RSS-каналы
Уровень опасности: 1
Главная→Блог→Virus Watch→17 май 2008→Червь ВКонтакте
Червь ВКонтакте
Эксперт «Лаборатории Касперского»
опубликовано 17 май 2008, 16:27 MSK
Сюжеты: Социальные сети
Социальные сети, такие как facebook, MySpace, Orkut и т.д., являются одними из наиболее популярных сетевых ресурсов современного Интернета. Фактически, именно они олицетворяют собой то, что называется Web 2.0.
Авторы вредоносных программ уже обратили свое внимание на социальные сети. Некоторые сети уже становились объектами атак, в том числе нацеленных на получение персональных пользовательских данных.
В России среди социальных сетей наибольшей популярностью пользуются проекты ВКонтакте.ру, Одноклассники.ru и LiveJournal.
Мы обнаружили сетевого червя Rovud, который распространяется среди пользователей системы VKontakte.
Первый вариант червя был задетектирован рано утром 16 мая. Принцип его действия достаточно прост, но вместе с тем оригинален.
Тело червя размещено на одном из сайтов (возможно, взломанном) под именем deti.jpg. Для первого варианта червя ссылка имела вид:
На самом деле, при клике на ссылку загружался не файл с изображением, а исполняемый файл.
Будучи запущенным на компьютере, червь ищет cookies пользователя ВКонтакте, после чего использует их для соединения с сайтом и начинает рассылать вредоносную ссылку всем «контактам» зараженного пользователя.
Если кто-нибудь из получателей проследует по ссылке, загрузит и запустит файл, цикл заражения повторится, и теперь уже «контакты» новой жертвы также получат опасную ссылку.
Работа червя сопровождается визуальными эффектами. При запуске он показывает на экране картинку:
Кроме того, червь обладает деструктивной функцией. 25 числа он должен вывести на экран следующий текст:
После чего червь начнет удалять файлы на компьютере жертвы.
Несмотря на то, что первый вариант червя достаточно быстро был обнаружен и другими антивирусными компаниями, а служба поддержки «ВКонтакте» была проинформирована об инциденте, остановить эпидемию за один день не удалось.
Неизвестные авторы червя изменили формат ссылки на зараженный сайт, которая посылается контактам жертвы, и таким образом смогли инициировать новую волну эпидемии. Очевидно, что администрация ВКонтакте просто программно запретила сообщения со ссылкой на файл deti.jpg. Авторы червя очень элегантно обошли это «ограничение».
Вариант Rovud.c рассылал ссылку:
В результате нажатия на нее пользователь перенаправлялся все на тот же самый сайт http://roland.misecure.com/deti.scr.
Новый вариант — Rovud.c — был обнаружен утром 17 мая и в настоящее время количество обращений от пользователей, обнаруживших его «вредоносные» ссылки в своих учетных данных ВКонтакте, значительно превышает число запросов, связанных с первой версией червя!
Что еще более интересно — у этого червя существует предыстория. Дело в том, что за день до его появления, по Рунету прошлая массовая волна фишинговой атаки. Ее целью являлась «накрутка» рейтинга некоего пользователя:
Вконтакте.ру начинает розыгрыш призов, а также гарантированный бонус в размере +300% к Вашему текущему рейтингу.
Для получения бонуса и участия в розыгрыше призов — отправьте бесплатное СМС с текстом: id10682124 на номер 4449
С уважением,
Администрация Вконтакте.ру
Такое SMS просто поднимет рейтинг пользователя с указанным id. И разумеется, оно не бесплатное — стоимость отправленного сообщения составляет $3,0 без НДС.
В тот же день личная страничка данного пользователя была удалена администрацией ВКонтакте. А на следующий день появился червь Rovud, обыгрывающий тему с повышением рейтинга и подписывающий сообщение об «уничтожении компьютера» именем Павла Дурова, создателя проекта ВКонтакте.
Что это — просто месть «обиженных» хакеров или же некая продуманная атака против ВКонтакте, призванная подорвать его репутацию и снизить число пользователей, мы не знаем.
На момент написания этого поста файл червя уже был удален с сайта, с которого происходило его распространение. Однако это не исключает того, что в ближайшее время в Рунете появится очередной вариант Rovud.
