Перейти к содержанию
AM_Bot

Жалобы пользователей Skype на вирус

Recommended Posts

AM_Bot

Пользователи сервиса Skype начали получать от своих друзей в списке контактов ссылку, которая ведёт на сайт с вредоносным файлом. В сообщении, сопровождающем ссылку, спрашивают, действительно ли это новое изображение пользовательского профиля.

Рекомендации от службы технической поддержки антивирусной компании «ВирусБлокАда»:

«Вы можете получить личное сообщение от одного из ваших контактов вида: «ey eto vasha novaya kartina profil’?ваш_ник». Убедительная просьба, НИ В КОЕМ СЛУЧАЕ НЕ ПЕРЕХОДИТЬ ПО ССЫЛКЕ.»

Пожалуйста, проверьте настройки скайпа, чтобы избежать распространения вируса:

Настройки > Дополнительно > Расширенные настройки > Контроль доступа других программ к Skype – не должно быть никаких программ.

Skype.jpg

Общие рекомендации:

Перед тем, как перейти по сокращенной ссылке, проверьте её с помощью сервиса расшифровки линков, например longurl.org. При расшифровке обратите внимание на доменное имя сайта, который может перенаправить вас на фишинговую или заражающую вирусом страницу.

Задавайте больше вопросов: получив сообщение со ссылкой в ICQ/QIP, Skype или личное сообщение в социальной сети, убедитесь, что это не автоматическая рассылка с заражённого компьютера.

Регулярно обновляйте программное обеспечение. Включите функцию автоматического обновления программного обеспечения, когда таковое доступно. К числу программ, которые необходимо своевременно обновлять, относятся: надстройки браузеров – Adobe Flash Player, Sun Java, Adobe Reader; базы и модули антивирусных программ, и, конечно же, необходимо своевременно устанавливать обновления безопасности для ОС Windows.

Комментарии вирусного аналитика компании «ВирусБлокАда» Алексея Герасименко:

По ссылке пользователю предлагается скачать архив ZIP, содержащий .exe файл. Этот файл представляет из себя сетевой червь Worm.NgrBot (или Dorkbot), известный уже достаточно давно.

Вредоносная активность:

После запуска копирует себя в папку  %APPDATA% со случайным именем наподобие Yojwju.exe, регистрирует этот файл в автозапуске Windows (в частности, в ветку HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run).

Содержит в себе бэкдор-компоненту для подключения заражённого компьютера в ботнет. Команды от управляющего сервера передаются по IRC протоколу.

Крадёт пароли к учётным записям от таких сервисов, как YouTube, Gmail, Facebook, Letitbit, Sms4file, Vip-file, и др.

Блокирует доступ к сайтам,  доменные имена которых содержат следующие строки:

webroot., fortinet., virusbuster., nprotect., gdatasoftware., virus., precisesecurity., lavasoft., heck.tc, emsisoft., onlinemalwarescanner., onecare.live., f-secure., bullguard., clamav., pandasecurity., sophos., malwarebytes., sunbeltsoftware., norton., norman., mcafee., symantec, comodo., avast., avira., bitdefender., eset., kaspersky., trendmicro., iseclab., virscan., garyshood., viruschief., jotti., threatexpert., novirusthanks., virustotal.

Содержит функционал для проведения DDoS-атаки и перенаправления пользователя на вредоносные сайты.

Характерная черта Worm.NgrBot – для определения IP-адреса заражённого компьютера обращается на сайт api.wipmania.com.

Распространение:

Может распространяться через флэш-носители, используя широко известный механизм автозапуска посредством файла autorun.inf. При этом вредоносный файл располагается в скрытой папке RECYCLER.

Распространяется через социальные сети, отправляя ссылки на себя в популярных социальных сетях и сервисах обмена мгновенными и сообщениями (Vkontakte, Facebook, Twitter и т.д.).

Один из вариантов лечения:

Так как файл вредоносной программы скрыт от обнаружения стандартными средствами Windows благодаря установленным в системе перехватам API функций, для его обнаружения и удаления можно использовать специальные утилиты, например Vba32 AntiRootkit.

  1. После запуска антируткита в появившемся диалоге ответить “No” и дождаться его загрузки;
  2. Выбрать в меню Tools > Low Level Disk Access Tool;
  3. В левой части окна утилиты «Level Disk Access Tool» выбрать путь к папке %APPDATA%.

Например, в ОС Windows XP путь к %APPDATA% имеет вид «Х:Documents and SettingsUsernameApplication Data», в Windows Vista и 7 –  “X:UsersUsernameAppDataRoaming”, где X: – имя системного диска, Username – имя пользователя;

  1. При этом в правой панели утилиты станет виден вредоносный файл с бессмысленным именем наподобие Yojwju.exe;
  2. Щелчком правой кнопки мыши по файлу вызвать контекстное меню, в котором нужно выбрать команду «Delete File» (см. рисунок);
  3. В появившемся диалоге подтвердить удаление файла нажатием на кнопку «Yes»;
  4. Выйти из антируткита и перезагрузить компьютер.

vba32antirootkit.jpg

Подробнее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
MORDRED

Как хорошо, что я этой туфотой не пользуюсь ^_^

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Groft
Как хорошо, что я этой туфотой не пользуюсь ^_^

Пользоваться скайпом или нет решает каждый сам. В данной теме не совсем понятно, к чему Вы это сказали? :huh:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Skype наиболее безопасное и функциональное средство общения по сети. Давно уже использую его как основной месенжер, средство для конференц-связи, часто звоню с него на обычные номера.

Все видимо забыли, что подобные атаки для ICQ давно стали нормой. В этом контексте атака с использование Skype выглядит также уникально, как троян для MacOS :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Skype наиболее безопасное и функциональное средство общения по сети. Давно уже использую его как основной месенжер, средство для конференц-связи, часто звоню с него на обычные номера.

Посмотри ещё ooVoo.

Все видимо забыли, что подобные атаки для ICQ давно стали нормой. В этом контексте атака с использование Skype выглядит также уникально, как троян для MacOS :)

Выглядит. В 2007 было нечто похожее, когда в Skype червь Crazy распространялся.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Все видимо забыли, что подобные атаки для ICQ давно стали нормой.

Проще. В ICQ клиентах уже 86 лет существуют антиспамы, которые отлично справляются. А также гибкая система видимости.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×