RSS-каналы
Уровень опасности: 1
Главная→Блог→Инциденты→30 июл 2009→Скомпрометированы данные десятков тысяч пользователей «ВКонтакте»
Скомпрометированы данные десятков тысяч пользователей «ВКонтакте»
Эксперт «Лаборатории Касперского»
опубликовано 30 июл 2009, 18:27 MSK
Сюжеты: Утечки конфиденциальной информации, Социальные сети
Сегодня в свободный доступ попали данные учетных записей более чем 130 тысяч пользователей популярной российской социальной сети «ВКонтакте».
Информация была опубликована на одном из хакерских сайтов.
Наши эксперты проанализировали эти данные и подтверждают факт компрометации.
Согласно нашей информации инцидент выглядит следующим образом:
Сайт, указанный в сообщении (83.133.120.252), известен «Лаборатории Касперского» как фишинговый и блокируется при попытке обращения к нему персональными продуктами.
Вредоносная программа Trojan.Win32.VkHost.an (детектируется нами с 28 июля) распространялась через приложение ВКонтакте (hxxp://vkontakte.ru/app711384?&m=2, в настоящий момент заблокировано администрацией ресурса).
После установки в систему данный троянец подменял файл hosts на следующий:
83.133.120.252 odnoklassniki.ru
Потом, когда пользователь пытался открыть сайт одной из этих социальных сетей, то его перенаправляли на фишинговую страницу, в которой надо было залогиниться.
Логин и пароль уходили в базы на том же сайте 83.133.120.252. В настоящий момент база «Одноклассников» пуста, поэтому говорить о компрометации данных пользователей и этой социальной сети — пока рано.
После того, как пользователь логинился на поддельной странице, происходил редирект сначала на новую страницу. На данной странице имеется следующий текст:
ВНИМАНИЕ!
Ваш аккаунт опознан системой как потенциально опасный.
С вашего IP-адресса ведётся Спам-рассылка.
Аккаунт признан фейком,созданным злоумышленниками для Спам-рассылок, и будет удалён через 24 часа после прочтения данного уведомления, в случае отказа от подтверждения аккаунта.
Если аккаунт настоящий, его необходимо подтвердить.
Отправьте смс с текстом orderit30193 (без пробелов), на номер 6008
В ответном смс вам придёт Код активации.
Стоимость смс соответствует стоимости по вашему тарифному плану.
Что самое интересное, если пользователь отправит смс, то он действительно получает некий код, так как на сайте имеются страницы с следующим содержанием:
Kод принят! Скачайте и запустите файл – Скачать
По ссылке находится файл access.exe, который восстанавливает оригинальный файл hosts (127.0.0.1 localhost).
Вы ввели не правильный код.Вернитесь и введите код из смс сообщения!
Мы рекомендуем всем пользователям «ВКонтакте» и «Одноклассников» проверить содержимое своих файлов hosts, которые находятся в каталоге %windir%\system32\drivers\etc, и если в них обнаружены ссылки на vkontakte.ru и odnoklassniki.ru — удалить данные записи.
Обязательно также сменить все пароли от всех аккаунтов! (не только в социальных сетях, но и в электронной почте и прочие). В случае попадания на подобные фишинговые страницы, ни в коем случае не вводить свои логин и пароль и не отправлять никаких SMS-сообщений.
UPD. Мы более детально перепроверили данные и должны сообщить, что речь идет не о 130 000 аккаунтах, как было написано первоначально, но о более чем 40 000.
|
30 июл 2009, 17:24
Текст SMS и номера Тексты SMS-сообщений и короткие премиум-номера могут меняться. Злоумышленниками используются несколько самых дорогих номеров |
30 июл 2009, 19:43
Файл hosts А антивирус может "проверить содержимое своих файлов hosts, которые находятся в каталоге %windir%\system32\drivers\etc, и если в них обнаружены ссылки на vkontakte.ru и odnoklassniki.ru - удалить данные файлы"? |
|
2 |
|
1 |
Re: Файл hosts
Файл hosts, модифицируемый вредоносной программой Trojan.Win32.VkHost.an, также детектируется с 28 июля под таким же именем.
|
31 июл 2009, 12:04
а как теперь вообще вконтакт заходить на свою страницу? что нужно сделать? |
|
1 |
Re:
Мы рекомендуем всем пользователям 'ВКонтакте' и 'Одноклассников' проверить содержимое своих файлов hosts, которые находятся в каталоге %windir%\system32\drivers\etc, и если в них обнаружены ссылки на vkontakte.ru и odnoklassniki.ru - удалить данные записи.
Обязательно также сменить все пароли от всех аккаунтов! (не только в социальных сетях, но и в электронной почте и прочие). В случае попадания на подобные фишинговые страницы, ни в коем случае не вводить свои логин и пароль и не отправлять никаких SMS-сообщений.
|
1 |
АЛЕКСАНДР. ПОМОГИТЕ.
я всё проверил.host проверил. но вконтакт зайти не могу. пишет неправельный пороль или имэйл.если это админестрация поменяла пороль и я забыл пороль от своей почты на рамблере то что мне делать. помогите плиз)))))))))) пишите на другой мой имэйл что делать krokdock2009@rambler.ru
|
-1 |
Re: Re:
Всё сделала, как Вы написали, но не могу сохранить изменённый файл ( пишет - укажите путь). У меня виста, может надо что-то по другому сделать? IE не может открыть эту(Вконтакте) веб.страницу уже неделю.
|
0 |
Re: Re:
ПОМОГИТЕ!!!!!
Я сделала все.Удалила все лишнее в файле hosts
перезагрузила, но все равно не могу зайти в контакт
Если открыть заново этот файл hosts, то все удаленное-появляется опять
Что делать?
|
31 июл 2009, 14:30
|
|
-3 |
Re:
да, это слово теперь часто употребляют в данном контексте:
Нарушение безопасности информации - событие, при котором компрометируется один или несколько аспектов безопасности информации (доступность, конфиденциальность, целостность и достоверность).
-Глоссарий.ру
|
31 июл 2009, 18:55
"Вредоносная программа Trojan.Win32.VkHost.an (детектируется нами с 28 июля)" |
|
0 |
Re:
Позвольте с вами не согласиться.
Если вы что-то и отправляли нам 18 июля, то это мог быть другой вариант троянской программы - например VkHost.ab или .am - подобные программы мы детектируем каждый день.
|
0 |
Re: Re:
Не соглашайтесь ))) Ваше право.
Сейчас проверил отправленного 18.07 трояна КИС-ом с базами от 00.00 02.08.09 - КИС ничего не находит...
Отличие у отправленного мной трояна действительно есть - он подставляет в hosts адрес 83.133.120.248 для контакта, одноклассников, майла и яндекса.
|
31 июл 2009, 19:30
Как проверять файлы hosts? |
|
31 июл 2009, 19:51
Спасибо дядя Саша я всё удалила! Только вот при входе вконтакт он не принимает мой пароль или логин( |
|
0 |
Re:
Перезагрузите компьютер.
Затем проверьте вашу электронную почту. Администрация ВКонтакте принудительно меняла пароли некоторым пострадавшим и отправила уведомление об этом на ваш ящик.
|
31 июл 2009, 21:21
Через какую программу открыть hosts? |
|
0 |
Re: Re:
У мя даже на сайт Вконтакте не заходит, а сбрасывает на слудеющий адрес - http://vk_administration.freehostia.com/
|
31 июл 2009, 22:34
|
|
31 июл 2009, 23:01
Извените пожайлусто Александр что спрашиваю Но я не могу зайти в контакт,он пишет что либо имеил не правельный либо пороль.. |
|
31 июл 2009, 23:31
|
|
01 авг 2009, 00:39
другой фишинговый сайт Недавно словил вирус, который прописывал в hosts другой фишинговый сайт. Возможно пригодится! |
|
01 авг 2009, 00:41
... А я помню свой пароль на mail.ru,был такой же как и вконтакте,так они СУКА и его сломали!!!! |
|
0 |
Re: ...
Круто))) Ну тут только заново все делать, начиная с mail адреса... Но главное нужно поставить антивирус и все проверить перед этим...
|
01 авг 2009, 02:11
что делать |
|
1 |
Re:
запускаете "Блокнот", делаете в нем "Открыть файл", пишете: c:\windows\system32\drivers\etc\hosts удаляете строки про vkontakte, сохраняете файл, на всякий случай перезагружаетесь и пробуете зайти ВКонтакте.
|
01 авг 2009, 04:22
а Что такое блокнот? |
|
5 |
|
02 авг 2009, 13:00
сервер не доступен что делать если на фотографиях в контакте написано "сервер с фото временно отключен" что делать??? |
|
-2 |
Re: сервер не доступен
Варианты ответа -
1. Сухари сушить.
2. Бегать вокруг компа и кричать "ААААА".
3. Тупо ждать включения сервера с фото.
