По следам свинки (piggy.exe)...

Судя по тому, как много лохов просрали свои аськи, метод свинки работает...

Итак:
Похититель паролей icq должен иметь встроенный бот ;)
Чтобы ответить на вопрос потенциальной жертвы "что это за ссылка?"

Что меня удивило - так это то, что новый пароль хранится в инфо угнанного UIN

Смотрим в piggy.exe здесь: 004A60AC
Алго примитивный (0000 ... 1001)

Пароль всегда цифровой, 8 цифр.
Каждый символ пароля кодируется 10-ю цифрами, итого 8 * 10 = 80 цифр(нули и единицы)
При этом из 10 знаков важны только 4

Таблица преобразований:

0 1001 1000 0 0
0 1001 1001 0 1
0 1011 0000 0 2
0 1011 0001 0 3
0 1011 0010 0 4
0 1011 0011 0 5
0 1011 0100 0 6
0 1011 0101 0 7
0 1011 0110 0 8
0 1011 0111 0 9


Если кому требуется восстановить доступ к своему (или чужому?) UIN - лезем в инфо и декодируем данные из 0 и 1 в пасс! всё!

таким образом сейчас можно сканить UINы на наличие подобной инфо у юзера и ...

добавлено:
P.S. желающим раскодировать - пишите на мыло, указав UIN и последовательность из нулей и единиц из инфо юзера. ЛС не засирайте

-----
EnJoy!

| Сообщение посчитали полезным:

Выложи сам piggy.exe, если не сложно

-----
xchg dword [eax], eax

| Сообщение посчитали полезным:

Это о чем?

-----
Я медленно снимаю с неё UPX... *FF_User*

| Сообщение посчитали полезным:

AlexZ пишет:
Это о чем?
+1, я тоже не понял - что за инфа юзера и что за "свинка"?

| Сообщение посчитали полезным:

AlexZ пишет:
Это о чем?
Magister Yoda пишет:
+1, я тоже не понял - что за инфа юзера и что за "свинка"?

Кто еще не в курсе то Jupiter об этом.

| Сообщение посчитали полезным:

интересно, сколько людей успеют вернуть себе свои потерянные номера ...

Уже везде лежит туева хуча приблуд для восстановления пароля после этой вирусяки - бери да узнавай пароль от любых номеров, у которых в профиле до сих пор стоят нули и единицы

| Сообщение посчитали полезным:

А. Просто не имею привычки тыкать все ссылки подряд пока мне не скажут что там.

Но я не понял, как так - тычем ссылку на зипархив и мгновенно он скачивается/распаковывается/запускает что-то и т.п.

У меня б хотябы проактивка заверещала, если б даже и умудрился тычить во всякое гогно.

-----
Я медленно снимаю с неё UPX... *FF_User*

| Сообщение посчитали полезным:

а кто вообще ведется на такое, я все подозрительное даже от своих игнорю или распрашиваю что это такое

з.ы. кто с месных подхватил это?

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

BoRoV пишет:
з.ы. кто с месных подхватил это?
уг не пройдет! пыщ пыщ.
Очередной засранчег для блондинок.., с "12111" и то интересней было ;P

Jupiter пишет:
P.S. желающим раскодировать - пишите на мыло, указав UIN и последовательность из нулей и единиц из инфо юзера. ЛС не засирайте
asechka.ru/piggy.htm

| Сообщение посчитали полезным:

BoRoV пишет:
кто с месных подхватил это?
Наврятли, расчитано на домохозяек, которые вообще не понимают, что такое исполняемый файл.

-----
AutoIt

| Сообщение посчитали полезным:

BoRoV пишет:
я все подозрительное даже от своих игнорю или распрашиваю что это такое

в том то и фишка свинки, что она имеет встроенный бот, который на такие ситуации и расчитан
именно этот аспект мною и рассматривался в первом посте как фактор успеха свинки

на тебя такое не подействует по той простой причине, что ты просто не запустишь exe файл, но свинка расчитана то не на тебя, а на тех, кто шлёт друг другу всякую херь и беззаботно её запускает

бот отвечает на фразы по ключевым словам, при этом для очень многих представителей планктона задача выявить бота оказалась непосильной :D

-----
EnJoy!

| Сообщение посчитали полезным:

помню раньше отвечал на все левые запросы авториазации, и однажды при ответе на какуе-то сылку на галерею мне ответили, меня это заинтересовало, ну с трех сообщений раскрыл что это бот, но потом было весело еще полчаса с ним общатся )

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

Да, вышеуказанный алго для восьмизначных числовых паролей, которые генерит пигги, подходит, но сам алгоритм в вирусе немножко другой.
В этом можно убедиться попробовав расшифровать строки из самого вируса с этими 0 и 1, ну или на край самому пореверсить функу по указанному адресу - на выходе оригинального алго будет другой результат.

-----
.[ rE! p0w4 ].

| Сообщение посчитали полезным:

Ultras
указанная мною табличка преобразований - это не алго, а лишь вспомогательая инфа в случае с паролем
я указал адрес, по которому расположена функа - кому интересно, тот и так уже посмотрел
к тому же основной посыл данного топика - концептуальные особенности свинки (бот)

-----
EnJoy!

| Сообщение посчитали полезным:

Причем как показала свинка, сейчас чтобы украсть данные, достаточно оригинальной идеи, Борланд Дельфи и заюзать немножко компонент
И оно работает!
Даже EXE паковать не надо!

-----
.[ rE! p0w4 ].

| Сообщение посчитали полезным:

Достаточно разослать:

"Смотри, тут кто-то с твоей фотки фотожабу сделал vikontrakte.ru/...."
"Офигеть! Вот тебя и спалил ктото!!! odnoglasniki.ru/..."
"Получи бесплатно аккаунт и 100 рублей на счет http://..."
"Твой лепездок станет золотым!!!111"
"Только ты можешь получить уникальный виб-статус..."
"вип-проститутки по 100 рублей в месяц"

-----
Я медленно снимаю с неё UPX... *FF_User*

| Сообщение посчитали полезным:

AlexZ
ты не видишь разницы между тем, что привёл ты в качестве "достаточно" и теми фишками, которые позволили свинке подловить не школоту, на которую расчитаны твои примеры, а огромное количество планктона и лохов, имеющих акки на хабре, которые не только перешли по ссылке, но и скачали и запустили свинку!
и всё это не благодаря идиотским зазывалкам "блядь вокзальная дёшево", а благодаря встроенному боту
вот и вся разница
такие дела

-----
EnJoy!

| Сообщение посчитали полезным:

Разницу вижу. Так же один хрен

-----
Я медленно снимаю с неё UPX... *FF_User*

| Сообщение посчитали полезным:

Да, оригинальная и нестандартная идея - это основа СИ.

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным: