ВНИМАНИЕ! привет, прикольная флешка!

Toksa · Jul 27, 2006

получил сообщение от подруги, причем знал, что она в отпуске, но фиг его знает - пожет откуда-нить вылезла в сеть.

пишу по памяти:

"привет!
прикольная флешка

_http://www.******.ru/oPreved.exe"

скачал, проверил Нортоном - что было на работе. запустил - ничего не произошло. ребутнулся. комп перестал видеть локалку. пришел домой - сервер ICQ пишет, что пароль и UIN не совпадают. поробовал восстановить пасс, но на _https://www.icq.com/password/ пишет:

<----
Sorry, we cannot send your password to: *****@pisem.net.
Make sure you enter the complete email address as it appears in your ICQ details.
You may also try to enter a different email address that you previously entered in your ICQ details.
---->

что делать?!?

прошелся по офиссу - выяснилось, что это не первый случай. такж потом звонили друзья и требовали объяснений по этому поводу!

ВСЕ БУДЬТЕ ОСТОРОЖНЫ!!!

*если как-то тему создал не правильно - модераторы - не серчайте.

okun · Jul 27, 2006

dimon said:
АХТУНГИ - Внимание! прикольная флэшка. [24 Jul 2006|05:29pm]

Если вы получите по icq сообщение:

----------------------------------------------
Привет
прикольная флэшка =))
http://.../oPreved.exe
----------------------------------------------

то НЕ вздумайте качать/запускать - там троян, который тырит всё с компа - не только аську, но и смотрит содержимое в папках Бата, инишнике Тотал Коммандера, в котором лежат пароли ФТП, WINDOWS\win.ini, SmartFTP, Оперой, Мозиллой, Microsoft\Network\Connections\Pbk\\rasphone.pbk; CuteFTP...

После запуска oPreved.exe, создаются файлы System32\Expllorer.exe; \%windir%\xer.exe (бинарно равный Expllorer.exe), и временный файл C:\a.bat и недолго думая начинают лезть в инет (на разные сайты по порту 6667).

Техническая служба Касперского ответила на присланный им файл:
----------------------------------------------
Здравствуйте.
В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
Backdoor.Win32.IRCBot.az

Детектирование будет добавлено в следующее обновление.
Спасибо.
----------------------------------------------

Последние базы Каспера должны распознавать, но не исключено, что файл может видоизменяться, по крайней мере:
было: 246 272 байт, дата создания 2006.07.22/11:05 md5: 6bc49d48e82336850fa9ac28293178e4
стало: 354 816 байт, дата создания 2006.07.23/11:22 md5: 0f47e1a819af893952b5c32ce865e1c4

Последний сегодня Каспером уже не ловился.

Будьте настороже!

Источник: _http://community.livejournal.com/ru_mirandaim/

Toksa · Jul 27, 2006

Ок. это я понял, что у мя просто пасс от аси оторвали, но почему он восстанавливаться отказывается?

okun · Jul 27, 2006

Наверное вместе с пасом поменяли и профильное мыло

Toksa · Jul 27, 2006

хммм... так если праймари мейл с момента создания аси... то как такое возможно?!? и как ее восстановить?!?

может есть идеи?

okun · Aug 2, 2006

Toksa, посмотри здесь и здесь.
Также обрати внимание на тему. Возможно, её создатель тебе что-нибудь подскажет...

Halker · Aug 4, 2006

Служба вирусного мониторинга компании "Доктор Веб" сообщает о распространении по сети мгновенных сообщений ICQ новой модификации троянской программы, получившей название Trojan.PWS.LDPinch.1061. Вредоносный код распространяется в файле oPreved.exe.

Получаемое пользователем сообщение содержит приглашение посмотреть "прикольную флэшку" и ссылку, по которой эта "флэшка" находится. Скачиваемый файл (oPreved.exe) действительно имеет значок флэш-ролика, но на самом деле — это троянец, перехватывающий пароли.

После запуска oPreved.exe создаются файлы: %System%\Expllorer.exe (223 392 байта. Детектируется антивирусом Dr.Web как Win32.HLLW.MyBot), %windir%\temp\xer.exe (223 392 байта. Детектируется антивирусом Dr.Web как Win32.HLLW.MyBot) и временный файл C:\a.bat. Файл Expllorer.exe прописывается в автозагрузку, создавая следующие ключи в системном реестре: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run «Shel»=Expllorer.exe; HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices «Shel»=Expllorer.exe.

