Перейти к содержанию
AM_Bot

Жалобы пользователей Skype на вирус

Recommended Posts

AM_Bot

Пользователи сервиса Skype начали получать от своих друзей в списке контактов ссылку, которая ведёт на сайт с вредоносным файлом. В сообщении, сопровождающем ссылку, спрашивают, действительно ли это новое изображение пользовательского профиля.

Рекомендации от службы технической поддержки антивирусной компании «ВирусБлокАда»:

«Вы можете получить личное сообщение от одного из ваших контактов вида: «ey eto vasha novaya kartina profil’?ваш_ник». Убедительная просьба, НИ В КОЕМ СЛУЧАЕ НЕ ПЕРЕХОДИТЬ ПО ССЫЛКЕ.»

Пожалуйста, проверьте настройки скайпа, чтобы избежать распространения вируса:

Настройки > Дополнительно > Расширенные настройки > Контроль доступа других программ к Skype – не должно быть никаких программ.

Skype.jpg

Общие рекомендации:

Перед тем, как перейти по сокращенной ссылке, проверьте её с помощью сервиса расшифровки линков, например longurl.org. При расшифровке обратите внимание на доменное имя сайта, который может перенаправить вас на фишинговую или заражающую вирусом страницу.

Задавайте больше вопросов: получив сообщение со ссылкой в ICQ/QIP, Skype или личное сообщение в социальной сети, убедитесь, что это не автоматическая рассылка с заражённого компьютера.

Регулярно обновляйте программное обеспечение. Включите функцию автоматического обновления программного обеспечения, когда таковое доступно. К числу программ, которые необходимо своевременно обновлять, относятся: надстройки браузеров – Adobe Flash Player, Sun Java, Adobe Reader; базы и модули антивирусных программ, и, конечно же, необходимо своевременно устанавливать обновления безопасности для ОС Windows.

Комментарии вирусного аналитика компании «ВирусБлокАда» Алексея Герасименко:

По ссылке пользователю предлагается скачать архив ZIP, содержащий .exe файл. Этот файл представляет из себя сетевой червь Worm.NgrBot (или Dorkbot), известный уже достаточно давно.

Вредоносная активность:

После запуска копирует себя в папку  %APPDATA% со случайным именем наподобие Yojwju.exe, регистрирует этот файл в автозапуске Windows (в частности, в ветку HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run).

Содержит в себе бэкдор-компоненту для подключения заражённого компьютера в ботнет. Команды от управляющего сервера передаются по IRC протоколу.

Крадёт пароли к учётным записям от таких сервисов, как YouTube, Gmail, Facebook, Letitbit, Sms4file, Vip-file, и др.

Блокирует доступ к сайтам,  доменные имена которых содержат следующие строки:

webroot., fortinet., virusbuster., nprotect., gdatasoftware., virus., precisesecurity., lavasoft., heck.tc, emsisoft., onlinemalwarescanner., onecare.live., f-secure., bullguard., clamav., pandasecurity., sophos., malwarebytes., sunbeltsoftware., norton., norman., mcafee., symantec, comodo., avast., avira., bitdefender., eset., kaspersky., trendmicro., iseclab., virscan., garyshood., viruschief., jotti., threatexpert., novirusthanks., virustotal.

Содержит функционал для проведения DDoS-атаки и перенаправления пользователя на вредоносные сайты.

Характерная черта Worm.NgrBot – для определения IP-адреса заражённого компьютера обращается на сайт api.wipmania.com.

Распространение:

Может распространяться через флэш-носители, используя широко известный механизм автозапуска посредством файла autorun.inf. При этом вредоносный файл располагается в скрытой папке RECYCLER.

Распространяется через социальные сети, отправляя ссылки на себя в популярных социальных сетях и сервисах обмена мгновенными и сообщениями (Vkontakte, Facebook, Twitter и т.д.).

Один из вариантов лечения:

Так как файл вредоносной программы скрыт от обнаружения стандартными средствами Windows благодаря установленным в системе перехватам API функций, для его обнаружения и удаления можно использовать специальные утилиты, например Vba32 AntiRootkit.

  1. После запуска антируткита в появившемся диалоге ответить “No” и дождаться его загрузки;
  2. Выбрать в меню Tools > Low Level Disk Access Tool;
  3. В левой части окна утилиты «Level Disk Access Tool» выбрать путь к папке %APPDATA%.

