RSS-каналы
Уровень опасности: 1
Главная→Блог→Spam Test→ 9 окт 2009→Спам «ВКонтакте»
Спам «ВКонтакте»
Эксперт «Лаборатории Касперского»
опубликовано 9 окт 2009, 17:46 MSK
Сюжеты: Социальные сети
Спам в социальных сетях — тема не новая и регулярно попадает в отчеты и доклады антивирусных компаний. Обычно в докладах говорится о характеристиках этого спама: таргетинг, тематика, «качество» и т.д., а вот откуда этот спам берется, обычно обходится, так как периодически это узнать трудно или практически невозможно.
Однако в описываемом случае спама в соц. сети «ВКонтакте» узнать, как происходит заражение аккаунтов, куда и как рассылался спам, оказалось не сложно — это потребовало начальных навыков работы с компьютером 8)
Итого:
- Спам
Обычный спам от «друга» со ссылкой, ведущей на блог liveinternet.ru, с описанием плагина в FireFox и ссылкой не него.
Пример рассылаемого спам сообщения - Плагин
Дополнения к firefox’у имеют расширение xpi и представляют из себя просто zip архив.
Первые буквы PK в начале файла говорят о том, что это файл формата ZIPПереименовав расширение файла в «.zip», можно его разархивировать и посмотреть на его содержимое.
- XUL
Внутри этого архива в специальном порядке содержится полная информация о плагине, его функциональности и работе. Самым интересным файлом во всей этой структуре является файл \chrome\content\content.xul, который содержит список файлов, участвующих в работе плагина.
Содержимое файла content.xul - REMOTE.JS
Просмотрев файлы, необходимые для работы плагина, видим файл, находящийся не в исходном ZIP-архиве, а в интернете по адресу: http://81.177.33.**/smiles_vkontakte/remote.js.
Просто открыв этот адрес в браузере, можно увидеть скрытый функционал этого плагина, где помимо всего прочего присутствует часть кода на JavaScript, отвечающего за рассылку спама.
Часть кода, отвечающий за рассылку спама - Замена букв
Учитывая, что администрация соц. сети «ВКонтакте» регулярно проверяет и блокирует спам-рассылки, злоумышленники ввели в рассылку спам-сообщений функционал элементарной замены букв, чтобы текст сообщения постоянно видоизменялся и проходил через спамфильтры.
Часть кода, отвечающего за видоизменения
спам-сообщения для обхода спам-фильтровВывод
Все просто. Разработчики этого спам-бота взяли за основу плагин для сети «ВКонтакте» и добавили туда скрытый функционал для работы в виде модуля для рассылки спама по контактам. Самое интересное, что никто не мешает злоумышленникам сменить содержимое файла Remote.js и устроить… Впрочем об этом лучше не думать…
PS.
Спамерский плагин был добавлен в базы Антивируса Касперского как Trojan.JS.Spamvkont.a.
|
09 окт 2009, 19:06
спасибо Коротко и ясно. Покажу всей знакомой ребятне, которая сутками торчит на этом популярном сайте, а потом жалуется, что неприятные чудеса происходят. |
|
0 |
|
0 |
Re: список сайтов
Вообще-то я имела в виду, что молодежь пропадает на "Вконтакте". А уведомления от администрации сети о зараженных сайтах им не помешали бы...
09 окт 2009, 20:17
Даже добавить и комментировать особенно нечего.Нуу...Я пользуюсь ИЕ и меня всё устраивает)) |
|
09 окт 2009, 21:39
На мой взгляд необычно то, что пользователю нужно все качать вручную и инсталлить. Браузер тоже должен быть подходящим. Выходит, что хакеры напирают не на количество, а на качество. А когда соберут порядочный ботнет (назовем так группу людей у которых установлен уже данный вредонос), то внесут в скрипт уже какой-то нехороший функционал помимо функций размножения... Мда... |
|
12 окт 2009, 19:57
Радует, что нет уязвимости, позволяющей установить плагин к ФФ без вопросов пользователю. |
|
12 окт 2009, 20:34
Соц Пандемия Насколько я понял данные действия были сделаны в качестве проверке или теста "скриптового .js трояна". Врядли есть выгода от обычной рассылке спама в социальной сети "Вконтакте",пусть даже на этот же троян. И по всей видимости в самом ближайшем будущем ситуация может повторится.Однако, на этот раз вирус будет гораздо опасней.Даже при угадать сложно,что может быть.Принципе понятно что сейчас этот троян несет минимальную опасность, ведь зачем нужно вставлять все функции вируса на которого ушло пол года/два/три/пять лет работ?Боюсь им нужно было всего-то проверить работоспособность скрипта для дальнейших "не хороших" дел.А если сразу поставить "полную" работоспособную версию трояна,будет риск что может что-то пойти не по плану и он может попасть в антивирусные базы. А так все спокойно проверить и оценить уже полученные результаты |
|
28 фев 2010, 10:44
|
|
0 |
Re: Помогите
Скорее всего потому что в файле "%windir%\system32\drivers\etc\hosts" для сайтов yandex.ru и google.com прописан ip адрес злоумышленника, который собирает пароли от "в контакте". Проверьте файл hosts и удалите всё лишнее)
|
28 фев 2010, 20:45
Скажите пожалуйста можно ли работать на компьютэре при запущенном сканэре на вирусы??? |
|
02 мар 2010, 13:33
помогите У меня при входе на свою страницу появлялся бан с отправкой смс bbrom1 на четырехзначный номер теперь вообще даше на стартовую страницу зойти не могу пишет ошибку пытался создать в однокласниках страницу там тоже самое пишет слово в слово я поменял емеил все равно что в контакте что в однокласниках может это вирус? или меня взломали? |
|
0 |
Re: помогите
Аналогично предыдущему комменту: скорее всего исправлен файл %windir%\system32\drivers\etc\hosts. Удалите из него все записи кроме localhost.
