Перейти к содержанию
radioelectron

"Одноклассники.ру" подверглись вирусной рассылке

Recommended Posts

radioelectron

Пользователи социальной сети "Одноклассники.ру" подверглись рассылке писем, содержащих ссылку на сайт, посещение которого может заразить компьютер. О рассылке, которая началась чуть меньше недели назад, сообщила в четверг служба вирусного мониторинга компании "Доктор Веб".

Рассылка производится от имени разных пользователей. Например, владельцу аккаунта на "Одноклассниках" может прийти письмо от некой Глории Чернявской с просьбой бесплатно проголосовать за фотографию претендентки на титул "Мисс Рунет". Пройдя по модифицированному адресу пользователь видит фото претендентки и отзывы людей, якобы уже проголосовавших за нее.

Далее, при нажатии на ссылку "Отдать свой голос" пользователю предлагается скачать видеоролик, в то время как на самом деле на компьютер скачивается вирусная программа.

Инфицированный компьютер затем используется для рассылки спама.

В пятницу, 16 мая, подобной атаке подверглась другая популярная российская социальная сеть - "Вконтакте.ру".

Однако, как сообщил РИА Новости руководитель департамента разработки и исследований "Доктор Веб" Сергей Комаров, "в отличие от недавней эпидемии в сети "Вконтакте.ру" здесь распространение идет медленнее и, возможно, имеет направленность на определенную аудиторию".

В связи с неослабевающим интересом вирусописателей к социальным сетям разработчики антивирусных программ рекомендуют не открывать письма и вложения в письмах от незнакомых адресатов, не заходить на подозрительные сайты. Необходимо также устанавливать на ПК антивирусные программы, на которых производятся регулярные обновления вирусных баз.

102825142.jpg

© http://www.rian.ru/

post-3845-1211468435_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

гы гы гы

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

не нужно быть 7 пядей во лбу, чтобы понять, откуда ветер дует. Конкуренция!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww

=)) Молодцы! Надо продолжать в том же духе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

порнуху распространяем? :rolleyes: там по вашей ссылке с новости http://info.drweb.com/show/3364/ru порнуха сплошная

а перейти по внешней ссылке как известно из однокласников нельзя, поэтому надо копипастить ее в браузер специально - это троян ну для очень неленивых:) да и нет там уже трояна

не нужно быть 7 пядей во лбу, чтобы понять, откуда ветер дует. Конкуренция!

серьезное обвинение

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww

Иван

Вы отличаете порнуху от прикольной картинки? ;)

не нужно быть 7 пядей во лбу, чтобы понять, откуда ветер дует. Конкуренция!
серьезное обвинение

Я сам в шоке какие мы наглецы :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

вот вопрос..

будет ли считаться хакерской атакой, рассылка пользователям анти-малваре в личку портала урла с вируснёй?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Мне бы прислали - я бы только рад был... А то вот этот SCR вконтактёрский мне недостался вообще.. Я даже не знаю, работает ли он или нет. Кстати, если у кого-то случайно остался образец, то можно в личку мне, я не против, буду премного благодарен :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr Limpopo

Я долго смотрел на пыльные выцветшие коробки DrWeb в компьютерном магазине, и думал тогда, что DrWeb предпримет что-нить неординарное, чтобы остаться на плаву...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Я сам в шоке какие мы наглецы

я думал, что Виталий говорит не о вас, а о том что ветер дует от вконтакте

впрочем надо у него уточнить :lol:

вот вопрос..

будет ли считаться хакерской атакой, рассылка пользователям анти-малваре в личку портала урла с вируснёй?

сесть по известной статье можно при желании

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
Я долго смотрел на пыльные выцветшие коробки DrWeb в компьютерном магазине, и думал тогда, что DrWeb предпримет что-нить неординарное, чтобы остаться на плаву...

Да-да, точно-точно. Они сами все это и организовали.:)

P.S. Цинично и гадко иронизировать лучше над любыми обладателями минимум 40% рынка.

Это и веселей и главное полезней.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Я долго смотрел на пыльные выцветшие коробки DrWeb в компьютерном магазине, и думал тогда, что DrWeb предпримет что-нить неординарное, чтобы остаться на плаву...

да нормальные у них коробки и не пыльные совсем

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
да и нет там уже трояна

просто пиарищики дрвеба немножко накосячили - написали "При нажатии на ссылку "Отдать свой голос" предлагается скачать файл", хотя на самом деле чтобы "заразиться" - надо нажать на "Видео" (это логично - ведь с какого-то перепугу юзер должен вдруг согласится ставить себе видеокодек?"

так любой желающий может пройти по ссылке из вебовского пресс-релиза (http://miss-runet.net/?a=125****), которую они столь заботливо "модифицировали" - достаточно убрать из нее звездочки, да или просто написать любые цифры после ?a=, чтобы убедиться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

ну понять можно, так спешили написать, что разослали сразу и ссылку на прикольные картинки (копирайт sww), и ссылку на трояна :rolleyes:

только вот теперь непонятно чем их рассылка вирусной ссылки по всему рунету в собственной новости отличается от ее рассылки по однокласникам? :rolleyes:

однокласники.PNG

вирус известен ажни с 28 марта http://www.kaspersky.ru/viruswatchlite?sea...amp;x=0&y=0

Доктор Веб вирус в базы добавили в базы только сегодня (проверяем Trojan.MulDrop.16008 по http://updates.drweb.com/ )

На вирустотале даже базы обновиться не успели.

ну есть другие антивирусы, которые отличились http://www.virustotal.com/ru/analisis/57a2...bbcbda516a849de

Антивирус Версия Обновление Результат

AhnLab-V3 2008.5.22.1 2008.05.22 -

AntiVir 7.8.0.19 2008.05.22 DR/Dldr.DNSChanger.Gen

Authentium 5.1.0.4 2008.05.22 -

Avast 4.8.1195.0 2008.05.22 -

AVG 7.5.0.516 2008.05.22 DNSChanger.AA

BitDefender 7.2 2008.05.22 Dropped:Trojan.DNSChanger.SL

CAT-QuickHeal 9.50 2008.05.22 Win32.Trojan.DNSChanger.arn.5

ClamAV 0.92.1 2008.05.22 -

DrWeb 4.44.0.09170 2008.05.22 -

eSafe 7.0.15.0 2008.05.22 -

eTrust-Vet 31.4.5808 2008.05.21 -

Ewido 4.0 2008.05.22 -

F-Prot 4.4.2.54 2008.05.16 -

F-Secure 6.70.13260.0 2008.05.22 W32/Malware

Fortinet 3.14.0.0 2008.05.22 -

GData 2.0.7306.1023 2008.05.22 -

Ikarus T3.1.1.26.0 2008.05.22 -

Kaspersky 7.0.0.125 2008.05.22 Trojan.Win32.DNSChanger.bov

McAfee 5301 2008.05.22 -

Microsoft 1.3520 2008.05.22 TrojanDropper:Win32/Alureon.D

NOD32v2 3123 2008.05.22 -

Norman 5.80.02 2008.05.22 W32/Malware

Panda 9.0.0.4 2008.05.22 -

Prevx1 V2 2008.05.22 Malware Dropper

Rising 20.45.32.00 2008.05.22 -

Sophos 4.29.0 2008.05.22 Mal/Zlob-P

Sunbelt 3.0.1123.1 2008.05.17 -

Symantec 10 2008.05.22 Trojan.Zlob

TheHacker 6.2.92.317 2008.05.22 -

VBA32 3.12.6.6 2008.05.22 MalwareScope.Trojan.DnsChange.2

VirusBuster 4.3.26:9 2008.05.22 -

Webwasher-Gateway 6.6.2 2008.05.22 Trojan.Dropper.Dldr.DNSChanger.Gen

post-10-1211480160_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
radioelectron
так любой желающий может пройти по ссылке из вебовского пресс-релиза (http://miss-runet.net/?a=125****), которую они столь заботливо "модифицировали" - достаточно убрать из нее звездочки, да или просто написать любые цифры после ?a=, чтобы убедиться.

Вебовцы молодцы...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

и мне сэмпла не досталось...хотя на фига он мне счас? :D Разве для коллекции, так на будущее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Без антивирусных персоналий хочу также сказать, что и наша молодёжь сейчас чуть не поголовно просиживает "В контакте", пользователи постарше и намного старше - "В одноклассниках", в Аське, и у всех на компах - хоть есть какой-то антивирус, хоть нет! - в ПК трояны и прочие mlvr всех мастей и видов. И телефонные версии ещё более этому просиживанию способствуют.

Вот такая достаётся клиентура с их комп.проблемами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
и мне сэмпла не досталось...хотя на фига он мне счас? Разве для коллекции, так на будущее

Алексей, вы на видео на приведенной Доктором Вебом ссылке нажмите - будет семпл

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr
Алексей, вы на видео на приведенной Доктором Вебом ссылке нажмите - будет семпл

ну, есть еще более простые пути- к бывшим подчиненным зайти :D Заодно и поболтать... Два в одном так сказать

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
hEx

Интересно, что же будет дальше с социальными сетями (в ситуациях, касающихся вредоносов)... А ведь еще есть огромное количество зарубежных социалок, ситуацию в которых не всегда можно адекватно оценить

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout

И мне пришло это сообщение :-) Сегодня в 1430.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lemmit

А сейчас на поддельной мисс-рунет теперь под видом видео участницы можно поймать еще кое-что:

AhnLab-V3 2008.5.22.1 2008.05.23 -

AntiVir 7.8.0.19 2008.05.23 TR/Fake.GoogleBar.2

Authentium 5.1.0.4 2008.05.22 -

Avast 4.8.1195.0 2008.05.23 -

AVG 7.5.0.516 2008.05.23 -

BitDefender 7.2 2008.05.23 -

CAT-QuickHeal 9.50 2008.05.22 -

ClamAV 0.92.1 2008.05.23 -

DrWeb 4.44.0.09170 2008.05.23 -

eSafe 7.0.15.0 2008.05.22 suspicious Trojan/Worm

eTrust-Vet 31.4.5815 2008.05.23 -

Ewido 4.0 2008.05.23 -

F-Prot 4.4.4.56 2008.05.23 -

F-Secure 6.70.13260.0 2008.05.23 Trojan-Dropper.Win32.BHO.k

Fortinet 3.14.0.0 2008.05.23 -

GData 2.0.7306.1023 2008.05.23 -

Ikarus T3.1.1.26.0 2008.05.23 MalwareScope.Trojan-PWS.Pinch.1

Kaspersky 7.0.0.125 2008.05.23 -

McAfee 5301 2008.05.22 -

Microsoft 1.3520 2008.05.23 -

NOD32v2 3125 2008.05.23 -

Norman 5.80.02 2008.05.22 -

Panda 9.0.0.4 2008.05.23 -

Prevx1 V2 2008.05.23 -

Rising 20.45.42.00 2008.05.23 -

Sophos 4.29.0 2008.05.23 -

Sunbelt 3.0.1123.1 2008.05.17 -

Symantec 10 2008.05.23 -

TheHacker 6.2.92.318 2008.05.23 -

VBA32 3.12.6.6 2008.05.22 MalwareScope.Trojan-PSW.Pinch.1

VirusBuster 4.3.26:9 2008.05.22 -

Webwasher-Gateway 6.6.2 2008.05.23 Trojan.Fake.GoogleBar.2

Полномочные лица могут изучить файл: http://virusinfo.info/showthread.php?p=230683

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Я файл уже отсылал в вирлаб ЛК и проверял на VT. Посмотрим. 2009-ый Касперский присвоил рейтинг опасности 100 этому "кодеку".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter

-удалил -

все таки глюки вирустотала.:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×