Очередной массовый взлом ICQ-UIN'ов

[Sagaris]

Таки минибота подсадили…

>> Incoming file transfer: Snatch.exe (Snatch)

>> 16.08.2010 15:06:12 Sagaris wrote:
>> у тебя вирус

>> 16.08.2010 15:06:13 Sagaris wrote:
>> привет

>> 16.08.2010 15:06:18 User wrote:
>> нет, глянь )))

>> 16.08.2010 15:06:20 User wrote:
>> привет!

>> 16.08.2010 15:06:33 Sagaris wrote:
>> ты мне что-то присылал?

>> 16.08.2010 15:06:42 User wrote:
>> ну мини игра типа )

>> 16.08.2010 15:07:05 Sagaris wrote:
>> привет

>> 16.08.2010 15:07:13 User wrote:
>> привет!
…

[AHTOLLlKA]

там еще есть из ключевых слов «бот» и ответ «эээ… сам ты бот =\»
реализация простая троя… но у меня уже пол контактов его впаривают)))
надо бы узнать пароль он меняет на фиксированный или алгоритм есть для этого…
просто вернуть бы людям номера (не все знают что такое примак итд)

[Levsha100]

У вас значит друзья нормальные, у меня многие линуксоиды(я тож красноглазик) =)

[AHTOLLlKA]

везет Вам…
а у меня половина контактов молодые девочки… которые готовы даже фильмы выкачивать 5 гигабайтные если им их кинуть в аську… вот так и живем…

последняя такая «эпидемия» на моей памяти это: «Превед атакует интернет» где рассылали oPreved.exe

[GetWindowsDirectory]

piggy недавно рассылали, в этом году.

[AHTOLLlKA]

точно!
забыл о нём
только что смотрел видео о его реверсинге))

[salvadorz]

А ссылку можно, на видео?

[infi]

> у меня многие линуксоиды(я тож красноглазик) =)

> везет Вам… а у меня половина контактов молодые девочки…

^_^

[ahiskali]

Хабр — торт.

[Pilat]

>а у меня половина контактов молодые девочки…

Везёт Вам… А у меня почти все — админы с параноидальными наклонностями…

[salvadorz]

А у меня просто отключен прием файлов через асю :))

[Tigger]

еще есть ответ «Включи в настройках передачу файлов )» на фразу «У меня аська не принимает файлы». Тут-то я и насторожился — ну не мог мне этот мой контакт сказать такую фразу! :)

[fozzy]

Айпишник бы затерли на скрине…

[fozzy]

Если троян спамит с зараженной машины, то IP человека светить как бы не корректно.
Само собой, если я ошибаюсь и троян отправляет логин/пас другому боту (который собственно и рассылает файл) то айпи конечно лучше не скрывать.

[AHTOLLlKA]

ога он при запуске находит папки квипа
потом убивает клиенты запущенные
taskkill /F /IM qip.exe
taskkill /F /IM infium.exe

потом удаляет (вроде бы)

[AHTOLLlKA]

Langs\English.dll
Langs\Russian.dll

[avolkov]

Кстати, а он что, только qip умеет ломать? Про Миранды и официальные ICQ что-то ни слова, но скриншота…

[Bushka]

Mirand`у не сломал.

[avolkov]

Заговор против пользователей qip, не иначе.

[wolfich]

На машине юзера еще пытался Каспера убить. Каспер сопротивлялся и не умирал, но вирус в упор не видел. Кстати, и сейчас не видит, хотя я им отослал вирус и они сказали:
«snatch.exe — IM-Worm.Win32.QiMiral.ax

Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского
»

[navion]

С касперским вообще загадочная история, вчера он мне его скачать не давал для ковыряний, а сегодня в упор не видит тот-же файл.

[freeiji]

Брутальней смотрелось если бы Вы написали: «всем привет» из под логина автора статьй, и в ps указали «Айпишник бы затерли на скрине…»

[maximw]

Вообще-то это внешний IP жертвы вируса, а не автора. :)

[eucariot]

Тем брутальней это бы смотрелось)

[maxkhim]

Можно поподробней. Вирус запускается при согласии(нажатии на кнопке «принять») или при ручном запуске уже скаченного приложения?

[volanddd]

уже при взгляде на зараженный контакт

[Danmer]

Обычно разрушительный вирус запускается, если в командной строке набрать «Запустить вирус» ^^

[jeje]

Статью переименовать в «Регулярный, стандартный взлом лохов через icq», нет тут ничего иновационного

[maq]

Регулярный и стандартный, а на работе почти все заразились, идиоты.

Такой массовости давно в аське не было. Если вообще было.

[jeje]

Видимо люди забыли уже давние проблемы, ничего им напомнили

[Goodkat]

Идиоты — сисадмины, которые на рабочих станциях оставили возможность запуска файлов не из /windows и /program files или не закрыли запись в эти папки.

[Goodkat]

Количество минусов соответствует количеству сисадминов, которые на рабочих станциях оставили возможность запуска файлов не из /windows и /program files или не закрыли запись в эти папки? :)

[BlackGod]

У меня юзверям права обрезаны по полной. Только то, что им нужно для работы оставил ;)

[Savvy]

Хм, и гугловские программеры попадают в эту категорию? Они-то с дури свой хром а app data располагают…

[CLaiN]

Это, конечно, если нет прав администратора?

[Savvy]

Нет, похоже, всегда. Там обновлять по-любому легче.

[CLR]

Подобные саморассылающиеся трои появились еще в 2004, с тех пор и происходят подобные массовости…

[Priest]

как же, взлом идет через нанофайлы ;-)

[Delias]

по-моему уникальность в миниботе как раз. подошли к делу грамотно

[Kawamura]

Аськовирусы с ботами были еще года два назад.

[Thrasher]

Это же детский сад ё-мое!
Уже давно все должны знать, что нельзя открывать незнакомые экзешники с незнакомых контактов!

[flypigs]

С любых контактов :)

[jtsuken]

Это вот мы такие умные. Когда я сказал бухгалтеру: «Зачем вы открываете экзешники, даже не поинтересовавшись, что такое прислали?», то услышал вопрос: «А что такое экзешник?»
Красота.

[FeelGood]

А что вы хотели от бухгалтера услышать? :)

[maxkhim]

Наверное такое:

Я проверила с самыми свежими сигнатурами, результат был, отрицательный, но сомнение закравшееся мне в душу было столь глубоко, что я решила проанализировать дизассемблерированый код. Результат поверг меня в уныние и я позвала Вас чтобы поделиться с вами своим скормным мнением о сием неоднозначном творении программистсокого гения.

[maxshopen]

если бы у меня бухгалтер такое ответил, я бы пожалуй уволился ;)

[Serzhenko]

Я проверила с самыми свежими сигнатурами

Смех смехом, а сигнатуры — сигнатурами…

[Writer]

У бухгалтеров в Windows всегда настройки по умолчанию, а значит расширения файлов не отображаются. Потому и не знают. Попробовали они не знать, что такое расширение во времена ДОСа… :)

[DanXai]

Лучше чтоб по умолчанию. Ибо когда переименовывают файлы — сносят расширения к черту.И удивляются потом, мол у меня отчет не открывается!

[Ogra]

Вот за что я люблю семерку, так это за то, что при переименовании файла выделяется только имя, не затрагивая расширение.

[voidby]

Особо упорные товарищи все равно удалят :)

[reff]

Аська в бухгалтерии? Ой-ой.

Во избежание дряни пакостной только бухгалтерский софт (Б-К и прочие «Контуры») должон ходить на просторы WAN'овые через правила строгие да протоколы суровые.

[Shirixae]

Горбатого могила исправит.

[RazB0YniK]

Простите, а Вы суть то поняли атаки?
Незнакомыми контактами тут не пахнет.

[SamDark]

habrahabr.ru/blogs/virus/101867/

[FB3]

На 13 топиков раньше, зато не с таким красочным описанием :)
Ну либо этот топик кто-то яростно плюсовал для выхода на главную :)

[SamDark]

Я ничего против не имею. Просто для информации.

[alevolk]

Кулхацкеры атакают ))))

[alternativshik]

Каждый день угоняются сотни UIN`ов! Давайте каждый будет отписываться здесь о том, что он подцепил вирус или о том, что у него или его знакомого украли асю? Ну как дети, ей богу…

[Terehoff]

habrahabr.ru/blogs/infosecurity/101870/#comment_3160275

[tagir_valeev]

Уин топикстартера 205100, по всей видимости, тоже когда-то был у кого-то угнан ;-)

[valer00n]

Около часа назад присылала сестра жены такое же.
Те же ответы «ну мини игра типа ) », всё на ноте доверия.
Пытаюсь объяснить что у меня другая операционная система и что у меня exe в лучшем случае будет работать с глюками и если игра, то не факт что пойдет… Та — молчит. И файл главное не принимается. Прошу выслать на емаил — контакт оффлайн. :(

Жаль, приватный почтовый ящик спалил спамерам :(

[Virusmater]

не думаю, что они такую инфу сохраняют

[PingMe]

И потом угорают сами и выкладывают на баш.

[evil_random]

У нас уже в офисе подхватили это счастье. Два аккаунта пришлось ресторить.

[n1kka]

Чем-то все это напомнило анекдот, про вирус, который нужно было самостоятельно скачивать, запускать и всем пересылать вручную.

[divanikus]

Не совсем так. Там надо было самому у себя удалить что-нибудь важное и переслать сообщение всем контактам.

[Die_Gelassenheit]

«Здравствуйте, я молдавский вирус».)

[Levsha100]

Линуксоиды именно таки делают, а то скучно =(

[ozgg]

Хотя бы имя файла говорящее.

[usja]

Вовремя я из памяти этот snatch.exe убрал.
Квип сразу зарывается.
Пароль поменять сейчас не реально — только через icq.com, восстановление пароля.

[SergiuZZZ]

и на icq.com на данный момент пасс сменить не реально. «An error has occured. Please go back and try again.»

[usja]

я поменял без проблем через восстановление пароля.

[vcrank]

Недавно тоже столкнулся с невозможностью сменить пароль через icq.com
Добрые люди подсказали способ через сайт AIM. Получились танцы с бубном, но пароль был сменён

[RuslanNazarov]

Для этого воспользуйтесь оф. клиентом последней версии

[shmaltorhbooks]

погоди-погоди, то есть ты его всё-таки запустил, да?

[usja]

Да, запустил.
Квип аварийно завершился. По контакт листу, те кто он-лайн, вирус автоматом себя разослал и в процессе завис.
Но пароль не поменял. Может слишком быстро убил.
Пятый и шестой разы тоже пароли не меняли.

[avatarmov]

Помнится, когда icq пользовался — было несколько раз тоже самое. 2 года назад перешёл на скайп. Всё, ни спама, ни вирусов, всем доволен.

А вообще странно, что icq так популярна в России.

[navion]

Всё, ни спама, ни вирусов,

ни контактов…
А если серьёзно, то скайп не гарантирует доставку сообщений, да и тяжеловат для IM.

[avatarmov]

Это да, однако в плане спама, я думаю, скайп лучше.

[NickLion]

Чем Jabber/XMPP не угодил-то? ИМХО, для общения открытые технологии — это надёжнее.

[avatarmov]

А я и не спорил, что он лучше. Просто мне кажется icq пора выбрасывать и менять на что — то другое.

[Akr0n]

Какой в этом смысл? Что XMPP, что ICQ… Уязвимость сидит в мозгу пользователей, которые запускают непонятно что!

[avolkov]

Принципиальный момент в «XMPP vs ICQ»: известно такое явление, как «воровство красивых UIN'ов». Про «воровство красивых JID'ов» я что-то ничего не слышал. :)

[VasyaMobile]

хочу JID: admin@gmail.com. Уведите плз

[Virusmater]

знакомый как-то смог поймать skype вирус
то и дело от него приходили сообщения с сылакми на сайты и подпись " Foto :D"

[Terehoff]

Хорошо, я передам )

[tagir_valeev]

Не он один =)

[CLaiN]

Скайп рулит для общения с мамой.

[chonduhvan]

Уже бабушки на подходе

[dotzero]

Этож надо вирусы по 900 кб писать!
Вот раньше деревья были большими, а вирусы маленькими.

[moooV]

Это же кулхацкеры. Он на визуал бесике, не иначе!)))

[spxnezzar]

Дэльфи, в кишках видно =)

[navion]

И это странно, предыдущий вирус тоже был на Делфи — неужели нет компонентов для работы с аськой под другие языки?

[silentroach]

он на delphi, довольно небрежно написан

[dotzero]

судя по хедерам на Delphi 6-7

[Shiz]

I Love You был на VBS написан.

[SilenceAndy]

Вы не поверите, он весит 10 мегабайт просто упакован в rar.

[johny]

что-то мне это уже lazarus напоминает :)
свободный «аналог» delphi на fpc

[pavel_manylov]

Мм, «большой размер файлов» в лазарусе отключаем.

[johny]

ну это сейчас может быть отключаем.
А раньше приходилось пользоваться утилитками, чтобы вырезать мусор и сжимать файлы.

[r3r]

Жесть. Похоже боту еще словари ABBYY lingvo из соседнего топика всунули :)

[tagir_valeev]

У вас какой-то неправильный Snatch.exe. У всех по 900кб, а у вас больше двух метров :-)

[adminimus]

видимо новая версия. А следующая так распухнет, что будет маскироваться под DVDRip

[InfernoZ]

бот собирает словарь с каждого общения, перепаковывается, и рассылает дальше, скоро он будет знать ответ на любой вопрос

[Serzhenko]

И этим ответом будет «42» ;)

[amarao]

Хм… А ведь такое и запустить не грех…

[kogedub]

И как показывает практика уже прилично по сети разошёлся, не смотря на размер. Сейчас же почти для всех 900 кб не так уж и много. А ведь интересно посмотреть, что там за Snatch.
Тем более, далеко не все знают, как общаться с ботами: «У нас же последняя версия антивируса, нам море по колено». и тп

[Ierixon]

размер 10 Мб думаю сделан специально, ведь это «мини-игра», так что будь там размер 5кБ было бы уж очень подозрительно.

[Akr0n]

Такой большой размер идет на мусор, который позволяет обходить эвристики антивирусов. Т.е. «плохие» функции разбавляются «хорошими», или просто ресурсами и общий рейтинг опасности файла снижается ;)

[gag_fenix]

В такой объем могли бы еще и правда игрушку запихать!

[Amigos88]

Художественный фильм «Сп**дили»

[Zibx]

Суровый способ распространения. Почти как вирус, который писал на почту что ему очень грустно и просил его запустить.

[VanMaark]

Выложите кто-нить на файлопомойку это чудо

[theli]

да, охота поковырять внутренности

[usja]

slil.ru/29568270

[VanMaark]

Архив поврежден :( Или так и надо?

[usja]

Дык, без проблем все запускается у меня

[infi]

Не знаю, вроде он действительно поврежден.
Есть у кого целый?

[meer]

Не качайте, там вирус…

[meer]

:-)

[ainu]

противозаконно

[johny]

мыслепреступление

[Mad_D]

Скачать мини-игру Snatch.exe без регистрации здесь »

[0lympian]

А я с ним прикольно поболтал!

Fozzy 16 августа 2010 г.
15:13:13 :)
­
Fozzy 16 августа 2010 г.
15:13:16 Snatch.exe (Snatch)
­
0lympian 16 августа 2010 г.
15:13:46 что за вирусня? ;)
­
Fozzy 16 августа 2010 г.
15:13:55 глянь ))
­
0lympian 16 августа 2010 г.
15:17:32 бот? ;)
­
Fozzy 16 августа 2010 г.
15:17:39 эээ… сам ты бот =\
­
0lympian 16 августа 2010 г.
15:17:53 ск0ка будет два плюс восемь?
15:18:20 хихихи
­
16 августа 2010 г., 15:19:39, Fozzy signed off.

[0lympian]

Отправил вирустотал — почти не детектится никем. Отправил дрвеберам ;)

[Serzhenko]

Угу. А я и Касперам. Посмотрим, через сколько результат пришлют.

[0lympian]

Мне 2 часа назад отписались, что добавили

Угроза: Win32.HLLW.Natchs

[0lympian]

Мне через 1.5 часа после сабмита ответили.

Угроза: Win32.HLLW.Natchs

[Serzhenko]

Странно, мне не ответили пока ни DrWeb, ни KaspLabs — только уведомления, что обращения приняты, прислали.

[fozzy]

о_О

[0lympian]

Это другой ;)

[Akr0n]

Хм… Судя по «лексикону» оооочень сильно напоминает февральский вирус, который умел отвечать в аське (H1N1, показывал картинку со свином). Видимо авторы доработали.

[Sagaris]

А ведь могли китайцев нанять и научить чтоб отвечали! ;)

[shmaltorhbooks]

точно! и платили бы им за капчу — доллар-полтора за тысячу ответов)

[0lympian]

Подозреваю (ниже писал), что в такой объем могли впаковать обученный alicebot ;)

[kAIST]

К сожалению, некоторые живые люди общаются примерно так же :(

[0lympian]

Так может этот вирус не только аську захватывает, но и мозг? О_о

:)

[rusmikev]

> user: :)
­
> user: Snatch.exe (Snatch) — пересылка файла.
­
> rusmikev: это что?
­
> user: глянь ))
­
> user: еще раз кинь
­
> user: Snatch.exe (Snatch) — повторная пересылка файла после моей просьбы.
­
> rusmikev: аська не хочет принимать
­
> user: ну мини игра типа )

Больше всего я удивился повторной отсылке файла.
Файл так принять и не удалось — попросил товарища скинуть и дальше уже с ним игрался. Под виртуалкой запустил — ничего не произошло. Подожду еще некторое время.

[zalk]

Под виртуалкой нету аськи?

[rusmikev]

Нету. Это специальная виртуалка для таких целей. =)

[spxnezzar]

А файлик-то 7zip'ом открывается =) На дэльфи писанина внутри. Жаль нет виртуальной машины под рукой, что бы поиграться.

[widowmaker]

а линух есть? можно попробовать под вайном поиграться )))

[spxnezzar]

у меня только продашн есть, и как-то что-то на нем делать не охото.

[dmiceman]

Вообще-то это плохая идея. Уж что-что, а от вирусов вайн не защищает по определению. Другое дело, что вирус там вряд-ли заработает, но это уже другие проблемы, и о них обязательно надо сообщить девелоперам вайна, что бы в следующей версии этот вирус работал без сучка и задоринки.

[Sagaris]

Ага, подсадить в ответный поток эксплоит и взломать взломщиков? ;)

[spxnezzar]

да я думаю это тупо бот, который пароли через аську сливает, а не на какой-нибудь сервак.
Мой анализ конечно сделан на основе изучения HEXа, поэтому твердо говорить не могу.

[Sagaris]

А известны ли случаи «обратного взлома» (взлома распространителей вируса) через модификацию вируса (эксплоитный ответ и т.п.)?

[GetWindowsDirectory]

чаще всего уводят админки на контрольных серверах и сливают ботов.

[GetWindowsDirectory]

поясню: чаще всего бот с админкой общается посредством HTTP-протокола, отсюда возможность составить произвольный запрос к веб-серверу (к скрипту, обрабатывающему отстуки от ботов и работающему с БД), и если некоторые из параметров недостаточно фильтруются (или не фильтруются вобще), то возможна SQL-инъекция. некоторые старые версии админок известного Zeus были уязвимы, под них существовали эксплоиты.

[FractalizeR]

www.mywot.com/en/scorecard/spycheck.co.uk/comment#comment
SpyCheck, которым вы проверяли архив, тоже не блещет репутацией, похоже.

[LAT85]

Очередное напоминание о том что надо пересесть на мак или убунту)

[spxnezzar]

Очередное напоминание о том, что не надо всякую ерунду, пересланную по аське запускать.

[Colobock]

Очередное напоминание, что надо включить мозг. Под маком, убунтой или виндой — не важно.

[Midgard]

[d_a]

Подбор иконок как-бы намекает, что коммон сенс не совместим с всей линейкой бсд, свободным и несвободным солярисом, полуосью, досами, всеми операционными системами от майкрософт до висты (раньше иконка была другой) и всеми остальными?

[CLR]

Вы давно заглядывали в phrack magazine? когда я последний раз там был с несколько месяцев назад, там валялся годный такой руткит под Snow Leopard.

кстати подобные глупости как эта среди мак юзеров точно так же распространяются — создаем app бандл с «вирусом», меняем ему иконку на иконку текстового документа и вуаля… каждый второй хомячек вводит пароль для открытия текстового файла — проверено в отдном отдельно взятом офисе )

[Marok]

Назвать вирус Snatch, что в литературном переводе значит «Стащить» или в нелитературном «Спи$#@ть», нужно быть хорошим шутником. Кстати, фильмец «мистера Мадонна», Гая Ричи «Большой куш» (Snatch) вообщем-то был неплох.

[Amigos88]

Он не неплох, он один из лучших в своём жанре :)

[fanex]

Всего лишь «неплох»?

[Delias]

сколько аська существует — столько времени и проблемы от неё сплошные.
как-то со скайпом такого не наблюдал никогда

[SamDark]

Ни разу не дозванивались левые контакты почитать рекламу голосом?

[Delias]

пока ещё нет

[Leong]

насколько знаю, это можно отрубить в настройках.

[evil_random]

Это им еще повезло что файл не плодится и не прячется.
А то были бы без асек.
Microsoft Security Essentials между делом не признает в нем вируса, как и Dr.Web впрочем.
Как им его на анализ отправить-то?

[Serzhenko]

Dr. Web’у и Касперскому отправили (там выше в комментах писали)…
А вот как отправить в AVG — не нашёл :(

[iNevil]

Забавно было, когда один из моих контактов просто прислал сообщение типа «глянь))» безо всяких файлов, а через пару минут в онлайне появился реальный хозяин уина и долго извинялся за вирус… =))

[SLEPOI]

переходите на Linux и будет вам щастье. А вообще конечно странние люди… мне казалось таких ламеров уже нету.

[SLEPOI]

извините за ошибки, нерусский.

[VasyaMobile]

if (problema1 == icq || problema2 == yveli || problema3 == UIN) Console.WriteLine(«Переходите на Linux»);
else Console.WriteLine(«Переходите на Linux»);

[Darkened]

Дельфи, фу.

[VasyaMobile]

C# 4.0 на MS Visual 2010 ru.

[Darkened]

Тем более фу.

* Минусующим — в сорта гов… проприетарщины не знаток

[0lympian]

Может быть туда просто что-то вроде уже обученного элисбота впихнули? ;)

[barboss]

Тоже получил из контакт листа такое сообщение, пробовал заговорить — молчит, как партизан)=

[Himari]

И зачем это на хабре?

[iNevil]

Для того, чтобы хабрасообщество попричитало на тему «Как же еще много ламеров на свете»…

[infi]

я (16:30:34 16/08/2010)
ээ

я (16:30:39 16/08/2010)
зачем мне троян

он (16:30:48 16/08/2010)
а зачем рыбе велосипед? )

я (16:31:01 16/08/2010)
ктож знает

я (16:31:33 16/08/2010)
толстый больно у тебя троян вышел

я (16:31:35 16/08/2010)
900кб…

[dotsquid]

У меня вообще какой-то уникальный случай

Вовка, 16.08.2010 14:05:38:
:)

Вовка, 14:05:38:
Прием файла: Snatch.exe
Snatch

dotsquid, 14:09:30:
че это?

Вовка, 14:09:44:
вирус
не запускай

[iNevil]

такое тоже было :)

gk 19:55
:)
Snatch
204371 19:56
wtf?

gk 19:59
не принимай
квуйня выбивает квип

[Sicness]

Это подбивают самому отправить другому своему другу. Продуманный ход.

[dmc0re]

Мышки плакали, кололись, но продолжали жрать кактус…

[ishua]

а че ж им делать если мозга нет? открывать ехешник присланный без предворительной оговоренности… :)

[jaunty]

Автор трояна читает хабр и стебется над логикой бота.

[AstaRoth]

16.08.2010 15:15:54, С
:)
16.08.2010 15:15:57, С sent file
Имя файла: Snatch.exe
Кол-во: 1
Размер: 916,5 KByte
Сообщение: Snatch
IP: 195.138.92.85
16.08.2010 15:17:33,AstaRoth
что это??
16.08.2010 15:17:39, С
глянь ))
16.08.2010 15:18:12, AstaRoth
поконкретнее
16.08.2010 15:18:20, AstaRoth
вирус?
16.08.2010 15:18:30, Слыщенко
нет, что ты? как можно?! )
16.08.2010 15:19:20, Слыщенко
ну мини игра типа )

\\интеллектуальный бот

[Daemon_Hell]

И ведь даже паузы делает между сообщениями.

[AHTOLLlKA]

дак да!
он показывает мол «печатает»

[Guedda]

Видимо, он не года два как не в аське, а ты у него два года как в инвизибле )

[Guedda]

Я был в армии, и знаю, как служат и «умничают» в армии контрактники. ;)

[tgm]

Уже пора ссылку на вирус кинуть…
Заждались уже все :)

[AstaRoth]

Да вот жеж slil.ru/29568270 сколькими-то постами выше
На Делфях вроде забацано, у стандартного клиента языковые dll'ки валит и вырубает клиент. Далее по идее должен быть «гуд бай уин», ради интереса уже у себя запустил — крысу он не знает

[Awake]

выше есть))

[rushter]

Совсем вирусописатели разленились, уже вирусы по 900кб весят.
Еб*ный стыд.

[gabriell]

Хорошо еще, что не пишет что то в стиле «Для запуска данного ПО, установите framework или аппаратная конфигурация не позволяет запустить данное ПО»

[Awake]

специально размер увеличен, мне кажется. И вообще этот вирус сам по себе очень даже неплох. Отлично сделан.

[rushter]

Вы не поверите, как люди ведутся на фильмы размером в 1мб. Причём это далеко не единичные случай, таких очень много.
Меньший вес бы не сильно ухудшил его работу :)

[Awake]

скажем так: от файла размером в 1мб хуже явно не стало :) у нас тут в офисе у женской части беда началась сразу))))))

[Writer]

Бывает, что скачиваешь не 1, а 698 Мб, а оно не играет. Сжимаешь архиватором — оно сразу же до 1 МБ и сжимается.

[infi]

Кому интересно, вот тушка — filebeam.com/b1828c9fce8bd093590ea2410b51ca34

[homm]

Капец, вышло обновление нода уже после инцидента, до сих пор не детектится.

[Mew]

ибо нод хауно

[gooddy]

плохой бот, на мою фразу «ээээммм… и что с этим делать?» он сразу ушёл в оффлайн :(

[mskman]

ха, видимо не все смотрели одноимённый этому троянцу фильм с Брэдом Питтом, в переводе Гоблина — SNATCH! (спи*дили!) идеальное название для кражи пассвордов:)

[crossolt]

собссно news.rambler.ru/7279151/

[infi]

lenta.ru/news/2010/08/16/icq/

[Akr0n]

Еще немного и следующая версия вируса пройдет тест Тюринга…

[xSeth]

Мне вот интересно а с оригинального клиента вирус ворует UIN'ы?

Если нет то это происки icq.com :)

[Terehoff]

Тогда уже происки mail.ru )

[rastych]

Подловил себя на мысли, что это первый троян, который я чуть было не запустил
Даже принял, но вовремя остановился. Перезвонил контакту, выяснилось, что это троян
Потом посыпалось от остальных.

Все-таки такая тупая социальная инженерия «в лоб» без всяких ухищрений имеет право на жизнь

[Levsha100]

А почему они туда игры не вставили? вот что меня смущает (

[sraider]

видимо эту фичу отложили на следующую весрию вируса

[Levsha100]

Очень надеюсь, ибо не эффектно на виртуалке =(

[InfernoZ]

Там будет мультиплеер, с другими хомячками принявшими фаил.
а игры будет про мышей и кактус

[nortonix]

А еще никто не смотрел какие данные и куда шлет эта дрянь?

[metakey]

Как страшно жить!

[Jivot]

Да нормальная игра, я уже почти прошел!

[navion]

Я так всем говорил, когда рассылали предыдущий вирус с лягушками — без админских прав заработал только встроенный флеш… А потом пришлось восстанавливать пароль девушке :(

[hammerzeit_halt]

нашел флеш игрушку ~900кб
переименовал в Snatch.exe
и разослал контакт-листу

[Serzhenko]

Злой.

[Amka]

А мы просто .jpeg переименованный отправляли. Народ запускал, ругался и требовал рабочего файла :)

[rblv]

название файла который надо принять уже говорит о многом

[F1RST]

Ды что же вы, это же игрушка «найди человека, который хоть что-то понимает в компах и дай ему посмеяться над собой»
Играйте на здоровье.
П.с.
надо бы найти все ответные сообщения бота, интеренсо, сколько их.

[SLEPOI]

Согласно отчету Virus Total, snatch.exe опознали как вредоносную программу лишь 9 антивирусов из 42: Authentium, BitDefender, Emsisoft, F-Prot, F-Secure, GData, Ikarus, Panda и Sunbelt.

[rblv]

rblv (15:51:02 16/08/2010)
что это?
!!! VAMP!!! (15:51:13 16/08/2010)
глянь ))

[naualt]

глянул?

[rblv]

конечно! до сих пор смотрю (:

[naualt]

только под вечер прочел про «напасть», за весь день ни одного сообщения с запросом на принятие файла… печаль

[dimka888]

Мне тоже днем присылали этот файл, только почему то у него расширения не было. И тот кто прислал был молчалив.

[non7top]

давно на главнойхабра не было кипа. уже и забыл как он выглядит

[Hungry_Hunter]

Меня пол дня атаковали сегодня эти монстры, но я выдержал :)

[TravisBickle]

Удивительно сколько в мире осталось леммингом. Даже админы ведутся а потом говорят «ну друг же прислал». Когда же народ поумнеет… вернее похитреет.

[ekzo]

очень забавное и почти метафорическое имя файла.

[navion]

А этот вирус работает без админских прав?
По-сути, они ему нафиг не нужны, но предок его валился из-за неудачной попытки записи метки активации в HKLM, сейчас это исправили или там тот же быдлокод?

[Ram0n]

Название прикольное, как уже было подмечено — есть фильм с одноименным названием.
Я еще на этот прикол не попался, т.к. как пользуюсь miranda.
Но как-то(вроде в прошлом году) пришел аналогичный файл… пароль менялся настолько глупо просто ужас… допустим, если пароль — qwe123, то он поменяется на 321ewq.

Надо бы получить данный файл, да в БитДефендер отправить :)

[IIAHbI4]

отличная игра, играли всем офисом по сети!