Оцени плиз мой новый сайт — www.counter-pr.info

    За последний месяц я от нескольких моих контактов в ICQ получил сообщение следующего содержания: «Оцени плиз мой новый сайт — www.counter-pr.info». И все, контакт сразу исчезает из онлайна. Попытки задать вопрос, а о чем это, успехов не принесли — контакты молчали. Заинтересовавшись этим феноменом, решил погуглить. Результаты более чем интересные…

    Во-первых, как выяснилось, это троянская программа, которая при заходе на сайт просит установид downloader, который, в свою очередь, качает второй downloader уже с трояном. Этот червь начинает отпралять вашим контактам из ICQ сообщения с предложениями посетить их сайт. Рассчет просто стопроцентно верен: наверняка многие перейдут по ссылке, которую отправляет тебе друг. В результате — еще один зараженный компьютер, который начинает отправлять сообщения.

    Во-вторых, Viruslist сообщает следующую вещь:
    Вчера от одного из пользователей Антивируса Касперского поступил сигнал о непонятных действиях браузера при просмотре сайта www.5757.ru: самопроизвольно открывалась вторая страница, и веб-антивирус показывал предупреждение о скачивании троянской программы. На этот сайт пользователь зашел, увидев рекламу по телевидению.

    В процессе анализа страницы выяснилось, что пользователь едва не стал жертвой атаки злоумышленников. В главную страницу сайта был встроен скрипт закачки троянской программы Trojan-Downloader.JS.Psyme.ct, которая в свою очередь пыталась закачать и запустить программу Trojan-Downloader.Win32.Tiny.eo. В данный момент с сайта загружается уже другая троянская программа:

    Дальнейшее исследование показало, что помимо сайта www.5757.ru хакерской атаке подверглись не менее 470 серверов (результат запроса в Google по строке из внедренного скрипта). Общим для этих серверов было одно: все они были расположены на площадке хостинг-провайдера Valuehost.


    В общем, граждане, вывод самый стандартный и до боли знакомый: не открываем ссылки с непонятных сайтов, даже от друзей.

    UPD: на www.weaponplace.ru/forum/showthread.php?s=40602ca4b72b8017647f233eb7b5a36d&t=984&goto=nextnewest нашел отличное инфо по тому, как от этой гадости избавиться.
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 65

      0
      Атака провайдера таким хитрым способом?
        +1
        вряд ли. скорее всего, их атаковали. больше всего поражает циничность этого трояна: рассылать сообщения от имени твоих друзей...
          0
          «Поражает циничность этого трояна» — это вы хорошо отметили :)
            0
            Ничего циничного и нового... ) Единственный раз, когда меня "ломанули", я получила ссылку по аське от друга с комментарием: Началась война в Ираке.
            Не помню, почему был отключен антивирус, но это наверно не важно, странно что следов этого взлома потом так и не нашли.
          0
          Мне пришла такая ссылка в аську еще 25 декабря 2006 года. Почему я по ней пошла? Я - фрилансер, и такая просьба меня совсем не удивила. В результате, я спамила этот вирус всему своему контакт-листу, (антивирусник ничего не определял).
          Потом убила его одной программой, но IE у меня до сих пор не работает, убился этой ссылкой.
            0
            Впервые я получил ее еще в начале декабря, но ничего не понял тогда. Потом в январе, а сегодня стало интересно. Кстати, поискал его на компьютере, мой Касперский тоже ничего не нашел.
            –1
            Вывод: убить Аську на корню и пользоваться другим интернет пейджером.
              +1
              Альтернативный вывод: убить винду на корню и пользоваться другой операционной системой :)
                0
                Самый альтернативный вывод: убить комп на корню и пользоваться калькулятором:)
                  +1
                  Ещё вариант. Не пользоваться Internet Explorer.
                    0
                    он мне нужен для WebMoney, например.
                      +2
                      я из FireFox успешно с webmoney работаю
                        0
                        А как вы туда импортировали сертификат? у меня он упорно не влазит
                          0
                          упс :) в Firefox2.0 он успешно импортировался. Ура
                            0
                            ну вот и замечательно :)
                            0
                            Теперь и я работаю.
                            0
                            Пользуюсь webmonew из Оперы. Сертификат получал в FF
                            +1
                            Ну, перестать пользоваться браузером из-за боязни подцепить вирус, на мой взгля, абсурдно. Вы же не перестанете ходить в душ только из-за того, что там можно подскользнуться?
                              0
                              всякое бывает :)
                                0
                                Вероятность подскальзывания слишком велика в этом случае. И ущерб - тоже.
                                  +1
                                  Представьте себе, что каждый раз когда вы входите в душ не в резиновых галошах и без шлема вы всегда падаете. Даже если снимете одну галошу - всегда, при любой возможности. Наверняка вы или постелите резиновый коврик (Fierwall + антивирус + куча настроек безопасности) или смените душ на нормальный (в случае с браузером это бесплатно и не надо строительных работ)
                                    0
                                    Можно не ходить в скользкий душ, а ходить в нормальный душ :)

                                    Opera, FF
                                0
                                Ага :)
                                0
                                Я пользуюсь qip, а это что-то меняет?)
                                  0
                                  как раз он в первую очередь и подвержен этой атаке. хотя, есть слухи, что и на Миранде уже есть подобный червь. Подтвердить или опровергнуть не могу: не пользуюсь ей, а установить ее и ждать, пока меня атакуют, неохота.
                                    0
                                    "Как страшно жить".
                                      0
                                      Однажды такую бяку схватили: работал и с квипом, и с асей, и с мирандой. И периодически в конец письма The Bat’ом добавлялся. Так сказать, универсальный солдат.
                                      0
                                      Мне на Skype и Google Talk такую бяку не присылают.
                                        0
                                        ну, они еще не так популярны в России, как ICQ и, в частности, qip
                                          0
                                          Возможно в этом и состоит причина, но по крайней мере мне как-то так спокойнее и те с кем я общаюсь имеют эти интернет пейджеры и одновременно говорилки :-)
                                    0
                                    в QIP есть пунктик в настройках "Для тех, кто не в моем списке контактов - Не принимать ссылки (URL)".
                                    включил его и забыл о навязчивой рекламе и вирусах.
                                      +1
                                      вы, очевидно, не совсем внимательно прочитали статью. дело в том, что троян рассылает эту ссылку от имени ВАШИХ КОНТАКТОВ в icq. А такая защита, конечно, у меня лично стоит и вместе с блокировкой запросов авторизации фильтрует около 90% спама.
                                        0
                                        ужос!
                                          0
                                          вот именно. сейчас только что получил сообщение:
                                          "Если не трудно, пожалуйста, разошлите это сообщение по контакт-листу. Срочно для ребенка нужен донор крови 3 отрицательная, редкая группа. На станциях переливания найти не удалось, нигде нет. Спасите нас! Отблагодарю! 89055167090 Сергей"

                                          просим извинить за спам. Это не шутка. Очень просим.

                                          оказывается, это спам, звонок на этот номер сдирает со счета деньги. просто хочется повесить таких людей.
                                            0
                                            А кодексом это деяние не предусмотрено? В милицию пробовали?
                                              0
                                              Предусмотрено. Называется "Мошенничество" и "Злоупотребление доверием". Только доказать будут большие сложности.

                                              Повесить хочется тех контент-провайдеров, кто этим сволочам номер предоставил! Это ж не так просто - номер подобный зарегистрировать... если с чистого листа делать.
                                              А у К-П есть все лицензии для этого.

                                              Сообщайте в отделы по борьбе с мошенничеством. Я вот недавно им отправил номер, с которого приходила мошенническая рассылка о "выигрыше на радио Европа плюс".
                                              Просто уже в курсе был, потому сразу понял, что к чему.
                                                0
                                                и как, помогло?
                                                  +1
                                                  Можно еще сообщить операторам.
                                                  Номер сразу отключат. Работал в конторе контент-провайдере, операторы очень строго блюдут, чотбы сервисы были "чистыми". Просто мало кто жалуется напрямую операторам.
                                                  А, если, к слову сказать позвониьт операторам, пожаловаться и сказать, что подаете объяву в ментовку, точно отреагируют. Т.к. юридически всегда виноват оператор - договор-то у Вас с ним, деньги за непонятно что с Вас снял он.
                                                    0
                                                    Совершенно верно.

                                                    Оффтоп. А в каком КП, если не секрет?
                                                      0
                                                      Да не важно.

                                                      Уже не актуально ))
                                                  0
                                                  сами понимаете, что толку от этого мало, да и никто практически не пойдет - лень.
                                                    0
                                                    Нет, не понимаю, я не местный.
                                                    Может оттого и не бывает толку, что всем лень?
                                                      +2
                                                      Разумеется, на это и расчет мошенников. Наша юридическая пассивность и безграмотность здорово развязывает руки подобным аферистам. В США их бы уже тысячу раз засудили. А у нас получается так: все про них знают, обсуждают в сети, но никто ничего не делает.
                                                        0
                                                        Почему "Не делают"? Леность других - не повод лениться мне самому, да и делать-то особо ничего не надо: набрать номер да и назвать, что к чему.
                                                        Это первый шаг на пути к "активной жизненой позиции".
                                          +1
                                          Еще один вывод: не пользуемся Valuehost.
                                            0
                                            А причем тут Валуй?
                                              0
                                              будьте чуть-чуть внимательнее (текст хабратопика):

                                              Дальнейшее исследование показало, что помимо сайта www.5757.ru хакерской атаке подверглись не менее 470 серверов (результат запроса в Google по строке из внедренного скрипта). Общим для этих серверов было одно: все они были расположены на площадке хостинг-провайдера Valuehost.
                                                0
                                                Так база Валуя давно продаётся на Юноне :-)
                                                Это уже третья волна заражений и дефейсов сайтов на Валуе.
                                              0
                                              с valuehost я давно завязал...

                                              Мне недавно подобного плана сообщение пришло, от девушки из контакт-листа. Якобы она написала игру-RPG, и предлагает мне её потестить. Простое изучение дистрибутива показало, что это тот самый даунлоадер для трояна. Но самое смешное, что я мог и "повестись", если бы это сообщение пришло бы не от данной девушки, а от одного из друзей-программеров...
                                              А то, что у меня не аська, а &RQ - толк только в том, что через меня дальше троян бы уже не распространился, но сам бы я заражения не избежал.

                                              Последнее время вопрос распространения вирусов переходит из технической сферы в социальную. Вирусописатели начали придумывать не новый код, а новые способы усыпить все подозрения жертвы...

                                              А единственная защита, насколько я понимаю, может состоять в следующем: не запускать присланные друзьями ссылки, не получив от них предварительно элементарного объяснения, хоть по той же аське. На данный момент, вирусам явно не хватит "интеллекта" вам ответить... :)
                                                0
                                                Есть еще один способ защититься - не пользоваться дырявым софтом :)
                                                  +3
                                                  это каким? Который у человека в голове? :)
                                                    0
                                                    Зачот!
                                                    Очень верно подмечено: самый "дырявый" софт - в голове.
                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                  0
                                                  ну, можно сделать автоответ типа "да-да, заходи". думаю, в 50% случаев он попадет в точку.
                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                    0
                                                    У меня два номера icq. В основном пользусь одним. А вторым редко.
                                                    И каково же было мое удивление, когда похожий троян прислал мне сообещние о сайте. Я даже задумался :)
                                                    Оказалось, что сообщение пришло не только мне. Кто-то даже умудрился зайти по ссылке... и обиделся, когда антивирус начал орать.
                                                      0
                                                      Если бы сообщение пришло тебе с одного твоего icq - на второе - это был бы кадр. Сижу на 7 icq - сообщений еще не было - жду.
                                                        0
                                                        ну, еще не факт, конечно, что вам придет:) хотя, можете уже сейчас зайти на сайт и начать рассылать сообщения друзьям:)
                                                      0
                                                      Господа, кто уже «переболел» этой заразой!
                                                      Дайте небольшое пояснение о том как вы вылечились(у меня Dr.Web самый последний с настоящей лицензией) и где этот паразит оседает?
                                                        0
                                                        Вот здесь подробное описание, как от этой заразы избавиться.
                                                      0
                                                      Бедные пользователи windows, так их жалко...
                                                        0
                                                        Ага
                                                          0
                                                          Ну почему же?
                                                          Это своего рода спорт.
                                                          Так намного веселее =)

                                                          Была бы под рукой винда - обязательно пошел бы по ссылке =)
                                                          0
                                                          Я в своё время переболела (и перезаразила пол-листа) подобной заразой, которая отправляла ссылку на какую-то «открытку». Дрянь работала и с аськой, и с квипом, и с мирандой, и добавлялась в письма, отправляемые через The Bat! Причём первым эту ссылку прислал мне молодой человек на «день влюблённых». Вот и говорите после этого о доверии.
                                                          Один раз чуть не попалась снова на такую же фигню, когда другой знакомый так же неожиданно для себя рассылал сообщения про «эстонских фашистов». Но там — было видно, что работа робота. А когда идёт ссылка на какой-то cards.funnystories.ru и смайлик рядом, так сразу и не сообразишь.

                                                          …с тех пор, если приходят ссылки от друзей на незнакомые сайты, сначала переспрашиваю, действительно ли они мне что-либо посылали.

                                                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                          Самое читаемое