|
1 |
Re: Re: Re: помогите
В общем случае, к сожалению, ни как... если только http://www.drupal.ru/files/img/kill_spamer.png )
|
06 мар 2010, 00:19
Помогите разобраться Если вам не трудно подскажите какие из этих файлов нужно удалить из компьютэра. |
|
0 |
Re: Помогите разобраться
Это какой-то неправильный список, потому что в папке C:\WINDOWS\System32\ у Вас два файла svchost.exe и два экземпляра Ati2evxx.exe. В любом случае эти файлы "на глаз" нельзя удалять, т.к. это приведёт к системному сбою.
|
0 |
Re: Re: Помогите разобраться
Правильный там список, просто один из файлов - с национальными символами в имени (зловредный) :) Видели такое, знаем.
|
06 мар 2010, 21:21
ПОМОГИТЕ После запуска виртуальной клавиатуры Антивируса Касперского исчезла языковая панэль и языки не отображаються снизу на панэле. Я проверял настройки она вклчена, перезапускал комп: не помогает. |
|
1 |
Re: ПОМОГИТЕ
С ходу проблему не решить, а вот посоветовать поставить Punto Switcher можно) http://punto.yandex.ru/
|
0 |
Re: ПОМОГИТЕ
у меня такая же фигня была только потом нормально стало.только я не запускал виртуальную клавиатуру
|
19 апр 2010, 19:15
ПОМОГИТЕ У меня антивирус касперского при запуске некоторых програм (например DOWNLOAD MASTER) выдаёт сообщение, что поведение похожее на PDM.DNS.Query., и ещё PDM.Private.Data and password access. Подскажите, что это означает и нужно ли чтото предпринять? исправлено: Саша, 24 апр 2010, 00:13 |
|
02 май 2010, 08:58
Помогите Я из сайта "ВКОНТАКТ" скачала программу с трояном (нечайно).после этого я не могу зайти на свою страницу вконтакте(от имени Павла Дурова требуется разблокировка страницы, а для этого нужно отправить на номер 7132 смс с текстом 353207483). не могу зайти ни на Яндекс, ни в контакт(вылезает"ошибка.Ссылка не работает"). С другого компьютера я зашла вконтакт и поменяла пароль на своей странице, но со своего компьютера я не могу зайти на сайт "ВКОНТАКТ", по прежнему требуется авторизация. Как восстановить мой сайт "ВКОНТАКТЕ"? Спасибо заранее, надеюсь на вашу помощь. исправлено: Mirex, 02 май 2010, 09:24 |
|
04 май 2010, 09:38
ПОМОГИТЕ!!!!! У меня такая же проблема как и у Mirex, подскажите пожалуйста что делать!!((((( |
|
0 |
Re: ПОМОГИТЕ!!!!!
На сайте
http://support.kaspersky.ru/viruses/deblocker
можно получить код деактивации для блокеров
P.S.
А вообще хотелось бы взглянуть хотя бы на скриншот (а лучше конечно на сам зловред), поскольку может оказаться, что у нас есть нужный код, но он был обнаружен для другого короткого номера
|
06 май 2010, 14:04
помогите, не могу убрать баннер в контакте. помощь от баннеров не помогает. |
|
17 май 2010, 11:06
И не только вконтакт.. По идеи блокирование скриптов со сторонних хостов должно решать эту проблему, если конечно не перехватываются запросы. Хотя наверняка пользователь ради вожделенных смайлов отключит это правило со "словами что-то глючит винда". |
|
26 май 2010, 19:48
ПОМОГИТЕ,ПОЖАЛУЙСТА!!! Мне недавно в контакте кинули спам,что-то вроде ссылка на фотку......когда я её открыла,меня выкинуло.....при попытке зайти повторно на сой аккаунт,мне написали:"Вашоаккаунтннедоcтупенкпоупричинеьраспpостраненияеcпама илилнарушениякусловийлпользованияусайтом.mДлябразблокиpoвки анкетыпвамгнеобходимототправить cмсвсообщениелсюцифрами 21332280 наьномеp 5121.л Далеелвамипоступитокoдбактивации, котоpыйцнеобходимоаввестиуввнижнееюполе"....излагаю всё в первоначальной форме.......что мне делать? |
|
26 май 2010, 20:49
помогите меня не пускает ни в яндекс ни в гугл. касперский требует зайти в контакт а зайти я не могу. что делать? |
|
0 |
Re: помогите
http://www.securelist.com/ru/blog/32699/Ne_vse_to_KIS_chto_krasnaya_ta blichka
|
03 июн 2010, 00:45
всем привет я не могу зайти в контакт я пробовала все нече не получайтса помогите пожалуйста)) |
|
0 |
Re:
Вам помогут на http://support.kaspersky.ru/desktop
исправлено: Сергей Голованов, 25 июн 2010, 15:48
|
03 июн 2010, 00:47
всем привет я не могу зайти в контакт я пробовала все нече не получайтса помогите пожалуйста)) |
|
08 июн 2010, 19:27
Нужна помощь. Привет!)))))) Я не могу зайти в контакт! У меня прблема со спамом я хочу его удалить но не знаю как?! Можете ли вы мне помоч? есле можете напишите:Despair.Kiss_104@mail.ru |
|
0 |
Re: Нужна помощь.
Аналогично Вам помогут на http://support.kaspersky.ru/desktop
исправлено: Сергей Голованов, 25 июн 2010, 15:48
|
28 июн 2010, 20:37
Помогите! При входе на сайт мне выдают следущее сообщение... |
Также в аналитике
В веблоге
© ЗАО «Лаборатория Касперского», 1997-2010
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей