По сети "ВКонтакте.ру" началось распространение деструктивного червя
16 мая 2008 года, 23:32
Текст: Юрий Ильин

Служба вирусного мониторинга компании "Доктор Веб" сообщает о распространении опасного червя среди подписчиков популярной социальной сети "ВКонтакте.Ру". Червь определяется антивирусом Dr.Web как Win32.HLLW.AntiDurov.
ирус рассылает с инфицированных машин другим пользователям сети "ВКонтакте.Ру" ссылку на картинку в формате .jpg, ведущую на ресурс злоумышленника в сети Интернет (http://******.misecure.com/deti.jpg). Реально же сервер отдает по этой ссылке исполняемый файл deti.scr, который и является файлом червя.

Будучи запущенным на компьютере жертвы, червь сохраняет на диске саму картинку, которая и вызвала любопытство неосторожного пользователя, и запускает штатное приложение, используемое в системе для просмотра файлов jpeg. Таким образом, пользователь видит то, что ожидал увидеть, не подозревая, что стал жертвой злоумышленника. А между тем на его компьютере происходят весьма неприятные события.

Скопировав себя в папку C:\Documents and Settings\*UserDir*\Application Data\Vkontakte\ под именем svc.exe, червь устанавливается в системе в качестве сервиса Durov VKontakte Service и ищет пароль к доступу к "Вконтакте.Ру" в cookies, используемых броузером. Если пароль находится, то червь получает доступ ко всем контактам своей жертвы в данной сети и рассылает по этим контактам все ту же ссылку.

Червь несет в себе опасную деструктивную функцию. 25 числа каждого месяца в 10 часов утра на экране компьютера будет выводиться следующее сообщение (орфография сохранена):

Павел Дуров Работая с "ВКонтакте.РУ" Вы ни разу не повышали свой рейтинг и поэтому мы не получили от Вас прибыли. За это Ваш компьютер будет уничтожен! Если обратитесь в милицию, то сильно пожалеете об этом!

Одновременно с этим начнется удаление с диска C: всех файлов, спастись от которого можно только моментально выключив компьютер.

Как сообщается в пресс-релизе компании, специалисты компании "Доктор Веб" предупредили об опасности сайт "ВКонтакте.Ру", и распространение червя практически прекратилось.

-----
M&#225 enginn renna undan &#254v&#237 sem honum er skapa&#240

| Сообщение посчитали полезным:

Давно пора сделать из этого гадюшнега ботнет =\\

-----
xchg dword [eax], eax

| Сообщение посчитали полезным:

я слышал тоже самое про Одноклассников, искать инфу было лень..

| Сообщение посчитали полезным:

___http://roland.misecure.com/deti.jpg
а вот и ссылка с червем кому интересно

| Сообщение посчитали полезным:

о4ередной пиар гавноконтакта и гавновебера, позав4ера они убивают русток, сегодня "массовый деструктивный вирус, грозящий эпидемией и порабощением мутантами мира"

-----
HOW MUCH BLOOD WOULD YOU SHED TO STAY ALIVE

| Сообщение посчитали полезным:

ProTeuS
Возможно и пеар а возможно и что вконтакте являецо клиентом гавнавэбера, тогда и понятно почему именно доктор вэб нашел червя

-----
xchg dword [eax], eax

| Сообщение посчитали полезным:

ну я какбы о том же... обоим выгодно. веберу поднимать продажи своего недософта на боязни невидимой 4умы, а потенциальных покупателей софта именно на контакте хоть отбавляй - какрас тот контингент...

-----
HOW MUCH BLOOD WOULD YOU SHED TO STAY ALIVE

| Сообщение посчитали полезным:

я думал контакт накнец-то реально реально поимели... а тут как всегда ламеров... =(

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

мля фотку удалили А я не успел посмотреть. Обновление фотки ожидается?

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Это всё PEPSICOLA!!!

| Сообщение посчитали полезным:

что-то вы как-то негативно высказываетесь по поводу dr.web, вполне нормальный антивирус и недософтом его называть имхо глупо, особенно если сравнивать с kav, а домыслы по поводу нечистого пиара больше похоже на параною, негативно сказывается частый просмотр рекламы по телевизору

ps. ничего личного, т.к. вполне доверяю продуктам dr.web со времен adinf'a на ЕС-1841

| Сообщение посчитали полезным:

Действительно, не гоните на dr.web он был чуть не единственным кто в своё время действительно лечил "нешта" после первых же эпидений, а не калечил файлы как kav & ко.
А экземплярчик Vkontakte хотелось бы глянуть

| Сообщение посчитали полезным:

как то непонял я текст, который должен выдавать вирус...

оффтоп:
Av0id пишет:
высказываетесь по поводу dr.web, вполне нормальный антивирус
недавно скачал CureIt потестить комп и на мое пребольшое удивление он нашол какой-то драйвер трояна, про существование которого касперский (zonealarm) по видимому даже не догадывается

| Сообщение посчитали полезным:

Evol пишет:
на мое пребольшое удивление он нашол какой-то драйвер трояна существование которого касперский (zonealarm) по видимому даже не догадывается
уж не ntldrbot ли

| Сообщение посчитали полезным:

sER пишет:
уж не ntldrbot ли
да не помню только что находился гдето в систем с расширением sys ну и именем толи tcpip толи похожым) так он предложыл его удалить после перезагрузки что я и сделал. может подскажете мог ли CureIt закарантинить его (как пишет при запуске), тогда можно было б точнее сказать..

