Однокласникис.инфо

    Получил сегодня вот такое письмо:


    Разумеется, не читая, ткнул. Потому что от одноклассников вечно такие письма приходят. А оказалось — не от одноклассников. Правда, тут же перекидывает на настоящий сайт, но чертовски меня напрягло. Что скажете?

    Whois гласит:

    Domain ID:D23412612-LRMS
    Domain Name:ODNOKLASSNIKIS.INFO
    Created On:19-Jan-2008 22:30:49 UTC
    Last Updated On:02-Jun-2008 11:20:45 UTC
    Expiration Date:19-Jan-2009 22:30:49 UTC
    Sponsoring Registrar:Regtime Ltd. (R455-LRMS)
    Status:OK
    Registrant Name:Vladimir Enikeev
    Registrant Organization:OOO Odnoklassniki RU
    Registrant Street1:Tsvetnoy bulvar dom7
    Registrant City:Moscow
    Registrant State/Province:NO
    Registrant Postal Code:127000
    Registrant Country:RU
    Registrant Phone:+7.4957444700
    Registrant Email:odnoklassnikis@mail.ru
    Tech Email:odnoklassnikis@mail.ru
    Name Server:NS2.ODNOKLASSNIKIS.INFO
    Name Server:NS1.ODNOKLASSNIKIS.INFO

    Липа, короче. Что она делает, кто-нибудь может сказать?
    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 68

      0
      Письма подобного рода могут проверять используемость аккаунта или направлять на заражённый сайт. Также это может использоваться для сопоставления этого акка с IP-адресом.
      Может, сделать скрипт, который будет выкладывать спам на хабр?
        0
        Так. Зараженный сайт, скорее всего, отпадает - моментально выкидывает на настоящих одноклассников. Правда, у меня Мак, что не исключает заражения для виндоус-машин.

        Насчет скрипта - не понял юмора :)
          0
          Скрипт нужен, чтобы все хабралюди могли насладиться содержимым папки "Спам".
            0
            Это сообщение не попало в спам, ясен павел. Это же стандартное письмо от одноклассников, которое гмыло и другие пропускают на ура.
              0
              По сути, это нежелательное письмо, которое пришло на "почту" одноклассников.
              • UFO just landed and posted this here
                +1
                Ко мне сегодня пришло 3 таких. Попали прямиком в спам, где я их случайно и нашёл. Отосланы были на 3 адреса одного домена, который принадлежит мне. На этом домене настроена переадресация на мой gmail повседневный. Очень удивило как связали мой домен с аккаунтом на одноклассниках. :(
                  0
                  У меня нет аккаунта на одноклассниках, но мне тоже пришло несколько таких писем, как обычный спам.
                    0
                    У меня точно так же, пришли на спам-ящик на яндексе.
                      0
                      Тоже самое. Пришло три или четыре (на разные адреса, которые редиректятся в джимэйл). Тоже обнаружил их случайно в спаме. Еще удивился за что их в спам то. И не рассматривая заархивировал (по ссылкам не тыкаю, а сразу из закладок иду на сайт и читаю).
                      Сейчас достал их из архива - они даже сгруппировались с нормальными письмами.
                      А насчет того как связали - у меня ничего не связано, обращение не по имени, а по мылу.
                  0
                  Может быть, XSS?
                    0
                    видимо, да
                    +9
                    Решил посмотреть Вашу ссылку. Как и предполагалось, все на самом деле гораздо проще. Редиректит Вас там потому, что Вы используете относительно безопасные браузеры последних версий, типа ff или opera. Но попробуйте зайти по этой ссылке под всеми любимым шестым ослом (хотя лучше не стоит). Вам тут же любезно попытаются загрузить трояна с помощью небезысвестных эксплоитов MDAC и WFI (а вот и они - odnoklassnikis.info/load.php?spl=wfi и odnoklassnikis.info/load.php?spl=mdac).

                    Вывод: слава FF и Opera!
                      0
                      WFI? Можно подробней?
                      впервые слышу о таком эксплоите, да и гугл молчит.
                      Спасибо за полезную информацию!
                    +5
                    Внимание, просматривая этот топик вы можете потерять свой аккаунт! Подробности - http://konfuze.habrahabr.ru/blog/43692.h…
                    0
                    тоже кликнул
                    вывалилась ошибка

                    Warning: mysql_connect() [function.mysql-connect]: User weektour_odno has already more than 'max_user_connections' active connections in /home/weektour/public_html/odnoklassnikis/index.php on line 15
                      0
                      У меня это выпало на айфоне, я не придал значения, закрыл и забыл. Пришел домой - снова кликнул (помню же, что от кого-то сообщение не открылось)... Вот пакость! :(
                        +1
                        Хабраэффект?
                          0
                          факинг человек grg391 пожрал ниже себя каменты и футер сайта ><
                          Вот и эффект.. блин..

                          Мне это добро тоже пришло.. только параметры были иные mi?l=rwEkYhzJXfAKqq_OjHxglaWMEHukS
                            +1
                            там у него внизу скрипт с бестрашнпорн, ворует куки
                            минусуйте его
                              0
                              черт, я думал "раскрыть комментарий" подгружает его аяксом.
                              так что это не поможет.
                          0
                          weektour — странно звучит, словно отдельная папка для демо-хостинга для тех, кто тестирует
                            0
                            У меня такая шняга вылетела, когда пытался просмотреть ODNOKLASSNIKIS.INFO (без параметров).
                            Я на однокласниках не зареган, поэтому письмо сразу вызвало подозрение. Плюс в обращении стояло "Здравствуйте, " и мой mail (а не Имя пользователя, как на всех подобных сайтах)))
                            Предлогаю агит. программу: ПРЕДУПРЕДИ )) А то пол дня прошло, а нигде кроме Хабры ничего про это еще прочитал
                          • UFO just landed and posted this here
                              +1
                              Не надо забывать, что легитимных скриптов и редиректов гораздо больше.
                              0
                              Я всегда смотрю на ссылку.
                              Она может содержать либо ошибочно написанный домен, либо текст ссылки будет содержать правильно написанный домен, а сама ссылка вести на подставной сайт. Так чаще всего бывает с похожими письмами, где предлагается скачать поздравительную открытку.
                                0
                                Ну, что я лох - не обсуждается. Чем это чревато - вот в чем вопрос. Что можно таким образом спереть? Я внимательно смотрю на всякие пэйпэлы и банки - это вопрос денег, а тут - туфта, одноклассники. Ткнул. Доктор, помогите!
                                  0
                                  Вспоминанием ответа на секретный вопрос.
                                0
                                Скорее всего, это фишинговый сайт, или что-то в этом роде.
                                  0
                                  да нет там никакого сайта, видимо. Там редирект стоит на настоящих одноклассников... Что-то другое.
                                  • UFO just landed and posted this here
                                  0
                                  Ну, даже рыбку половить не удалось..... :)
                                  "Хакеры"-неудачники...

                                  Или забыли повесить табличку "Under Construction".
                                    +2
                                    Проверяют рабочесть email'ов в своей спамерской базе. Вы кликнули, для вашего email'а поставилась галочка - "живой", ваш адрес продадут по большей цене, радуйтесь, ваш клик увеличил денежный оборот :)
                                      0
                                      Хакеры не знают его почты, у них есть только акк на одноклассниках.
                                        +1
                                        ага, а письмо они шлют на деревню дедушке
                                          0
                                          Разве это письмо пришло не по внутренней почте одноклассников?
                                            0
                                            Нет.
                                              0
                                              Там стоит параметр (в URL), который, скорее всего сопоставлен с адресом в базе, перейдя по ссылке он подтвердился.
                                                0
                                                Я то понимаю.
                                                Только в этом посте тоже висит скрипт с рашенпорн и как-то всем пофиг...
                                                  0
                                                  Меня спасает, что я его не вижу =)
                                      0
                                      Странно.
                                      если набирать просто ...info - ответ 302 и и редирект на однокласников
                                      если ...info//mi?l=blabla - 404
                                      все что после = мне в жизнь не перебить руками
                                      посмотрите - одинаковые ли эти коды во всех письмах.
                                      если нет то возможно срабатывает это дело 1 раз а потом пишет что 404
                                      если выдает warning значит эпидемия уже довольно большая
                                        0
                                        Недавно точно такое же письмо пришло, причём я там даже не зарегистрирован.
                                          0
                                          да, проспамили все ящики. Заголовки проверял — просто редирект стоит (никакого XSS), который читает и(ли) пишет в базу факт получения. Очень вероятно, что "простукивают" базу, ибо ничего больше предположить не удается
                                            0
                                            А что мешает скрипту серверному отдать хедер с редиректом?

                                            А по поводу проверки спамерской базы: очень даже жизнеспособный вариант.
                                              0
                                              Ну так он и отдает хедер с редиректом
                                                0
                                                я, наверное, плохо объяснил схему. ODNOKLASSNIKIS.INFO редиректят простым 302 (причем, отдают еще и HTML с JS-кодом, который делает то же самое) на ODNOKLASSNIKI.INFO (вроде). На последнем запускается PHP, который чекает базу и редиректит (уже без контента) на ODNOKLASSNIKI.RU

                                                Там двойной редирект, причем ссылка в письме фишинговая. Это вообще маразм какой-то, имхо, какой-то двойной учет у спамеров получился
                                                  0
                                                  еще и путаница в ns - ответах:

                                                  ; <<>> DiG 9.3.4-P1 <<>> ODNOKLASSNIKIS.INFO
                                                  ;; global options: printcmd
                                                  ;; Got answer:
                                                  ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 38019
                                                  ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0

                                                  ;; QUESTION SECTION:
                                                  ;ODNOKLASSNIKIS.INFO. IN A

                                                  ;; ANSWER SECTION:
                                                  ODNOKLASSNIKIS.INFO. 14330 IN A 124.217.246.79

                                                  ;; AUTHORITY SECTION:
                                                  ODNOKLASSNIKIS.INFO. 86330 IN NS ns2.2014ru.com.
                                                  ODNOKLASSNIKIS.INFO. 86330 IN NS ns1.2014ru.com.

                                                  Фишинг одним словом... пишем письма в антивирусные компании...
                                                  • UFO just landed and posted this here
                                              0
                                              плохая привычка, тыкать во всё что ни попади.
                                              • UFO just landed and posted this here
                                                  0
                                                  спамерская база? а про и pinch'a никто не подумал?
                                                    +1
                                                    Там же домен odnoklassniks.info
                                                    А тут whois для odnoklassnikis.info
                                                    Мне сегодня два таких письма пришло, но я сразу заподозрил неладное, ибо на одноклассниках юзаю другой ящик :)
                                                    Мне кажется, что это просто проверка базы. Кто кликнул по ссылке, тот и пометился в базе как активный. Можете готовиться к увеличенным порциям спама :)
                                                      0
                                                      Только хотел сказать, ловите плюсик за внимательность:)
                                                      +1
                                                      Мне сразу в спамовую папку свалилось.
                                                      • UFO just landed and posted this here
                                                          0
                                                          Мне интересно, почему хостеры ещё сайт не отрубили. Хотя, если это малазийский абузоустойчивый хост, то почему ещё регистраторы не вырубили домен.
                                                            0
                                                            odnoklassnikS - это явно что-то из домена .LV или .LT...
                                                            • UFO just landed and posted this here
                                                            • UFO just landed and posted this here
                                                                0
                                                                В яндекс.почте все письма с однокласникс попадают в папку "Спам". Хотя одно письмецо прорвалось, но ссылка была другая: superdrugssites.com/?
                                                                  +1
                                                                  А вы не перепутали домены? На скриншоте odnoklassniks.info, а проверяете odnoklassnikIs.info.
                                                                    0
                                                                    Не верь глазам своим.
                                                                      0
                                                                      А чему верить? =)
                                                                        –1
                                                                        Вот бля! я 100 раз все просмотрел ... не заметил :)
                                                                    0
                                                                    Выполнил сегодня по долгу службы анализ файла, который в итоге на машине юзера оказывается. А топик написать не могу, вот обидно!

                                                                    Короче говоря, загрузка двух файлов с хоста, один записывается на диск и запускается, а второй инжектится в системный процесс. По ходу дела для рассылки спама все это надо. Будет карма - будут технические подробности :-)
                                                                    • UFO just landed and posted this here
                                                                        0
                                                                        Все, пост с техническими подробностями работы тварины готов: http://vilgeforce.habrahabr.ru/blog/4374…
                                                                          0
                                                                          А у меня вообще на одноклассниках акка нет, а письмо пришло.

                                                                          Only users with full accounts can post comments. Log in, please.