IMHO.WS

IMHO.WS (http://www.imho.ws/index.php)
-   ICQ, IRC, Trillian, Miranda, &RQ и прочие.. (http://www.imho.ws/forumdisplay.php?f=6)
-   -   ICQ вирусы и трояны (http://www.imho.ws/showthread.php?t=88568)

Псих 04.07.2005 13:42

ICQ вирусы и трояны
 
В этом топе никакого флейма или обмена мнениями, постим только информацию. Все мнения через приват. ВСЁ!

В этом топике предлагаю публиковать icq номера, которые :

1.Используют вирусы и трояны для распостранения по сети.
2.Номерки с которых приходит спам

Помимо самого номера,опишите его зловредность ПОДРОБНО!
несоблюдение этого условия наказуемо!

Зловредные номерки


269337391 контакт King of the tyranny не принимать!Это вирус!
422887254 - вирус!

КАК ОНО БЫВАЕТ?:
1.На компьютер жертвы доставляется ICQ-сообщение с ссылкой .Кликаем.Для маскировки пользователю показываются мультфильмы из популярного сериала Joecartoon. При этом на компьютер пользователя, используя "дыру" в ICQ, загружается троянская программа, которая незаметно рассылает от имени владельца компьютера ссылку на опасный сайт всем получателям из контакт-листа. Кроме того, по данным ЛК, в главном компоненте червя заложена функция, позволяющая автору получать реквизиты платежной системы E-Gold.

watson 05.08.2005 00:48

http://www.rol.ru/pictures/it/news/chipes.jpg

В российском сегменте Интернета обнаружен новый вирус, активно распространяющийся по популярной системе интернет-пейджинга ICQ. Обычно вирус первично проявляется в виде сообщения от кого-либо знакомого (по всей видимости, уже зараженного) из контакт-листа ICQ, сообщение содержит вопрос о том, нет ли у получателя webmoney ("Есть webmoney?", "Привет, у тебя случайно нету webmoney?" и другие).

Затем обычно следует призыв посмотреть "прикольный флешь" или фраза "Смотри флашка прикольная!" (возможны другие варианты), которая сопровождается ссылкой на лежащий на одном из сайтов в российском Интернете исполняемый файл (зафиксировано название "chipes.exe", размер 22 308 байт).

Получатели, открывшие этот файл, подвергаются заражению. В настоящее время, после звонка корреспондента "Ленты.Ру" хостинг-провайдеру сайта, где был размещен файл с вирусом, (российской компании в одном из крупных городов) изначальный источник распространения вредоносной программы был нейтрализован. В то же время, существует вероятность, что вирус распространяется еще через какие-либо сайты.

Пока неизвестно, что именно делает вирус на зараженном компьютере помимо дальнейшей рассылки себя по ICQ. Известно, что некоторые пользователи ICQ-аккаунтов, которыми воспользовался вирус, не могут получить доступ к своей "аське". По всей видимости, работающие в области компьютерной безопасности компании вирус еще не изучили, так как популярные антивирусные средства его не опознают. Подробной информации специалистов об особенностях его поведения на уже зараженных машинах пока нет (в "диспетчере задач" процесс chipes.exe отсутствует, в процедурах автозапуска не прописывается). Всем пользователям ICQ рекомендуется ни в коем случае не открывать подозрительные .exe и другие исполняемые файлы из Интернета.

Источник: Lenta.Ru

watson 05.08.2005 11:54

Ладненьно народ, в этом топе прекращаем всякий флейм, постим только информацию. Все мнения через приват. ВСЁ!

Псих 08.08.2005 13:39

В интернете стремительно распостраняется новый ICQ вирус
В Интернете зафиксирована новая вспышка вируса, рассылаемого через ICQ. Как рассказала руководитель информационной службы «Лаборатории Касперского» Ольга Кобзарева, через интернет-пейджер распространяется новая версия известного вируса ldpinch.sf. Не исключено, что вирус содержит троянскую программу, ворующую пароли пользователей.
С зараженного компьютера вирус начинает сам себя рассылать по контакт-листу «аськи». Согласно опросам, пейджером ICQ ежедневно активно пользуются около 45% интернетчиков, поэтому эпидемия вируса может стать глобальной.

«Вирус начинает снова рассылать себя по списку контактов ICQ» По словам Ольги Кобзаревой, вирус попадает в компьютер по ICQ в виде сообщения от знакомого, внесенного в контакт-лист. В сообщении предлагается посмотреть на «новую прикольную флэшку», которая сопровождается ссылкой на страницу Интернета, где лежит файл chipes.exe. После его открытия компьютер подвергается заражению, и вирус начинает снова рассылать себя по списку контактов ICQ.