Передача паролей происходит через скрипт на сайте hxxp://220web.ru. Передаются все собранные пароли в системе: icq, ftp, почтовые сервисы, dialup, trilian, miranda и т.д. Также Trojan.PWS.LDPinch пытается обойти межсетевые экраны — как встроенный в операционную систему, так и некоторых сторонних разработчиков.

//cnews.ru/news/top/index.shtml?2006/08/01/207210

nina · Nov 18, 2006

Еще одна Ссылка, которую могут прислать по асе:

_ _ _ _ http://fairys-life.com/anime/mini-movie.exe_ _ _

Очень НЕ СОВЕТУЮ заходить на неё, т.к. это троян!!:att: :att: :att:

А если кто-то уже столкнулся, почитайте вот это:

_ _ _ _ http://forum.ru-board.com/topic.cgi?forum=5&topic=21455 _ _

Спасибо за внимание.

Halker · Nov 19, 2006

ещё одна рассылка.
ну ессесн открывать не стоит =)
=================
> Привет. Как жизнь?
> Короче держи офигительную программу, рекомендую!
> http://*********.com/supersoft/ware/mobile.exe
> 680f93e5073df73
================

s w 1 p · Dec 2, 2006

да вообще от незнакомых людей ссылки открывать не надо =) это в первую очередь =)

Scottywel · Dec 3, 2006

s w 1 p
Многие и так знают...
Но мне например пришло такое же письмо, от реально знакомого человека... причем он его не посылал...

okun · Dec 14, 2006

Если придет по аське от знакомого контакта это:

==================================================
Пройди тест на свою сексуальность.
http://***.nm.ru/LoveTest.exe
В нем 40 вопросов, у меня получилось что я Девственный лес Амазонки
==================================================

Ссылку не открывайте - Win32/PSW.LdPinch.BFP троян, аську угонят ...
Только сегодня Антивирус Касперского добавил в свои базы обнаружение данного трояна. Ссылка же на этот файл пришла почти неделю раньше.
А вот NOD оказался на высоте...

Совет всем!
Подозрительные файлы, ссылки на которые пришли даже от знакомых контактов, проверять на сайте

www.virustotal.com - offers a free service for scanning suspicious files using several antivirus engines.
Use the upper textbox to select and send any suspicious file to Virustotal for a scan...

Для проверки файлов данный сервис использует около 30 антивирусных движков.

Будьте бдительны!

Abraxas · Dec 15, 2006

NickName (20:20:16 3/12/2006)
зацени флешку! Я офигел от концовки!!
http://rapidshare.com/files/5611742/fleshmultcool.rar

Это мне пришло от человека, которому я доверяю. Далее последовал небольшой разговор, после которого я скачала флешку, посмотрела, посмеялась. После этого у меня увели шестизнак (уже вернула).
Вот что было в этой флешке

То же самое, что написал okun, который мне помог разобраться, куда нижнее бель... уины пропадают )))))
Поэтому ещё раз: будьте бдительны, даже беседа с приславшим ссылку не гарантирует, что с вами говорит именно тот человек, которого вы знаете. Перед открытием проверяйте файлы онлайн - будете поражены результатами.

okun, респект и спасибо за помощь!

Requiem · Dec 15, 2006

Ребята, вы слишком наивны, подобные сообщения не только по аське разгуливают.
Мне не раз на мыло приходило такое и что-то вроде "...создайте ехе-файл и скопируйте туда следующий текст..."

Для тех кто не знает.. На будующее запомните: никогда не запускайте бинарные файлы, которые сами к вам "лезут" или появились из "ниоткуда" (будь то ссылка или мейл присланный другом, либо кем-то еще).
И не надо надеяться на антивирус. Сам могу написать подобную программу, и она не будет детектиться антивирем, т.к. не числиться в его базе.

okun · Dec 15, 2006

Requiem, да нет - мы ученые, вернее наученые

Просто в этой теме фиксируем подобные случаи, связаные с аськой. Тем более, если такие ссылки приходят от знакомых по контакт-листу людей и не просто приходят, а к тому-же эти люди ведут с тобой беседу в онлайне, и ты не думая ничего плохого открываешь ту ссылку, доверяя, но не проверяя ...

ВНИМАНИЕ! привет, прикольная флешка!

Toksa

Member

okun

Toksa

Member

okun

Toksa

Member

okun

Halker

Member

nina

New member

Halker

Member

s w 1 p

Member

Scottywel

okun

Abraxas

ex-Team DUMPz

Requiem

Member

okun