Перейти к содержанию

Recommended Posts

AlexxSun

Поводом к написанию этого сообщения послужило то, что за истекший день от двух моих знакомых, живущих в разных частях континента через программу майл.ру.агент пришла ссылка на страницу, которая, по всей видимости является фишинговой.

httр://www.mеij.ru/foto/mаil/blagоnin/95/212.html

Ссылка одна и та же, сообщения, сопровождающие ссылку - разные: "Привееет, мне нравится, посмотри, удивило что это Россия!" , "Посмотри, пожалуйста фотографиии, ты его знаешь?" ....

По ссылке щелкать бесполезно, копировать её в строку обозревателя - тоже. Я заменил некоторые латинские буквы на кириллические. Попадание на страницу возможно только если её в точности набрать ручками в строке обозревателя.

Считаю своим долгом предупредить об опасности всех доверчивых пользователей, которые случайно могут щелкнуть и перейти на (возможно) вредоносную страницу. Странно, что нет официального заявления от антивирусных компаний о фишинговой атаке на сайт mail.ru , про Одноклассников.ру такое частенько писали. Сообщил об этом же на сайте нашего фанклуба.

Запрос данных в базу Ripe тоже даёт немного:

domain: MEIJ.RU

type: CORPORATE

nserver: ns5.hostingru.net.

nserver: ns6.hostingru.net.

state: REGISTERED, DELEGATED, UNVERIFIED

person: Private person

phone: +7 495 6402812

e-mail: mailto:ndprinasx@mail.ru

registrar: REGRU-REG-RIPN

created: 2009.11.15

paid-till: 2010.11.15

source: TC-RIPN

Видно, что доменное имя зарегистрировано только вчера, как достать вредителя - не очень ясно :search:

Кстати, а как найти организатора фишинговой атаки? Кто может поделиться опытом?

10000_007.jpg

post-3858-1258320881_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Кстати, а как найти организатора фишинговой атаки? Кто может поделиться опытом?

Начать можно с жалобы хостеру на сайт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Посмотрел данные хостера. По всей видимости писать туда нужно на английском языке. Думаю, что быстро всё это сделать не удасться.

Information related to '94.229.79.16 - 94.229.79.23'

inetnum: 94.229.79.16 - 94.229.79.23

netname: NETLEVEL-IP-9

descr: NETLEVEL IP RANGE 9

country: GB

admin-c: DH1778-RIPE

tech-c: DH1778-RIPE

status: ASSIGNED PA

mnt-by: UKSERVERS-MNT

source: RIPE # Filtered

person: David Howes

address: UK Dedicated Servers Ltd

address: 61 Somers Road Industrial Estate

address: Rugby

address: Warwickshire

address: CV22 7DG

abuse-mailbox: mailto:abuse@ukservers.com

phone: +44 (0)870 067 2522

nic-hdl: DH1778-RIPE

source: RIPE # Filtered

remarks: For Abuse Please Email: mailto:abuse@ukservers.com

% Information related to '94.229.64.0/20AS42831'

route: 94.229.64.0/20

descr: UK Dedicated Servers Limited

origin: AS42831

mnt-by: UKSERVERS-MNT

source: RIPE # Filtered

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Поводом к написанию этого сообщения послужило то, что за истекший день от двух моих знакомых, живущих в разных частях континента через программу майл.ру.агент пришла ссылка на страницу, которая, по всей видимости является фишинговой.

неприятная штука.

Со знакомыми связались? Скорее всего у них украдены пароли от майл.ру

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
spamolov

Да давно уже известно,что Mail.ru Agent используется для сбора, mail.ru адресов, достаточно почитать любой спамерский форум.

Его как я уже сказал используют как для спама IM через него же, так и для сбора адресов для дальнейшего почтового спама.

Тут вроде сюрприза нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Snejoker

AlexxSun, спасибо. Добавил в Firewall

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Можете дополнить, только что отловил новую ссылку. Видимо тот прикрыли адрес. Хостер тот же самый. Кто-то решил заняться сайтом mail.ru всерьёз и надолго.

Я понимаю, что для того чтобы найти этого "кто-то" нужно заявление от пострадавшего в органы, как минимум.

httр://www.mqij.ru/fоtо/mail/spot/alexаndrromаnov/1868.html

fish2.jpg

post-3858-1258474838_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

На этом деле можно поставить крест, при попытке открыть ссылку открывается уведомление хостера о том, что сайт закрыт. Сколько людей постадало от фишинговой атаки - пока не очень ясно.

fish3.jpg

post-3858-1258726566_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun
На этом деле можно поставить крест

Поторопился, видимо я неисправимый оптимист :)

Name: mqii.ru

IP: 212.95.53.166

Domain: mqii.ru

domain: MQII.RU

type: CORPORATE

nserver: ns3.cyber-empire.com.

nserver: ns4.cyber-empire.com.

state: REGISTERED, DELEGATED, UNVERIFIED

person: Private person

phone: +7 495 6402812

e-mail: mailto:ndprinasx@mail.ru

registrar: REGRU-REG-RIPN

created: 2009.12.01

paid-till: 2010.12.01

source: TCI

Почерк (да и почтовый ящик) везде один и тот же

fish4.jpg

post-3858-1259775864_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Он похоже нарегистрировал себе сайтов целую пачку. Странно, что один человек может безнаказанно терроризировать пользователей социальной сети почти месяц, а администрация этого ресурса вообще никак не реагирует на происходящее :blink:

httр://b.mqjl.ru/fоts/mail/viki-007/index.html

Name: mqjl.ru

IP: 94.229.79.20

Domain: mqjl.ru

domain: MQJL.RU

type: CORPORATE

nserver: ns5.hostingru.net.

nserver: ns6.hostingru.net.

state: REGISTERED, DELEGATED, UNVERIFIED

person: Private person

phone: +7 495 6402812

e-mail: mailto:ndprinasx@mail.ru

registrar: REGRU-REG-RIPN

created: 2009.12.01

paid-till: 2010.12.01

source: TCI

Кстати, вредитель эволюционирует - при попытке открыть ту ссылку, что я привёл выше перебрасывает на другой адрес

httр://mqii.ru/fоto/mail/leeena_91/index.html

Этот адрес из предыдущего сообщения. :(

Кстати, попытался открыть ссылку из первого моего сообщения Оперой - программа нецензурно выругалась в адрес сайта и предложила дальше не ходить. Интересно, почему KIS никак не реагирует на эти фишинговые ссылки? 15 минут назад отослал в вирлаб через форму хелпдеска две ссылки из этого сообщения, буду ждать результата ;)

fish006.jpg

post-3858-1260129780_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Добавили довольно таки оперативно :) Это радует!

fish009.jpg

post-3858-1260151601_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Winsent

Интересно, а кто-нибудь сообщал о подобных фишинг сайтах через ie8 smartscreen smsc239713.jpg и добавляли ли и как скоро.

Парочку сайтов через данную форму отправлял им. Скоро третий месяц пойдет, никакого реагирования, на сайты как заходило так и заходит с включенным smartscreen

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

три года назад я впервые нарвался на подобную атаку, через сайт - mail-ru.com. Поищу регистрационные данные. Но содержимое, краски и дизайн были один-в один

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Несколько раз натыкался на ссылки на этот так называемый "сервис бесплатных стикеров от Mail.ru", всё не доходили руки проверить, что это за ...

Проверил, всё та же тема:

domain: MAIL-STICKER.RU

type: CORPORATE

nserver: ns1.slavhost.com.

nserver: ns2.slavhost.com.

nserver: ns3.ruskyhost.net.

nserver: ns4.ruskyhost.net.

state: REGISTERED, DELEGATED, UNVERIFIED

person: Stepanov A Pepyakaaaa

phone: +7 988 5451264

e-mail: mailto:iragor2007@rambler.ru

registrar: REGRU-REG-RIPN

created: 2009.12.05

paid-till: 2010.12.05

source: TCI

Тот же лохотрон, только очень разукрашенный. Ссылку в вирлаб отправил, обещали добавить.

132_017.jpg

132_016.jpg

post-3858-1262381997_thumb.jpg

post-3858-1262382011_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пуск

а что в нем опасного?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla

Та так ничего, просто маскируется под маил.ру, введёшь туда пароль и мыло для маил.ру и они перейдут в 3-и руки..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Motley

Ещё немного о фишинге: после того, как установил Оперу 10.54, попытка перейти по любой ссылке, например, на Яндекс, приводит к переадресации на страницу от Мегафона! Чем это вызвано и как исправить? Происходит это только при первой попытке, а при последующих нужная страница загружается нормально, без переадресации. Оперу качал с официального сайта и уже переустанавливал, но не помогло.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Killer
Оперу качал с официального сайта и уже переустанавливал, но не помогло.

И не поможет, если используется dll-инжект и динамический перехват соединения. Нужно систему чистить.

А оперу обновлять пора до версии 10.60. Система у вас какая? Если 32-х битная, то используйте RkUnhooker или Kernel Detective для очистки. Или что то подобное.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Motley
А оперу обновлять пора до версии 10.60.

Так это же бетка, а я к ним как- то не очень... ;) Kernel Detective... ок, попробуем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×