Пользователи сайта "В Контакте.Ру" стали жертвами компьютерного вируса

[Иван 290]

"Вчера примерно с 14 часов все пользователи, которые получили картинку с вирусом на сайте Vkontakte.ru были автоматически переправлены на соответствующую новость на SecurityLab.

В результате такой оригинальной атаки нагрузка на наш сервер возросла почти в 10 раз, и за пол дня пришло более 100.000 уникальных пользователей, что привело к значительным трудностям при доступе к сайту в первые часы атаки, однако специальные меры позволили быстро восстановить доступ к сайту"

Источник SecurityLab

я вот не понимаю секьюритилабу, что лень было разобраться чего происходит?

а то написали не пойми чего.

вот ссылка, которая ранее ссылалась на Rovud.c

http://vkontakte.ru/away.php?to=%68%74%74%...%69%2e%6a%70%67

любой по ней теперь переходящий попадает на страницу сайта ВКонтакте со следующим текстом

ВКонтакте | Ссылка на сайт с вредоносной программой (вирусом)

Ссылка, по которой вы попытались перейти, содержит вирус. Скорее всего, Вы получили ее личным сообщением от друга, перешедшего ранее по подобной ссылке, невзирая на все наши предупреждения и предупреждения своего браузера.

Пожалуйста, сообщите об этом тому, кто прислал Вам это сообщение, и посоветуйте обновить антивирус.

ВКонтакте всегда следит за Вашей безопасностью!

слово вирус ссылается на SecurityLab - вот и весь ДДОС, пусть Дурова благодарят за рекламу

также есть подозрение, что если щас чего-то кликнуть надо, чтоб на SecurityLab попасть, то раньше попадали автоматом

[AlexxSun 150]

Очень было бы своевременным появление бесплатной утилиты от производителей антивирусного ПО по удалению этого червя, до 25-го ещё вполне можно успеть. Так как те, кто успели заразиться, но не имеют постоянно обновляемого антивируса, переживут не самый приятный момент в своей жизни.

[sww 486]

CureIT. А писать отдельную тулзу смысла не вижу.

[Иван 290]

Ой да ладно... Я молчу! Вам виднее =) чего там кто добавил.

Пусть пользователи сами сопоставляют факты.

Но я думаю, как вы написали -- так оно и есть =)

"вариантом .C" детектился ещё до его существования Доктор Вэбом))))) origin'ами

Кроме того забавная ситуация с первым семплом.... ахаха который ровуд.а

интересно почему др веб детектит семпл1 как Win32.HLLW.AntiDurov, а касперы как ровуд.б и Win32.HLLW.AntiDurov.2, как ровуд.цэ. И в инете что то нет ссылок на версию а? куда делся а?

я искал и нашел

вот вам вариант .а

http://www.virustotal.com/ru/analisis/061e...352861c1a19a93a

детектится Доктором как AntiDurov.origin

значит Доктор вариант Rovud.а, который был раньше, проимел и сигнатуру сделал только на .b

кстати по наиболее распространенному варианту ситуация на данный момент такая

http://www.virustotal.com/ru/analisis/f3de...0347228a4c77173

позравляю всех пользователей нод32, случилось чудо - не прошло и двух суток и последним обновлением ваш продукт таки детектит один из самплов http://www.eset.com/joomla/index.php?searc...ch&Itemid=5

не забудьте прогнать полную проверку компа

а вот вариант .b и .a чего-то не детектят, сразу с Rovud.с начали, чтоб не мелочиться

в принципе спасибо автору зловреда, что дал время до 25го

надеюсь теперь когда это прошло через вирустотал, ситуация изменится и русские коллеги наших зарубежных антвирусников наведут их на нужный сампл

--------------------------------------------------------------------------------------

