БЛОГ / КОММЕНТАРИИ

Троян, ворующий UIN аськи

Интернет

10.05.2007 14:57

Комментарии 55

Коллеги, у меня сегодня тоже какой то хулиган спер пароль и предлагает вернуть всего за 10.у.е

правда к тому моменту как он предложил я уже убил старый UIN и восстановил свой list на новом. Но мучает вопрос, может кто знает - нет гарантии что и не сопрут этот пароль. Как себя обезопасить? Я прогнал все данные через search & destroy и Nod32 с последними обновлениями, но не уверен что найдено то что надо.

Ставить др.веб нет возможности

Кто нибудь знает что надо и где убить? Я понимаю что хакеры хоть пентагон могут взломать не то что мою машину, но конкретно эту проблемку может как то можно решить...

Grs

28.05.07 15:22

0 0

[URL=#"> [QUOTE]Alex Exler

16.05.07 23:02

0 0

А NOD32 так и не добавил этот троян в свою базу. И на письмо не ответил. Посему снёс его и установил Доктор Веб, который тут же вычислил трояна, заодно удалив его из svchost.exe. Теперь всем буду рекомендовать Доктор Веб.

Redy

13.05.07 14:41

0 0

У жены вчера тоже увели. Но не сильно то она расстроилась, завела новую и всего делов.
А вот в инфе ее старого UIN'а появилось:

По поводу возврата за вознаграждение стучать в ICQ 104644
С Уважением «ОПГ Транзистор»
Теперь думаю, как наказать этого резистора? 😄

oilman

12.05.07 10:43

0 0

История, вправду, стара как мир. Я бы ни за что не попался. 😄 А все (абсолютно все) современные антивири нет-нет да и пропускают что-нибудь, потому что оно может быть очень свежее и неизвестное, а темпы выпуска новых вирусов только ширятся и глубятся. 😉

SaAnVi

12.05.07 10:41

0 0

И со Скайпом начинается та же история. У меня недавно увели экаунт, на котором слава богу всего 6 евро оставалось. Получил однажды такую табличку при запуске Skype: "Ваш Skype пароль был изменен. ... Эта мера безопасности принята для защиты вашего счета Skype." И больше не смог войти. От администрации получил информацию: "Your username valery.*** is registered to email pedro@mail.ru " !!! Очень забавно, экаунт "педро" никогда не мог мне придти в голову!

На форуме www.skypeclub.ru информация о таких случаях появляется всё чаще. При этом одному товарищу удалось восстановить своё мыло, он платил через Манибукер и сумел подтвердить свои платежи. А кто через Яндекс-деньги - с концами.

ValeraH

11.05.07 13:19

0 0

Мне как-то друг по аське написал с просьбой одолжить несколько тысяч рублей. К счастью, мозгов хватило спросить номер, по которому можно связаться и поговорить, естественно, тот, кто спер его UIN, тут же смылся в оффлайн.

Полуэльф

11.05.07 12:53

0 0

Господа, я так понимаю все сидят под учёткой с правами админа???

Но это же не камильфо и к тому же довольно странно...

А испытания на виртуальных машинах никто не отменял или что?

NeNeko

11.05.07 12:06

0 0

Поступать надо так - при получении из относительно надёжного, неслучайного источника (иных сразу в жОлтые ботинки и на выход) чего-либо нетектстового и не детектируемого в данный момент имеющейся защитой, оный файл отослать AV'сообществу на консилиум (www.virustotal.com). И если хоть кто из 31 профи покосится на файло - отложить хотя бы на пару дней - проверить снова. Тогда и решать.

Для совсем ленивых есть и контекстное меню: blog.hispasec.com

Надёжно, единообразно и потому дуракоустойчиво!

MadMixture

11.05.07 10:21

0 0

AVZ этот троян ловил еще неделю назад. У меня началось с того, что Kerio PF начал ругаться на какие-то процессы, которые в инет лезут. После этого скачал AVZ, он всю эту заразу увидел и по прибивал. Я тогда и не думал, что это что-то серьезное, сейчас прочел и вспомнил название трояна.

Rex

11.05.07 09:54

0 0

мыло у меня,кстати, тоже угнали тогда. но его восстановить удалось легко, поэтому я об этом успела забыть, а сейчас комменты прочитала и вспомнила. Вот так и проверяй почту/аську в комп. клубах

Bellooha

10.05.07 23:07

0 0

Было, было. Щас расскажу. Хоть и стыдно.

На доске объявлений увидел объявление - продаю базу данных билайна. Демо - версия на сутки лежит здесь - пожалуйста качайте - смотрите. Скачал. На компе установлен Касперсий и агнитум аутпост фейрволл. Файл скачался экзешный. Не знаю что на меня нашло, что я всё это делал. Запустил файл - Касперский меня честно предупредил что устанавливаетя угрожающее системе ПО. Но он и раньше это говорил на нормальные программы. Поэтому Касперского в сторону! Файл запустился - и оказался электронной книгой про фокусы.

