Адрес для входа в РФ: exler.world
Троян, ворующий UIN аськи
10.05.2007 14:57
10003
Комментарии (55)
Прислали вот такую историю:
Вчера от одного хорошего знакомого по icq (qip 8020) пришло сообщение с просьбой проверить запускается ли у меня эта программа. И ссылка на хттп://thesame.spb.ru/DLMaster.rar. После нескольких уточняющих вопросов (А что это и зачем?) программу я скачал и запустил, благо nod32 и outpost firewall запущены. Ничего не произошло, я ему сказал что тоже не запускается, и он, сказав спасибо, ушёл. Через пару часов меня вдруг выкинуло из icq с сообщением "неверное имя пользователя/пароль". Приняв это за обычный глюк icq и, учитывая что я как раз выходил из дому, особого значения я этому не придал. Сегодня же оказалось что в том архиве был троян, а укравший uin "хакер" просил у людей из моего контакт листа срочно одолжить вебмани под % (у кого-то просил 40 долларов, у кого-то 1000 рублей - R411711549935 и Z999313182636). По счастливому стечению обстоятельств никто ему так и не одолжил. А некоторым людям из контакта опять же предлагал скачать этот архив. Сервис восстановления пароля на icq.com говорит что введённый мной праймари e-mail неверен (хотя это не так - около года назад для проверки высылал на него пароль). Поэтому пришлось срочно создавать новый уин и рассылать всему контакт листу предупреждения (очень помог в восстановлении контакт листа Менеджер Контактов от qip). Но сообщение дошло не всем (например у некоторых включена опция не принимать сообщения от тех кто не в контакт листе), поэтому он продолжает сидеть под моим уином и рассылать эти сообщения (в последних сменил программу на хттп://thesame.spb.ru/noidea.exe , кстати McAfee его тоже не находит). Вот такая грустная история.
История, конечно, назидательная, но я пока не очень понимаю следующие вещи. Во-первых, как этот троян мог сработать незаметно для активного антивируса и файрвола? Хотя, конечно, теоретически такое возможно. Во-вторых, если троян умыкнул пароль к аське, то почему тогда не срабатывал primary e-mail? Раньше эта штука, насколько я помню, работала железно. Хотя через какое-то время в ICQ схему защиты изменили и вроде как не в лучшую сторону.
Кто-нибудь с подобным сталкивался?
Кто-нибудь с подобным сталкивался?
Войдите, чтобы оставить комментарий.
Коллеги, у меня сегодня тоже какой то хулиган спер пароль и предлагает вернуть всего за 10.у.е
правда к тому моменту как он предложил я уже убил старый UIN и восстановил свой list на новом. Но мучает вопрос, может кто знает - нет гарантии что и не сопрут этот пароль. Как себя обезопасить? Я прогнал все данные через search & destroy и Nod32 с последними обновлениями, но не уверен что найдено то что надо.
Ставить др.веб нет возможности
Кто нибудь знает что надо и где убить? Я понимаю что хакеры хоть пентагон могут взломать не то что мою машину, но конкретно эту проблемку может как то можно решить...
правда к тому моменту как он предложил я уже убил старый UIN и восстановил свой list на новом. Но мучает вопрос, может кто знает - нет гарантии что и не сопрут этот пароль. Как себя обезопасить? Я прогнал все данные через search & destroy и Nod32 с последними обновлениями, но не уверен что найдено то что надо.
Ставить др.веб нет возможности
Кто нибудь знает что надо и где убить? Я понимаю что хакеры хоть пентагон могут взломать не то что мою машину, но конкретно эту проблемку может как то можно решить...
[URL=#">
[QUOTE]Alex Exler
А NOD32 так и не добавил этот троян в свою базу. И на письмо не ответил. Посему снёс его и установил Доктор Веб, который тут же вычислил трояна, заодно удалив его из svchost.exe. Теперь всем буду рекомендовать Доктор Веб.
У жены вчера тоже увели. Но не сильно то она расстроилась, завела новую и всего делов.
А вот в инфе ее старого UIN'а появилось:
По поводу возврата за вознаграждение стучать в ICQ 104644
С Уважением «ОПГ Транзистор»
Теперь думаю, как наказать этого резистора? 😄
А вот в инфе ее старого UIN'а появилось:
По поводу возврата за вознаграждение стучать в ICQ 104644
С Уважением «ОПГ Транзистор»
Теперь думаю, как наказать этого резистора? 😄
История, вправду, стара как мир. Я бы ни за что не попался. 😄 А все (абсолютно все) современные антивири нет-нет да и пропускают что-нибудь, потому что оно может быть очень свежее и неизвестное, а темпы выпуска новых вирусов только ширятся и глубятся. 😉
И со Скайпом начинается та же история. У меня недавно увели экаунт, на котором слава богу всего 6 евро оставалось. Получил однажды такую табличку при запуске Skype: "Ваш Skype пароль был изменен. ... Эта мера безопасности принята для защиты вашего счета Skype." И больше не смог войти. От администрации получил информацию: "Your username valery.*** is registered to email pedro@mail.ru " !!! Очень забавно, экаунт "педро" никогда не мог мне придти в голову!
На форуме www.skypeclub.ru информация о таких случаях появляется всё чаще. При этом одному товарищу удалось восстановить своё мыло, он платил через Манибукер и сумел подтвердить свои платежи. А кто через Яндекс-деньги - с концами.
На форуме www.skypeclub.ru информация о таких случаях появляется всё чаще. При этом одному товарищу удалось восстановить своё мыло, он платил через Манибукер и сумел подтвердить свои платежи. А кто через Яндекс-деньги - с концами.
Мне как-то друг по аське написал с просьбой одолжить несколько тысяч рублей. К счастью, мозгов хватило спросить номер, по которому можно связаться и поговорить, естественно, тот, кто спер его UIN, тут же смылся в оффлайн.
Господа, я так понимаю все сидят под учёткой с правами админа???
Но это же не камильфо и к тому же довольно странно...
А испытания на виртуальных машинах никто не отменял или что?
Но это же не камильфо и к тому же довольно странно...
А испытания на виртуальных машинах никто не отменял или что?
Поступать надо так - при получении из относительно надёжного, неслучайного источника (иных сразу в жОлтые ботинки и на выход) чего-либо нетектстового и не детектируемого в данный момент имеющейся защитой, оный файл отослать AV'сообществу на консилиум (www.virustotal.com). И если хоть кто из 31 профи покосится на файло - отложить хотя бы на пару дней - проверить снова. Тогда и решать.
Для совсем ленивых есть и контекстное меню: blog.hispasec.com
Надёжно, единообразно и потому дуракоустойчиво!
Для совсем ленивых есть и контекстное меню: blog.hispasec.com
Надёжно, единообразно и потому дуракоустойчиво!
AVZ этот троян ловил еще неделю назад. У меня началось с того, что Kerio PF начал ругаться на какие-то процессы, которые в инет лезут. После этого скачал AVZ, он всю эту заразу увидел и по прибивал. Я тогда и не думал, что это что-то серьезное, сейчас прочел и вспомнил название трояна.
мыло у меня,кстати, тоже угнали тогда. но его восстановить удалось легко, поэтому я об этом успела забыть, а сейчас комменты прочитала и вспомнила. Вот так и проверяй почту/аську в комп. клубах
Было, было. Щас расскажу. Хоть и стыдно.
На доске объявлений увидел объявление - продаю базу данных билайна. Демо - версия на сутки лежит здесь - пожалуйста качайте - смотрите. Скачал. На компе установлен Касперсий и агнитум аутпост фейрволл. Файл скачался экзешный. Не знаю что на меня нашло, что я всё это делал. Запустил файл - Касперский меня честно предупредил что устанавливаетя угрожающее системе ПО. Но он и раньше это говорил на нормальные программы. Поэтому Касперского в сторону! Файл запустился - и оказался электронной книгой про фокусы.
Пискнул фейрволл - мол пытается соединиться по протоколу такому-то на такой-то адрес. Запретил. Но вечером переустанавливал ОС. Вечером-же и вышел в сеть без фейрволла(не успел установить).
Акт 2. Ночью в 2 часа звонит знакомая девушка из другого города и говорит - твою асю взломали - срочно выходи на связь. Вылезаю из кровати и за комп. Ася взломана, мыло тоже взломано. И туда и туда подобраны новые пароли. Ася надо сказать 7 значначная - не круто, но и не 9 знаков. Мне моя девушка по мылу шлёт новые пароли к асе и мылу. Оказывается она в процессе общения с хакером сумела уговорить его отдать моё добро.
Акт 3. на следущее утро мне в асю стучат недовольные люди - негодуют мол я просил их запустить прогу с вирусом. Один даже запустил. Через неделю этот один мне жалуется, что с его интернет-счёта исчезло 500 баков. Всё закончилось хорошо. Деньги вернули.
На доске объявлений увидел объявление - продаю базу данных билайна. Демо - версия на сутки лежит здесь - пожалуйста качайте - смотрите. Скачал. На компе установлен Касперсий и агнитум аутпост фейрволл. Файл скачался экзешный. Не знаю что на меня нашло, что я всё это делал. Запустил файл - Касперский меня честно предупредил что устанавливаетя угрожающее системе ПО. Но он и раньше это говорил на нормальные программы. Поэтому Касперского в сторону! Файл запустился - и оказался электронной книгой про фокусы.
Пискнул фейрволл - мол пытается соединиться по протоколу такому-то на такой-то адрес. Запретил. Но вечером переустанавливал ОС. Вечером-же и вышел в сеть без фейрволла(не успел установить).
Акт 2. Ночью в 2 часа звонит знакомая девушка из другого города и говорит - твою асю взломали - срочно выходи на связь. Вылезаю из кровати и за комп. Ася взломана, мыло тоже взломано. И туда и туда подобраны новые пароли. Ася надо сказать 7 значначная - не круто, но и не 9 знаков. Мне моя девушка по мылу шлёт новые пароли к асе и мылу. Оказывается она в процессе общения с хакером сумела уговорить его отдать моё добро.
Акт 3. на следущее утро мне в асю стучат недовольные люди - негодуют мол я просил их запустить прогу с вирусом. Один даже запустил. Через неделю этот один мне жалуется, что с его интернет-счёта исчезло 500 баков. Всё закончилось хорошо. Деньги вернули.
Klopp: Семейство это известно очень давно.
Ну мало ли какое семейство троянов отряда вирусовых подвида вредных программ кому-то там известно, когда ни один антивирус его не нашёл.
A_SSpike: Возможно тоже стоит попросить?
Да сам то номер уже наверное и не нужен. Я всему контакт листу порекомендовал в игнор его добавить. Денег жалко...
Gresyr: Хотя на сайте каспера проверка показала опять же упомянутого трояна.
Каспер находит уже сейчас, после отправки ему вируса на исследование.
Pavel1: Всё закончилось хорошо. Деньги вернули.
Ну мало ли какое семейство троянов отряда вирусовых подвида вредных программ кому-то там известно, когда ни один антивирус его не нашёл.
A_SSpike: Возможно тоже стоит попросить?
Да сам то номер уже наверное и не нужен. Я всему контакт листу порекомендовал в игнор его добавить. Денег жалко...
Gresyr: Хотя на сайте каспера проверка показала опять же упомянутого трояна.
Каспер находит уже сейчас, после отправки ему вируса на исследование.
Pavel1: Всё закончилось хорошо. Деньги вернули.
А как это? Благородные воры? Если хорошо попросишь - вернут? 😄
Пару лет назад у моего товарища нехороший человек из германии увел 6-значку. Мы зашли на форум asechka.ru и попросили людей вернуть номер. Буквально через два часа его вернули. Возможно тоже стоит попросить?
Недавно с месяц назад у одного знакомого тоже такая фигня случилась. Так как аська была с рамблера пришлось сначала отвязать номер от рамблера, потом восстановлением пароля через сайт аськи правда пнадобилось три дня чтобы сработало, похоже у них какие то косяки с самим вертанием паролей. Но а третий день пришло заветное письмо с паролем 😄
Теперь он научен горьким опытом...
Теперь он научен горьким опытом...
Штука с primary email не проходит уже давно. 😒 У меня есть всего один емэйл, который может быть написанным в аське, и восстановление пароля говорит, что это неправильный емэйл. А если пароль вспомнить и таки зайти в программу - именно он в аське и прописан.
Читаю, офигеваю и тихонечко радуюсь, что даже последняя блондинка-секретарша в конторе получить-то получит, но запустить никакого трояна не сможет, не говоря уже о всех остальных. А еще спорили с начальством — секретарю Мас покупать или нет. Вот еще один, достаточно веский повод, любить свое дизайн-бюро и свою работу — отсутствие вирусов как класса...
И еще наблюдение — в последнее время (примерно месяц) настолько участились случаи, когда по аське приходят тонны всякой дряни типа бла-бла-бла.gif.exe или ***.jpg.pif, причем не от кого-нибудь, а от твоего же контакт-листа. Чужие сообщения принципиально заблокированы, но и от своих такой гадости валится немерянно 😒
И еще наблюдение — в последнее время (примерно месяц) настолько участились случаи, когда по аське приходят тонны всякой дряни типа бла-бла-бла.gif.exe или ***.jpg.pif, причем не от кого-нибудь, а от твоего же контакт-листа. Чужие сообщения принципиально заблокированы, но и от своих такой гадости валится немерянно 😒
holgi: даже последняя блондинка-секретарша в конторе получить-то получит, но запустить никакого трояна не сможет
Даёшь в каждый дом по компьютерно-грамотной секретарше-блондинке! Кстати, может быть и идея, а может даже и бизнес-план 😄
Антивирусы обновляются после обнаружения чего-либо, эвристика штука хорошая, но не всегда срабатывает. Есть термин - "0-day threat" - не обнаруженный ранее вирус, не опознающийся антивирусами. "Повезло" Алексу и другим. Если программа не пользуется различными фокусами, вызывающей у эвристики антивируса метку "подозрительная", она этим самым 0-day threat и становится.
5 мин назад экран был зеленым...
Tiger: 5 мин назад экран был зеленым...
updates.drweb.com
Да, действительно, ещё совсем недавно мог и не видеть, первая запись - 2007-05-10 16:18:03
Хм...
Как не знает? Я ж как раз результат его проверки и привёл. И по твоей ссылке всё определяется.
Не знаю, кто там чего не находит, однако же:
In file >>DLMaster.rar/DLMaster\DL Master.exe found virus Trojan.PWS.LDPinch.1752
Семейство это известно очень давно:
info.drweb.com
In file >>DLMaster.rar/DLMaster\DL Master.exe found virus Trojan.PWS.LDPinch.1752
Семейство это известно очень давно:
info.drweb.com
а знаете что самое паршивое? что после этого у меня было дикое желание вернуться на ресепшен и взять почитать журнал Хакер, чтобы забрать назад свою ську 😄) ну типа вендетта 😄
вдогонку
я потом полез естесственно на форумы, искал в чем же проблема, ну оказалось что не я один такой, один иностранный пострадавший дал мне ссылку на какой-то форум, где как он сказал many russian hackers, так вот один как раз russian hacker бахвалился мол "да эти асечники лохи, поставят себе пароль раз-два-три - ну как не своровать аську у такого лоха"... блин, встретил бы - съездил бы в торец от души
я потом полез естесственно на форумы, искал в чем же проблема, ну оказалось что не я один такой, один иностранный пострадавший дал мне ссылку на какой-то форум, где как он сказал many russian hackers, так вот один как раз russian hacker бахвалился мол "да эти асечники лохи, поставят себе пароль раз-два-три - ну как не своровать аську у такого лоха"... блин, встретил бы - съездил бы в торец от души
абсолютно та же история, только файлов я не запускал от неизвестных лиц, но вимдимо к чему-то прицепилось... как итог потерянный UIN (10 лет вместе!!) ГРустил, но создал новый, и себе, и жене
Утром прихожу на работу, вижу на ресепшене журнал Хакер с заголовком - "10 советов как украсть аську", думаю ДА МАТЬ ЖЕ ВАШУ!!!!! и все ради чего?!
[censored], блин
Утром прихожу на работу, вижу на ресепшене журнал Хакер с заголовком - "10 советов как украсть аську", думаю ДА МАТЬ ЖЕ ВАШУ!!!!! и все ради чего?!
[censored], блин
sashbush: та же история, только файлов я не запускал от неизвестных лиц, но вимдимо к чему-то прицепилось... как итог потерянный UIN (10 лет вместе!!)