Например, в ОС Windows XP путь к %APPDATA% имеет вид «Х:Documents and SettingsUsernameApplication Data», в Windows Vista и 7 –  “X:UsersUsernameAppDataRoaming”, где X: – имя системного диска, Username – имя пользователя;

  1. При этом в правой панели утилиты станет виден вредоносный файл с бессмысленным именем наподобие Yojwju.exe;
  2. Щелчком правой кнопки мыши по файлу вызвать контекстное меню, в котором нужно выбрать команду «Delete File» (см. рисунок);
  3. В появившемся диалоге подтвердить удаление файла нажатием на кнопку «Yes»;
  4. Выйти из антируткита и перезагрузить компьютер.

vba32antirootkit.jpg

Подробнее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
MORDRED

Как хорошо, что я этой туфотой не пользуюсь ^_^

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Groft
Как хорошо, что я этой туфотой не пользуюсь ^_^

Пользоваться скайпом или нет решает каждый сам. В данной теме не совсем понятно, к чему Вы это сказали? :huh:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Skype наиболее безопасное и функциональное средство общения по сети. Давно уже использую его как основной месенжер, средство для конференц-связи, часто звоню с него на обычные номера.

Все видимо забыли, что подобные атаки для ICQ давно стали нормой. В этом контексте атака с использование Skype выглядит также уникально, как троян для MacOS :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Skype наиболее безопасное и функциональное средство общения по сети. Давно уже использую его как основной месенжер, средство для конференц-связи, часто звоню с него на обычные номера.

Посмотри ещё ooVoo.

Все видимо забыли, что подобные атаки для ICQ давно стали нормой. В этом контексте атака с использование Skype выглядит также уникально, как троян для MacOS :)

Выглядит. В 2007 было нечто похожее, когда в Skype червь Crazy распространялся.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Все видимо забыли, что подобные атаки для ICQ давно стали нормой.

Проще. В ICQ клиентах уже 86 лет существуют антиспамы, которые отлично справляются. А также гибкая система видимости.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      Отслеживание активности любого расширения в браузере на примере хрома: Chrome https://xakep.ru/2014/06/16/62643/ Таким образом можно выявить левое расширение. т.е.  хорошо бы отслеживать активность расширений и прописывать данные в Инфо.
    • SemenovaI
      Отзывы читать надо путешественников и уже согласно их мнению ехать отдыхать. Мы так с мужем в Болгарию летом съездили, сначала я изучила впечатления туристов об отелях, кафе и уже тогда выбрала маршрут и забронировала гостиницу. На Букинг зайдите там много всего интересного почитать можно. Кстати, бронировала отель используя кэшбэк https://letyshops.com/shops/bookingcom мне понравилось. Недорого так заплатила за номер, который сняли на пару недель. 
    • Зотов Тимур
      Ой, понимаю, банька это сила. Тоже на даче хочу построить, а то так понравилось отдыхать с мужиками, с пивком и девочками http://prostitutkichelyabinskaxxx.com/ , после горячего отдыха еще и в бассейн прыгнуть... Красота.
    • demkd
      это просто id задачи в кэше он будет виден только в ссылках или не будет виден, я уже не помню, в любом случае оно не представляет интереса.
    • PR55.RP55
      В теме к сожалению работали с устаревшими версиями uVS .4.0 В uVS  запись: C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE C:\WINDOWS\SYSTEM32\TASKS\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} ------------ В FRST запись: Task: {0EA205A7-5227-418F-A262-BBF8FD9349B0} - System32\Tasks\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" hxxp://nbsallastar.com/cl/?guid=y92wjhgqs5boj6xi0hl7thkb6nfjreyg&prid=1&pid=4_1106_0 {0EA205A7-5227-418F-A262-BBF8FD9349B0}  - нет {B3F8DFD8-6BC7-3786-4E00-E03FE910D91A}  - есть Да, актуальная версия должна бы это увидеть. Из Fixlog "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{0EA205A7-5227-418F-A262-BBF8FD9349B0}" => removed successfully
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0EA205A7-5227-418F-A262-BBF8FD9349B0}" => removed successfully
      C:\Windows\System32\Tasks\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} => moved successfully
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A}" => removed successfully
×