Антивирус;Версия;Обновление;Результат

AhnLab-V3;2008.5.20.0;2008.05.19;-

AntiVir;7.8.0.19;2008.05.19;TR/Spy.Agent.ZM

Authentium;5.1.0.4;2008.05.18;W32/SelfStarterInternetTrojan!Maximus

Avast;4.8.1195.0;2008.05.18;-

AVG;7.5.0.516;2008.05.19;Worm/Rovud

BitDefender;7.2;2008.05.19;-

CAT-QuickHeal;9.50;2008.05.17;-

ClamAV;0.92.1;2008.05.19;-

DrWeb;4.44.0.09170;2008.05.19;Win32.HLLW.AntiDurov.origin

eSafe;7.0.15.0;2008.05.19;-

eTrust-Vet;31.4.5796;2008.05.16;-

Ewido;4.0;2008.05.19;-

F-Prot;4.4.2.54;2008.05.14;W32/SelfStarterInternetTrojan!Maximus

F-Secure;6.70.13260.0;2008.05.19;Net-Worm.Win32.Rovud.a

Fortinet;3.14.0.0;2008.05.19;-

GData;2.0.7306.1023;2008.05.19;Net-Worm.Win32.Rovud.a

Ikarus;T3.1.1.26.0;2008.05.19;-

Kaspersky;7.0.0.125;2008.05.19;Net-Worm.Win32.Rovud.a

McAfee;5297;2008.05.17;-

Microsoft;1.3408;2008.05.13;-

NOD32v2;3109;2008.05.19;-

Norman;5.80.02;2008.05.19;-

Panda;9.0.0.4;2008.05.19;Suspicious file

Prevx1;V2;2008.05.19;-

Rising;20.45.02.00;2008.05.19;-

Sophos;4.29.0;2008.05.19;-

Sunbelt;3.0.1123.1;2008.05.17;-

Symantec;10;2008.05.19;-

TheHacker;6.2.92.313;2008.05.19;-

VBA32;3.12.6.6;2008.05.18;-

VirusBuster;4.3.26:9;2008.05.19;-

Webwasher-Gateway;6.6.2;2008.05.19;Trojan.Spy.Agent.ZM

[radioelectron 80]

«Лаборатория Касперского» защищает пользователей социальной сети «ВКонтакте»

[AlexxSun 150]

Лаборатория Касперского выпустила утилиту против червя, терроризирующего сеть "ВКонтакте"

Источник

Утилита по удалению червя

Спасибо, очень оперативно сработано

[Deja_Vu 366]

Улыбнул совет Дурова (а он оправдывает, похоже свою фамилию) по использованию вместо IE альтернативных броузеров -))

Если уж они лапухнулись, зачем все на других то перекладывать?

[AlexxSun 150]

Изначально с гиперссылками было не очень хорошо задумано, большинство сайтов подобного направления, например Dating.ru, по умолчанию отключают возможность кликнуть на чём-либо ведущем не туда

P.S. У меня тут такая мысль - если эту новость разместить на "В контакте", то сайт kaspersky.ru выдержит наплыв посетителей?

[_Stout 131]

Изначально с гиперссылками было не очень хорошо задумано, большинство сайтов подобного направления, например Dating.ru, по умолчанию отключают возможность кликнуть на чём-либо ведущем не туда

P.S. У меня тут такая мысль - если эту новость разместить на "В контакте", то сайт kaspersky.ru выдержит наплыв посетителей?

не боись -- не такое выдерживали :-)

[dot_sent 140]

Улыбнул совет Дурова (а он оправдывает, похоже свою фамилию) по использованию вместо IE альтернативных броузеров -))

Если уж они лапухнулись, зачем все на других то перекладывать?

Может, перекладывать на других свою вину и неприлично, но за совет я лично Дурову благодарен. Может, хоть до пары юзверей наконец начнет доходить, что Осел - дыряв до ужоса...

[AlexxSun 150]

Вот в этот список тоже можно было бы утилиту добавить, интересно, кто редактирует материалы?

[Иван 290]

а гении эвристического обнаружения наконец добавили самплы ровуда появившиеся 16го числа, прошло 5 дней

NOD32 - v.3116 (20080521)

Virus signature database updates:

Win32/Adware.AVSystemCare (4), Win32/Adware.BHO.NCJ, Win32/Adware.VirtualNetwork, Win32/Adware.WinFixer (6), Win32/Agent.NVC (2), Win32/Autoit.CV (2), Win32/Bagle.OS, Win32/Banwor.NAZ (2), Win32/Delf.NFA (3), Win32/Dialer.NEL, Win32/FraudTool.SanitarDiska (2), Win32/Pacex.Gen (4), Win32/PSW.OnLineGames.NNU (2), Win32/PSW.OnLineGames.NOI, Win32/PSW.OnLineGames.NOP, Win32/PSW.OnLineGames.NOW (3), Win32/PSW.OnLineGames.ODJ (2), Win32/Qhost, Win32/Qhost.NDF (3), Win32/Rbot, Win32/Rootkit.Vanti.NBM, Win32/Rovud.A, Win32/Rovud.NAA, Win32/Small.NDW, Win32/Spy.Banker.OVD, Win32/Spy.Delf.NIU (2), Win32/Spy.Delf.NIV (2), Win32/TrojanDownloader.Banload.NYN (2), Win32/TrojanDownloader.Delf.ODT (2), Win32/TrojanDownloader.Peregar.EQ, Win32/TrojanDownloader.Small.OCM (2), Win32/TrojanDownloader.VB.EOC, Win32/TrojanDownloader.Zlob.BYI (2), Win32/TrojanDownloader.Zlob.BYJ (4), Win32/TrojanProxy.Delf.NAQ, Win32/VB.CRH (2), Win32/Wigon, Win32/Wootbot.NJF

[Deja_Vu 366]

Может, перекладывать на других свою вину и неприлично, но за совет я лично Дурову благодарен. Может, хоть до пары юзверей наконец начнет доходить, что Осел - дыряв до ужоса...

Не будем смотреть в сторону MF и вспоминать ужасное количество уязвимостей критических, которые не так давно были обнаружены

И уж точно не будем сравнивать с дырками в IE7 - а то mf совсем стыдно станет...

(намекаю на версии от 2.0.0.5 по текущую) -)))

[Виталий Я. 859]

чем маргинальнее система, тем менее уязвима от "общей" беды. Поэтому лучше Opera, которой пользуется команда Вконтакте

[dot_sent 140]

Не будем смотреть в сторону MF и вспоминать ужасное количество уязвимостей критических, которые не так давно были обнаружены happy.gif

И уж точно не будем сравнивать с дырками в IE7 - а то mf совсем стыдно станет...

(намекаю на версии от 2.0.0.5 по текущую) -)))

Давайте не будем холиворить? На данный момент я не видел эксплоитов, пробивающих MF + NoScript. Если у Вас есть - буду весьма заинтересован заполучить

[Zyx 45]

Вот что сейчас красуется Фконтакте...

"Если Вы - начинающий пользователь, вместо этого Вы можете воспользоваться бесплатной утилитой от Лаборатории Касперского, чтобы проверить Ваш компьютер на наличие данного червя автоматически (скачать).

Поскольку Лаборатория Касперского была оповещена нами одной из первых (16 мая), а утилита была опубликована ими только вчера (20 мая), с уверенностью можно сказать, что Лаборатория Касперского не имеет отношение к разработке и распространению самого вируса."

ЛК в своем репертуаре...не успели с начала, так хоть после пропиариться....дешевый пЕАр с намеками - в самый раз для контактовского быдла ? Интересно во сколько вам это встало

Жесткая линия задержки - 4 дня....червь на делфи действительно ОЧЕНЬ страшный... =))))))

[_Stout 131]

Вот что сейчас красуется Фконтакте...

"Если Вы - начинающий пользователь, вместо этого Вы можете воспользоваться бесплатной утилитой от Лаборатории Касперского, чтобы проверить Ваш компьютер на наличие данного червя автоматически (скачать).

Поскольку Лаборатория Касперского была оповещена нами одной из первых (16 мая), а утилита была опубликована ими только вчера (20 мая), с уверенностью можно сказать, что Лаборатория Касперского не имеет отношение к разработке и распространению самого вируса."

ЛК в своем репертуаре...не успели с начала, так хоть после пропиариться....дешевый пЕАр с намеками - в самый раз для контактовского быдла ? Интересно во сколько вам это встало

Жесткая линия задержки - 4 дня....червь на делфи действительно ОЧЕНЬ страшный... =))))))

Мил человек, а почему ты считаешь, что это текст, написанный в ЛК? Это самодеятельность ВКонтакте, они свою аудиторию лучше знают. А про задержку это ты лихо сказанул, хорошо подумал, прежде чем сказать? Утилита была предоставлена 20 числа, а не сделана лечилка для KAV.

[Олег Гудилин 95]

Вот что сейчас красуется Фконтакте...

"Если Вы - начинающий пользователь, вместо этого Вы можете воспользоваться бесплатной утилитой от Лаборатории Касперского, чтобы проверить Ваш компьютер на наличие данного червя автоматически (скачать).

Поскольку Лаборатория Касперского была оповещена нами одной из первых (16 мая), а утилита была опубликована ими только вчера (20 мая), с уверенностью можно сказать, что Лаборатория Касперского не имеет отношение к разработке и распространению самого вируса."

ЛК в своем репертуаре...не успели с начала, так хоть после пропиариться....дешевый пЕАр с намеками - в самый раз для контактовского быдла ? Интересно во сколько вам это встало

Жесткая линия задержки - 4 дня....червь на делфи действительно ОЧЕНЬ страшный... =))))))

Не надо так переживать уважаемый.

Во-первых, мы все успели. В отличии от всех АВ-компаний кроме Доктора и Фриска наши продукты обнаруживали и лечили червя практически сразу после его появления, причем это касается всех трех модификаций .a-.c. О чем красноречиво свидетельствует обсуждение выше. Причем вариант .а мы отловили первыми.

Так что утилиту мы выпустили явно не для своих пользователей.

Во-вторых, наша информация о черве появилась как раз когда появился самый массовый вариант .с http://www.viruslist.com/ru/weblog?weblogid=207758696 так что пользователей о массовом заражении мы предупредили.

В-третьих, многоуважаемый, размещение информации на вконтакте нам не стоило ничего, мы просто написали администрации письмо со словами - у нас будет утилита - если есть желание и заинтересованность, разместите о ней информацию у себя. ЭТО ВСЕ А уж какой они при этом текст написали дело в принципе их.

А чем уж лечиться пользователь будет нами или CureIT или самопальными батниками - это ему выбирать. Нашей утилиткой процесс проверки и лечения будет быстрее, CureIT может пролечить заодно и от другого вирья. Кому чего надо.

По поводу четырех дней. Как я уже сказал пользователи наших продуктов были защищены с самого начала. Для других пользователей мы повесили утилиту у себя на сайте во вторник и выпустили новость. До 25го числа, когда активизируется деструктивный функционал, время на лечение достаточно.

Да, элемент пиара в наших действиях есть, как есть в аналогичных действиях всех антивирусных компаний. Но при этом не менее важным элементом является защита пользователей. Если бы эта шумиха не была поднята Доктор Вебом и нами, то уверяю Вас гораздо больше пользователей вконтакте 25го числа пострадали.

в самый раз для контактовского быдла

Вам везет, что общение идет в виртуальном мире. В реальном мире за публичное оскорбление "быдлом" такого количество людей вы бы ответили мама не горюй. Возможно бы вас не убили, но покалечили бы серьезно.

Поскольку Лаборатория Касперского была оповещена нами одной из первых (16 мая), а утилита была опубликована ими только вчера (20 мая), с уверенностью можно сказать, что Лаборатория Касперского не имеет отношение к разработке и распространению самого вируса."

А вот это реально повеселило Вижу г-н Дуров отлично понимает насколько у людей далеких от айти жив миф о том, что антивирусные компании сами пишут вирусы. Недаром это вопрос всегда задают E.K. при общении с народом.

Но Zyx это не повод называть народ быдлом, свой народ надо любить.

[Zyx 45]

А вот это реально повеселило rolleyes.gif Вижу г-н Дуров отлично понимает насколько у людей далеких от айти жив миф о том, что антивирусные компании сами пишут вирусы. Недаром это вопрос всегда задают E.K. при общении с народом.

Но Zyx это не повод называть народ быдлом, свой народ надо любить.

Вовсе не называл народ - "быдлом", я наоборот показывал что так(как к быдлу) относится к не разбирающимся в теме людям,манипулируя информацией - некрасиво.

"Быдло" хотел написать в кавычках, в том смысле, что - "пипл схавает".

(если не ясно выразился и кого то задел - извиняюсь я вобщем и сам иногда общаюсь с людьми в контакте )

А абзац про то, что компания не имеет отношение к распространению могли привести без дат и не в таком контексте !!! А то как то ОЧЕНЬ с намеком получилось , с намеком на что - сами понимаете (естественно, на тех у кого "магическим" образом уже была лечащая утилита 16 числа...., ведь обычным незнающим людям не объяснить,в такой постановке предложенной им информации, что на самом деле не надо тратить на изучение и создание утилиты для лечения 4 дня) Думаю многих из них теперь посетят "интересные мысли"...

Я не говорю про плохую поддержку ЛК своих пользователей, это не мне решать, я им не являюсь. Я говорю про текст сообщения составленный явно с "темным" оттенком. - мое ИМХО.

Кстати очень странно, что информация о DrWeb c контакта постепенно исчезла....не находите? Ведь сначала там абсолютно точно писали, что "Вы можете воспользоваться продуктами DrWeb, для лечения..." и т.д., неужто оставить и ту и ту информацию стало проблематично и Дуров мужественным решением оставил инфу только про ЛК ...вобщем тем кто наблюдает за происходящим с 16 числа картина ясно вырисовывается

[_Stout 131]

Кстати очень странно, что информация о DrWeb c контакта постепенно исчезла....не находите? Ведь сначала там абсолютно точно писали, что "Вы можете воспользоваться продуктами DrWeb, для лечения..." и т.д., неужто оставить и ту и ту информацию стало проблематично и Дуров мужественным решением оставил инфу только про ЛК ...вобщем тем кто наблюдает за происходящим с 16 числа картина ясно вырисовывается

Этот вопрос надо задать Дурову лично. Почему он убрал инфу о DrWeb.

Кстати, CureIt лечит AntiDurov? Если да, то очень удивляет такой поступок Павла Дурова.

[Виталий Я. 859]

Печаль одолевает, коллеги, от такой непоследовательной политики Дурова (вообще это давняя история).

Павел, как обычно, немножко перепараноил - зря он так к трудам хорошей АВ-лаборатории презрительно отнесся - тут конкуренты или "испытатели" скорее постарались, причем версий таких, к сожалению, так и не прозвучало в СМИ. Жаль, что исходников a и b-модификаций ни они, ни мы не получили.

IMHO, Докторвебовцы прекрасно понимают, какой им выпал прекрасный случай "крутануть" качество своего продукта, связав свою работу с самым популярным в СПб (да и в русскоязычном Интернете) социальным сайтом. Будучи в географическом центре событий, они просто не могли не пинать страшной силой пиар-отдел в Москве, так что быстрый выпуск утилитки - это следствие верно уловленного момента. Молодцы И ЛК - молодцы, раз a- и b-сэмплы задетектили первыми.

PS: использующие Outpost этому червю не дали прописаться в реестр, зачастую даже не узнав об этом. Не знаю, использует ли еще сам Павел, но ряд членов его команды разработчиков - все то время, что сидят под Виндой.

[Dexter 20]

Этот вопрос надо задать Дурову лично. Почему он убрал инфу о DrWeb.

Действительно. Совершенно нелогичное и противоестственное решение.

Может ему все-таки подсказали?

Иначе необъяснимо.

[Виталий Я. 859]

Действительно. Совершенно нелогичное и противоестственное решение.

Может ему все-таки подсказали? Иначе необъяснимо.

