Адрес для входа в РФ: exler.bar
Троян, ворующий UIN аськи
Вчера от одного хорошего знакомого по icq (qip 8020) пришло сообщение с просьбой проверить запускается ли у меня эта программа. И ссылка на хттп://thesame.spb.ru/DLMaster.rar. После нескольких уточняющих вопросов (А что это и зачем?) программу я скачал и запустил, благо nod32 и outpost firewall запущены. Ничего не произошло, я ему сказал что тоже не запускается, и он, сказав спасибо, ушёл. Через пару часов меня вдруг выкинуло из icq с сообщением "неверное имя пользователя/пароль". Приняв это за обычный глюк icq и, учитывая что я как раз выходил из дому, особого значения я этому не придал. Сегодня же оказалось что в том архиве был троян, а укравший uin "хакер" просил у людей из моего контакт листа срочно одолжить вебмани под % (у кого-то просил 40 долларов, у кого-то 1000 рублей - R411711549935 и Z999313182636). По счастливому стечению обстоятельств никто ему так и не одолжил. А некоторым людям из контакта опять же предлагал скачать этот архив. Сервис восстановления пароля на icq.com говорит что введённый мной праймари e-mail неверен (хотя это не так - около года назад для проверки высылал на него пароль). Поэтому пришлось срочно создавать новый уин и рассылать всему контакт листу предупреждения (очень помог в восстановлении контакт листа Менеджер Контактов от qip). Но сообщение дошло не всем (например у некоторых включена опция не принимать сообщения от тех кто не в контакт листе), поэтому он продолжает сидеть под моим уином и рассылать эти сообщения (в последних сменил программу на хттп://thesame.spb.ru/noidea.exe , кстати McAfee его тоже не находит). Вот такая грустная история.
Кто-нибудь с подобным сталкивался?
updates.drweb.com
Да, действительно, ещё совсем недавно мог и не видеть, первая запись - 2007-05-10 16:18:03
И еще наблюдение — в последнее время (примерно месяц) настолько участились случаи, когда по аське приходят тонны всякой дряни типа бла-бла-бла.gif.exe или ***.jpg.pif, причем не от кого-нибудь, а от твоего же контакт-листа. Чужие сообщения принципиально заблокированы, но и от своих такой гадости валится немерянно 😒
Даёшь в каждый дом по компьютерно-грамотной секретарше-блондинке! Кстати, может быть и идея, а может даже и бизнес-план 😄
Теперь он научен горьким опытом...
На доске объявлений увидел объявление - продаю базу данных билайна. Демо - версия на сутки лежит здесь - пожалуйста качайте - смотрите. Скачал. На компе установлен Касперсий и агнитум аутпост фейрволл. Файл скачался экзешный. Не знаю что на меня нашло, что я всё это делал. Запустил файл - Касперский меня честно предупредил что устанавливаетя угрожающее системе ПО. Но он и раньше это говорил на нормальные программы. Поэтому Касперского в сторону! Файл запустился - и оказался электронной книгой про фокусы.
Пискнул фейрволл - мол пытается соединиться по протоколу такому-то на такой-то адрес. Запретил. Но вечером переустанавливал ОС. Вечером-же и вышел в сеть без фейрволла(не успел установить).
Акт 2. Ночью в 2 часа звонит знакомая девушка из другого города и говорит - твою асю взломали - срочно выходи на связь. Вылезаю из кровати и за комп. Ася взломана, мыло тоже взломано. И туда и туда подобраны новые пароли. Ася надо сказать 7 значначная - не круто, но и не 9 знаков. Мне моя девушка по мылу шлёт новые пароли к асе и мылу. Оказывается она в процессе общения с хакером сумела уговорить его отдать моё добро.
Акт 3. на следущее утро мне в асю стучат недовольные люди - негодуют мол я просил их запустить прогу с вирусом. Один даже запустил. Через неделю этот один мне жалуется, что с его интернет-счёта исчезло 500 баков. Всё закончилось хорошо. Деньги вернули.
Ну мало ли какое семейство троянов отряда вирусовых подвида вредных программ кому-то там известно, когда ни один антивирус его не нашёл.
A_SSpike: Возможно тоже стоит попросить?
Да сам то номер уже наверное и не нужен. Я всему контакт листу порекомендовал в игнор его добавить. Денег жалко...
Gresyr: Хотя на сайте каспера проверка показала опять же упомянутого трояна.
Каспер находит уже сейчас, после отправки ему вируса на исследование.
Pavel1: Всё закончилось хорошо. Деньги вернули.
А как это? Благородные воры? Если хорошо попросишь - вернут? 😄
Для совсем ленивых есть и контекстное меню: blog.hispasec.com
Надёжно, единообразно и потому дуракоустойчиво!
Но это же не камильфо и к тому же довольно странно...
А испытания на виртуальных машинах никто не отменял или что?
На форуме www.skypeclub.ru информация о таких случаях появляется всё чаще. При этом одному товарищу удалось восстановить своё мыло, он платил через Манибукер и сумел подтвердить свои платежи. А кто через Яндекс-деньги - с концами.
А вот в инфе ее старого UIN'а появилось:
По поводу возврата за вознаграждение стучать в ICQ 104644
С Уважением «ОПГ Транзистор»
Теперь думаю, как наказать этого резистора? 😄
правда к тому моменту как он предложил я уже убил старый UIN и восстановил свой list на новом. Но мучает вопрос, может кто знает - нет гарантии что и не сопрут этот пароль. Как себя обезопасить? Я прогнал все данные через search & destroy и Nod32 с последними обновлениями, но не уверен что найдено то что надо.
Ставить др.веб нет возможности
Кто нибудь знает что надо и где убить? Я понимаю что хакеры хоть пентагон могут взломать не то что мою машину, но конкретно эту проблемку может как то можно решить...
Этот как раз легко возможно. Троян может быть новым, еще неизвестным антивирусу; настройки антивируса и файервола могут быть самыми разными.
Этот как раз легко возможно. Троян может быть новым, еще неизвестным антивирусу; настройки антивируса и файервола могут быть самыми разными.
Пардон, но как надо было настраивать outpost, если в режиме обучения он спрашивает можно ли такому-то приложению вылезти в инет, а в режиме защиты банально не пускает ничего, что не входит в список разрешённых приложений.
g0l.ru
Что антивирями не ловится- это однозначно. Ибо их базы не так быстро обновляются, а подобная программулина не особо сложная, написать любой достаточно сведущий человек может, так что на антивирь тут надежды мало. Почему файрвол не сработал - тут уж надо его настройки смотреть...
А защита от таких троянов самая очевидная - намекнуть асечному клиенту не сохранять пароли.
Насчёт праймари - если не ошибаюсь, после сговора с Рамблером данная фича восстановления паролей перестала толково работать.
В том-то и дело, что номерок понадобился не ради самого факта обладания красивым номерком, а именно для рассылки якобы от вашего лица просьб о денежном переводе в каком-нибудь электронно-удобоваримом виде.
- после выхода 2003 клиента мейл надо было указать заново
- троян сам первым делом ставит мейлы владельца как праймери и мейл владельца выпадает/теряется в итоге восстановление пароля не срабатывает.
в итоге дело окончилось переносом листа на другой uin.
Хранился в квипе.
Klopp: Не знаю, кто там чего не находит, однако же: In file >>DLMaster.rar/DLMaster\DL Master.exe found virus Trojan.PWS.LDPinch.1752 Семейство это известно очень давно: http://info.drweb.com/virus/?match=family&family=Trojan.PWS.LDPinch
Да что вы говорите! Очень давно известна. Аж целых три часа!
10.05.07 15:09
Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.
Вирус: Trojan.PWS.LDPinch.1752.
Спасибо за сотрудничество.
--
С уважением,
Служба вирусного мониторинга ООО "Доктор Веб"
Касперский кстати тоже уже добавил. Нод и Макэфи молчат.
ddt79:
подайте иск
А что этот иск даст? Хотя бы в двух словах, если можно. Просто никогда не сталкивался.
Пароль при старте qip каждый раз вбивался, или хранился в самом кипе?
я там не зареген а хотелось бы отписатся что самая реальная вещь - подать заявку на вебмани на те кошельки куда выпрашивают деньги с украденых уинов
Он имеет в виду жалобу в ВМ-арбитраж.
Утром прихожу на работу, вижу на ресепшене журнал Хакер с заголовком - "10 советов как украсть аську", думаю ДА МАТЬ ЖЕ ВАШУ!!!!! и все ради чего?!
[censored], блин
Теже, как говорится, только в профиль...
Но, примерно, в 13:00 (GMT +2) заработала . До этого значился в удаленных. При попытке через icq.com найти по UIN' у пользователя все поля (ник, имя-фамилия,email и т.д.) были пустые.
я потом полез естесственно на форумы, искал в чем же проблема, ну оказалось что не я один такой, один иностранный пострадавший дал мне ссылку на какой-то форум, где как он сказал many russian hackers, так вот один как раз russian hacker бахвалился мол "да эти асечники лохи, поставят себе пароль раз-два-три - ну как не своровать аську у такого лоха"... блин, встретил бы - съездил бы в торец от души
In file >>DLMaster.rar/DLMaster\DL Master.exe found virus Trojan.PWS.LDPinch.1752
Семейство это известно очень давно:
info.drweb.com