Адрес для входа в РФ: exler.world

Троян, ворующий UIN аськи

10.05.2007 14:57  10052   Комментарии (55)
Прислали вот такую историю:

Вчера от одного хорошего знакомого по icq (qip 8020) пришло сообщение с просьбой проверить запускается ли у меня эта программа. И ссылка на  хттп://thesame.spb.ru/DLMaster.rar. После нескольких уточняющих вопросов (А что это и зачем?) программу я скачал и запустил, благо nod32 и outpost firewall запущены. Ничего не произошло, я ему сказал что тоже не запускается, и он, сказав спасибо, ушёл. Через пару часов меня вдруг выкинуло из icq с сообщением "неверное имя  пользователя/пароль". Приняв это за обычный глюк icq и, учитывая что я как раз выходил из дому, особого значения я этому не придал. Сегодня же оказалось что в том архиве был троян, а укравший uin "хакер" просил у людей из моего контакт листа срочно одолжить вебмани  под % (у кого-то просил 40 долларов, у кого-то 1000 рублей - R411711549935 и Z999313182636). По счастливому стечению обстоятельств никто ему так и не одолжил. А некоторым людям из контакта опять же предлагал скачать этот архив. Сервис восстановления пароля на icq.com говорит что введённый мной праймари   e-mail неверен (хотя это не так - около года назад для проверки высылал на него пароль). Поэтому пришлось срочно создавать новый уин   и рассылать всему контакт листу предупреждения (очень помог в   восстановлении контакт листа Менеджер Контактов от qip). Но сообщение дошло не всем (например у некоторых включена опция не принимать сообщения от тех кто не в контакт листе), поэтому он продолжает сидеть под моим уином и рассылать эти сообщения (в последних сменил программу на  хттп://thesame.spb.ru/noidea.exe , кстати McAfee его тоже не находит).  Вот такая грустная история.

История, конечно, назидательная, но я пока не очень понимаю следующие вещи. Во-первых, как этот троян мог сработать незаметно для активного антивируса и файрвола? Хотя, конечно, теоретически такое возможно. Во-вторых, если троян умыкнул пароль к аське, то почему тогда не срабатывал primary e-mail? Раньше эта штука, насколько я помню, работала железно. Хотя  через какое-то время в ICQ схему защиты изменили и вроде как не в лучшую сторону.

Кто-нибудь с подобным сталкивался?
10.05.2007 14:57
Комментарии 55

Коллеги, у меня сегодня тоже какой то хулиган спер пароль и предлагает вернуть всего за 10.у.е

правда к тому моменту как он предложил я уже убил старый UIN и восстановил свой list на новом. Но мучает вопрос, может кто знает - нет гарантии что и не сопрут этот пароль. Как себя обезопасить? Я прогнал все данные через search & destroy и Nod32 с последними обновлениями, но не уверен что найдено то что надо.

Ставить др.веб нет возможности

Кто нибудь знает что надо и где убить? Я понимаю что хакеры хоть пентагон могут взломать не то что мою машину, но конкретно эту проблемку может как то можно решить...
Grs
28.05.07 15:22
0 0

[URL=#"> [QUOTE]Alex Exler
Mx
16.05.07 23:02
0 0

А NOD32 так и не добавил этот троян в свою базу. И на письмо не ответил. Посему снёс его и установил Доктор Веб, который тут же вычислил трояна, заодно удалив его из svchost.exe. Теперь всем буду рекомендовать Доктор Веб.
13.05.07 14:41
0 0

У жены вчера тоже увели. Но не сильно то она расстроилась, завела новую и всего делов.
А вот в инфе ее старого UIN'а появилось:

По поводу возврата за вознаграждение стучать в ICQ 104644
С Уважением «ОПГ Транзистор»
Теперь думаю, как наказать этого резистора? 😄
12.05.07 10:43
0 0

История, вправду, стара как мир. Я бы ни за что не попался. 😄 А все (абсолютно все) современные антивири нет-нет да и пропускают что-нибудь, потому что оно может быть очень свежее и неизвестное, а темпы выпуска новых вирусов только ширятся и глубятся. 😉
12.05.07 10:41
0 0

И со Скайпом начинается та же история. У меня недавно увели экаунт, на котором слава богу всего 6 евро оставалось. Получил однажды такую табличку при запуске Skype: "Ваш Skype пароль был изменен. ... Эта мера безопасности принята для защиты вашего счета Skype." И больше не смог войти. От администрации получил информацию: "Your username valery.*** is registered to email pedro@mail.ru " !!! Очень забавно, экаунт "педро" никогда не мог мне придти в голову!

На форуме www.skypeclub.ru информация о таких случаях появляется всё чаще. При этом одному товарищу удалось восстановить своё мыло, он платил через Манибукер и сумел подтвердить свои платежи. А кто через Яндекс-деньги - с концами.


11.05.07 13:19
0 0

Мне как-то друг по аське написал с просьбой одолжить несколько тысяч рублей. К счастью, мозгов хватило спросить номер, по которому можно связаться и поговорить, естественно, тот, кто спер его UIN, тут же смылся в оффлайн.
11.05.07 12:53
0 0

Господа, я так понимаю все сидят под учёткой с правами админа???

Но это же не камильфо и к тому же довольно странно...

А испытания на виртуальных машинах никто не отменял или что?
11.05.07 12:06
0 0

Поступать надо так - при получении из относительно надёжного, неслучайного источника (иных сразу в жОлтые ботинки и на выход) чего-либо нетектстового и не детектируемого в данный момент имеющейся защитой, оный файл отослать AV'сообществу на консилиум (www.virustotal.com). И если хоть кто из 31 профи покосится на файло - отложить хотя бы на пару дней - проверить снова. Тогда и решать.

Для совсем ленивых есть и контекстное меню: blog.hispasec.com

Надёжно, единообразно и потому дуракоустойчиво!
11.05.07 10:21
0 0

AVZ этот троян ловил еще неделю назад. У меня началось с того, что Kerio PF начал ругаться на какие-то процессы, которые в инет лезут. После этого скачал AVZ, он всю эту заразу увидел и по прибивал. Я тогда и не думал, что это что-то серьезное, сейчас прочел и вспомнил название трояна.
Rex
11.05.07 09:54
0 0

мыло у меня,кстати, тоже угнали тогда. но его восстановить удалось легко, поэтому я об этом успела забыть, а сейчас комменты прочитала и вспомнила. Вот так и проверяй почту/аську в комп. клубах
10.05.07 23:07
0 0

Было, было. Щас расскажу. Хоть и стыдно.

На доске объявлений увидел объявление - продаю базу данных билайна. Демо - версия на сутки лежит здесь - пожалуйста качайте - смотрите. Скачал. На компе установлен Касперсий и агнитум аутпост фейрволл. Файл скачался экзешный. Не знаю что на меня нашло, что я всё это делал. Запустил файл - Касперский меня честно предупредил что устанавливаетя угрожающее системе ПО. Но он и раньше это говорил на нормальные программы. Поэтому Касперского в сторону! Файл запустился - и оказался электронной книгой про фокусы.

Пискнул фейрволл - мол пытается соединиться по протоколу такому-то на такой-то адрес. Запретил. Но вечером переустанавливал ОС. Вечером-же и вышел в сеть без фейрволла(не успел установить).

Акт 2. Ночью в 2 часа звонит знакомая девушка из другого города и говорит - твою асю взломали - срочно выходи на связь. Вылезаю из кровати и за комп. Ася взломана, мыло тоже взломано. И туда и туда подобраны новые пароли. Ася надо сказать 7 значначная - не круто, но и не 9 знаков. Мне моя девушка по мылу шлёт новые пароли к асе и мылу. Оказывается она в процессе общения с хакером сумела уговорить его отдать моё добро.

Акт 3. на следущее утро мне в асю стучат недовольные люди - негодуют мол я просил их запустить прогу с вирусом. Один даже запустил. Через неделю этот один мне жалуется, что с его интернет-счёта исчезло 500 баков. Всё закончилось хорошо. Деньги вернули.


10.05.07 22:51
0 0

Klopp: Семейство это известно очень давно.

Ну мало ли какое семейство троянов отряда вирусовых подвида вредных программ кому-то там известно, когда ни один антивирус его не нашёл.
A_SSpike: Возможно тоже стоит попросить?

Да сам то номер уже наверное и не нужен. Я всему контакт листу порекомендовал в игнор его добавить. Денег жалко...
Gresyr: Хотя на сайте каспера проверка показала опять же упомянутого трояна.

Каспер находит уже сейчас, после отправки ему вируса на исследование.
Pavel1: Всё закончилось хорошо. Деньги вернули.

А как это? Благородные воры? Если хорошо попросишь - вернут? 😄
11.05.07 09:13
0 0

Пару лет назад у моего товарища нехороший человек из германии увел 6-значку. Мы зашли на форум asechka.ru и попросили людей вернуть номер. Буквально через два часа его вернули. Возможно тоже стоит попросить?
10.05.07 21:20
0 0

Недавно с месяц назад у одного знакомого тоже такая фигня случилась. Так как аська была с рамблера пришлось сначала отвязать номер от рамблера, потом восстановлением пароля через сайт аськи правда пнадобилось три дня чтобы сработало, похоже у них какие то косяки с самим вертанием паролей. Но а третий день пришло заветное письмо с паролем 😄

Теперь он научен горьким опытом...
10.05.07 21:18
0 0

Штука с primary email не проходит уже давно. 😒 У меня есть всего один емэйл, который может быть написанным в аське, и восстановление пароля говорит, что это неправильный емэйл. А если пароль вспомнить и таки зайти в программу - именно он в аське и прописан.
10.05.07 20:29
0 0

Читаю, офигеваю и тихонечко радуюсь, что даже последняя блондинка-секретарша в конторе получить-то получит, но запустить никакого трояна не сможет, не говоря уже о всех остальных. А еще спорили с начальством — секретарю Мас покупать или нет. Вот еще один, достаточно веский повод, любить свое дизайн-бюро и свою работу — отсутствие вирусов как класса...

И еще наблюдение — в последнее время (примерно месяц) настолько участились случаи, когда по аське приходят тонны всякой дряни типа бла-бла-бла.gif.exe или ***.jpg.pif, причем не от кого-нибудь, а от твоего же контакт-листа. Чужие сообщения принципиально заблокированы, но и от своих такой гадости валится немерянно 😒
10.05.07 20:19
0 0

holgi: даже последняя блондинка-секретарша в конторе получить-то получит, но запустить никакого трояна не сможет



Даёшь в каждый дом по компьютерно-грамотной секретарше-блондинке! Кстати, может быть и идея, а может даже и бизнес-план 😄
10.05.07 20:28
0 0

Антивирусы обновляются после обнаружения чего-либо, эвристика штука хорошая, но не всегда срабатывает. Есть термин - "0-day threat" - не обнаруженный ранее вирус, не опознающийся антивирусами. "Повезло" Алексу и другим. Если программа не пользуется различными фокусами, вызывающей у эвристики антивируса метку "подозрительная", она этим самым 0-day threat и становится.
10.05.07 19:33
0 0

5 мин назад экран был зеленым...
10.05.07 18:24
0 0

Tiger: 5 мин назад экран был зеленым...

updates.drweb.com

Да, действительно, ещё совсем недавно мог и не видеть, первая запись - 2007-05-10 16:18:03

10.05.07 18:39
0 0

Хм...
10.05.07 18:23
0 0

Как не знает? Я ж как раз результат его проверки и привёл. И по твоей ссылке всё определяется.
10.05.07 18:21
0 0

Klopp

А про первый не знает.
10.05.07 18:18
0 0

Не знаю, кто там чего не находит, однако же:

In file >>DLMaster.rar/DLMaster\DL Master.exe found virus Trojan.PWS.LDPinch.1752

Семейство это известно очень давно:
info.drweb.com
10.05.07 18:09
0 0

а знаете что самое паршивое? что после этого у меня было дикое желание вернуться на ресепшен и взять почитать журнал Хакер, чтобы забрать назад свою ську 😄) ну типа вендетта 😄
10.05.07 17:40
0 0

вдогонку

я потом полез естесственно на форумы, искал в чем же проблема, ну оказалось что не я один такой, один иностранный пострадавший дал мне ссылку на какой-то форум, где как он сказал many russian hackers, так вот один как раз russian hacker бахвалился мол "да эти асечники лохи, поставят себе пароль раз-два-три - ну как не своровать аську у такого лоха"... блин, встретил бы - съездил бы в торец от души
10.05.07 17:28
0 0

абсолютно та же история, только файлов я не запускал от неизвестных лиц, но вимдимо к чему-то прицепилось... как итог потерянный UIN (10 лет вместе!!) ГРустил, но создал новый, и себе, и жене

Утром прихожу на работу, вижу на ресепшене журнал Хакер с заголовком - "10 советов как украсть аську", думаю ДА МАТЬ ЖЕ ВАШУ!!!!! и все ради чего?!

[censored], блин
10.05.07 17:23
0 0

sashbush: та же история, только файлов я не запускал от неизвестных лиц, но вимдимо к чему-то прицепилось... как итог потерянный UIN (10 лет вместе!!)


Теже, как говорится, только в профиль...

Но, примерно, в 13:00 (GMT +2) заработала . До этого значился в удаленных. При попытке через icq.com найти по UIN' у пользователя все поля (ник, имя-фамилия,email и т.д.) были пустые.
10.05.07 17:32
0 0

Этот троян бродит по Сети достаточно давно. У моего друга схожая ситуация! Я заходил с его компьютера под своим запасным UIN. Пароль у меня также украли. Но я смог восстановить его через e-mail на Рамблере! У друга же нет привязки к Рамблеру и у него также нет возможности восстановить через примари mail.
10.05.07 16:57
0 0

*****(16:44:58 10/05/2007)

я там не зареген а хотелось бы отписатся что самая реальная вещь - подать заявку на вебмани на те кошельки куда выпрашивают деньги с украденых уинов



Он имеет в виду жалобу в ВМ-арбитраж.
10.05.07 16:48
0 0

Вот такой вопрос возник...
Пароль при старте qip каждый раз вбивался, или хранился в самом кипе?
10.05.07 16:44
0 0

10.05.07 16:42
0 0

keymaster: Вот такой вопрос возник... Пароль при старте qip каждый раз вбивался, или хранился в самом кипе?

Хранился в квипе.
Klopp: Не знаю, кто там чего не находит, однако же: In file >>DLMaster.rar/DLMaster\DL Master.exe found virus Trojan.PWS.LDPinch.1752 Семейство это известно очень давно: http://info.drweb.com/virus/?match=family&family=Trojan.PWS.LDPinch

Да что вы говорите! Очень давно известна. Аж целых три часа!

10.05.07 15:09

Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.

Вирус: Trojan.PWS.LDPinch.1752.



Спасибо за сотрудничество.



--

С уважением,

Служба вирусного мониторинга ООО "Доктор Веб"





Касперский кстати тоже уже добавил. Нод и Макэфи молчат.

ddt79:
подайте иск


А что этот иск даст? Хотя бы в двух словах, если можно. Просто никогда не сталкивался.
10.05.07 18:46
0 0

Насчет взаимодействия с антивирусом и файрволлом. В свое время тоже довелось поймать трояна - так эта зараза мало того, что никакими антивирусами не определялась (что есть вполне нормально), так еще и преспокойненько выгружала Agnitum Outpost Firewall из памяти, после чего делала, что хотела. Именно по тихому и безболезненному вылету файрволла я и определил, что дело неладно, удалять же заразу пришлось вручную. Показательно, что данный троянчик был сделан вовсе не супермегахакером с целью украсть миллион денег, а простым форумчанином (с околокомпьютерного форума), который таким образом решил провести исследование на предмет защищенности народа от взлома. 😄
10.05.07 16:23
0 0

А, старая история. Раньше таким образом только вирус сам рассылался и ссылки постил на порноресурсы, сейчас, значит, нашелся кто-то предприимчивый доработал вирусень и просит таким образом денег. Умнó.
10.05.07 16:22
0 0

У нас на работе аська запрещена, поэтому приходится пользоваться вебовской версией. И вот как-то привык к ней, что и дома после переустановки системы никаких клиентов ставить не стал. Ну и на коммуникаторе аська - для работы в поле. Думаю, при таком раскладе украсть UIN сложнее.
10.05.07 16:08
0 0

