сегодня
http://7034.kiliheraseuhedeun.com/storage/7725/
329125950
Stration.XJ worm

Сегодня по аське пришло:

Перешли плиз, это сообщение всем людям из твоего контакт-листа, даже тем кто сейчас в оффлайне, чтобы они не добавляли в контакт "Авриша (407-205-493)", потому что это ВИРУС. Её имя в аське Полина,и он разрушает весь жесткий диск! Иесли его схватит кто то из твоего контакт - листа, то ТЫ тоже будеш заражен !!! Так что, пожалуйста скопируй и разошли,ок

Jaded, я уже начинаю склоняться к выводу, что это все тупой бред. уже года 3 такое сообщение по сети шастает, только номер меняется.

Псих, кто предупрежден, тот вооружен. IMHO

взято с нонейма
дрВеб у него промолчал и НортонКорпарайт у меня промолчали, Нод промолчал тоже хотя у того кто постил топик угнали номерок

у кого то антивить сработал

http://keep4u.ru/imgs/s/071123/2c19e2488375e8d5c4.jpg

Думаю угон мыла тоже можно косвенно соотнести с угоном аськи.
Вот что получил кент на мыло:
ПО ЛИНКУ НЕ ХОДИТЬ!!!
Как я понял это Очередной развод

Думаю, стоит написать в техподдержку мылару, чтоб они приняли какие-то меры. У меня нечто подобное с Яндексом было, написал им, чтоб уточнить, от них это письмо или нет, они после этого разослали сообщения всем с уведомлением о том, что это развод.

Только что пришло от человека который в контакт листе
Сергей (18:16:58 19/12/2007)
Привет!

Сергей (18:17:00 19/12/2007)
мне тут прислали...

Сергей (18:17:06 19/12/2007)
_http://r.mail.ru/cln1234/mechel***.com/flash/ Это надо видеть :)

скачал, дрвеб неругнулся, посмотрел архив винрар, батник и 2 файла.

Имел неосторожность запустить сиё. Чем грозит? :(

Проверяй систему на вирусы. Меняй пароль на аську.

судя по описанию, имеем дело с Trojan-PSW.Win32.LdPinch.epi

лог его "путешествий" по виртуалке в атаче.

не только на аську. заодно, на все мыло, ФТП, итд итп
дурацкий риторический вопрос: а нафига жать на ссылку, не уточнив по крайней мере, что в ней..?

ps о подобных вещах очень рекомендую писать администрации серверов, на которых это лежит. чтоб по крайней мере, зараза дальше не шла.
по данному случаю, abuse@mail.ru

Plague, спасибо за разъяснение.
Объясню ситуацию: сегодня утром мне от моего друга пришли эти сообщения. С ним часто переписываемся и обмениваемся всякими приколюхами. Вот и сегодня, так сказать, обменялись. )))

Запустил файл. На компе установлен Dr.Web 4.44 с базами от 17.12.07.
Он промолчал. Как только там мелькнуло досовское окошко - я сразу всё понял.
Файл я тут же отослал в лабораторию Др.Веб. Оттуда получил ответ что с базами от 20.12.2007 этот вирус определяется. Обновил базы - действительно, стал определяться, как Trojan.Inject.552.
Но было уже поздно, ведь он был запущен ранее.

Послал вирус в лабораторию Касперского.
Там прислали ответ, что это вирус:Trojan-PSW.Win32.LdPinch.eql

Также попытался его открыть на машине с НОДом. НОД предательски молчал, как и Др.Веб до обновления баз.

Затестил этот вирус на _http://www.virustotal.com/ru/
Только 11 из 34 антивирусов просекли, что это вирус. Это данные на 9-00 Москвы 20.12.2007г.

На данный момент поменял пароли на аську и почту.
ФТП сервера нет.

Посмотрел лог - не хило он так шарится.
Где еще пароли поменять?

Вкратце: меняй все пароли от внешних ресурсов, которые были сохранены у тебя на машине любыми программами. Сюда же относятся всяческий онлайн-банкинг с е-деньгами, аккаунты на игровых серверах, пароли форумов и т.п. Пинчи нынче большой разборчивостью не отличаются, тырят всё, что плохо лежит...

All
И не кликайте бездумно по ссылкам даже от проверенных контактов - лучше переспросите, что там находится.

Мне лично на одну из асек приходит каждый день по 2-3 новых пинча. Думаю, не только мне. Если кто-то из ваших знакомых словит такую бяку - рассылка пойдёт по его контакт-листу с его номера. Со всеми вытекающими...

Вопрос тогда такой как узнать куда всё это ушло, или проверить куда уходит, и как просто прямого доступа нет к сети, а только по прокси, как всё это отсылаеться?

С номера 256027877 пришло сообщение

Подозреваю, что там будет не только патч для inv. контактов.

Однозначно вирус, качать не рекомендую, прислано со свежеугнанного номера.

ТОлько что получил на мыло письмо следующего содержания:



И вот что показал анализ:

Файл resume.exe получен 2008.03.12 20:13:24 (CET)
Текущий статус: закончено
Результат: 11/32 (34.38%)

Антивирус Версия Обновление Результат
AhnLab-V3 2008.3.12.0 2008.03.12 -
AntiVir 7.6.0.73 2008.03.12 DR/Delphi.Gen
Authentium 4.93.8 2008.03.11 -
Avast 4.7.1098.0 2008.03.11 -
AVG 7.5.0.516 2008.03.12 -
BitDefender 7.2 2008.03.12 -
CAT-QuickHeal 9.50 2008.03.12 -
ClamAV 0.92.1 2008.03.12 -
DrWeb 4.44.0.09170 2008.03.12 Trojan.MulDrop.12068
eSafe 7.0.15.0 2008.03.09 -
eTrust-Vet 31.3.5608 2008.03.12 -
Ewido 4.0 2008.03.12 -
FileAdvisor 1 2008.03.12 -
Fortinet 3.14.0.0 2008.03.12 -
F-Prot 4.4.2.54 2008.03.11 -
F-Secure 6.70.13260.0 2008.03.12 Trojan-Dropper.Win32.Agent.fun
Ikarus T3.1.1.20 2008.03.12 Virus.Win32.Zapchast.DA
Kaspersky 7.0.0.125 2008.03.12 Trojan-Dropper.Win32.Agent.fun
McAfee 5249 2008.03.11 -
Microsoft 1.3301 2008.03.12 VirTool:Win32/DelfInject.gen!AA
NOD32v2 2942 2008.03.12 -
Norman 5.80.02 2008.03.12 -
Panda 9.0.0.4 2008.03.12 Suspicious file
Prevx1 V2 2008.03.12 -
Rising 20.35.22.00 2008.03.12 Trojan.DL.Win32.Agent.bxw
Sophos 4.27.0 2008.03.12 Mal/EncPk-CM
Sunbelt 3.0.930.0 2008.03.05 -
Symantec 10 2008.03.12 -
TheHacker 6.2.92.243 2008.03.12 -
VBA32 3.12.6.2 2008.03.05 Trojan.PWS.LDPinch.1941
VirusBuster 4.3.26:9 2008.03.12 -
Webwasher-Gateway 6.6.2 2008.03.12 Trojan.Dropper.Delphi.Gen
Дополнительная информация
File size: 213504 bytes
MD5: 28ea52f388e67211b5f8973e9ca94c2d
SHA1: 5cd1a85ea75b8071c765571657374f0b1b589850
PEiD: -

Как видим куча антивирей его пропустила.
вопчем очердной пинч

73385536
398725930
422887254
эти номера трояны шлют.

kachello, трояны шлют со многих номеров, просто нужно читать приходящие сообщения и не в коем случае не ходить по присылаемым с этих номеров ссылкам. Думаю не стоит здесь публиковать ноиера с которых рассылают трояны т.к. номерами как правило этими пользуются единоразово и номера очень часто меняются.

в сентябре заметил вот что: в воктакте появляются левые номера (один из них 387-317-789, снова появился), удаляю себя из его списка и сам контакт, один хрен появляется. Стоим антиспам (кип), все кто новый всегда с авторизауией мучаются, а тут без всяких авторизаций приклеился ко мне. Передача файлов отключена, всякую дрянь не принимаю.
Зато известный 12111 теперь всегда в оффлайне

422887254 - троян:mad:

Номер аськи не может быть трояном :) Троян это ваши кривые ручки :yees:

Я бы даже сказал - чрезмерная ваша любознательность. Особенно вспоминая, как много людей захотело узнать "дату своей смерти".

Столкнулся три часа назад. От юзера из контакт-листа приходит ссылка на файл (в файлообменнике) с именем Piggy.zip.
При запуске файла открывается картинка со свиьей и у текущей (активной) учетной записи QIP (не знаю как насчет других программ) Меняется пароль, после чего аска естесственно не работает. Лично я быстренько полез на сайт и пароль поменял там, но не уверен, что такая возможность будет длиться бесконечно. Возможно со временем новый пользователь заменит мейл и тогда восстановить будет сложно.
Насчет того, рассылает ли вирус себя сказать ничего точно не могу. Видимо рассылает, но не по всем адресам :confused:. Кроме того имя пользователя меняется на H1N1 infected - шутники.

Открыл я файл потому что ссылка пришла с известного мне адреса, и на вопрос о содержимом я получил вполне вразумительный ответ. (хотя задним числом он кажется излишне кратким и обтекаемым).
Будте осторожны - знакомые уде сообщили о других случаях заражения, причем там дело усложняется тем, что мыло, на которое зарегистрирован номеро, похерено