Pull to refresh

Comments 289

Ссылку, хотя бы прямую, уберите. Или яйца захватили ваш хабрааккаунт? :)
Да извиняйте, первый топик всё таки :) Часть ссылки заменил звёздочками.
Надо было другу часть изменить звездочками :)
Скажи какое название было у архива.
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
Если «рбк разорен» то вы 100% не увидите НОВЫЙ кип. А уж старым пользуйтесь сколько влезет. :)
UFO just landed and posted this here
Все знакомые говорят «кип». Попробуйте «покВипать», скорее всего в ответ получите взгляд «не вые*ся». :)
Похоже у меня какие-то не правильные знакомые.
Как раз правильные ) Особенно если они этим Г не пользуются.
Я говорю «аська». В речи если навзание qip произношу — то говорю «квип».

А вообще перешел на Pidgin. Одно не нравится — список контактов висит на панели задач (Win7).
Простите, в английском языке нет слова qip, а QIP — это аббревиатура. А для аббревиутар, насколько я знаю, не существует четких правил произношения, они вырабатываются на основе привычек и предпочтений. Если кто-то верит в теорию, что аббревиатуры(как гадостно писать это слово правильно в 5 утра) должны произноситься по буквам согласно их произношению в алфавите, вспомните несколько известных аббревиатур, например, ФРГ.
Пожалуй, Ваше мнение ближе всего к истине.
UFO just landed and posted this here
Извините, Вы писали этот комментарий 2 часа?
Я считаю, что правильнее называть все-таки «кип»… Просто все привыкли читать «куип», так как буква «q» в английском без последующей «u» не используется.
Там же все слова арабские…
кип = qip
квип = quip

И не нужно гнать на москвичей.
keep = ки: п
quip = квип, куип (сравни quit)
qip = кип
очевидно что в последнем случае букв «u» или «v» не наблюдается в принципе, потому и при чтении их может добавить только распаленная фантазия некоторых «немосквичей»
Quiet Internet Pager, КвИП
«q» пишем, «u» в уме? оригинально. квип == quip
„у“ в уме, а что тут странного?
Вообще-то так и говорится. Ничего оригинального. В английском языке в принципе довольно много случаев, когда часть слова не произносится.

Стоит сказать об окончании «e» — слов таких много, а заканчиваются они при этом на согласную при произношении.
UFO just landed and posted this here
прикол, сказал ровно то же самое на пост выше пол часа назад и получил -25: Р
UFO just landed and posted this here
аббревиатура «QIP»… справочной службы русского языка… По звукам: квип


Интересно, они просто погуглили, перенаправили вопрос в справочную службу английского языка или решили блеснуть непрофильными знаниями?
UFO just landed and posted this here
Техдиректор РБК говорит «кип».
Кстати, чтоб вы знали: это не так. Если РБК обанкротится, то на проект это никак не повлияет. Может быть даже лучше станет:) Я выяснял.
Ага, РБК разорился на яйцах.
А у меня миранда, мне пофигу :) + Запускал в сандбоксе.
256бит ключ шифрования профиля и пароля. >.< Да, я параноик.
Судя по всему, не все так считают :) Я вообще ревностно отношусь к безопастности инета и компа, у брата на его компе учетка совсем бесправная, неподписанный софт и игрушки без ERSB/PEGI даже не ставятся.
Ну так «те» фотки на болванку скидывайте, та и фсе.
Да не, просто как-то не хочется давать ребенку ставить что попало, да и ту же GTA4 с рейтингом 18+ он не поставит — там ограничился 13+ стоит. Потому что нефиг ребенку такое видеть.
jabber тоже на миранде? ;-)
Ну как бы миранда — мультипротокольный мессенджер уже хрен знает сколько лет.
ну как бы там jabber дырявый — кладёт большой болт на проверку сертификатов ssl
это я про паранойю
а как бы ничего что qip взяли jabber протокол у миранды?
более того, не знаю как дела обстоят у qip, но в миранде уже можно по ssl подключаться к icq
Как бы как кладёт и как бы куда кладёт? Можно поподробней? Можно даже в багтрекер сразу
Вот-вот, и я чего-то аж удивлен… Все там нормально.
Подсуньте самоподписанный сертификат — молча слопает.
UFO just landed and posted this here
«Чем это плохо» (использование левых сертификатов) на Хабре обсуждалось не единожды. А в контексте xmpp это вообще нарушение rfc3920 (http://xmpp.org/rfcs/rfc3920.html#security): клиент ОБЯЗАН уведомить пользователя.
UFO just landed and posted this here
Георгий в курсе, и его всё устраивает.
(фрагмент переписки с ним — в личке)
Забавный вирус, мне сегодня его вечером пытались прислать — было около 800 скачиваний. Если прикинуть даже, что не все его запустят (а ведь фраза «Tested by Kaspersky Anti-Virus» многих убедит, что там не вирус), то очень неплохой такой ботнет получается.
Этот процесс после запуска стучится в на серверы icq.com и благополучно угоняет аську. Меня спас фаервол.
Он не только говорить умеет, но ещё и думать)
UFO just landed and posted this here
Заметим, что «интеллект» у бота очень ограниченный и он умеет отвечать только на вопросы, в которых содержится одно из слов: «что», «чо», «чё» , «че» , «шо» , «що» и «чито». Подборка слов лишний раз показывает любовь рунетчиков к «русскому» языку.
источник: www.securelist.com/ru/weblog?author=82
Вот блин, мне удалось обнаружить не все слова :))

Мне за двадцать минут вирус раз пять присылал сообщение со ссылкой, и я с ним (с вирусом) разговаривал :) Жаль, отвечает только один раз.
А как же ЩИТО? Главная фишка луркоморья?
UFO just landed and posted this here
Я стал жертвой.

Пользовался Мирандой

Про вирус отписался в техподдержку qip.ru лично, на тот момент его скачало 11.000 человек.

Система Windows 7, антивирус от Microsoft
В копилку «достоинств» этого вируса, я спросил у зараженного контакта:

Kpyto, 18.10.2009 22:53:45:
:) что там?

****, 22:53:54:
нечто позитивное )

Kpyto, 22:54:03:
:-) типа вируса?)))

***, 22:54:10:
нет, ты не в церкви, тебя не обманут ))
UFO just landed and posted this here
Я понимаю, но заодно — это называется так, что я теперь не могу доказать людям у которых по-угоняли шестизнаки что это не я — в «разговорчивые вирусы» верят не многие.

А у меня список людей онлайн поредел вполовину. Вернулись восстановив пароль на ICQ.com считанные единицы. Я капец какой-то.
Ну так потихоньку на xmpp и перейдут =)
У меня вторым протоколом стоит в Миранде jabber.
В наше время, юзать «антивирус от Microsoft» равносильно использованию пароля 123456 на аське. Если верить, что твой номерок и компьютер никому не нужны, то может помочь. :)
Стоял в качестве эксперимента. Доэксперементировался :-(
Антивирусы ЛЮБЫЕ всегда будут отставать от производителей вирусов…
UFO just landed and posted this here
Для этого надо иметь мозг.
а если вообще нет антивируса?
а вы на основании какой информации это заявляете? Вы проводили тестирование Security Essentials, сравнивали его с КАВом, Вебом, НОДом, или это так, лишь бы чего сказать?
Если вы мне пишите, то это очевидно. Бесплатный софт редко бывает лучше платного.
Можете залить любой новый вирус и посмотреть на скорость реакции антивирусных компаний, либо сравнить количество сигнатур, ведь на их основе видно, сколько вирусов может обнаружить антивирус, ну и эвристика еще есть конечно…
Так вот, у Касперского (взял для примера, т.к. сам им пользуюсь) 3018907 сигнатур. MSE не пользуюсь, но думаю до такого количества сигнатур у них нету.
Microsoft не антивирусная компания, она не нацелена на выпуск антивируса (это второстепенная задача), для остальных перечисленных компаний, это первостепенная задача, за которую они еще и получают деньги.
Если вам нужно подтверждение моих слов, то прошу.
Как видно из сравнения, Microsoft далеко не лидирует со своими продуктами, хоть и может конкурировать с некоторыми…
Удивительно, что вам это не очевидно.
отвечу сразу на оба поста.
«очевидно», «я думаю» — это вообще не аргументы, вам не кажется?
я вас спросил про Security Essentials, а вы мне ответили непонятно про что (про OneCare, вернее). очень разумно. вы наверно не знаете, но это сильно разные вещи. так что это не подтверждение ни разу.
зато это очень хорошее опровержение того, что «Бесплатный софт редко бывает лучше платного.» Заметьте, на каком месте находится Antivir? Сразу после монстрообразного KAV, который может и ловит немного больше, зато ресурсов жрет на порядок больше, так что я бы не сказал что он чем-то лучше.
Очень глупый стереотип про ресурсы.
Конечно, если у вас пентиум 1-3, то навряд ли вам стоит использовать Касперского.
А вам не кажется что вы сами ни одного обратного факта не привели и еще ссылаетесь на Antivir, который вообще не имеет отношения к Microsoft?
Я вам пишу про антивирусные продукты от Microsoft вообще. С чего вы взяли что у человека MSE, а не OneCare?
Очень сожалею, но MSE не очень популярный антивирус, поэтому если найдете его сравнение в сети, можете скинуть.
Вашу позицию я уже понял на своей карме, навряд ли вы считаете мнения кроме своего, правильными. :)
вы так легко бросаетесь безапелляционными заявлениями, что с вами нет никакого желания общаться. но если хотите, я могу напоследок прислать вам скрин, на котором видно, что я пальцем не трогал вашу драгоценную карму.