Продолжаем следить за развитием ситуации.
|
03 июн 2009, 16:13
У меня другая ситуация с Контатом была: при входе в систему, требовал отправить смс. Вирус я нашёл, отправил в ЛК, но решения по излечению так и не дождался. Снёс систему)) |
04 июн 2009, 00:12
У меня,тоже,один раз. |
|
10 июн 2009, 16:15
Большое спасибо! :-) Ко мне пришла подобная ссылка вида: |
|
16 июн 2009, 21:07
Да контакт рассадник. Я до покупки коробки Каспера нахватал ооочень много вирусни с контакта. |
|
28 июн 2009, 14:48
Вирус-Фишинг А у меня другая проблема.У меня пришло оповищения в Придложениях что мой друг просыт устонавить придложения WOOWOOOD.И то был вирус. исправлено: bogdan_99, 28 июн 2009, 15:19 |
|
02 июл 2009, 22:29
вот у меня такая же ситуация как у Aglu-BT , это всего лишь вирус который найдёт касперский или что то по-круче? |
|
03 июл 2009, 08:06
КОНТАКТ да кантакт ваще гадость спамерская меня он уже задрал по полной =) |
|
25 июл 2009, 13:22
КОНТАКТ aglu и все остальные со схожей проблемой пишите мне в мэйл подробно отвечу как с этим бороться мне админы контакта помогли! и все путем! |
|
27 июл 2009, 08:57
Контак помогите пожалуйста...у меня в контакт не заходит..и именно с моего компъютераюювот что пишет"Not Found |
|
29 июл 2009, 14:37
|
|
20 авг 2009, 17:30
контакт Уважаемые, мне в контакт не зайти, там хрень выскочила...типа: господин Дуров просит послать СМС на номер... не могли бы вы подсказать, что делать? С уважением, anastas_ggg@mail.ru |
|
09 сен 2009, 23:09
контакт anastas, у меня тоже самое наверное(( |
|
29 окт 2009, 13:16
Бред в контакте. А у меня воще какято непонятка. Всем, на чю страницу я захожу приходит п?сьмо, типа от меня с текстом "Здоров друган, наконец вишло... отправь смс на такойто номер с такимто текстом". Штото вроде етого. Многие говорят што от меня такое приходит но у меня в истори сообщений нету ниодного такого письма. Што делать? |
|
21 янв 2010, 10:38
Решение "aglu" и "Люля": В случае если страничка сайта как то изменилась или требует от вас что либо сделать, требующее оплатить рекомендуется проверить файл: C:\WINDOWS\system32\drivers\etc\host открыть его можно обычным блокнотом. и после текста начинающегося на # должно быть написан только ip и localhost. Еще рекомендуется проверять свой компьютер несколькими антивирусными системами, которые предоставляют возможность удаленно сканировать вашу систему. |
|
12 апр 2010, 11:36
А у меня такая прабла и Вконтакте и в Майл Мире (мож и ещё где) Когда обновляю страницу (и там и тут) то бывает перескакивает на какой то левый сайт (как опять так будет, отпишу, что за сайт). И ещё когда пишу коменты к фоткам или на стене контакта, то внизу сама добавляется ссылка на сайт какой то опять же (free insurance quotes, auto insurance quotes). Что это такое ? и как от этого избавиться ?? |
|
26 май 2010, 22:44
Заблокирована страница в контакте!! Здравствуйте добрые люди..у меня заблокирована страница в контакте!и в итоге написанно пришлите смс чтобы разблокировать!!Мой парень сказал загрузи Касперского и проверь и почисть вирусы!!В итоге я не отправляла смс ,но все зделала как он сказал,но все равно не открывает контакт,что делать??парень уже спит,а разбудить тяжело!!!Помогите прошу!!Пожайлусто!!! |
|
0 |
Re: Заблокирована страница в контакте!!
воспользуйся восстановленимем пароля. там их две версии. а если у тебя пишет при входе на сайт Что отправьте смс с таким то текстом на такой то номер. зайди в панель управления, свойства папки. и там выбери Показывать все скрытые файлы и папки. далее иди в диск С папка Виндовс - Систем32 - Драйверс - ЕТС файл Hosts и удали все что в самом низу. или все кроме 127.0.0.1 сделай то же самое. или напиши мне на почту fedos-tosno@mail.ru расскажу детальней
|
14 июн 2010, 03:25
взломали страницу в контакте что делать приве ребят помогите у меня взломали акаунт как востоновить страницу в контакте |
|
0 |
Re: взломали страницу в контакте что делать
воспользуйся восстановленимем пароля. там их две версии. а если у тебя пишет при входе на сайт Что отправьте смс с таким то текстом на такой то номер. зайди в панель управления, свойства папки. и там выбери Показывать все скрытые файлы и папки. далее иди в диск С папка Виндовс - Систем32 - Драйверс - ЕТС файл Hosts и удали все что в самом низу. или все кроме 127.0.0.1
|
03 сен 2010, 18:27
Люди помогите не могу на сайте Вконтакте.ру зайти в раздел Объявления. не могу понять кто мешает(( Антивирус Касперского Internet Security 2011 или Outpost Fairwall Pro 7. заходил что с Гугл хрома, что оперы или мозилы. пишет только ссылку и не более того. пытался отключать защиту сразу на двоих. ничего не помогло. так же делал и по отдельности. тоже ничего не помогло. в чем может быть причина??? |
Также в аналитике
В блоге
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей