается на файл postcard.scr. Если скачать и посмотреть данный файлик, то обнаружится, что это Trojan-PSW.Win32.LdPinch.pq, сжатый FSG. Собственно, дальше смешнее - в подписи указан адрес http://cards.mail.ru/ (это правильный адрес службы открыток), а вот в ссылке - postcardz.hotmail.ru - это просто сайт с именем postcardz на халявном хостинке hotmail.ru.
    Выводы:
    1. Начинающий юзер может запросто щелкнуть такую ссылку и заполучить трояна, мало кто из пользователей будет внимательно анализировать адрес в ссылке - в службам открыток все привыкли ...
    2. Админам сетей стоит внести postcardz.hotmail.ru в черные списки для блокирования данной заразы ... плюс не повредит проанализировать логи прокси
    -------
    Подобная методика естественно не является новой - я уже много раз видел подобное, но с такой "качественной" маскировкой из области социальной инженерии еще ничего не попадалось. Адрес "кулхацкера" - vitraz@bk.ru, отправка письма идет через сервис mail.ru ... Интересной особенностью этой разновидности трояна является то, что он имитирует
    открытие "открытки", отображая на экране какую-то картинку
    Последний раз редактировалось Зайцев Олег; 20.06.2005 в 08:41.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    550
    Не такой он и новый, я впервые с этим "ноу-хау" столкнулся пару месяцев назад. Ну в этот раз фальшивка действительно достойна похвалы.

    А вот "это" уже не сильно "радует" ... половина пока ещё не в курсе
    AntiVir 6.31.0.7 06.17.2005 no virus found
    AVG 718 06.14.2005 no virus found
    Avira 6.31.0.7 06.17.2005 no virus found
    BitDefender 7.0 06.20.2005 BehavesLike:Trojan.FirewallBypass
    ClamAV devel-20050501 06.19.2005 Trojan.LdPinch-19
    DrWeb 4.32b 06.19.2005 Trojan.PWS.LDPinch.438
    eTrust-Iris 7.1.194.0 06.19.2005 no virus found
    eTrust-Vet 11.9.1.0 06.17.2005 no virus found
    Fortinet 2.35.0.0 06.18.2005 suspicious
    Ikarus 2.32 06.18.2005 no virus found
    Kaspersky 4.0.2.24 06.20.2005 Trojan-PSW.Win32.LdPinch.pq
    McAfee 4516 06.17.2005 no virus found
    NOD32v2 1.1145 06.18.2005 a variant of Win32/PSW.LdPinch
    Norman 5.70.10 06.17.2005 W32/EMailWorm
    Panda 8.02.00 06.19.2005 no virus found
    Sybari 7.5.1314 06.20.2005 W32/EMailWor
    Symantec 8.0 06.19.2005 no virus found
    TheHacker 5.8-3.0 06.20.2005 Posible_Worm32
    VBA32 3.10.3 06.20.2005 suspected of Trojan.LdPinch.3

  4. #3
    Geser
    Guest
    VBA32 Пинча эвристиком детектит железно

  5. #4
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    55
    >VBA32 Пинча эвристиком детектит железно
    там если прогладется - детектить можно лехко... ибо никто там не меняет код получения паролей... поэтому можно легко ловить пинча по например - грабберилке паролей от Миринда
    Всего один дурной бит - и гигабайты лежат в маразме.
    Скажи мне свою OS и я скажу тебе КТО ты.

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,235
    Вес репутации
    3390
    Интересно, но у методики есть продолжение
    You have received a greeting card!

    You`ll see the personal greeting by using the following
    web location

    http://uploadhut.com/view.php/171295.scr

    Your greeting card will be available for the next 90 days.
    There is no charge for this service. Have fun!
    и
    На Ваше имя пришла открытка!
    Вы можете увидеть ее:

    http://uploadhut.com/view.php/171295.scr

    Открытку можно просмотреть в течение 90 дней.
    Эта услуга абсолютно бесплатна! Приятного просмотра!
    __________________________________________________ __________
    Открытки@Mail.Ru. Обрадуй друзей!
    http://cards.mail.ru/
    __________________________________________________ __________
    171295.scr упакован FSG и KAV его уже не ловит (поправка - теперь видит - Trojan-PSW.Win32.LdPinch.pw) ...
    Самое анекдотичное в том, что все они идут с одного адреса где-то в Сочи,
    это этот же самый пинч, и шлет он пароли на тот-же адрес - vitraz@bk.ru
    Последний раз редактировалось Зайцев Олег; 22.06.2005 в 15:21.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1642
    А давно так на virusscan? :
    Norman Virus Control -
    Found Sandbox: W32/EMailWorm; [ General information ]

    * File might be compressed.
    * File length: 13824 bytes.

    [ Changes to filesystem ]
    * Creates file C:\temp\ole320.

    [ Changes to registry ]
    * Reads value "SMTP Email Address"="" in key "HKCU\Software\Microsoft\Internet Account Manager\Accounts\unreal".

    [ Changes to system settings ]
    * Read RAS entry properties.

    [ Network services ]
    * Connects to "194.67.23.114" on port 25 (TCP).
    * **Connects SMTP server.

    [ Spreading through EMail ]
    * To : vitraz@bk.ru.
    * From : .
    * Subject: Passes from FAKE.
    * Mass-mailer; spreads through SMTP.

    [ Process/window information ]
    * Enumerates running processes.

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,235
    Вес репутации
    3390
    Давно - но срабатывает не всегда ...

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1642
    На 17,00 Dr.Web®
    171295.scr обнаружен вирус Trojan.PWS.LDPinch.442

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.06.2005
    Адрес
    Darkness of Moscow
    Сообщений
    2,754
    Вес репутации
    1727
    Мммм.. ну теперь понятно откуда на компе вирус... Открытка блин... Жаль письмо не сохранила... Там уже новая версия трояна - Trojan-PSW.Win32.LdPinch.pc
    Каспер её тока сегодня увидел, хотя вирус на компе уже минимум неделю... Причем в касперском есть тока название... Лечить он эту штуку не умеет...
    Кто-нибудь знает как вылечится??? У меня этот гад прописался в C:/windows/scvhost.exe

    Нет, всё-таки это не открытка... а попытка закачать халявку - http://virusinfo.info/showthread.php?t=2837
    Хотя и открытки странные имели место...
    Последний раз редактировалось ScratchyClaws; 30.06.2005 в 15:48. Причина: новые подробности
    At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.06.2005
    Адрес
    Darkness of Moscow
    Сообщений
    2,754
    Вес репутации
    1727

    Unhappy Троян

    У меня вот такая штука появилась - Trojan-PSW.Win32.LdPinch.pc DrWeb её не знает, а Каспер тока может название выдать а лечить не умеет....
    Кто-нибудь знает как теперь лечиться???
    At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)

  12. #11
    Geser
    Guest
    Цитата Сообщение от CePguTKa
    Кто-нибудь знает как вылечится??? У меня этот над прописался в C:/windows/scvhost.exe
    Удалить

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.06.2005
    Адрес
    Darkness of Moscow
    Сообщений
    2,754
    Вес репутации
    1727

    Question

    Цитата Сообщение от Geser
    Удалить
    А разве scvhost.exe не очень нужный файл для винды?
    At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)

  14. #13
    Geser
    Guest
    Цитата Сообщение от CePguTKa

    А разве scvhost.exe не очень нужный файл для винды?
    Не очень

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Iceman
    Регистрация
    18.09.2004
    Адрес
    Moscow, RU
    Сообщений
    830
    Вес репутации
    105
    Издевалцы ;-)))))).
    2CePguTKa, сравни:
    C:/windows/scvhost.exe
    и то, что должно быть в системе:
    C:\WINDOWS\system32\svchost.exe
    Почувствуйте разницу...
    Последний раз редактировалось Iceman; 28.06.2005 в 15:44.

  16. #15
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,235
    Вес репутации
    3390
    Цитата Сообщение от Iceman
    Издевалцы ;-)))))).
    2CePguTKa, сравни:
    C:/windows/scvhost.exe
    и то, что должно быть в системе:
    C:\WINDOWS\system32\svchost.exe
    Почувствуйте разницу...
    Файлик этот пришел - очередная разновдность LDPinch ...

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.06.2005
    Адрес
    Darkness of Moscow
    Сообщений
    2,754
    Вес репутации
    1727

    Question Новый вирус? Или просто спам?