А вот и ссылка в тему: http://dockers.nnm.ru/icq_massovyj_anreg_nomerov 😄)
10.05.07 16:03
0 0

по схожей схеме слил свой номер полгода назад. как я понимаю с праймери мейлом дело тонкое
- после выхода 2003 клиента мейл надо было указать заново
- троян сам первым делом ставит мейлы владельца как праймери и мейл владельца выпадает/теряется в итоге восстановление пароля не срабатывает.
в итоге дело окончилось переносом листа на другой uin.
10.05.07 16:00
0 0

хм... старый развод по аське, какой-нить хакер от лица любого юзера из контакт-листа присылает тебе setup-ссылку, типа скачай и запусти, потом у тебя крадут аську и обычно еще комп накрывается (помогает только переустановка винды). Мне не раз присылали такое друзья, поэтому когда мне присылают такие "ссылочки типа зайди глянь че там?" - я всегда после этого дожидаюсь уточняющих ответов! - обычно все они в таком духе: "Ты че сдурел? Я тебе ничего не присылал" - лучше это делать по телефону или почте или другим альтернативным клиентам 😉
10.05.07 15:53
0 0

Чёрт. Это я писал Экслеру. Обнаружились ещё жертвы. Позвонил человек, который 45 долларов ему отдал. Неужели никак нельзя найти этого хакера?
10.05.07 15:49
0 0

хорошие у Вас знакомые 😄DD
10.05.07 15:36
0 0

я в комп. клубе залезала в свою аську, после чего со мной произошло то же самое, и праймари мэйл не сработал. Я еще удивлялась, кому мой девятизначный номер мог понадобиться. В службу поддержки рамблер аськи и аськи буржуйской писала слезные письма, не получив никакого ответа, смирилась. Хотя контакт лист пропал, скорблю до сих пор.
10.05.07 15:26
0 0

Bellooha: Я еще удивлялась, кому мой девятизначный номер мог понадобиться.

В том-то и дело, что номерок понадобился не ради самого факта обладания красивым номерком, а именно для рассылки якобы от вашего лица просьб о денежном переводе в каком-нибудь электронно-удобоваримом виде.
10.05.07 15:35
0 0

У моей знакомой недавно тоже уинчик угнали таким же способом - прислали ссылку на экзешник, она (блондинка, блин) открыла и после этого со своим номерком аси распрощалась. Праймари мэйл тоже не помог. А мне потом с её номера прислали просьбу купить карточку веб-мани на сотню баксов. Я это дело в блог писал
g0l.ru
Что антивирями не ловится- это однозначно. Ибо их базы не так быстро обновляются, а подобная программулина не особо сложная, написать любой достаточно сведущий человек может, так что на антивирь тут надежды мало. Почему файрвол не сработал - тут уж надо его настройки смотреть...
А защита от таких троянов самая очевидная - намекнуть асечному клиенту не сохранять пароли.
Насчёт праймари - если не ошибаюсь, после сговора с Рамблером данная фича восстановления паролей перестала толково работать.
10.05.07 15:14
0 0

Alex Exler: Во-первых, как этот троян мог сработать незаметно для активного антивируса и файрвола

Этот как раз легко возможно. Троян может быть новым, еще неизвестным антивирусу; настройки антивируса и файервола могут быть самыми разными.


10.05.07 15:08
0 0

Serg Inc.:
Этот как раз легко возможно. Троян может быть новым, еще неизвестным антивирусу;  настройки антивируса и файервола могут быть самыми разными.

 

Пардон, но как надо было настраивать outpost, если в режиме обучения он спрашивает можно ли такому-то приложению вылезти в инет, а в режиме защиты банально не пускает ничего, что не входит в список разрешённых приложений.
11.05.07 09:36
0 0

У тебя в первой ссылке в конце точка к адресу приклеилась.



http://thesame.spb.ru/DLMaster.rar.
10.05.07 15:07
0 0
Теги
Сортировать по алфавиту или записям
BLM 21
Calella 143
exler.ru 272
авто 442
видео 3998
вино 359
еда 500
ЕС 60
игры 114
ИИ 29
кино 1581
попы 191
СМИ 2761
софт 930
США 132
шоу 6