Настроение сейчас - модераторы... тьфу...нормальный антифлуд не написать...

Кто еще не в курсе - это о вирусе.
[показать]

"""Веблог «Лаборатории Касперского»

Червь ВКонтакте

Александр 17 мая 2008 | 16:27 MSK

комментарии (2)
Социальные сети, такие как facebook, MySpace, Orkut и т.д., являются одними из наиболее популярных сетевых ресурсов современного Интернета. Фактически, именно они олицетворяют собой то, что называется Web 2.0.

Авторы вредоносных программ уже обратили свое внимание на социальные сети. Некоторые сети уже становились объектами атак, в том числе нацеленных на получение персональных пользовательских данных.

В России среди социальных сетей наибольшей популярностью пользуются проекты ВКонтакте.ру, Одноклассники.ru и LiveJournal.

Мы обнаружили сетевого червя Rovud, который распространяется среди пользователей системы VKontakte.

Первый вариант червя был задетектирован рано утром 16 мая. Принцип его действия достаточно прост, но вместе с тем оригинален.

Тело червя размещено на одном из сайтов (возможно, взломанном) под именем deti.jpg. Для первого варианта червя ссылка имела вид:

http://Roland.misecure.com/deti.jpg

На самом деле, при клике на ссылку загружался не файл с изображением, а исполняемый файл.

Будучи запущенным на компьютере, червь ищет cookies пользователя ВКонтакте, после чего использует их для соединения с сайтом и начинает рассылать вредоносную ссылку всем «контактам» зараженного пользователя.

Если кто-нибудь из получателей проследует по ссылке, загрузит и запустит файл, цикл заражения повторится, и теперь уже «контакты» новой жертвы также получат опасную ссылку.

Работа червя сопровождается визуальными эффектами. При запуске он показывает на экране картинку:
[показать]
Кроме того, червь обладает деструктивной функцией. 25 числа он должен вывести на экран следующий текст:

После чего червь начнет удалять файлы на компьютере жертвы.

Несмотря на то, что первый вариант червя достаточно быстро был обнаружен и другими антивирусными компаниями, а служба поддержки «ВКонтакте» была проинформирована об инциденте, остановить эпидемию за один день не удалось.

Неизвестные авторы червя изменили формат ссылки на зараженный сайт, которая посылается контактам жертвы, и таким образом смогли инициировать новую волну эпидемии. Очевидно, что администрация ВКонтакте просто программно запретила сообщения со ссылкой на файл deti.jpg. Авторы червя очень элегантно обошли это «ограничение».

Вариант Rovud.c рассылал ссылку:

http://vkontakte.ru/away.php?to=%68%74%74%70%3a%2f%2f%72%6f%6c%61%6e%64%2e%6d%69%
09%73%65%09%63%75%72%65%2e%63%6f%6d%2f%64%65%74%69%2e%6a%70%67
[показать]
В результате нажатия на нее пользователь перенаправлялся все на тот же самый сайт http://roland.misecure.com/deti.scr.

Новый вариант - Rovud.c - был обнаружен утром 17 мая и в настоящее время количество обращений от пользователей, обнаруживших его «вредоносные» ссылки в своих учетных данных ВКонтакте, значительно превышает число запросов, связанных с первой версией червя!

Что еще более интересно – у этого червя существует предыстория. Дело в том, что за день до его появления, по Рунету прошлая массовая волна фишинговой атаки. Ее целью являлась «накрутка» рейтинга некоего пользователя:

Вконтакте.ру начинает розыгрыш призов, а также гарантированный бонус в размере +300% к Вашему текущему рейтингу.

Для получения бонуса и участия в розыгрыше призов — отправьте бесплатное СМС с текстом: id10682124 на номер 4449



С уважением,

Администрация Вконтакте.ру

Такое SMS просто поднимет рейтинг пользователя с указанным id. И разумеется, оно не бесплатное – стоимость отправленного сообщения составляет $0.30 без НДС.

В тот же день личная страничка данного пользователя была удалена администрацией ВКонтакте. А на следующий день появился червь Rovud, обыгрывающий тему с повышением рейтинга и подписывающий сообщение об «уничтожении компьютера» именем Павла Дурова, создателя проекта ВКонтакте.

Что это – просто месть «обиженных» хакеров или же некая продуманная атака против ВКонтакте, призванная подорвать его репутацию и снизить число пользователей, мы не знаем.

На момент написания этого поста файл червя уже был удален с сайта, с которого происходило его распространение. Однако это не исключает того, что в ближайшее время в Рунете появится очередной вариант Rovud.

Продолжаем следить за развитием ситуации. ""





А теперь мое мнение!!!
Какой-то странный вирус. Дает очень много времени на его поимку и уничтожение, Дуров и не чешется над написанием утилиты или хотя бы инструкции по его удалению, что не так сложно. Хня какая-то...
Плюс вирус никак не замаскирован. В процессах прописывается, а в точке восстановления в загрузке - нет. Легко удаляется ручками, а ведь я встречала вирусы, которые ручками не удалялись даже из безопасника, и в реестре их было х.. найти. И папка была помечена не только как скрытая, но и как системная. Хотели бы создать серьезный вирус - зашифровали бы его как-нибудь вроде vsnpoem, да и процесс бы обозвали знакомым словом, чтоб х... отличили. А это - фигня какая-то. У кого хоть немного мозг есть, вылечат сразу. не вижу цели, кроме как рекламы... вот только чего? Доктора Веба? так по словам пользовавшихся, он не помогает...
Да и рекламировать оперу и лису контакту зачем, если они ссорятся с некоторыми функциями в контакта...
А вы как думаете, зачем он этот вирус нужен? Просто со зла написан дилетантами? Или какой-то ход контакта?
Слишком глупый червяк. Может, фсб потерял пароли от наших аккаунтов и решил их так вернуть?:)))
На самом деле единственный минус всего этого - у кого-то теперь есть пароли от аккаунта всех, кто умудрился запустить вирус на своем компе.
А так - вирус рассчитан на ламеров.


Вирус по-любому ламерный как минимум способом его проникновения. Говорю же, надо быть ламером, чтобы его подхватить:))))
Во-вторых, его ВИДНО в автозагрузке и процессах и его можно остановить и отключить.
В третьих, он явно не рассчитан на убийства компов, иначе он не стоял бы на 25-е число и не дал бы людям времени его вылечить а начал бы уничтожение сразу:)))
Я не знаю, для чего он нужен был, но явно не чтобы убить компы.
Пы.Сы. Я 25-го числа посмотрю на тех, от кого мне приходили ссылки, у меня лично хватило мозга их не открывать, не смотря на то, что первая ссылка пришла от преподавателя.


Точнее, 25-го посмотрим, была ли у вируса еще какая зашифрованная часть, прописавшаяся где-нибудь еще, или нет. Я уверенна, что нет. Это просто рекламный ход.
А подхватившим вирус - просто надо быть внимательнее. Если ссылка на картинку, а пытается загрузиться файл с другим расширением, надо насторожиться и сто раз


Еще мне очень обидно, что в комментариях к новости Павла Дурова этот мой комментарий посчитали ФЛУДОМ и больше не дают мне там писать. Как говорится, "это жжжжж неспроста".


Еще мысли из переписки, о контакте в целом и криворукости в
частности:

"Меня тепрь тоже комментить не пускают. А делов-то, хотела написать про то, что браузер не при чем, а при чем мозги, да еще про то, что Дуров чего-то не чешется, я бы на его месте вывесила инструкцию как избавиться от вируса, а еще лучше - написала бы прогу, которая без проблем вирус зачищает(кстати, такие уже несколько штук другие люди успели написать).
Как говорится, мне кажется, что это жжжжуууу неспроста...

Мда. По сети гуляет вирус, который ворует пароли (мне кажется, все-таки это его главная цель, а не формат С), а упор делается на то, что у вас данные пропадут. Про то, чтоб поменять пароль - НИ СЛОВА!
А они в новостях - "безопасность вконтакте"... Кто по этой фигне поймет, что речь о вирусе??? Нет, чтоб написать "ВНИМАНИЕ ВИРУС!!!"
Хня это все, и вирус хня..."

"Главное, убивает, что всяких перво-второ и третьенахов, а также тех, кто фдисятке-сотне-тысяче и ниипет, флудерами не считают. Дуров вообще знает определение флуда, интересно? Демократия, блин. Как говорится
1.модератор всегда прав.
2.Если модератор не прав, см.№1
Еще чуть не прослезилась над "спасибо большое нашему защитнику Павлуше"... И всяких идиотов, которые выдают инструкции, как убить свой комп за инструкции по лечению для ламеров, тоже не фильтруют, очень обидно...
Интересно все-таки, что они хотели сказать этим вирусом???


Про ФСБ
"Я это читала в разных вариантах и тоже так считаю. Ничего плохого в этом не вижу. То есть лично для себя. Ничего криминального про меня на странице нет и не будет. Единственное жаль - я в начале сдуру засветила номер своего мобильника. А он у меня был зареген еще тогда, когда не требовались паспортные данные. Жаль. Хотя ж если надо - все равно узнают.
А вот подростков, которые пишут, как они любят экстази, кричащие тут и там, что они кушают их в клубах и т.д. я не понимаю. А также тех, кто регится, а потом вступает в кучу групп, которые его компроментируют.
Плюс ко всему, можно в этом аспекте рассматривать любой сервис контакта - даже закладки. Вот не хочет человек светить друзей или группы для всех, а в закладках они есть, значит это то, чего он не хочет показывать. И т.д.
В общем, список длинный и обидный.
А вирь - может, фсб потеряло где-то пароли и решило их так восстановить? (на грани фантастики, смешно, но кому-то ведь понадобились пароли)
Насчет финансирования - финансируется однозначно из бюджета. Было бы ой как невыгодно держать такой сайт просто так, что бы об этом ни говорил Дуров, что это и не дорого, и что это кушает вовсе не столько ресурсов, как думают...
Ну да, ютуб тоже бесплатен, на нем тоже много чего лежит по объему... но мне кажется, или там есть реклама? Я честно не очень понимаю, чем живут такие сайты...
А тут... даже если бы и нашелся один такой альтруист как Дуров :), который бы тащил сайт за спасибо, то вряд ли он нашел бы себе такую же команду.
Вот я понимаю, гугл, он бабки заколачивает... все хотят быть в первых строках гугла...
А вот фишка с смсками в контакте и накруткой статуса, имхо, была лишь для отвода глаз. Мало кто на нее повелся.
Не, ну он работает, чего уж там говорить, ты и высвечиваться в поиске выше будешь, и все такое... Другой вопрос - а оно тебе надо?:) Высвечиваться первым в поиске? про повелся я имела ввиду тех, кто верит, что на этом контакт зарубает бабло:)
Я вот аватар сменила на не-фото. И потом сменю, но тоже на не-фото. Скорее всего. А то многие, извиняюсь за выражение, долбоебы начинают писать в личку всякие неприличности вроде "а ты ничего, пойдем пот***хаемся". Мало приятного.
Мда. Ну ничего, не у одних нас так:))) Зато всегда знаешь, что делают твои бывшие одноклассники, какой новый геморрой в статусе у преподавателя, с кем и как встречается твой бывший парень, и как дела с девушкой у твоего друга, и с кем в ссоре подруга...
Видно, с кем ты встречаешься, ведется статистика, у кого какие политические взгляды (вот это вообще убивает, это-то зачем?), кто во что верит, кто что слушает, любит, какого года рождения народ сидит в контакте и вообще интернете, а также очень удобно смотреть популярность телешоу...
а также кто куда ходит...
Хотя... контакт может зарабатывать на таких группах, как "теле2 за дешевую связь", "клуб владельцев нокии" и т.д. Думаю, такие компании им что-нибудь отваливают за эти группы.
Я думаю, в контакте есть еще не одна дыра, если такая хня с вирусняками происходит:))) Например, я так поняла, все знают, где хранятся пароли от контакта:))) И как зная их разослать сообщения твоим друзьям:)
Во всем есть дыры.

Ну в общем вы наверное поняли мое отношение к контакту:))))))))))
А если и здесь это КОМУ-ТО не понравится - пошли на Х*Й!!! Это моя страница, мое дело и мое мнение. Модераторов прошу не беспокоиться, к религиозной и прочим розням я не призываю, неприлично не ругаюсь, никого не оскорбляю. У нас - дерьмократия! (Последнее обращение было адресовано к модераторам, т.к. со стены с комментариями к сообщению Дурова все мои комментарии непонятным образом удалялись, а ведь я всего лищшь пыталась объяснить людям, что и как им делать:)))))

И напоследок, для тех, кто попался - http://rybatskoe.net/index.php?categoryid=1&p2_articleid=67