Специалисты из «Лаборатории Касперского» пока затруднились назвать степень опасности рассылаемого вируса. «Мы только что получили такое сообщение, и наши техники сейчас его анализируют», - говорит Ольга Кобзева. По ее словам, пока точно можно сказать, что это рассылка новой версии вируса ldpinch.sf, поэтому, кроме массового спама, другой опасности пока не видно. Однако Кобзева не исключила, что в вирус могли добавить троянскую программу, которая, помимо воровства паролей, может нанести серьезный вред компьютеру или информации, находящейся в нем. К примеру, не исключено, что пользователь просто потеряет доступ к своему номеру ICQ.

Впервые вредоносная программа ldpinch была обнаружена в октябре прошлого года компанией Symantec. Вирус с трояном после активации собирает на зараженном компьютере системную информацию и пользовательские пароли, которые впоследствии высылаются автору вируса.

Однако, как уверяют специалисты, широкого распространения троян ldpinch пока не получил. Но если учесть, что, согласно опросам, 78% пользователей Интернета предпочитают именно ICQ другим аналогичным программам, а 45% посетителей глобальной сети пользуются «аськой» постоянно, то вирус может получить огромное распространение. При этом, согласно тем же опросам, лишь 5% пользователей ставят на «аську» «чрезвычайно высокий» уровень опасности, а 17% вообще не принимают никаких мер для предотвращения угроз, которые таят в себе интернет-пейджеры.

Количество вредоносных программ, зарегистрированных с начала 2005 года в сетях обмена сообщениями ICQ, America Online и MSN, в три раза превышает аналогичные показатели предыдущего года.

Последняя атака вируса, распространяющегося по ICQ, была зафиксирована в июне. Тогда пользователям интернет-пейджера приходило уведомление с просьбой активации нового собеседника. Затем предлагалось принять участие в интернет-опросе, который и содержал ссылку на вирус. Пострадавшие утверждают, что сразу же после появления опроса компьютер зависал и больше уже не перегружался: вирус разрушал винчестер.

Источник: _http://www.securitylab.ru/56353.html

watson 03.09.2005 11:15

Сегодня инфа пришла:
09:07: привет! скажи всем своим контактам,которые в ICQ,что бы контакт
Morfey(232-939-546)
не принимать!Это вирус!Винда летит при первом выключении компьютера.А если кто-то из твоих контактов его словит,то он у тебя тоже будет автоматически.Так что скопируй это и перешли всем своим контактам!

veselay 09.09.2005 14:31

Морфей (232-939-456) Немного иначе номер выглядит, но эффект тот же.

Sensey 29.09.2005 16:58

Походу что то новенькое .. вчера получаю сообщение от знакомого с сылкуой на http://kachay.nm.ru/super.scr

Открываю... фигня какая то ... утром уже аська была не моя...
Хороше примари было.. вернул..
Не уверен что именно это и есть троян.. ибо удалилд файл ...

Mikus 11.10.2005 14:56

Все это туфта. От одного сообщения ничего не летит.

Trotil 20.10.2005 21:58

Цитата:

Сообщение от veselay
Морфей (232-939-456) Немного иначе номер выглядит, но эффект тот же.

Проверил по поиску. Никакой это не Морфей.

KalaSh 21.10.2005 08:50

Народ, давайте по делу писАть! :contract:

Mikus, в дальнейшем аргументируй, иначе подобные сообщения буду считать накруткой постов! :mad:

Lord_Korvin 24.10.2005 12:35

контакт Kimi9 (338-999-251)

получил сегодня

watson 24.10.2005 13:14

Цитата:

Сообщение от Lord_Korvin
контакт Kimi9 (338-999-251)

получил сегодня

Последний раз предупреждаю! когда постите, читайте правила:
"Помимо самого номера,опишите его зловредность"
ЧТО с этим номерком? поподробней.

Zorkiy 23.12.2005 14:18

Новый червь атакует интернет-пейджеры
 
Специалисты предупреждают о появлении в Сети опасного вируса, который нацелен на популярные системы мгновенного обмена сообщениями.

Червь M.GiftCom.All распространяется по сетям IM-сервисов MSN, AOL, ICQ и Yahoo в виде ссылки на вэб-сайт Санта Клауса. На самом деле, ссылка ведет на хакерский ресурс, с которого на ПК пользователя устанавливается вредоносное приложение. Последнее позволяет злоумышленнику перехватить управление системой.

Загружаемый файл, как правило, носит название gift.com и содержит rootkit-элементы, позволяющие ему скрываться от некоторых антивирусных программ. После установки на ПК червь пытается отключить защитные приложения, записывает нажатия клавиш и отправляет ссылки на зараженный ресурс всем контактам, найденным в листе интернет-пейджера.

Чтобы защитить свой компьютер от новой напасти, специалисты рекомендуют обновить базы антивирусных программ и быть внимательными при получении вэб-ссылок через IM-системы.

asechka.ru

watson 29.05.2006 12:20

сегодня сарафанно сообщили

AlexOwen (349-161-073) не принимайте
Это вирус.Винда летит при первом выключении компа.

Jaded 17.07.2006 21:13

В сети появился троян, который ворует ваши номера, приходит сообщение:
"_http://www.tanyascybershell.net/funny/Result.rar
зацени;)"

Если открыть архив, то через некоторое время вашего номерка нет, тем более если он шестизначный.

При проверке Dr.Web сказал:
Result.EXE - инфицирован Trojan.MulDrop.3945

KalaSh 22.07.2006 19:22

Ещё один троян сегодня себя проявил.

Приходит сообщение:

Код:

Привет
прикольная флэшка =))
http://**********.com/oPreved.exe

Ни в коем случае не открывайте, номера могут быть безвозвратно утеряны :contract:

Dede 22.07.2006 22:11

Цитата:

KalaSh:
Ещё один троян сегодня себя проявил.
да, онлайн проверка на сайте каспера находит
oPreved.exe - инфицирован Trojan-Downloader.Win32.Agent.aqp

salam 23.07.2006 00:31

Цитата:

Сообщение от KalaSh
Ещё один троян сегодня себя проявил.

Приходит сообщение:

Код:

Привет
прикольная флэшка =))
http://**********.com/oPreved.exe

Ни в коем случае не открывайте, номера могут быть безвозвратно утеряны :contract:

На эту тему могу сказать одно, дня три назад приходит мессага от знакомой "сгенерий плиз ключик у меня с нетом траблы" + ссылка, как выясняется позже (2часа спустя), этот номер уже увели и я просто запустил троя, причем симантек промолчал как рыба(впоследствие я узнал что промолчали практически все антивири), при запуске ничего не появилось типа кейгена, зато в в процесах появился левый процесс(процес может быть назван как угодно смотрел wintask-ом). Вопчем резюме: все ссылки присланые вам с ехе-шником посылайте подалее. Прочитал об этом трое здесь но увы ссылка уже не дышит http://forum.antichat.ru/thread19165-pinch.html
Вопчем трой тырит все пассы к уинам также пассы к мылам вытаскивает дневник у кого пунтосвитчер стоит, это только то что я запомнил.
Позже я запустил этого троя в варьке(WMware) соответственно безо всяких сетевых подключений и выяснил следующее: трой не прописывается в авторане, выходитт в сеть по SMTP или HTTP в зависимости от желания заказчика и в легкую проходит аутпост. Друзья подсказали что только каспер 6 поймал его, но это уже было в лабораторных условиях.
PS перед запуском пинча поставил BlackIce с настройками по умолчанию, он его поймал на настройках паранойя.

PPS поменял все пассы на аське и на мыле. Вроде пока жив

Сегодня еще у трех знакомых ушли аськи тем же путем , рассылка шла от ника owned.

AleXXXSoft 24.07.2006 08:46

блин, ну неужели у нас столько дебилов, которые до сих пор открывают всякие ссылки, которые приходят от НЕИЗВЕСТНЫХ людей!!! Тебе же не девушка твоя ссылку прислала? (да даже я не открываю ссылки, присланные девушкой с расширениями всякими подозрительными, ни в почте, ни в аське).

Plague 24.07.2006 13:06

размер "oPreved.exe" изменился.
было: 246 272 байт, дата создания 2006.07.22/11:05 md5: 6bc49d48e82336850fa9ac28293178e4

стало: 354 816 байт, дата создания 2006.07.23/11:22 md5: 0f47e1a819af893952b5c32ce865e1c4
новый файл снова не ловится каспером

Plague 24.07.2006 18:44

Вложений: 2
поковырял под виртуалью новый файл. (только что обновленными базами каспера он уже ловится, так что в скором будущем можно ожидать новую версию троя, если писателю не надоело еще)
создает файлы System32\Expllorer.exe; \%windir%\temp\xer.exe (бинарно равный Expllorer.exe), и временный файл C:\a.bat (словить его пока не удалось - быстро удаляет, гадина)