Угу, а заодно и посты пофоткайте. :)
И ссылку на сравнение MSE с другими антивирусами… ;-)
5 и 6 знак нельзя угнать, он жестко привязан к почте, надо угнать саму почту
Можно. К тому же у пятаков примари нет.
А между 6, 7, 8, 9 разницы никакой — подчиняются одним правилам ретрива. Но примари-то могло отпасть. ;)
тест Тьюринга вирус успешно прошел :)
ПО сути — да. Только скорее не вирус прошел тест, а пользователи его завалил.
Пользователь провалил тест на человечность?))
Вы не могли бы залить вирус на файлообменник (ссылку можно в личку). Заранее спасибо.
rghost.net/538855
Кстати, как ни странно, его только докторвеб палит пока, а так это эволюция сентябрьских «лягушек»
Уже на втором курсе факультетов по комп. безопасности студентов учат криптовать файлы. Любой вирус на время можно скрыть от антивирусов.
Это я понимаю, просто интересно, что быстрее всего докторвеб среагировал. А про «второй курс» вы это зря — нас два года учили общим дисциплинам, сейчас вот на третьем пошли зачатки безопасности только, а до шифрования еще кажется далеко.
Да, но надо постараться чтоб антивирус запустив зверя в виртуальной машине не добрался до распакованных, известных как участковому местные алкоголики, сигнатур.
Криптовать файлы и криптовать исполняемые файлы так, чтобы они по-прежнему запускались и не раскриптовывались антивирусами — это две большие разницы. Сомневаюсь, что этому где-то официально обучают. Обычно это изучают самостоятельно.
Не могли бы и мне кинуть в личку?
Может мне в тематический блог перенести? Если да то посоветуйте какой, может информационная безопасность?
UFO just landed and posted this here
UFO just landed and posted this here
А меня подвела… Впервые. И конечно же — вот вам, пожалуйста…
естественный отбор :). Еще раз так паляться, на почту приходят документы на отчисление.
А вот а ВДНХ все тихо, у тамошних студентов ICQ забанен ;)
И судя по историческим трендам, это будет прекрасная половина:)
тоже попался. может можно понять на что он пароль меняет?
написано на дельфи и получается декомпилировать через DeDe, но что-то я там пока ничего не нахожу
Пароль меняет на случайный циферный и шлет на другой уин в виде UIN;old_pass;new_pass
откуда такая информация? а не подскажете тогда чем брутить айсикью сейчас модно?
Взял с темы античата про предшественника. С последовательностью отправки правда я напутал :(
На самом деле — положа руку на сердце — респект ребятам написавшим…
За ближайшие 2 дня покосит оччень и оччень много народу…

Хотя, конечно, приятного мало… Сам просрал номер, на котором вся работа завязана…
>> Сам просрал номер, на котором вся работа завязана…
теперь у тебя отпуск )
Какие прогнозы на будущее? Может на ваши вопросы в следующей версии будет отвечать человек? :) Ну типа ICQ-proxy на ICQ владельца =))

И комментарий в коде: заказы на… отправляйте в любую Icq =))
UFO just landed and posted this here
Надо просто всех перевести на Kopete. :))))
Толку то?
Будут писать вирусы под копыто.
недавно натолкнулся на похожий по способу распространения вирус:
так же пришло сообщение с ссылкой на файл, так же был ответ на вопрос «что это?», так же антивирус не почуял угрозы.
разница только в том, что тогда вирус угробил систему (win32.locker-подобный вирус, который я не смог вылечить, просящий прислать смску на какой-то номер). пришлось переустанавливать ОС.
так что в этот раз, наученный горьким опытом, я даже и не пытался заходить по такой левой ссылке, особенно, когда она пришла от двух совершенно разных людей.
вполне возможно, что это те же самые люди замешаны в этом.
Аналогично. Повёлся потому, что ссылку прислалди с акка знакомой с подписью «кто это на фотке» или что-то вроде — для неё это было настолько естественно, что я насторожился по поводу нестандартного расширения уже когда запускал файл.

>пришлось переустанавливать ОС.
Просканировал Авастом в безопасном режиме. Плюс со второго ноута нашёл в сети инфу про то, где и под каким именем этот вирус любит прятаться в системе, проверил и удалил вручную. Комп спас.
UFO just landed and posted this here
Можно, но я пока не встречал вирусов которые распространялись через Jabber, может конечно из за его не слишком большой популярности но всё таки факт остаётся фактом.
это как утверждать «под макось и линух нет вирусов». само утверждение верно, но вот причины. она одна — крайне низкая популярность платформы, в отличие от Win и гордиться сдесь нечем. станет XMPP популярным, будут и через него черви ползать. отобьёт макось хотя бы 20 процентов рынка, тут же начнутся поползновения и в эту сторону…
Причин больше чем одна, хотя эта причина и важна. Не обманывайте себя и окружающих столь безаппеляционными утверждениями.
извините за то что обманул окружающих столь шокирующим заявлением. я, разумеется, имел ввиду не «одна», а «главная одна».
Вот только очень много виндопользователей сидят под админом, да ещё и UAC выключают. Поэтому порутить их намного проще чем *nix юзера у которого по дефолту прав очень мало.
UFO just landed and posted this here
они исправляются прямо на клиентской машине? я понимаю, что пользователи никсов — более сознательные в компьютерном плане люди и заплатки ставят чаще чем домохозяйки под Win, но если массовый пользователь придёт на никсы, то и тут будут «домохозяйки». согласен, открытое програмное обеспечение во многих случаях безопаснее, нежели закрытое, но ничто не помешает кому либо написать вирус под никсы, пусть даже там и меньше прав по дефолту. а дырки? дырки были, есть и будут всегда. да ещё и в open source их находить проще…
UFO just landed and posted this here
UFO just landed and posted this here
При таком зоопарке серверов, я бы сказал. Насколько я понял из поста, вирус на сервер стучится.
Да и что мешает хостить сервер у себя? =)
Дык всё равно все эти клиенты стоят под виндой. Если не пароль украсть, то червя засадить можно будет.
зато они опенсорсные и вирус написать который в них внедряться будет зачастую не составит труда особенно если есть какие-нибудь варианты с плагинами.
Как-минимум передача файла должна быть настроена. А это делают не все. Уже меньше человек… Да и выкладывать на общем серваке слишком палевно, а напрямую — много гемора программисту-вирусописателю
UFO just landed and posted this here
на сайте forum.antichat.ru выложили это самое яйцо, кому интересно посмотреть:
_ http: // webfile.ru / 3900346
ОСТОРОЖНО. ВОРУЕТ ПАРОЛИ ;)
Запускайте подозрительные штуки через Sandboxie.
… обход которого можете почитать в статьях месячной давности на хабре! глупости этот ваш сэндбокс…
Простите, но не нашел ничего про обход Sandboxie. Могли бы вы указать ссылки на конкретные статьи?
Тоже интересно почитать, но не найду( Были в инете статьи про первые версии, теперь уже и весии другие, а новых статей — не видно…
С другой стороны, чтобы поменять поведение вируса — его не достаточно упаковать, а для обхода антивируса — зачастую этого хватит.
UFO just landed and posted this here
А еще лучше — через wine :)
Сандбокс) А какое он имеет отношение, если вирус прочитает и отправит ваши пароли по интернету?
Потому что вряд ли он оттуда что-то прочитает.
Вы не правы. Прочитать и отправить — сможет, но своего/себя уже не запишет… Чтобы не читал нужно дополнительно его настраивать!
UFO just landed and posted this here
хм. видимо есть еще один из них.
«мою копию» классифицировали как:
>Egg.exe — Hoax.Win32.IMPass.aq
Да они видимо по симптомам на ходу придумывают названия. Типа «да мы вкурсе» ))
оперативность ответа — это да, это он (AVP) молодец. ну или «холодец»

а вот доктор-то их сделал в данном конкретном случае
Никак не пойму, почему ICQ все еще популярен, учитывая проблемы со спамом, со сменой протокола, с выкрутасами qip.ru, c постоянными попытками кражи пароля.

К черту ICQ, давно пора переключаться на джаббер.
UFO just landed and posted this here
Речь не только о рассылании вирусов, я целый ряд проблем указал.

Кроме того, я не предлагаю в советском стиле всем сразу переходить на один стандарт — просто постепенно переставать есть этот кактус. Сам аськой не пользуюсь уже месяца три — ни на секунду не пожалел.
UFO just landed and posted this here
Попытки кражи пароля будут на джаббере, при увеличении количества пользователей.

Кому может прийти в голову воровать jabber аккаунт? Это не аська, где некоторую ценность может представлять номер, не email на который могут быть зарегены другие аккаунты. Разве что для спама по живым листам, но в этом случае скорее всего будут просто рассылать, не меняя пароль. Либо для рассылки вирусов, но опять же смысл менять пароль?
Вы уверены, что @gmail.com, @rambler.ru, @ya.ru, @qip.ru наконец — не емэйлы?
UFO just landed and posted this here
Постоянно пользуюсь и аськой и джаббером. Но фишка в том, что знакомых в джаббере — 2 человека
мне кажется, скайп удобнее — сразу и поговорить можно…
В протоколе Jabber уже описана возможность голосового и видео-чата. И в pidgin уже, вроде как, реализовано.
А ещё в Инфиуме, Гтолке, Пси *чешет в затылке, но не вспомнил больше*. Пока не массово и часто несовместимо, к сожалению.
Есть PSI+ или Psi Media как раз с этими возможностями
Теже яйца, только в профиль
в скайпе отталкивает отсутствие альтернативных клиентов.
UFO just landed and posted this here
Win7, антивирус Др.Вэб от корбины о_О, после запуска акаунт не украли(в течении 2х часов), сменил пароль…
кстате вирус в процессах заседает, аккуратней ;)
UFO just landed and posted this here
Тоже собрался так сделать, но на придумывание вопроса ушло бы больше времени и поэтому я тупо скачал. Но я бы ни в коем случае ни запустил бы, даже если бы Reget не лаганул и всё таки скачал это чудо.
UFO just landed and posted this here
ждите новую версию умеющую решать различные уравнения, вплоть до дифференциальных)
Если я на вопрос решения дифф. уравнения получу ответ, а не фразу «что за нах, ты офигел??» — я сразу пойму что это бот )
Гм, а это идея: встроить парсер математических выражений в вирус)
Ага, раньше ставили антиспам-боты только на регистрацию, теперь на каждое сообщение будем антиспам проходить. А ещё немножко позже будем после каждого сообщения картинки разгадывать!
Забавная тенденция…
Предлагаю всем резко перейти на видео чаты — ну, чтобы было видно собеседника)
Представляете как это подстегнет развитие технологий? Спамеры, так же резко, начнут разрабатывать софт способный в реальном времени создать виртуальную копию собеседника(копия будет решать математические выражения, вплоть до дифференциальных)…
Да, тоже своего рода антиспам защита — послать школьнику дифференциальное уравнение, если пришел ответ — бот 100% :)
Смотря какому школьнику. Лично меня в школе дифференциальные уравнения нисколько не смущали. Угадывание ответа или стандартный алгоритм для линейных уравнений по сути совпадающий с алгоритмом из теории линейных рекуррент (которую должен знать каждый) работали во всех нужных мне случаях. Точно так же я считал простенькие многомерные интегралы и производные, совершенно не представляя строгих обоснований своих действий и определений этих величин.
UFO just landed and posted this here
Именно поэтому, как я раньше доказывал одному прокризисному предсказамусу, СПАМ скорее всего переживет Сингулярность:)
Направим их созидательную энергию в полезное русло!
:)
Знакомитесь вы в магазине с девушкой. Пьете кофе, болтаете, смеётесь, но потом замечаете, что она периодически переводит тему на «новейшие свойства Cillit bang» и понимаете… девушка — это спам блин.
UFO just landed and posted this here
Пока спам будет способен кормить, всегда будут те, кто будет этим кормиться)
Допустим, научатся имплантировать воспоминания или передавать мысли на растояния. Представляете как тогда будет выглядеть спам в исполнении, приведенного здесь, «яичного вируса»?
Сколько уже можно попадаться на одну и ту же удочку, надо проверять или человека или файл(не только антивирусом естесно).

Когда первый раз(года 4 назад) столкнулся со ссылкой на подозрительную хрень от друга, пытался поговорить, отвечал явно человек, но что-то невнятное, забил на это, запустил, увидел знакомый порт irc сервера, запустил снифер, узнал сервер и канал с паролем(туда заходил этот бот и по запросу отдавал пароль от аськи и, вроде, умел что-то еще), в итоге, поговорив с человеком, вернул номера асек нескольких друзей.
А что, аккаунты Jabber'а и Skype'а невозможно взломать и послать через них ссылку?
Сложнее тк там идет перебор по массе паролей пономерам, а в жабере и скайпе — имена… сложнее и ненужней брутфорсить…
Господа минусующие — обоснуйте пожайлуста, или вы считаете что ICQ лучше? обоснуйте…
Тоже довелось принять такое сообщение.
Черт, а почему мне никогда ничего не приходит в аську? Я там всегда онлайн и НИКОГДА никто не ломится. Мне даже скучно. Может, стоит сделать полегче вопрос в антиспам-боте? А то право чувствую, пол жизни пропускаю:).
У меня не стоят боты. Порой такое закинут, что улыбка до ушей. Предела фантазий у троянщиков — нет :)
А мне постоянно предлагали знакомиться девчонки, писали боты, и все это решил такой вот антиспам:
Популярные персонажи аниме и манги, по внешности представляющие собой антропоморфных животных с хвостиками и ушками.
Кемономими. Все сначала говорят неко, а потом ищат в гугле.
Я же написал — кемономими
Все, ппц твоему антиспаму.
Поправочка, извращенцы… их много.
тоже под ночь тупанул\=
теперь вот пытаюсь сбрутить(:
Что забавно, для селфконтакта это тоже работает: вам преложат скачать вирус у самого себя и на все вопросы ответят:)
Однако и мне предложили ночью немного яиц… прочел, улыбнулся и закрыл. А тут вон какая тема, уже 14 тысяч леммингов. =)
А как этот бот проходит вопрос в модуле анти-спама?
причём здесь анти-спам, ссылки приходили с КЛ
файл приходит от людей, которые уже находятся в контакт-листе жертвы
мне приходило, только месяц назад и там была какая-то лягушка)
>Но тут меня в очередной раз спас Linux.
Что, И ТУТ?!
Про организацию автоответа:
10 PRINT «Скажи что нибудь»
20 INPUT $I
30 PRINT «Сам дурак!»

Извините за мой бейсик.


Такие дела. NOD32 свежий, всё включено.


UFO just landed and posted this here
Уже отправила. Ждём ебилдов. :)
У меня в 10-00 Нод его уже знал. Базы 4520.
Win32/Hoax.IMPass.AM приложение
Файл брался из поста itspoma

«на сайте forum.antichat.ru выложили это самое яйцо, кому интересно посмотреть:
_ http: // webfile.ru / 3900346
ОСТОРОЖНО. ВОРУЕТ ПАРОЛИ ;) „

Мы это обсуждаем? :)
Где я, шо здесь? :)
Прочтите шапку пожалуйста :)
Так как ту ссылку уже прибили, приведу другую.
rghost.ru/538855
Да читал я, читал :)
Вашу ссылку кстати тоже прибили (не знал, что скачать вирус в интернете уже такая проблема). Поэтому я проверял именно файл из указанного поста — если это уже старая «версия», то извиняюсь за дезинформацию.
UFO just landed and posted this here
UFO just landed and posted this here
Avira даже скачать не дала файл :)
А ведь если бы авторы червя рассылали его при помощи обычной аськиной отправки файлов, или же каждый экземпляр червя закачивал бы сам себя на какой-нибудь из файлообменников, то могла бы и эпидемия настать. Или не смогла бы? А ведь он мог бы еще и пароль от вконтакте угонять…
Читать логи аськи и улучшать навыки общения :)
По существу вопроса в начале топика. Может не совсем уместная, но аналогия.

Вы садитесь на скамейку в парке. Видите — стоит запечатанная, укупоренная бутылка пива. И вокруг никого.

Вопрос. Вы ее откроете и выпьете? Или пусть стоит… до паркового бомжа?

Р.S. В результате тщательного осмотра сомнений в заводской укупорке бутылки у вас нет.
Наверно все зависит от воспитания…
П.С. Шутка.
Нет, я не про воспитание. Я про осторожность.
сидел минуту втыкал, кто же такой П.С. с фамилией Шутка…
Спать надо больше всё-таки…
UFO just landed and posted this here
Ни один вменяемый человек в принципе не будет давать ссылки на .exe файл. Ну просто не будет и все тут. Это как на улицу без трусов выйти.
UFO just landed and posted this here
Если в штанах и без трусов, то нормально )
UFO just landed and posted this here
Хм, анекдот на ваш пример:
Идет мужик по дороге и видит на обочине бутылку. Открывает, нюхает — водка! «Ну», — думает, — «свезло!». Пьёт и тут же падает замертво.
Идёт ещё один мужик. Видит труп и бутылку. Нюхает — водка. Подозрительно смотрит на труп… нюхает ещё раз — точно водка! Пьёт и умирает.
Идёт третий мужик. Видит два трупа и бутылку. Нюхает — водка же… но два трупа рядом. Ещё раз нюхает — водка.
«Люююди! Помогииите!», — орёт мужик и залпом выпивает.
Кто обронил метиловый спирт?
По мне так прошло время когда что-то интересное от друзей приходило в виде скачай и посмотри, сейчас в основном могут присылать ссылки на веб ресурсы.
А вот к файлам я этому отношусь очень очень подозрительно даже ответы типа это что-то позитивное не помогают, фотку, картинку, тест — это можно, но никак не исполняемый файл…
Насчёт фотки/картинки, недавно был пост про уязвимость флеша. Тебе кидают ссылку на gif, она подгружает флеш и комп заражается. Как то так…
убегаю на учёбу поэтому поправьте меня кто помнит подробнее...
Насколько мне известно, таким способом можно было разве что встать в стройные ряды ботнета, что по сути не страшно, в сравнении с утерей icq или утечкой паролей браузера.
Если там выполнение произвольного кода, то от ботнета до паролей — один шаг.
Я тоже попался из любопытства. Лапоть. Пришло от знакомого, думаю что за бред. Но ради интереса качнул, проверил Нод`ом 4. Пишет чисто. Запустил, win7 UAC молчит, запустилась картинка, после закрытия остаётся висеть в процессах, но не от моего имени. Сижу на миранде. Вот думаю сработало оно или нет.
А как проверить?
Запустил, win7 UAC молчит, запустилась картинка, после закрытия остаётся висеть в процессах, но не от моего имени.

Можно поподробнее?
1) От чьего имени запущен процесс?
2) В каком режиме находится UAC?
Предыдущая версия пыталась что-то писать в HKLM, на что срабатывал UAС и после запрета изменений троян падал с исключением.
1) не обратил внимания, просто грохнул. Могу проверить, тока знать бы оно активировалось или нет. win7 64x по ходу.
2) uac по умолчанию. Но миранда на другом диске, поэтому хз даж.
А в х64 усилена политика безопасности, в ней, походу, он не может ничего никуда записать. В любом случае — вещь гадостная.
В x64 нельзя запустить неподписанные драйверы, но на трояны, работающие в юзерспейсе и не закапывающиеся глубоко в систему, это влиять не должно.
Только что проверил опять.
Странностей 2 даже :)
1. Нод 4 базы 4520 всё так же молчит.
2. Запустил, закрыл. В процессах не висит. Ещё пару раз потыкал, запускается от меня, после закрытия в процессах не остаётся.
Я кое что забыл сказать — предыдущая версия писала в реестр метку о запуске, при наличии которой происходил выход из программы. Возможно из-за неё сейчас он себя так странно ведёт :)
Ну для того чтоб записать что-то в реестр UAC в любом случае нужно поднимать.
Так что не факт.
Зависит от режима UAC и того, куда ведётся запись. При записи в HKCU сообщений выдавать не должно даже в самом лютом режиме.
Нашёл! :)
HKEY_CLASSES_ROOT\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\started
вот здесь создаёт параметр started со значением 1
По идее в изолированном пространстве…
Какая прелесть, UAC автоматически перенаправил запрос в виртуальную ветку реестра, так что троянец отработал нормально…
Остаётся вопрос с принципом действия, точного описания пока найти не могу :(
У моего знакомого vista 64x +qip
вир прописал запись по тому же пути, но пароль у него упёрло.
Минусатору, у нас системы с ним похожие
win7 64x uac nod32 miranda у меня
vista 64x uac ess32 qip у него
пытаюсь выяснить почему у меня не сработало.
А у меня Миранда постоянно запущена под админом, а UAC работает в стандартном режиме… Соответственно вирус не получил доступа к файлу профилей или к процессу (не хватило привилегий).
UFO just landed and posted this here
Ого, какой охрененный сервис. В закладки, чёрт возьми.
Получается, что троян перехватывает соединение с сервером и пароли получает из сети, а не парсингом настроек клиента?
Ко мне пришло это «яйцо». От реального живого аккаунта, который сказал: это вирус. Вирус пошёл в мой «зоопарк».
отпишитесь кто-нибудь у кого получилось подобрать пароль обратно. он числовой? а сколько знаков?
где-то читал, что числовой и восьмизнак
вот пытаюсь подобрать)
А восстановить через секретные вопросы?
давно регил. не помню уже ответы\=
Мне вот интересно, а что люди вообще ожидали увидеть в этом файле.
Я просто с ходу не могу вспомнить какую-нибудь подобную ситуацию, но с реальной не вирусной начинкой файла.
Может я какой-то неправильный собеседник, и у меня неправильный контакт лист, но мне никто не кидает ничего первым сообщением в чате ><
После первого вируса подобного рода я перестал пользоваться этой фигней
>>UPD: Вирус был удалён с file.qip.ru по состоянию на 01.35 МСК
в 13:31 МСК мне пришла ссылка на тот же Egg.rar — файл успешно качается (каспер успешно блокирует :)


Интересно, на file.qip.ru действительно есть антивирус, или у них написано, как на заборе?

P.S. С момента нарезки скриншота до публикации комментария количество скачиваний увеличилось до 1128 (около 4х минут).
походу оно делает не постоянно проверку а раз в какойто период… вот так и получилось…
больше похоже, что оно вообще не делает проверку — в обоих (всех?) случаях файл удалялся по факту жалобы.
AVG определяет как Trojan horse Generic14.AQMG
Посмотрел на вирус внутри. Смешной, написан на Borland Delphi 3.0, даже не упакован UPX. Упаковал, получилось в 3 раза меньше размером.


В лиcте импорта, дергается больно дофига модулей.


К тому же автор вероятнее всего использовал вот эту библиотеку для работы с ICQ сетью и она занимает больше 40% кода файла.

Насчет заражения любого клиента, информация сомнительна, так как вирус ищет файлы qip примерно по такому патерну: \Documents and Settings\{username}\Application Data\QIP\Profiles\*\*.qip

Вирус использует как бинарный протокол так и http API…


… шифруясь под браузер


Ну а сам проект для Delphi называется cheatICQ. Желающим могу дать декомпилированную версию + дамп.
Выложите, пожалуйста, архив с декомпелированной версией.
Есть такая штука как DeDe — декомпилятор Delphi приложений.
Ну попробуйте в компилятор вставить, он долго будет материться :)
все эти декомпиляторы, сначала дизасмят код, а потом ищут похожие функции.
поэтому они чаще помогают в разборе программы, нахождении функций, чем в получении исходного кода.

И выше линк «исходный» код в любом assembler компиляторе собрать не получиться, т.к. дизасм движки в свою очередь ищут байткод похожий на asm команды :) его конечно, довольно легко «читать» и даже править, но компилировать не получиться :)
Любой кто хоть один раз запустит DeDe все это поймет. Я нигде не писал что получается готовый к компиляции код, но для исследования утилита полезная. Может вас зацепило слово декомпилятор, но часть работы прога все же делает. Ну мы же не в дедсаде, ёли-пали.
У меня оригинала вируса нету, иначе в отладчике его бы запустил :)
Вот уж действительно нужно быть полным идиотом, чтобы запускать «нечто позитивные» файлы
пару месяцев назад была подобная эпидемия. только назывался файл frogs. также улетали пароли на номер, также антивирусы молчали.
хозяин сидел на этом номере 49982679 и по запросу возвращал uin.
новый пароль цифровой 7 или 8-значный.
После того, как я так глупо попалась, очень хочется перекраситься в блондинку, купить карманную собачку и пойти работать в бухгалтерию :(:(:(
Sign up to leave a comment.

Articles