нашол где должно быть, но нету там папки карантина, а на лог стоит ограничение в 2 мега по умолчанию

| Сообщение посчитали полезным:

мне сегодня прислали сообщение =))) жесть , так оно же еще диструктивный характер носит стирая все. щас уже полно программ для контакта , это сейчас модно стало )))))))

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

ProTeuS пишет:
позав4ера они убивают русток

ви тоже считает его мифом?

| Сообщение посчитали полезным:

Русток веб и вправду ловит,а вот лечит или нет - х.з. Была б моя воля,то ддосил бы и вконтакте и однокласников 24 часа в сутки. Гавноресурсы млять.

| Сообщение посчитали полезным:

g-l-u-k, +1!
почему бы и нет? эстонцев же досили... так же тупо пинговать этот контакт...

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

Ну кто нибудь даст нормальную ссылку на червя. Жуть как хочется глянуть
di-2 пишет:
ищет пароль к доступу к "Вконтакте.Ру" в cookies особенно это

| Сообщение посчитали полезным:

g-l-u-k пишет:
Была б моя воля,то ддосил бы и вконтакте и однокласников 24 часа в сутки.
Talula пишет:
g-l-u-k, +1!
бред..нормальные ресурсы. у мну батя через одноклассников.ру нашел своих одноклассников, которых лет 20 новерно не видел. а судя по вашей логике, если, к примеру, кто-то не нравиццо, его сразу нужно убить.. :\

| Сообщение посчитали полезным:

sniperZ пишет:
g-l-u-k, +1!
бред..нормальные ресурсы. у мну батя через одноклассников.ру нашел своих одноклассников, которых лет 20 новерно не видел. а судя по вашей логике, если, к примеру, кто-то не нравиццо, его сразу нужно убить.. :\
+1 тоже нашел старых друзей, которое долгое время не видел.

а по поводу сабжа - Боян, чтото не оперативно работаеют вебовцы, мне месяца 2 назад приходило от одной знакомой по лички сообщения следующего содержания:
Привет, у меня стока новых фоток, но почемуто я не могу раобраться как их сюда загрузить(сообщение пришло от девочки у которой штук 5 фотоальбомов), вот сходи сюда ...... там все моих фотки для лучших друзей. ну разумееться при переходе на страницу - там пошифрованный ява-скрипт, который грузит ифрайм, использовался какойто пак сплоитов...помню точно оперу не брало) ну вобщем так не успел слить себе этого червя, все находилось на похаканом сайте, видимо одмины спалили что к чему, и прикрыли.

| Сообщение посчитали полезным:

Народ,ну что,может устроим однокласникам пинг-флешмоб? ;)

| Сообщение посчитали полезным:

g-l-u-k пишет:
Народ,ну что,может устроим однокласникам пинг-флешмоб? ;)
Я за! Брут только выключу для vkontakte и готов

-----
M&#225 enginn renna undan &#254v&#237 sem honum er skapa&#240

| Сообщение посчитали полезным:

di-2, g-l-u-k
Чеж такая ненависть к подобным ресурсам то?
Да я тоже не одобряю подобные сети, но мне безразлично есть они или нет, так как я ими не пользуюсь практически Если народу нравится афишировать о себе, то это его личное право.

Ну и кстати про веб тоже скажу положительный отзыв:
Если сравнивать по ресурсам которые жрут тот же кав или нод, то веб можно ставить даже на слабые машинки. Так что веб + чуток компьютерной грамотности = отличное сочетание.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX] пишет:
Так что веб + чуток компьютерной грамотности = отличное сочетание.
Во-во, я тут на работе решил на один комп поставить KIS, у него защита от вирусов походу работает по такому принципу - он, сволочь, за пару минут сожрал весь гиг оперативки - вирусы не могут даже запуститься, потому что свободной памяти в системе нет

| Сообщение посчитали полезным:

[HEX] пишет:
Чеж такая ненависть к подобным ресурсам то?
всё хорошо в меру. ну, нашёл одноклассников, ну, списались, вылез раз в сутки на пять-десять минут и хватит. нахера придумывать какие-то еб...тые группы (типа, группа людей которых внезапно препирает поржать ни с того ни с сего)? сидеть почти сутками в этом ресурсе! у нас блять и так страна рахитов и дегенератов. спроси у завсегдатого контакта, когда он в последный раз книгу читал? хотя бы электронную? что за идиотизм? эти сайты уже наркотики - без них реально скоро вены резать начнут...

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

Ну и хрен с ними, таким уже не помочь

| Сообщение посчитали полезным:

tihiy_grom пишет:
Ну и хрен с ними, таким уже не помочь
У нас пол сетки в контакте сидит, вроде бы нормальные люди, а занимаются какой-то хренью. Вопросы типа: "А ты вконтакте?" уже достали
А вчера началась паника - дофига народу подцепило этого червя.
Talula пишет:
эти сайты уже наркотики
Во во некоторые уже не могут и нескольких дней без них прожить, ломка начинается

| Сообщение посчитали полезным:

Где-то читал - что люди, которые живут на таких сайтах, находятся в постоянной депрессии от ожидания сообщения, писем и т.д. А это уже надо лечить

| Сообщение посчитали полезным: