Наследил…

Достаточно регулярно нами фиксируются массовые рассылки сообщений со ссылками на троянские программы посредством различных IM-сервисов. Как только не пытаются заарканить доверчивых пользователей! От банальных попыток сыграть на «основном инстинкте»:

Ты не мог бы заценить мои фотки? Вот посмотри:
http://www.sac***.tv/Photo.scr
Хочу в конкурсе на самую красивую грудь поучавствовать
и не знаю какую фотку послать(((

И на любви к бесплатному доступу в интернет:

Программа — генератор карт интернет оплаты. MTU, Corbina, Centel,
NetByNet, Zebra и многие другие Ссылка на скачку
http://webfile.ru/1339***

До намеков на социальную инженерию:

Смотри что про тебя написали тут
http://weblive.mc***.ru/index.php

При переходе по ссылкам в подобных письмах пользователи попадают на страницы, содержащие вредоносный код, чем рискуют завести на своих компьютерах целый зверинец.

Но за последние три недели одна рассылка выделялась особо. Каждый день миллионы пользователей сервиса ICQ получали следующее сообщение:

Вышло новые неофициальное дополнение к знаменитому клиенту QIP _www.qip.ru

SIP:
в дополнение входят такие возможности как:
*скрытие/подмена вашего номера
*скрытие/подмена вашего примари емэйла
*возможность прослушки других пользователей (необхдим qip 8020 и выше
*проверка статуса пользователя
*просмотр контакт листа пользователя (необходим платный плагин по вопросам UIN# ****016)

Требования;
*наличие qip 8000 и выше скачать можно с _www.qip.ru
*доступ в интернет
*OS windows 2000/2003/XP (Vista не поддерживается)
Установка:
Распакуйте архив, запустите файл Install остальные файлы должны лежать в папке в месте с install.
Скачать: _http://slil.ru/248*** (656 kb)

Указанная ссылка иногда повторялась два раза в день — в зависимости от оперативности антивирусных компаний. По ней всегда можно было найти популярную троянскую программу Trojan-PSW.Win32.LdPinch.

При тщательном анализе всех модификаций исполняемого файла троянца было обнаружено следующее:

  1. Во всех случаях использовалась старая версия, находящаяся в открытом доступе, упакованная с применением различных упаковщиков.
  2. Изначально злоумышленником применялся способ отсылки отчетов с похищенными конфиденциальными данными при помощи публичных SMTP-серверов, затем он переключился на использование скрипта-гейта, размещенного на сайте бесплатного хостинга.
  3. E-mail, на который уходили отчеты, оставался неизменным во всех случаях.

Не будем открывать все секреты, но в результате был получен доступ к почтовому ящику злоумышленника и к сайтам, где хранились отчеты и скрипт для их отправки.

Несколько слов об отчетах. «Всеядность» LdPinch поражает воображение. Отсылается все — от номера лицензии Windows, списка установленного софта и информации о системе до паролей ICQ, почтовых систем, ftp-сервисов и форм автозаполнения браузеров.

В лучшие дни автору этой рассылки удавалось собирать до сотни отчетов. В его интернет-магазине выставлены на продажу 19 шестизначных номеров ICQ и 58 семизначных.

И в заключение… Почему «Наследил»? Автор рассылки, видимо, не страдает паранойей — его личные данные (nickname, пароль, ФИО, дату рождения, место жительства, мобильный телефонный номер) удалось узнать за один вечер в ходе тщательного анализа зловреда. Думал ли автор, что его творение может рассказать о своем создателе так много?..

Публикации на схожие темы

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *