Перейти к содержанию

Recommended Posts

AlexxSun

Поводом к написанию этого сообщения послужило то, что за истекший день от двух моих знакомых, живущих в разных частях континента через программу майл.ру.агент пришла ссылка на страницу, которая, по всей видимости является фишинговой.

httр://www.mеij.ru/foto/mаil/blagоnin/95/212.html

Ссылка одна и та же, сообщения, сопровождающие ссылку - разные: "Привееет, мне нравится, посмотри, удивило что это Россия!" , "Посмотри, пожалуйста фотографиии, ты его знаешь?" ....

По ссылке щелкать бесполезно, копировать её в строку обозревателя - тоже. Я заменил некоторые латинские буквы на кириллические. Попадание на страницу возможно только если её в точности набрать ручками в строке обозревателя.

Считаю своим долгом предупредить об опасности всех доверчивых пользователей, которые случайно могут щелкнуть и перейти на (возможно) вредоносную страницу. Странно, что нет официального заявления от антивирусных компаний о фишинговой атаке на сайт mail.ru , про Одноклассников.ру такое частенько писали. Сообщил об этом же на сайте нашего фанклуба.

Запрос данных в базу Ripe тоже даёт немного:

domain: MEIJ.RU

type: CORPORATE

nserver: ns5.hostingru.net.

nserver: ns6.hostingru.net.

state: REGISTERED, DELEGATED, UNVERIFIED

person: Private person

phone: +7 495 6402812

e-mail: mailto:[email protected]

registrar: REGRU-REG-RIPN

created: 2009.11.15

paid-till: 2010.11.15

source: TC-RIPN

Видно, что доменное имя зарегистрировано только вчера, как достать вредителя - не очень ясно :search:

Кстати, а как найти организатора фишинговой атаки? Кто может поделиться опытом?

10000_007.jpg

post-3858-1258320881_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Кстати, а как найти организатора фишинговой атаки? Кто может поделиться опытом?

Начать можно с жалобы хостеру на сайт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Посмотрел данные хостера. По всей видимости писать туда нужно на английском языке. Думаю, что быстро всё это сделать не удасться.

Information related to '94.229.79.16 - 94.229.79.23'

inetnum: 94.229.79.16 - 94.229.79.23

netname: NETLEVEL-IP-9

descr: NETLEVEL IP RANGE 9

country: GB

admin-c: DH1778-RIPE

tech-c: DH1778-RIPE

status: ASSIGNED PA

mnt-by: UKSERVERS-MNT

source: RIPE # Filtered

person: David Howes

address: UK Dedicated Servers Ltd

address: 61 Somers Road Industrial Estate

address: Rugby

address: Warwickshire

address: CV22 7DG

abuse-mailbox: mailto:[email protected]

phone: +44 (0)870 067 2522

nic-hdl: DH1778-RIPE

source: RIPE # Filtered

remarks: For Abuse Please Email: mailto:[email protected]

% Information related to '94.229.64.0/20AS42831'

route: 94.229.64.0/20

descr: UK Dedicated Servers Limited

origin: AS42831

mnt-by: UKSERVERS-MNT

source: RIPE # Filtered

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Поводом к написанию этого сообщения послужило то, что за истекший день от двух моих знакомых, живущих в разных частях континента через программу майл.ру.агент пришла ссылка на страницу, которая, по всей видимости является фишинговой.

неприятная штука.

Со знакомыми связались? Скорее всего у них украдены пароли от майл.ру

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
spamolov

Да давно уже известно,что Mail.ru Agent используется для сбора, mail.ru адресов, достаточно почитать любой спамерский форум.

Его как я уже сказал используют как для спама IM через него же, так и для сбора адресов для дальнейшего почтового спама.

Тут вроде сюрприза нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Snejoker

AlexxSun, спасибо. Добавил в Firewall

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Можете дополнить, только что отловил новую ссылку. Видимо тот прикрыли адрес. Хостер тот же самый. Кто-то решил заняться сайтом mail.ru всерьёз и надолго.

Я понимаю, что для того чтобы найти этого "кто-то" нужно заявление от пострадавшего в органы, как минимум.

httр://www.mqij.ru/fоtо/mail/spot/alexаndrromаnov/1868.html

fish2.jpg

post-3858-1258474838_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

На этом деле можно поставить крест, при попытке открыть ссылку открывается уведомление хостера о том, что сайт закрыт. Сколько людей постадало от фишинговой атаки - пока не очень ясно.

fish3.jpg

post-3858-1258726566_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun
На этом деле можно поставить крест

Поторопился, видимо я неисправимый оптимист :)

Name: mqii.ru

IP: 212.95.53.166

Domain: mqii.ru

domain: MQII.RU

type: CORPORATE

nserver: ns3.cyber-empire.com.

nserver: ns4.cyber-empire.com.

state: REGISTERED, DELEGATED, UNVERIFIED

person: Private person

phone: +7 495 6402812

e-mail: mailto:[email protected]

registrar: REGRU-REG-RIPN

created: 2009.12.01

paid-till: 2010.12.01

source: TCI

Почерк (да и почтовый ящик) везде один и тот же

fish4.jpg

post-3858-1259775864_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Он похоже нарегистрировал себе сайтов целую пачку. Странно, что один человек может безнаказанно терроризировать пользователей социальной сети почти месяц, а администрация этого ресурса вообще никак не реагирует на происходящее :blink:

httр://b.mqjl.ru/fоts/mail/viki-007/index.html

Name: mqjl.ru

IP: 94.229.79.20

Domain: mqjl.ru

domain: MQJL.RU

type: CORPORATE

nserver: ns5.hostingru.net.

nserver: ns6.hostingru.net.

state: REGISTERED, DELEGATED, UNVERIFIED

person: Private person

phone: +7 495 6402812

e-mail: mailto:[email protected]

registrar: REGRU-REG-RIPN

created: 2009.12.01

paid-till: 2010.12.01

source: TCI

Кстати, вредитель эволюционирует - при попытке открыть ту ссылку, что я привёл выше перебрасывает на другой адрес

httр://mqii.ru/fоto/mail/leeena_91/index.html

Этот адрес из предыдущего сообщения. :(

Кстати, попытался открыть ссылку из первого моего сообщения Оперой - программа нецензурно выругалась в адрес сайта и предложила дальше не ходить. Интересно, почему KIS никак не реагирует на эти фишинговые ссылки? 15 минут назад отослал в вирлаб через форму хелпдеска две ссылки из этого сообщения, буду ждать результата ;)

fish006.jpg

post-3858-1260129780_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Добавили довольно таки оперативно :) Это радует!

fish009.jpg

post-3858-1260151601_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Winsent

Интересно, а кто-нибудь сообщал о подобных фишинг сайтах через ie8 smartscreen smsc239713.jpg и добавляли ли и как скоро.

Парочку сайтов через данную форму отправлял им. Скоро третий месяц пойдет, никакого реагирования, на сайты как заходило так и заходит с включенным smartscreen

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

три года назад я впервые нарвался на подобную атаку, через сайт - mail-ru.com. Поищу регистрационные данные. Но содержимое, краски и дизайн были один-в один

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Несколько раз натыкался на ссылки на этот так называемый "сервис бесплатных стикеров от Mail.ru", всё не доходили руки проверить, что это за ...

Проверил, всё та же тема:

domain: MAIL-STICKER.RU

type: CORPORATE

nserver: ns1.slavhost.com.

nserver: ns2.slavhost.com.

nserver: ns3.ruskyhost.net.

nserver: ns4.ruskyhost.net.

state: REGISTERED, DELEGATED, UNVERIFIED

person: Stepanov A Pepyakaaaa

phone: +7 988 5451264

e-mail: mailto:[email protected]

registrar: REGRU-REG-RIPN

created: 2009.12.05

paid-till: 2010.12.05

source: TCI

Тот же лохотрон, только очень разукрашенный. Ссылку в вирлаб отправил, обещали добавить.

132_017.jpg

132_016.jpg

post-3858-1262381997_thumb.jpg

post-3858-1262382011_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla

Та так ничего, просто маскируется под маил.ру, введёшь туда пароль и мыло для маил.ру и они перейдут в 3-и руки..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Motley

Ещё немного о фишинге: после того, как установил Оперу 10.54, попытка перейти по любой ссылке, например, на Яндекс, приводит к переадресации на страницу от Мегафона! Чем это вызвано и как исправить? Происходит это только при первой попытке, а при последующих нужная страница загружается нормально, без переадресации. Оперу качал с официального сайта и уже переустанавливал, но не помогло.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Killer
Оперу качал с официального сайта и уже переустанавливал, но не помогло.

И не поможет, если используется dll-инжект и динамический перехват соединения. Нужно систему чистить.

А оперу обновлять пора до версии 10.60. Система у вас какая? Если 32-х битная, то используйте RkUnhooker или Kernel Detective для очистки. Или что то подобное.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Motley
А оперу обновлять пора до версии 10.60.

Так это же бетка, а я к ним как- то не очень... ;) Kernel Detective... ок, попробуем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      Windows 10 Pro x64 (NT v10.0 SP0) build 15063  [C:\WINDOWS] ----------------------- Полное имя                  {6\[CLSID]
      Имя файла                   [CLSID]
      Тек. статус                 в автозапуске
                                  
      Сохраненная информация      на момент создания образа
      Статус                      в автозапуске
                                  
      Ссылки на объект            
      Ссылка                      HKLM\Software\Classes\Wow6432Node\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance\{60BD49A6-240E-48ef-8D73-AC8244BE1D85}\CLSID
      ------------------------ Полное имя                  {E\[CLSID]
      Имя файла                   [CLSID]
      Тек. статус                 в автозапуске
                                  
      Сохраненная информация      на момент создания образа
      Статус                      в автозапуске
                                  
      Ссылки на объект            
      Ссылка                      HKLM\Software\Classes\Wow6432Node\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance\{EAC2F030-5937-414C-9B7A-6B57F7C072E8}\CLSID ------------------------ Тема\образ. http://www.tehnari.ru/f35/t262097/
    • Draft
    • СФГ
      Добрый день! Рекомендуем металлические силовые опоры СФГ от производителя компании "ШОССЕ". Осуществляют доставку и установку всех типов многогранных дорожных опор: ОГС, СФГ, ОГК, НПК, НФГ, СПГ, ОГСГ, СОДГ, ОСФГ  На силовые опоры СФГ 400 9 метров действует спец цена Опоры СФГ 100 силовые длиной 10 метров - выгодная цена. Установка и продажа опор СФГ 1300 из наличия на складе + фундаменты для опор Компания "ШОССЕ" - все виды дорожных опор по лучшим ценам!
    • Ego Dekker
      Антивирусы были обновлены до версии 12.0.31.
    • Ego Dekker
      ESET Cyber Security/ESET Cyber Security Pro были обновлены до версии 6.7.300.
×