Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Блог→Новости→21 янв 2010→Дежа вю, или заразные ссылки в «аське»

Дежа вю, или заразные ссылки в «аське»

Татьяна Никитина
Блогер
опубликовано 21 янв 2010, 14:31 MSK
Сюжеты: Технологии спамеров, Рассылка спама, Защита от спама

0.7

В разгар крещенских морозов по русскоязычным IM-каналам прокатилась волна новой инфекции, в результате которой многие потеряли доступ к своим аккаунтам.

Пользователи ICQ, QIP, Miranda и пр. стали получать от знакомых сообщения, предлагающие скачать по ссылке файл Piggy.zip. При запуске он выводит такую милую флэш-картинку:

Вредоносной программе, упрятанной в архив, ЛК присвоила наименование IM-Worm.Win32.QiMiral.x. Она мгновенно меняет учетные данные и начинает рассылать спам со «свинской» ссылкой по всем контактам пользователя. Как и Hoax.Win32.IMPass.al, демонстрировавший головоломку с лягушками, зловред использует бот-компонент, способный поддержать простейший диалог, если собеседник не торопится загружать вредоносный файл и пускается в расспросы.

Если вы получили аналогичное сообщение — НЕ ОТКРЫВАЙТЕ ССЫЛКУ. Если искушение было слишком велико и вы «подхватили вирус», проверьте диспетчер задач и проведите в компьютере поиск процессов и файлов piggy. Затем воспользуйтесь процедурой восстановления пароля, который после входа на сервис нужно будет сразу сменить. И не забудьте разослать по всему контакт-листу предупреждение, что пришедшее от вас сообщение со ссылкой на Piggy.zip опасно и файл скачивать нельзя. Вам также могут помочь обсуждения темы на форумах Kaspersky Lab, VirusInfo и в блоге ХабраХабр.

Будьте бдительны: злонамеренные сообщения в системе обмена мгновенными сообщениями — не редкость, ЛК регистрирует по 2-3 таких рассылки в неделю. По оценке экспертов, очередное «свинство» — самая массовая за последние полгода спам-кампания на IM-сервисе, и она еще не закончилась.

Для кражи паролей в ICQ стали использовать искусственный интеллект

Евгений Ленов: Осторожно: ICQ вирус Piggy.zip гуляет по Интернету

6 комментариев

старые сверху

новые сверху

«дерево»

список

Fixxxer

21 янв 2010, 21:22

1

Как лечить

1. Заходим на сайт http://www.icq.com/people/XXXXXXXXX/ (где XXXXXXXXX ваш номер угнанной аськи).
2. Списываем нолики и единички из поля "о себе" (нажать "Больше обо мне" для открытия информации).
Например: 010110011001011010100101101000 010011000001011010000101101100 01011011000101101000
Если у вас этот ряд неполный, то нужно посмотреть исходный код страницы (пр. кн. мыши "Исходный код страницы" - в Firefox)
4. Отделяем пробелами по 10 знаков, начиная с начала.
Например: 0101100110 0101101010 0101101000 0100110000 0101101000 0101101100 0101101100 0101101000
5. Ищем совпадения из таблицы ниже
0100110010 : 1
0101100000 : 2
0101100010 : 3
0101100100 : 4
0101100110 : 5
0101101000 : 6
0101101010 : 7
0101101100 : 8
0101101110 : 9
0100110000 : 0
Получившиеся значения и будут искомым паролем (в нашем случае: 57606886)

P.S. А бот у них неплохой - я сам купился на диалоге и скачал. Но не запускал, конечно :)

ответить

Вячеслав Русаков

22 янв 2010, 12:30

1

А вот диалог с ботом можно было бы и привести, там есть довольно забавные фразочки :)

ответить

Umnik

22 янв 2010, 12:56

0

Re:

http://www.pandorabots.com/pandora/talk?botid=f5d922d97e345aa1
:)

ответить

Татьяна Никитина

22 янв 2010, 13:08

0

Re: диалог с ботом

Ссылка по тексту - ХабраХабр http://privatedetective.habrahabr.ru/blog/81126/.
Там же - изменения, внесенные в профиль.

ответить

Zлобный ЁжЫk

23 янв 2010, 15:47

-1

запрос в вирлаб ЛК по поводу данного сэмпла

Получил сэмпл "свиного" трояна и сразу отправил в вирлаб. Пришел ответ, что это - потенциально опасное ПО not-a-virus:PSWTool.Win32.ICQ и детектироваться будет только расширенными базами.
Я посмеялся в душе и попробовал написать в письме все, что знаю про троян. Написал, ответил. Конечно, я, наверное далеко не один был, кто эмпл заслал и удивился, что это потенциально опасное ПО всего лишь)
Но вирлаб исправился сразу. Обозвал IM-Worm'ом

К чему это все: злоумышленники стали писать трояны на базе потенциально опасного ПО, тем самым внося некоторую путаницу в детектирование. Это уже не первый случай того, когда явный червь детектируется по сигнатуре того, на базе чего он сделан.

ответить

Spasatel

28 янв 2010, 00:20

0

как можно защититься от данного трояна

Здравствуйте, сейчас я расскажу как можно защитится от данного трояна.
Это очень просто скачиваем новый клиент ICQ7 с оффициольного сервера а не с других на других серверах она может быть заражена или взломана.
значит в чем весь смысл. В этом клиенте в настройках ставим галочку запретить приём ссылок и запретить приём соопщений с других номеров не находящихся в вашем контакт листе.

ответить

Для добавления комментариев необходимо

авторизоваться

Печать

Закладки

Ссылки по теме

vz.ru: Для кражи паролей в ICQ стали использовать искусственный интеллект

tv.net.ua: Евгений Ленов: Осторожно: ICQ вирус Piggy.zip гуляет по Интернету

Также в аналитике

Спам во втором квартале 2010

Спам и закон

Спам-реклама: дешево и эффективно?

Спам в первом квартале 2010

Экономическое спам-зеркало

В веблоге

Короткий путь к зловредам и фишингу

Спам-патруль 5-11 июля 2010 года

Спамеры взломали множество доменов

NuCaptcha — анимированная защита от роботов

Microsoft судится со спамерами

© ЗАО «Лаборатория Касперского», 1997-2010
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

securelist.com