Не так давно в «Часкоре» была опубликована статья «Воспоминания экс-спамера». В ней один из интернет-предпринимателей, зарабатывавших на спаме во «В Контакте», объявил о том, что у такого бизнеса очень скоро почти не останется воздуха.
В какой-то мере с ним можно согласиться — сейчас спама действительно ощутимо меньше, чем было даже в прошлом году. Но оставшиеся спамеры прибегают ко всё более изощрённым методам. Сейчас я хочу рассказать об одном из таких методов, встретившихся мне сегодня.
Начинается всё довольно невинно, кто-то из друзей пишет вам банальное «привет. как дела?». Вы не менее банально отвечаете, что у вас всё отлично, и интересуетесь делами собеседника, он уточняет: «ты за компом сейчас?», спрашивает: «хочешь посмеяться?» и кидает ссылку вроде
На этом этапе впечатляет уже то, что бот с, очевидно, взломанной учётной записи пишет три вполне уместные реплики, прежде чем кинуть ссылку. Ссылка перенаправляет на страницу
Страница, на которую даётся ссылка, персонализирована. Цифры 10737644 в ссылке — это мой id. В название и описание якобы-видеоролика вставлено моё имя:
Видеоролик же нельзя посмотреть, потому что у меня, оказывается, устаревший Flash Player. Предлагается загрузить его «с сайта Adobe» по ссылке
Не менее чудесными являются «комментарии». В качестве авторов комментариев указаны мои реальные френды из «В Контакте» со своими аватарами:
Особо примечателен второй комментарий, который должен окончательно убедить меня, что этот «Flash Player» всё-таки нужно скачать.
Я обратился к Onthar — автору предыдущих топиков о вредоносном спаме во «В Контакте», вот его комментарий:
В какой-то мере с ним можно согласиться — сейчас спама действительно ощутимо меньше, чем было даже в прошлом году. Но оставшиеся спамеры прибегают ко всё более изощрённым методам. Сейчас я хочу рассказать об одном из таких методов, встретившихся мне сегодня.
Начинается всё довольно невинно, кто-то из друзей пишет вам банальное «привет. как дела?». Вы не менее банально отвечаете, что у вас всё отлично, и интересуетесь делами собеседника, он уточняет: «ты за компом сейчас?», спрашивает: «хочешь посмеяться?» и кидает ссылку вроде
http://tinyurl.com/home-video-10737644-html
На этом этапе впечатляет уже то, что бот с, очевидно, взломанной учётной записи пишет три вполне уместные реплики, прежде чем кинуть ссылку. Ссылка перенаправляет на страницу
http://46.98.28.65/home-video/10737644с интерфейсом YouTube. Внимательный пользователь, разумеется, заметит несоответствие URL сайту, но расчёт, очевидно, делается на тех, кто на такое внимание не обращает.
Страница, на которую даётся ссылка, персонализирована. Цифры 10737644 в ссылке — это мой id. В название и описание якобы-видеоролика вставлено моё имя:
Видеоролик же нельзя посмотреть, потому что у меня, оказывается, устаревший Flash Player. Предлагается загрузить его «с сайта Adobe» по ссылке
http://46.98.28.65/Flash-Player.exe
Не менее чудесными являются «комментарии». В качестве авторов комментариев указаны мои реальные френды из «В Контакте» со своими аватарами:
Особо примечателен второй комментарий, который должен окончательно убедить меня, что этот «Flash Player» всё-таки нужно скачать.
Я обратился к Onthar — автору предыдущих топиков о вредоносном спаме во «В Контакте», вот его комментарий:
Этот файл — троян-загрузчик. То есть он загружает и запускает вредоносные файлы из сети. Дело в том, что там какая-то партнерка или еще что-то. Файлов грузится необычно много(2-3 только за 5 минут анализа), и они все продолжают активность в системе. Пока могу точно сказать одно — это ботнет из загрузчиков, обращаются все файлы на разные домены (n-78.ru, vn-66.ru ...), но на один ip — 91.223.89.99.
Не секрет, что загружать в систему жертвы эти файлы способны самое разнообразное вредоносное ПО, вплоть до знаменитого TDSS-буткита.