    Во-первых огромное спасибо Олегу, за помощь в борьбе с пинчем

    Во-вторых стали попадаться в одном из ящиков странные пиьсма.
    The Bat! их отображает вот так -
    ОТ : Orders & Registration Dept. <proc1004637662@shippingcard.com>
    КОМУ : (мой имейл)
    ТЕМА : Your eBay Offer Receipt - Response Required

    или вот так -
    ОТ : Processing & Tracking Dept. <proc1004637662@simpleorders.com>
    КОМУ : (мой имейл)
    ТЕМА : eBay Offer Confirmation #EBAY21nr0212ro67

    (всего таких писем пока 3 штуки)

    В теле письма отображается 3 некие картинки из инета (точнее БЭт лишь отображает что они есть, но не грузит их) текст отутствует, но зато в коде html файла имеется небольшое рекламное сообщение (причем не в body а в head) что это может быть? Кому-нибудь попадался подобный спам?

    P.S. Сохраняю все 3 html в одни архив и шлю Олегу
    Последний раз редактировалось ScratchyClaws; 30.06.2005 в 10:02.
    At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    742
    Угу, есть одно такое письмецо.
    Имхо, ничего страшного в нем самом нет, просто фишеры так зазывают народ на свой поддельный сайт в надежде раскрутить там на ввод критичных данных о своих средствах - номера, пины кредитных карточек, интернет-деньги и т.п.
    Там в адресе страницы написана нормальная ссылка, а при щелчке по ссылке откроется другой адрес, (у меня - на сервере 82.146.34.24), который уже сейчас недоступен, видимо, прикрыли лавочку.
    Никакого отношения к eBay сервер этот не имел:

    % Information related to '82.146.32.0 - 82.146.35.255'

    inetnum: 82.146.32.0 - 82.146.35.255
    netname: ISPSYSTEM
    descr: ISPsystem UUNET collocation
    country: BE

    person: Dmitry Sidorov
    address: PoBox 74, 1410 - Waterloo, Belgium
    phone: +3204 7438 7349
    e-mail: inet@ispserver.com
    nic-hdl: DS2036-RIPE
    source: RIPE # Filtered

    person: Didier Windmeulen
    address: PoBox 74, 1410 - Waterloo, Belgium
    phone: +3204 7438 7349
    e-mail: inet@ispserver.com
    nic-hdl: DW758-RIPE
    source: RIPE # Filtered

    % Information related to 'DS2036-RIPE'

    route: 82.146.32.0/22
    descr: ISPsystem-BRU
    origin: AS29182
    mnt-by: ISPSYSTEM-MNT
    remarks: **************************************
    remarks: * For spamming or other abuse issues
    remarks: * please send your requests to
    remarks: * abuse@ispserver.com
    remarks: **************************************
    source: RIPE # Filtered
    Последний раз редактировалось Alexey P.; 30.06.2005 в 18:32.

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.06.2005
    Адрес
    Darkness of Moscow
    Сообщений
    2,754
    Вес репутации
    1727

    Exclamation очередная пакость =)

    приходит письмо с вот такими данными -
    от - Novostevpear <novostevpear@us.ibm.com>
    тема - The picture is sent on SMS
    внутри пустое message.html и некий In_park.zip
    а внутри него Email-Worm.Win32.Bagle.By

    Вот такой вот подарочек

    (если кому интересно могу переслать письмо и файлик, мне не жалко )
    At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)

  20. #19
    Visiting Helper Репутация
    Регистрация
    20.09.2004
    Сообщений
    187
    Вес репутации
    52
    CePguTKa
    если кому интересно могу переслать письмо и файлик, мне не жалко
    Будьте любезны, на virus@virusinfo.info в rar-архиве с паролем virus.

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.06.2005
    Адрес
    Darkness of Moscow
    Сообщений
    2,754
    Вес репутации
    1727
    Цитата Сообщение от azza
    CePguTKa

    Будьте любезны, на virus@virusinfo.info в rar-архиве с паролем virus.
    Ага.. обязательно... Только я винду недавно переставила... До архиваторов не добралась ещё вот винзип проинсталлю и сразу скину
    At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)

Похожие темы

  1. Новый метод обхода фильтров?
    От kuznetz в разделе Антиспам
    Ответов: 9
    Последнее сообщение: 04.03.2007, 02:40
  2. Новый метод против спам-рассылок ?
    От Surfer в разделе Антиспам
    Ответов: 9
    Последнее сообщение: 24.11.2006, 21:59
  3. Внимание - новый метод внедрения троянов по электронной почте
    От Зайцев Олег в разделе Описания вредоносных программ
    Ответов: 2
    Последнее сообщение: 31.07.2005, 23:53

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00744 seconds with 16 queries