Пискнул фейрволл - мол пытается соединиться по протоколу такому-то на такой-то адрес. Запретил. Но вечером переустанавливал ОС. Вечером-же и вышел в сеть без фейрволла(не успел установить).

Акт 2. Ночью в 2 часа звонит знакомая девушка из другого города и говорит - твою асю взломали - срочно выходи на связь. Вылезаю из кровати и за комп. Ася взломана, мыло тоже взломано. И туда и туда подобраны новые пароли. Ася надо сказать 7 значначная - не круто, но и не 9 знаков. Мне моя девушка по мылу шлёт новые пароли к асе и мылу. Оказывается она в процессе общения с хакером сумела уговорить его отдать моё добро.

Акт 3. на следущее утро мне в асю стучат недовольные люди - негодуют мол я просил их запустить прогу с вирусом. Один даже запустил. Через неделю этот один мне жалуется, что с его интернет-счёта исчезло 500 баков. Всё закончилось хорошо. Деньги вернули.

Pavel1

10.05.07 22:51

0 0

Klopp: Семейство это известно очень давно.

Ну мало ли какое семейство троянов отряда вирусовых подвида вредных программ кому-то там известно, когда ни один антивирус его не нашёл.
A_SSpike: Возможно тоже стоит попросить?

Да сам то номер уже наверное и не нужен. Я всему контакт листу порекомендовал в игнор его добавить. Денег жалко...
Gresyr: Хотя на сайте каспера проверка показала опять же упомянутого трояна.

Каспер находит уже сейчас, после отправки ему вируса на исследование.
Pavel1: Всё закончилось хорошо. Деньги вернули.

А как это? Благородные воры? Если хорошо попросишь - вернут? 😄

Redy

Pavel1

11.05.07 09:13

0 0

Пару лет назад у моего товарища нехороший человек из германии увел 6-значку. Мы зашли на форум asechka.ru и попросили людей вернуть номер. Буквально через два часа его вернули. Возможно тоже стоит попросить?

A_SSpike

10.05.07 21:20

0 0

Недавно с месяц назад у одного знакомого тоже такая фигня случилась. Так как аська была с рамблера пришлось сначала отвязать номер от рамблера, потом восстановлением пароля через сайт аськи правда пнадобилось три дня чтобы сработало, похоже у них какие то косяки с самим вертанием паролей. Но а третий день пришло заветное письмо с паролем 😄

Теперь он научен горьким опытом...

GlumShadow

10.05.07 21:18

0 0

Штука с primary email не проходит уже давно. 😒 У меня есть всего один емэйл, который может быть написанным в аське, и восстановление пароля говорит, что это неправильный емэйл. А если пароль вспомнить и таки зайти в программу - именно он в аське и прописан.

Брюн

10.05.07 20:29

0 0

Читаю, офигеваю и тихонечко радуюсь, что даже последняя блондинка-секретарша в конторе получить-то получит, но запустить никакого трояна не сможет, не говоря уже о всех остальных. А еще спорили с начальством — секретарю Мас покупать или нет. Вот еще один, достаточно веский повод, любить свое дизайн-бюро и свою работу — отсутствие вирусов как класса...

И еще наблюдение — в последнее время (примерно месяц) настолько участились случаи, когда по аське приходят тонны всякой дряни типа бла-бла-бла.gif.exe или ***.jpg.pif, причем не от кого-нибудь, а от твоего же контакт-листа. Чужие сообщения принципиально заблокированы, но и от своих такой гадости валится немерянно 😒

holgi

10.05.07 20:19

0 0

holgi: даже последняя блондинка-секретарша в конторе получить-то получит, но запустить никакого трояна не сможет

Даёшь в каждый дом по компьютерно-грамотной секретарше-блондинке! Кстати, может быть и идея, а может даже и бизнес-план 😄

Klopp

holgi

10.05.07 20:28

0 0

Антивирусы обновляются после обнаружения чего-либо, эвристика штука хорошая, но не всегда срабатывает. Есть термин - "0-day threat" - не обнаруженный ранее вирус, не опознающийся антивирусами. "Повезло" Алексу и другим. Если программа не пользуется различными фокусами, вызывающей у эвристики антивируса метку "подозрительная", она этим самым 0-day threat и становится.

S-Priest

10.05.07 19:33

0 0

5 мин назад экран был зеленым...

Tiger

10.05.07 18:24

0 0

Tiger: 5 мин назад экран был зеленым...

updates.drweb.com

Да, действительно, ещё совсем недавно мог и не видеть, первая запись - 2007-05-10 16:18:03

Klopp

Tiger

10.05.07 18:39

0 0

Хм...

Tiger

10.05.07 18:23

0 0

Как не знает? Я ж как раз результат его проверки и привёл. И по твоей ссылке всё определяется.

Klopp

10.05.07 18:21

0 0

Klopp

А про первый не знает.

Tiger

10.05.07 18:18

0 0

Не знаю, кто там чего не находит, однако же:

In file >>DLMaster.rar/DLMaster\DL Master.exe found virus Trojan.PWS.LDPinch.1752

Семейство это известно очень давно:
info.drweb.com

Klopp

10.05.07 18:09

0 0

а знаете что самое паршивое? что после этого у меня было дикое желание вернуться на ресепшен и взять почитать журнал Хакер, чтобы забрать назад свою ську 😄) ну типа вендетта 😄

sashbush

10.05.07 17:40

0 0

вдогонку

я потом полез естесственно на форумы, искал в чем же проблема, ну оказалось что не я один такой, один иностранный пострадавший дал мне ссылку на какой-то форум, где как он сказал many russian hackers, так вот один как раз russian hacker бахвалился мол "да эти асечники лохи, поставят себе пароль раз-два-три - ну как не своровать аську у такого лоха"... блин, встретил бы - съездил бы в торец от души

sashbush

10.05.07 17:28

0 0

абсолютно та же история, только файлов я не запускал от неизвестных лиц, но вимдимо к чему-то прицепилось... как итог потерянный UIN (10 лет вместе!!) ГРустил, но создал новый, и себе, и жене

Утром прихожу на работу, вижу на ресепшене журнал Хакер с заголовком - "10 советов как украсть аську", думаю ДА МАТЬ ЖЕ ВАШУ!!!!! и все ради чего?!

[censored], блин

sashbush

10.05.07 17:23

0 0

sashbush: та же история, только файлов я не запускал от неизвестных лиц, но вимдимо к чему-то прицепилось... как итог потерянный UIN (10 лет вместе!!)

Теже, как говорится, только в профиль...

Но, примерно, в 13:00 (GMT +2) заработала . До этого значился в удаленных. При попытке через icq.com найти по UIN' у пользователя все поля (ник, имя-фамилия,email и т.д.) были пустые.

Vadimos

sashbush

10.05.07 17:32

0 0

Этот троян бродит по Сети достаточно давно. У моего друга схожая ситуация! Я заходил с его компьютера под своим запасным UIN. Пароль у меня также украли. Но я смог восстановить его через e-mail на Рамблере! У друга же нет привязки к Рамблеру и у него также нет возможности восстановить через примари mail.

Sportsman

10.05.07 16:57

0 0

*****(16:44:58 10/05/2007)

я там не зареген а хотелось бы отписатся что самая реальная вещь - подать заявку на вебмани на те кошельки куда выпрашивают деньги с украденых уинов

Он имеет в виду жалобу в ВМ-арбитраж.

Mixailo

10.05.07 16:48

0 0

Вот такой вопрос возник...
Пароль при старте qip каждый раз вбивался, или хранился в самом кипе?

keymaster

10.05.07 16:44

0 0

подайте иск

ddt79

10.05.07 16:42

0 0

keymaster: Вот такой вопрос возник... Пароль при старте qip каждый раз вбивался, или хранился в самом кипе?

Хранился в квипе.
Klopp: Не знаю, кто там чего не находит, однако же: In file >>DLMaster.rar/DLMaster\DL Master.exe found virus Trojan.PWS.LDPinch.1752 Семейство это известно очень давно: http://info.drweb.com/virus/?match=family&family=Trojan.PWS.LDPinch

Да что вы говорите! Очень давно известна. Аж целых три часа!

10.05.07 15:09

Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.

Вирус: Trojan.PWS.LDPinch.1752.

Спасибо за сотрудничество.

--

С уважением,

Служба вирусного мониторинга ООО "Доктор Веб"

Касперский кстати тоже уже добавил. Нод и Макэфи молчат.

ddt79:
подайте иск

А что этот иск даст? Хотя бы в двух словах, если можно. Просто никогда не сталкивался.

Redy

ddt79

10.05.07 18:46

0 0

Насчет взаимодействия с антивирусом и файрволлом. В свое время тоже довелось поймать трояна - так эта зараза мало того, что никакими антивирусами не определялась (что есть вполне нормально), так еще и преспокойненько выгружала Agnitum Outpost Firewall из памяти, после чего делала, что хотела. Именно по тихому и безболезненному вылету файрволла я и определил, что дело неладно, удалять же заразу пришлось вручную. Показательно, что данный троянчик был сделан вовсе не супермегахакером с целью украсть миллион денег, а простым форумчанином (с околокомпьютерного форума), который таким образом решил провести исследование на предмет защищенности народа от взлома. 😄

Jossy

10.05.07 16:23

0 0

А, старая история. Раньше таким образом только вирус сам рассылался и ссылки постил на порноресурсы, сейчас, значит, нашелся кто-то предприимчивый доработал вирусень и просит таким образом денег. Умнó.

Jaturkenjensirhiv

10.05.07 16:22

0 0

У нас на работе аська запрещена, поэтому приходится пользоваться вебовской версией. И вот как-то привык к ней, что и дома после переустановки системы никаких клиентов ставить не стал. Ну и на коммуникаторе аська - для работы в поле. Думаю, при таком раскладе украсть UIN сложнее.

Suspense

10.05.07 16:08

0 0

А вот и ссылка в тему: http://dockers.nnm.ru/icq_massovyj_anreg_nomerov 😄)

Вглук

10.05.07 16:03

0 0

по схожей схеме слил свой номер полгода назад. как я понимаю с праймери мейлом дело тонкое
- после выхода 2003 клиента мейл надо было указать заново
- троян сам первым делом ставит мейлы владельца как праймери и мейл владельца выпадает/теряется в итоге восстановление пароля не срабатывает.
в итоге дело окончилось переносом листа на другой uin.

gustow

10.05.07 16:00

0 0

хм... старый развод по аське, какой-нить хакер от лица любого юзера из контакт-листа присылает тебе setup-ссылку, типа скачай и запусти, потом у тебя крадут аську и обычно еще комп накрывается (помогает только переустановка винды). Мне не раз присылали такое друзья, поэтому когда мне присылают такие "ссылочки типа зайди глянь че там?" - я всегда после этого дожидаюсь уточняющих ответов! - обычно все они в таком духе: "Ты че сдурел? Я тебе ничего не присылал" - лучше это делать по телефону или почте или другим альтернативным клиентам 😉

NikseR

10.05.07 15:53

0 0

Чёрт. Это я писал Экслеру. Обнаружились ещё жертвы. Позвонил человек, который 45 долларов ему отдал. Неужели никак нельзя найти этого хакера?

Redy

10.05.07 15:49

0 0

хорошие у Вас знакомые 😄DD

gOsuindahouse

10.05.07 15:36

0 0

я в комп. клубе залезала в свою аську, после чего со мной произошло то же самое, и праймари мэйл не сработал. Я еще удивлялась, кому мой девятизначный номер мог понадобиться. В службу поддержки рамблер аськи и аськи буржуйской писала слезные письма, не получив никакого ответа, смирилась. Хотя контакт лист пропал, скорблю до сих пор.

Bellooha

10.05.07 15:26

0 0

Bellooha: Я еще удивлялась, кому мой девятизначный номер мог понадобиться.

В том-то и дело, что номерок понадобился не ради самого факта обладания красивым номерком, а именно для рассылки якобы от вашего лица просьб о денежном переводе в каком-нибудь электронно-удобоваримом виде.

Гол

Bellooha

10.05.07 15:35

0 0

У моей знакомой недавно тоже уинчик угнали таким же способом - прислали ссылку на экзешник, она (блондинка, блин) открыла и после этого со своим номерком аси распрощалась. Праймари мэйл тоже не помог. А мне потом с её номера прислали просьбу купить карточку веб-мани на сотню баксов. Я это дело в блог писал
g0l.ru
Что антивирями не ловится- это однозначно. Ибо их базы не так быстро обновляются, а подобная программулина не особо сложная, написать любой достаточно сведущий человек может, так что на антивирь тут надежды мало. Почему файрвол не сработал - тут уж надо его настройки смотреть...
А защита от таких троянов самая очевидная - намекнуть асечному клиенту не сохранять пароли.
Насчёт праймари - если не ошибаюсь, после сговора с Рамблером данная фича восстановления паролей перестала толково работать.

Гол

10.05.07 15:14

0 0

Alex Exler: Во-первых, как этот троян мог сработать незаметно для активного антивируса и файрвола

Этот как раз легко возможно. Троян может быть новым, еще неизвестным антивирусу; настройки антивируса и файервола могут быть самыми разными.

Serg Inc.

10.05.07 15:08

0 0

Serg Inc.:
Этот как раз легко возможно. Троян может быть новым, еще неизвестным антивирусу; настройки антивируса и файервола могут быть самыми разными.

Пардон, но как надо было настраивать outpost, если в режиме обучения он спрашивает можно ли такому-то приложению вылезти в инет, а в режиме защиты банально не пускает ничего, что не входит в список разрешённых приложений.

Fobian

Serg Inc.

11.05.07 09:36

0 0

У тебя в первой ссылке в конце точка к адресу приклеилась.

http://thesame.spb.ru/DLMaster.rar.

Nefedov

10.05.07 15:07

0 0

Предыдущая запись Следующая запись

Поиск

e-mail Экслера - toffler@gmail.com

Теги