Нет, он просто усомнился, что Dr. Web непричастны - слишком быстро вылечили и начали пиарить. Не любит Павел Валерьевич, когда ему имиджем "делиться" приходится. А что решения его часто необъяснимы без инсайдерской инфы, я с 2003 года часто вижу

[Олег Гудилин 95]

Действительно. Совершенно нелогичное и противоестственное решение.

Может ему все-таки подсказали?

Иначе необъяснимо.

Слушайте, поднадоело уже. Не было на сайте вконтакте информации про лечение Доктором вообще, никогда. По крайней мере я не видел. И это не наши проблемы, а проблемы Доктора. Там висела и висит следующая новость http://vkontakte.ru/blog.php?nid=81. (смотри ниже ее целиком). Именно этот текст появился там с самого начала и к нему уже более 6000 комментариев сейчас.

В новости ссылка на самопальную методику вычищения () червя написанную Алексей alex_gall Гальченко - вот эта инструкция http://vkontakte.ru/note10_7159709.

Весь текст http://vkontakte.ru/blog.php про лечение нашей утилитой писали вконтакте, мы дали только ссылку на утилиту и нашу новость. И все намеки - это не к нам.

Безопасность ВКонтакте

Павел Дуров 17 мая 2008 в 18:06

Переходя по внешним ссылкам, найденным в Контакте, Вы часто можете встретить сообщение от Контакта о возможности загрузки вредоносной программы. ВКонтакте всегда заботится о Вашей безопасности и предупреждает Вас о каждой опасности, которую Вы можете встретить в сети.

При попытке загрузки вредоносной программы Вы будете предупреждены два раза: первое предупреждение Вы получите от Контакта, второе - от операционной системы.

Обратите внимание, что подобные ссылки Вы можете получить по любым видам связи - по электронной почте, по ICQ, через чаты и форумы.

Хотя сам ВКонтакте не позволяет злоумышленнику размещать вирусы и не может содержать вредоносные программы даже теоретически, мы внимательно следим за Вашей безопасностью и в этом отношении. Из всех крупных русскоязычных ресурсов только ВКонтакте предупреждает Вас о потенциальной угрозе при переходе по внешней ссылке на сторонний сайт.

Если Вы внимательно относитесь к таким предупреждениям, Ваш компьютер всегда будет находиться в безопасности. Кроме того, мы внимательно следим за подобной активностью и сводим на нет все вредоносные рассылки в течение суток.

Если Вас интересует, как еще сильнее обезопасить свой компьютер от вредоносных ссылок, Вы можете следовать следующим рекомендациям:

Принимайте предложения Вашей ОС об установке обновлений системы безопасности.

Пользуйтесь браузерами FireFox и Opera, сводите к минимуму работу в браузере Internet Explorer.

Пользуйтесь только теми сайтами, которые заботятся о Вашей безопасности, например ВКонтакте.

Пользуйтесь системами сканирования червей и вирусов.

Если Вам срочно нужно загрузить стороннюю ссылку, сначала нажмите кнопку Выход в Контакте.

Внимательно относитесь ко всем предупреждениям о безопасности, которые Вы получаете.

Если Вам кажется, что у Вас уже есть вирус, удалите его, пользуясь следующей инструкцией.

В контакте с Вами,

Павел Дуров

[Олег Гудилин 95]

Молодцы И ЛК - молодцы, раз a- и b-сэмплы задетектили первыми.

Сампл .а да, самп .b нет.

IMHO, Докторвебовцы прекрасно понимают, какой им выпал прекрасный случай "крутануть" качество своего продукта, связав свою работу с самым популярным в СПб (да и в русскоязычном Интернете) социальным сайтом. Будучи в географическом центре событий, они просто не могли не пинать страшной силой пиар-отдел в Москве, так что быстрый выпуск утилитки - это следствие верно уловленного момента.

Виталий, Вы о чем? Причем тут пиар отдел? CureIT давно созданная докторовская утилита, использующая их стандартные базы - зачем нужен пиар отдел в Москве, чтобы ее выпускать? Утилита давно была, был добавлен детект и лечение в базы. Нормальная работа вирлаба.