добавляет строки
[HKEY_CURRENT_USER\Software\Microsoft\OLE]
"Shel"="Expllorer.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Shel"="Expllorer.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Shel"="Expllorer.exe"

и самое главное: не только аську она тырит.
также зараза интересуется папками Бата, инишником Тотал Коммандера, в котором лежат пароли ФТП, WINDOWS\win.ini, SmartFTP, Оперой, Мозиллой, Microsoft\Network\Connections\Pbk\\rasphone.pbk; CuteFTP...
в общем, список некислый. логи ейных похожений по системе в атаче (для удобства рекомендую открыть их в экселе)

по первому файлу:
создает файлы System32\winloggon.exe; \%windir%\temp\xer.exe, и временный файл C:\a.bat
добавляет строки
[HKEY_CURRENT_USER\Software\Microsoft\OLE]
"Win Reg N"="winloggon.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Win Reg N"="winloggon.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServic es]
"Win Reg N"="winloggon.exe"

ну, а похожденья - теже..

Necromancer 30.07.2006 14:15

Блин, вчера в аське сидел, а сегодня захожу а мне пишет:
Connection failed.
Your ICQ number or password was rejected (5).

Хотя я ничего не открывал чужие мессаджи.

watson 31.07.2006 12:52

Цитата:

Сообщение от Necromancer
Блин, вчера в аське сидел, а сегодня захожу а мне пишет:
Connection failed.
Your ICQ number or password was rejected (5).

Хотя я ничего не открывал чужие мессаджи.

на первый раз устное предупреждение. Пости в правильную тему "Угнали номерок, помогите вернуть "

Jaded 25.08.2006 20:35

ВНИМАНИЕ!!!
Появилась непроверенная информация (лучше бы это была не правда), прислал знакомый, привожу полный текст сообщения:
Скажи пожалуйста всем своим контактам, которые в ICQ, что бы контакт AlexOwen (349-161-073) не принимали!!! Это вирус!!! Винда летит при первом выключении компа. А если кто-то из твоих контактов его словит, то он у тебя будет автоматически.

Dede 06.09.2006 15:48

По поводу Алекса Оуэна - какие будут мнения, это утка или реальный вирус..сегодня только получил по аське предупреждение
текст идентичный, как в п. 24

SergoZD 06.09.2006 16:00

Конечно развод.
Хотя бы потому, что если нашли какую-то дыру в ICQ, то в квипе или миранде она всяко не сработает. И наоборот.

svs123456789 08.10.2006 15:44

Цитата:

Сообщение от Dede
По поводу Алекса Оуэна - какие будут мнения, это утка или

здесь это активно обсуждали :
_http://forum.kaspersky.com/index.php?showtopic=21943
резюме:
мне тоже пришло такое сообщение в пятницу, но
считаю что это сообщение и есть вирус а точнее спам письмо счастья!
т.к. по протоколу icq нельзя активизировать вирус, можно только прислать ссылку или запросить передачу файла,

salam 28.10.2006 22:14

Сегодня знакомый получил вот такую мессагу:

Код:

Please Be Extremely Careful especially if
usinginternet mail such asYahoo, Hotmail, AOL and so on. This
information arrived this morning direct from both Microsoft and
Norton. Please sEND it to everybody you know who has access to the
Internet.You may receive an apparently harmless email with a
Power Point presentation "Life is beautiful."
If you receive it DO NOT OPEN THE FILE UNDER ANY CIRCUMSTANCES, and
delete itimmediately.
If you open this file, a message will appear on your screen saying:
"It istoo late now, your life is no longer beautiful."
Subsequently you will LOSE EVERYTHINGIN YOUR PC and the person who
sent it to you will gain access to your name, e-mail and password.

this is a new virus which started to circulate on Saturday
afternoon. AOL has already confirmed the severity, and the
antivirus software's are not capable of destroying it.
The virus has been created bya hacker who calls himself "life owner."
PLEASE SEND A COPY OF THIS EMAIL TO ALL YOUR FRIENDS and ask them to
PASSIT ON IMMEDIATELY.

PS Моду, если темой обшибся не пинай сильно.

KalaSh 28.10.2006 22:30

В общем смысл в том, что приходит файл с презентацией Power Point и названием "Life is beautiful." - Жизнь прекрасна. Как только открываете файл появляется сообщение "It istoo late now, your life is no longer beautiful." - Слишком поздно, ваша жизнь уже не прекрасна. Мораль басни такова: от незнакомых людей ни в коем случае не открывать никакие файлы, а лучше и от знакомых лишний раз не открывать что попало. Ну и обязательно обновить антивирусные базы. :contract:

Borland 28.10.2006 22:38

salam
Типичный спам типа "письмо счастья".
Даже если и имеет под собой реальную основу (в чём я лично сомневаюсь), никакого эффекта кроме роста нагрузки на сеть не даёт.
А о том, что стОит с подозрением относиться даже к ссылкам, полученным от доверенных контактов говорилось уже неоднократно.
Не знаешь, от кого пришло - игнорируй.
Знаешь - переспроси, причём так, чтобы быть уверенным, что подтверждение не сгенерировано автоматически, а дано именно человеком, от которого якобы пришло.
Последнее время приходит, бывает, по 3-4 ссылки в день на свежие версии (не опознаваемые ни одним антивирусом) троянов, ворующих пароли. Слава Б-гу, не от тех, кто есть в моём контакт-листе...

KalaSh 22.11.2006 21:22

Очередное штормовое предупреждение:
Код:

Контакт Ventrue (741283) лучше игнорировать !!!  Это вирус !!!
З.Ы. Проверить номерок на вредность не могу, да и не горю желанием, чего и Вам советую не делать. :)

Alexis_U 29.11.2006 21:30

421567471 какйто малолетний придурок.
пстоянно регится в листе после того как его 1 раз добавил и не могу удалить идиота. + какимто образом подслушивает разговоры с лругими моими контактами.... у меня qip 7990.

Jaded 14.12.2006 21:18

Сегодня пришло сообщение от gemich (304-136-803)
Скачай, посмотри и поздравь друзей с Новым Годом
_http://***.narod.ru/s_novim_godom.exe
_http://***.narod.ru/s_novim_godom.exe

s_novim_godom.exe - инфицирован Trojan-PSW.Win32.LdPinch.bep
Благо на Народ-е уже файлы поудаляли, но все же будьте бдительны!!!

Borland 14.12.2006 22:06

Цитата:

Jaded:
Сегодня пришло сообщение от gemich
Упорный козёл...
Регулярно выкладывает и рассылает.
Мне присылал 04.12 тот же файлик.
Только номер аськи был 221172290 и выкладывалось кроме народа ещё и на jino-net.ru.
Вот бы на него Управление "Р" навести...

Jaded 15.12.2006 09:12

ВНИМАНИЕ!!!
Есть информация (мной лично не проверена, но источнику можно доверять):
"Контакт Nosorog (283-233-917) не принимайте !!! Это вирус !!! Винда летит при первом выключении компа. А если кто-то из твоих контактов его словит, то он у тебя будет автоматически."

Jaded 07.01.2007 11:23

Сегодня получил сообщение по аське:
391-084-349 (mp818-3L63-ecHf9-qo9)
Proga regit 3-x i 4-x znahnie ICQ nomera!
3aregi sebe korotkie nomera!!!
_http://***.ru/1264593
_http://***.ru/23663531

Внутри PINCH!

А так хотелось 3-х значный номер аськи зарегить!!! :) ;)

KalaSh 07.01.2007 14:41

Контакт: 297-240-573
Код:

Запрос авторизации
Авторизируй меня и когда ты скачаешь и дашь ответ как тебе прога,
я тебе буду поставлять хороший софт.
http://некий_хостинг.ru/23655413

Симантек_сообщил
Событие: Обнаружена угроза безопасности!
Угроза: Downloader
Файл: F:\Snow.exe

Jaded 14.01.2007 18:16

Вчера получил сообщение по аське:
201229524
Porno s ZHana Friski toka u nas!!!!
Zaydite syuda: http://***.ru/23734215

Внутри PINCH!

Псих 06.04.2007 17:32

Сегодня от двух совершенно разных русскоязычных знакомых получил по нескольку раз ссылки
вида
Код:

Check this:
http://5690.cukeradesunmea.com/1/4970/

Даже не проверял. Подозрительно. Омерекосы завоевуют мир.

XPEHOTPOH 17.04.2007 23:10

Скажите мне такую штуку: мне постоянно, по 10 раз в день в среднем, стучат в аську незнакомые барышни, все, как одна, из других городов, и подавляющее большинство (процентов 95) - с JIMM-а. Это что такое, популярность что ли? Или таки какой-то подвох?
Аська не засвечена почти нигде, правда, шестизнак...


Часовой пояс GMT +4, время: 03:23.

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.