Теже, как говорится, только в профиль...
Но, примерно, в 13:00 (GMT +2) заработала . До этого значился в удаленных. При попытке через icq.com найти по UIN' у пользователя все поля (ник, имя-фамилия,email и т.д.) были пустые.
Этот троян бродит по Сети достаточно давно. У моего друга схожая ситуация! Я заходил с его компьютера под своим запасным UIN. Пароль у меня также украли. Но я смог восстановить его через e-mail на Рамблере! У друга же нет привязки к Рамблеру и у него также нет возможности восстановить через примари mail.
*****(16:44:58 10/05/2007)
я там не зареген а хотелось бы отписатся что самая реальная вещь - подать заявку на вебмани на те кошельки куда выпрашивают деньги с украденых уинов
Он имеет в виду жалобу в ВМ-арбитраж.
я там не зареген а хотелось бы отписатся что самая реальная вещь - подать заявку на вебмани на те кошельки куда выпрашивают деньги с украденых уинов
Он имеет в виду жалобу в ВМ-арбитраж.
Вот такой вопрос возник...
Пароль при старте qip каждый раз вбивался, или хранился в самом кипе?
Пароль при старте qip каждый раз вбивался, или хранился в самом кипе?
keymaster: Вот такой вопрос возник... Пароль при старте qip каждый раз вбивался, или хранился в самом кипе?
Хранился в квипе.
Klopp: Не знаю, кто там чего не находит, однако же: In file >>DLMaster.rar/DLMaster\DL Master.exe found virus Trojan.PWS.LDPinch.1752 Семейство это известно очень давно: http://info.drweb.com/virus/?match=family&family=Trojan.PWS.LDPinch
Да что вы говорите! Очень давно известна. Аж целых три часа!
10.05.07 15:09
Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.
Вирус: Trojan.PWS.LDPinch.1752.
Спасибо за сотрудничество.
--
С уважением,
Служба вирусного мониторинга ООО "Доктор Веб"
Касперский кстати тоже уже добавил. Нод и Макэфи молчат.
ddt79:
подайте иск
Хранился в квипе.
Klopp: Не знаю, кто там чего не находит, однако же: In file >>DLMaster.rar/DLMaster\DL Master.exe found virus Trojan.PWS.LDPinch.1752 Семейство это известно очень давно: http://info.drweb.com/virus/?match=family&family=Trojan.PWS.LDPinch
Да что вы говорите! Очень давно известна. Аж целых три часа!
10.05.07 15:09
Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.
Вирус: Trojan.PWS.LDPinch.1752.
Спасибо за сотрудничество.
--
С уважением,
Служба вирусного мониторинга ООО "Доктор Веб"
Касперский кстати тоже уже добавил. Нод и Макэфи молчат.
ddt79:
подайте иск
А что этот иск даст? Хотя бы в двух словах, если можно. Просто никогда не сталкивался.
Насчет взаимодействия с антивирусом и файрволлом. В свое время тоже довелось поймать трояна - так эта зараза мало того, что никакими антивирусами не определялась (что есть вполне нормально), так еще и преспокойненько выгружала Agnitum Outpost Firewall из памяти, после чего делала, что хотела. Именно по тихому и безболезненному вылету файрволла я и определил, что дело неладно, удалять же заразу пришлось вручную. Показательно, что данный троянчик был сделан вовсе не супермегахакером с целью украсть миллион денег, а простым форумчанином (с околокомпьютерного форума), который таким образом решил провести исследование на предмет защищенности народа от взлома. 😄
А, старая история. Раньше таким образом только вирус сам рассылался и ссылки постил на порноресурсы, сейчас, значит, нашелся кто-то предприимчивый доработал вирусень и просит таким образом денег. Умнó.
У нас на работе аська запрещена, поэтому приходится пользоваться вебовской версией. И вот как-то привык к ней, что и дома после переустановки системы никаких клиентов ставить не стал. Ну и на коммуникаторе аська - для работы в поле. Думаю, при таком раскладе украсть UIN сложнее.
А вот и ссылка в тему: http://dockers.nnm.ru/icq_massovyj_anreg_nomerov 😄)
по схожей схеме слил свой номер полгода назад. как я понимаю с праймери мейлом дело тонкое
- после выхода 2003 клиента мейл надо было указать заново
- троян сам первым делом ставит мейлы владельца как праймери и мейл владельца выпадает/теряется в итоге восстановление пароля не срабатывает.
в итоге дело окончилось переносом листа на другой uin.
- после выхода 2003 клиента мейл надо было указать заново
- троян сам первым делом ставит мейлы владельца как праймери и мейл владельца выпадает/теряется в итоге восстановление пароля не срабатывает.
в итоге дело окончилось переносом листа на другой uin.
хм... старый развод по аське, какой-нить хакер от лица любого юзера из контакт-листа присылает тебе setup-ссылку, типа скачай и запусти, потом у тебя крадут аську и обычно еще комп накрывается (помогает только переустановка винды). Мне не раз присылали такое друзья, поэтому когда мне присылают такие "ссылочки типа зайди глянь че там?" - я всегда после этого дожидаюсь уточняющих ответов! - обычно все они в таком духе: "Ты че сдурел? Я тебе ничего не присылал" - лучше это делать по телефону или почте или другим альтернативным клиентам 😉
Чёрт. Это я писал Экслеру. Обнаружились ещё жертвы. Позвонил человек, который 45 долларов ему отдал. Неужели никак нельзя найти этого хакера?
хорошие у Вас знакомые 😄DD
я в комп. клубе залезала в свою аську, после чего со мной произошло то же самое, и праймари мэйл не сработал. Я еще удивлялась, кому мой девятизначный номер мог понадобиться. В службу поддержки рамблер аськи и аськи буржуйской писала слезные письма, не получив никакого ответа, смирилась. Хотя контакт лист пропал, скорблю до сих пор.
Bellooha: Я еще удивлялась, кому мой девятизначный номер мог понадобиться.
В том-то и дело, что номерок понадобился не ради самого факта обладания красивым номерком, а именно для рассылки якобы от вашего лица просьб о денежном переводе в каком-нибудь электронно-удобоваримом виде.
У моей знакомой недавно тоже уинчик угнали таким же способом - прислали ссылку на экзешник, она (блондинка, блин) открыла и после этого со своим номерком аси распрощалась. Праймари мэйл тоже не помог. А мне потом с её номера прислали просьбу купить карточку веб-мани на сотню баксов. Я это дело в блог писал
g0l.ru
Что антивирями не ловится- это однозначно. Ибо их базы не так быстро обновляются, а подобная программулина не особо сложная, написать любой достаточно сведущий человек может, так что на антивирь тут надежды мало. Почему файрвол не сработал - тут уж надо его настройки смотреть...
А защита от таких троянов самая очевидная - намекнуть асечному клиенту не сохранять пароли.
Насчёт праймари - если не ошибаюсь, после сговора с Рамблером данная фича восстановления паролей перестала толково работать.
g0l.ru
Что антивирями не ловится- это однозначно. Ибо их базы не так быстро обновляются, а подобная программулина не особо сложная, написать любой достаточно сведущий человек может, так что на антивирь тут надежды мало. Почему файрвол не сработал - тут уж надо его настройки смотреть...
А защита от таких троянов самая очевидная - намекнуть асечному клиенту не сохранять пароли.
Насчёт праймари - если не ошибаюсь, после сговора с Рамблером данная фича восстановления паролей перестала толково работать.
Alex Exler: Во-первых, как этот троян мог сработать незаметно для активного антивируса и файрвола
Этот как раз легко возможно. Троян может быть новым, еще неизвестным антивирусу; настройки антивируса и файервола могут быть самыми разными.
Serg Inc.:
Этот как раз легко возможно. Троян может быть новым, еще неизвестным антивирусу; настройки антивируса и файервола могут быть самыми разными.
Этот как раз легко возможно. Троян может быть новым, еще неизвестным антивирусу; настройки антивируса и файервола могут быть самыми разными.
Пардон, но как надо было настраивать outpost, если в режиме обучения он спрашивает можно ли такому-то приложению вылезти в инет, а в режиме защиты банально не пускает ничего, что не входит в список разрешённых приложений.
Теги
Информация
