В разгар крещенских морозов по русскоязычным IM-каналам прокатилась волна новой инфекции, в результате которой многие потеряли доступ к своим аккаунтам.
Пользователи ICQ, QIP, Miranda и пр. стали получать от знакомых сообщения, предлагающие скачать по ссылке файл Piggy.zip. При запуске он выводит такую милую флэш-картинку:
Вредоносной программе, упрятанной в архив, ЛК присвоила наименование IM-Worm.Win32.QiMiral.x. Она мгновенно меняет учетные данные и начинает рассылать спам со «свинской» ссылкой по всем контактам пользователя. Как и Hoax.Win32.IMPass.al, демонстрировавший головоломку с лягушками, зловред использует бот-компонент, способный поддержать простейший диалог, если собеседник не торопится загружать вредоносный файл и пускается в расспросы.
Если вы получили аналогичное сообщение — НЕ ОТКРЫВАЙТЕ ССЫЛКУ. Если искушение было слишком велико и вы «подхватили вирус», проверьте диспетчер задач и проведите в компьютере поиск процессов и файлов piggy. Затем воспользуйтесь процедурой восстановления пароля, который после входа на сервис нужно будет сразу сменить. И не забудьте разослать по всему контакт-листу предупреждение, что пришедшее от вас сообщение со ссылкой на Piggy.zip опасно и файл скачивать нельзя. Вам также могут помочь обсуждения темы на форумах Kaspersky Lab, VirusInfo и в блоге ХабраХабр.
Будьте бдительны: злонамеренные сообщения в системе обмена мгновенными сообщениями — не редкость, ЛК регистрирует по 2-3 таких рассылки в неделю. По оценке экспертов, очередное «свинство» — самая массовая за последние полгода спам-кампания на IM-сервисе, и она еще не закончилась.
Для кражи паролей в ICQ стали использовать
искусственный интеллект
Евгений Ленов: Осторожно: ICQ вирус Piggy.zip гуляет по Интернету
Комментарии (6)
старые сверху
«дерево»
Fixxxer21 янв 2010, 21:22
|
|
1 |
|
|
Как лечить
1. Заходим на сайт http://www.icq.com/people/XXXXXXXXX/ (где XXXXXXXXX ваш номер угнанной аськи).
2. Списываем нолики и единички из поля "о себе" (нажать "Больше обо мне" для открытия информации).
Например: 010110011001011010100101101000 010011000001011010000101101100 01011011000101101000
Если у вас этот ряд неполный, то нужно посмотреть исходный код страницы (пр. кн. мыши "Исходный код страницы" - в Firefox)
4. Отделяем пробелами по 10 знаков, начиная с начала.
Например: 0101100110 0101101010 0101101000 0100110000 0101101000 0101101100 0101101100 0101101000
5. Ищем совпадения из таблицы ниже
0100110010 : 1
0101100000 : 2
0101100010 : 3
0101100100 : 4
0101100110 : 5
0101101000 : 6
0101101010 : 7
0101101100 : 8
0101101110 : 9
0100110000 : 0
Получившиеся значения и будут искомым паролем (в нашем случае: 57606886)
P.S. А бот у них неплохой - я сам купился на диалоге и скачал. Но не запускал, конечно :)
|
|
Вячеслав Русаков22 янв 2010, 12:30
|
|
|
1 |
|
|
А вот диалог с ботом можно было бы и привести, там есть довольно забавные фразочки :)
|
|
Umnik22 янв 2010, 12:56
|
|
|
0 |
|
|
Re:
http://www.pandorabots.com/pandora/talk?botid=f5d922d97e345aa1
:)
|
|
Татьяна Никитина22 янв 2010, 13:08
|
|
|
0 |
|
|
Re: диалог с ботом
Ссылка по тексту - ХабраХабр http://privatedetective.habrahabr.ru/blog/81126/.
Там же - изменения, внесенные в профиль.
|
|
Zлобный ЁжЫk23 янв 2010, 15:47
|
|
|
-1 |
|
|
запрос в вирлаб ЛК по поводу данного сэмпла
Получил сэмпл "свиного" трояна и сразу отправил в вирлаб. Пришел ответ, что это - потенциально опасное ПО not-a-virus:PSWTool.Win32.ICQ и детектироваться будет только расширенными базами.
Я посмеялся в душе и попробовал написать в письме все, что знаю про троян. Написал, ответил. Конечно, я, наверное далеко не один был, кто эмпл заслал и удивился, что это потенциально опасное ПО всего лишь)
Но вирлаб исправился сразу. Обозвал IM-Worm'ом
К чему это все: злоумышленники стали писать трояны на базе потенциально опасного ПО, тем самым внося некоторую путаницу в детектирование. Это уже не первый случай того, когда явный червь детектируется по сигнатуре того, на базе чего он сделан.
|
|
|
Spasatel28 янв 2010, 00:20
|
|
|
0 |
|
|
как можно защититься от данного трояна
Здравствуйте, сейчас я расскажу как можно защитится от данного трояна.
Это очень просто скачиваем новый клиент ICQ7 с оффициольного сервера а не с других на других серверах она может быть заражена или взломана.
значит в чем весь смысл. В этом клиенте в настройках ставим галочку запретить приём ссылок и запретить приём соопщений с других номеров не находящихся в вашем контакт листе.
|
|
|
Ссылки по теме
Также в аналитике
В веблоге
|
RSS-каналы
