И вновь история повторяется… Спам с вирусами, акт второй

[@nooze]

хитро

лучшая защита — использовать коды протекции

[@proc]

а в webmoney писали?

[@Zzet]

да, естественно. Экземпляр архива также прикрепил.

[@proc]

Интересно что они ответят и как поступят с деньгами (вернут ли жертвам).

[@Zzet]

на прошлое мое сообщение (со старого топика) они не соизволили ответить. Интересно, ответят ли сейчас.

[@leonidas]

Они имеют свойство отвечать ну спустя 2 месяца на пример
* я писал абуз репорт, уже и забыл и пришёл оттвет.
Потом на каждый ответ на письмо приходилось ждать по месяцу-полтора

[@Zzet]

Вашу мать! Они ответили!

03.02.2010 10:20:52
Support Group
Спасибо за сообщение.

[@wearbo]

Деньги не возвращают. У меня 800 уе угнали, писал в саппорт, ответили — обращайтесь в правоохранительные органы. Правда там схема другая была. просто зашутдаунили комп, убили винду, причем пока переставил винду, денег уже не было. Стоял др вэб тогда еще.

Почитал по отзывам — деньги не возвращает ВМ администрация — пересылает на правоохранительные органы. Типа, разбирайтесь сами

Потом поглядел, мои деньги были переведены на какой-то левый кошель типа оплата за дизайн ))) выставил претензию, но что толку. Кошелек левый — таких сотню можно регить

[@Rafael_Delon]

Ох! Как Я не люблю этих спамеров…

[@LMaster]

Исполняемый файл является дроппером (Delphi) и дропает в %TEMP% сам троян, запакованный UPX'ом, запуская его на исполнение.
Сам троян написан на Delphi, имеет вес 796 КБ.
Зловред собирает с компьютера жертвы информацию и отправляет ее на гейт:
maerb.hmsite.net/upload.php
Функционал Trojan-PSW.Win32.WebMoner.nl я уже (примерно) описывал тут.

[@Zzet]

И в очередной раз топик обновил.

[@Zzet]

Забыл, Спасибо! (:

[@Zzet]

На серверах Яндекса лежит файл. Так что им в обязательном порядке написать надо было.

[@Zzet]

Где-то сохранить файл — это вовсе не проблема. Проблема в самом человеке.

[@ognevsky]

так же приглашаем к сотрудничеству агенства и студии

грамотеи, итить:)

[@lasthero]

А может отснифать что шлет этот троян на maerb.hmsite.net/upload.php, нагенерировать мусорных логин/пароль и отправить им туда. Пусть мучаются.

[@Zzet]

Была такая же идея. И Энтузиасты вроде как имелись…

1. Скрипт кушает абсолютно все, но не больше 2 мб.
2. Скрипт кушает абсолютно отовсюду.

[@Alaunquirie]

В прошлый раз я горе-спамерам на сайт rarjpg заливал :) С мусором на 10-30 метров, карантин антивируса.

[@Alaunquirie]

Сливаем в один файл rar и jpg, вес при загрузке из браузера у него == картинке, на деле же, после загрузки картинки он начинает дотягивать архив. Как работает rarjpg, думаю, обьяснять не надо :)

[@antness]

> вес при загрузке из браузера у него == картинке

Это как? После склеивания это уже другой цельный файл. Как браузер может «вешать» картинку отдельно?

[@Alaunquirie]

Браузер кушает файл с расширением джепег и отрабатывает его с начала и до конца jpg блока, а архиваторы ищут метку начала тома архива, и им плевать, в каком месте она находится. Так что jpg загружается, браузер её отображает, а сам юзер продоолжает тянуть хлам в виде rar / zip мусора.

[@kmua]

Отфильтрует по IP.

[@Zzet]

угу. Нас на прошлых серверах до сих пор фильтрует. смотреть туда -> habrahabr.ru/blogs/virus/81629/#comment_2418784

[@polyakov_andrey]

Спасибо тому, кто перейдя по ссылке начал минусовать мне карму, наверное заслуженно

[@chilly]

Не исключаю что это вирус и есть, но то что на virustotal.com всего 1 антивирус ругнулся на несчастный файл — это далеко ещё не повод трубить тревогу.

[@Zzet]

Никто тревогу не трубил. Пользователям напомнили о существовании того человека. Возможно кто первую волну пропустил.

А то, что вирус — это 100% =)

[@chilly]

Ясно, не заметил что можно скачать, посмотреть. Просто когда сам разрабатывал под windows, у меня на virusscan.jotti.org чуть ли не на каждый билд какой — нибудь антивирус и ихнего зоопарка ругался )

[@a5b]

отошлите письмо и вирус в антивирусные конторы, как минимум drweb и kav

[@McBernar]

Пришло такое письмо сегодня. Вернее 2 одинаковых. Научен опытом. :)

[@astal]

сайт почистил, загрузчик оставил изменив немного

интересно автор сайта(и вируса вероятно) не удосужился написать загрузчик который бы тупо сохранял все файлы добавляя .txt в конец?

[@Pilat]

Сколько интересных статей можно написать про тривиальный троян.

[@ekzoman]

yandex видимо совсем не ценит свою хлипкую репутацию.

[@RedHead]

рекомендую всегда когда возможно переводить с кодом протекции и потом переспрашивать получен ли перевод.

[@Barzometr]

самое интересное — нацеленный спам идет. Зазывает тот народ, который имеет прямое дело к паролям от сайтов и к электронной коммерции.

дизайнеры, верстальщики,
переводчики иностранных языков,
копирайтеры, рерайтеры,
фотографы, художники (знание photoshop)

[@Zzet]

Я с alaunquirie этот вопрос вчера краем зацепил. Самое страшное в этой рассылке не то, что могут увести деньги — этот вопрос на стороне внимательности пользователя, а то, что могут получить доступ к его аккаунтам. Подобная ситуация произошла с моим знакомым. Получили доступ к его аккаунту на фрилансе и разместили объявление о том, что срочно нужны деньги под процент на короткий срок. В результате — его репутация подпорчена, а люди потеряли, если не ошибаюсь, 20 000 кровных рублей. Кому-то это мелочь, а для кого-то существенная сумма. Сам лично знакомый не потерял ни копейки… Так что тут 2 стороны медали. И ни одна не блестит.

[@Ar2r]

Мозг — самая лучшая защита от троянов и вирусов :-)

[@pxx]

Сам троян написан на Delphi, имеет вес 796 КБ.

Ну нифига себе. Явно автор забыл стандартные гуишные библиотеки отключить в проекте, а может еще сверху добавил.
Как-то не вяжется размер файла с заявленным функционалом. Обычно подобного рода дрянь весит 30-100 КБ.