4. Писать глупые вопросы не в тему на securelist.com
:-)
|
02 авг 2009, 16:57
Я не знаю в тему это или нет, но в апреле я тоже не могла зайти В Контакт.Что конкретнослучилось я так и не поняла))Все началось после того как я вышла из контакта, а войти не могу. Вводила почту, пароль, нажимала Вход, а ничего не происходило. Пыталась заново зарегистрироваться, тоже никакие кнопки не работали. А где-то через пару недель все заработало. |
|
0 |
Re:
У тебя хотя бы через 2 недели снова включилось!А я уже 3,5 месяца зайти не могу=((( Че только не пробовала, уже винду переустанавливали
|
02 авг 2009, 21:13
|
|
03 авг 2009, 00:37
Александр гостев помогите умоляю У меня такая же проблема,как и у БАЛАМУДКА,только вот когда я зашел на почтовый ящик я не читая удалил все сообщения,очень прошу подскажите,что делать мой email sasha-komarow@mail.ru |
|
03 авг 2009, 00:41
|
|
03 авг 2009, 01:02
Скажите пожалуйста в файле hosts кроме коментариев начинающихся с #, и строки 127.0.0.1localhost, должны сохраняться другие записи или нет. То есть сылки на регистрации каких-то других програм, сайтов или ещё что-то? |
|
0 |
|
03 авг 2009, 06:40
Саш, помогите пожалуйста!!! Меня этот вконтакт никак не хочет запоминать и просит смску. А отсылаешь, смс, приходит - "у вас недостаточно средств..." Раньше все было отлично, никаких вопросов. Автоматически запоминал. Что делать?=) |
|
0 |
Re: Саш, помогите пожалуйста!!!
Александр Гостев31 июл 2009, 13:52 1
Re:
Мы рекомендуем всем пользователям 'ВКонтакте' и 'Одноклассников' проверить содержимое своих файлов hosts, которые находятся в каталоге %windir%\system32\drivers\etc, и если в них обнаружены ссылки на vkontakte.ru и odnoklassniki.ru - удалить данные записи. Обязательно также сменить все пароли от всех аккаунтов! (не только в социальных сетях, но и в электронной почте и прочие). В случае попадания на подобные фишинговые страницы, ни в коем случае не вводить свои логин и пароль и не отправлять никаких SMS-сообщений.
|
03 авг 2009, 09:26
А что же делать, если я уже несколько раз вводил и e-mail и пароль, и 2 смски отослал? |
|
0 |
Re: Отличная вещь!!!!!!
Мне помогла лишь одна вешь
, HostsXpert - маленькая удобная утилита для управления hosts-файлами.
Она позволяет удалять/добавлять строки, редактировать их!
Установки не требует!
Скачиваем, запускаем, жмём на (Restore MS Hosts File и закрываем!)
Скачать: http://www.funkytoad.com/index.php?option=com_content id=13
не забудьте сказать спасибо.....
исправлено: dr, 20 сен 2010, 13:41
|
03 авг 2009, 10:25
А что делать если при отправке сообщения просят ввести код с картинки?? я вчера здесь на сайте все проверила, нормально было. сегодня с утра захожу в контакт, а меня на главную страницу отправили. зашла как обычно без всяких смс, а теперь этот код какой-то? |
|
03 авг 2009, 11:20
А я с вечера зайти на свою страничку зайти не могу...Здесь у меня тоже все хорошо) |
|
03 авг 2009, 13:37
Похоже, ваша версия произошедшего не совсем точна... Неделю назад пришло письмо от "вконтакте" о принудительной смене пароля.К сожалению, не придал ему должного значения. |
|
03 авг 2009, 14:13
Александр подскажите как сохранить. После чистки файла hosts, сохроняю, открывается окно, что не удаётся создать файл C:\Windows\System32\drivers\etc\hosts Проверте правельность пути и имени файла, жму ОК, в окне сохранить как, указываю путь C:\W....\etc, имя файла hosts, тип файла: Все файлы, Кодировка ANSI, жму сохранить, открывается окно host sуже существуе. Заменить? жму да и после зтого все по новой НЕ Удаётся создать файл C:\W....\hosts проверте....файла. |
|
0 |
Re: Царина
У самого так было. Для начала переместите файл "hosts" из папки "windows/system32/drivers/etc" на рабочий стол(для этого надо быть администратором). Откройте его с помощью блокнота, удалите все сайты, которые там есть(это сайты, доступ на которые блокирован вирусом на вашем компьютере). Сохраните файл "hosts" и переместите его обратно в "windows/system32/drivers/etc" и далее проверьте компьютер на вирусы. Сайты, которые вы стёрли, теперь снова работают на вашем компьютере. На здоровье)
|
03 авг 2009, 15:06
Александр Гостев - Help очень прошу Перед тем как зайти на этот сайт я зашёл на почтовый ящик и нечитаю думал,что возможно там сидит сообщение которое не пускает меня на мою страни4ку и я удалил все сообщения... |
|
03 авг 2009, 18:12
Александр Гостев, спасибо большоее!!!!! |
|
03 авг 2009, 22:52
вопрос) а сервер контакта работает или его отключили? |
|
1 |
Re: вопрос)
Может у вас какой другой зловред? Проверьтесь на наличие вредоносного ПО, потому что сервер исправно пашет.
Ссылки по теме
Также в аналитике
В блоге
© ЗАО «Лаборатория Касперского», 1997-2013
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей.
Мнение авторов может не совпадать с официальной позицией «Лаборатории Касперского».