August 4th, 2005

Sinai

Alert

если вам сегодня приходит ОТ ЗНАКОМОГО по ICQ сообщение с текстом

"Привет, у тебя случайно нету webmoney?"

"http://<...>ru/chipes.exe
Смотри флешь классный."


или что-то подобное - зафиксировано несколько разновидностей вопросов, обычно начинается с вопроса про webmoney

НЕ ОТКРЫВАЙТЕ ЭТО ГОВНО!!! (то есть не нажимайте на ссылку на exe-файл!!) не пытайтесь даже!!! это вирус новый, и пока неизвестно, как с ним бороться, если кто знает - сообщите

upd: пока в сухом остатке то, что несколько людей потеряли (временно или нет - не знаю) доступ к своим асечным аккаунтам. Это нихуя не весело.
Sinai

(no subject)

http://lenta.ru/news/2005/08/04/icqvirus/

upd: телефоны хостера (KORUS.ISP NOC 81 Lunacharsky str., Ekaterinburg city, Russia) заняты нахуй

upd2: это тот самый хостер который хостит НПЖ!!!

upd3: дозвонился до хостера, хостер удивился, пообещал убрать файл (но пока он ещё лежит)

upd4: грохнули файл - http://konfetdvor.ru/chipes.exe - 404
Sinai

(no subject)

Итак, говно вроде выявлено. Оно живёт по адресу \WINNT\csrss.exe - есть одноимённый виндовый системный сервис, но в данном случае это не он. Странно ведёт себя в стартапе - где-то он присутствует в Run в HKLM (подписан "MStask"), где-то нет. По ходу, каким-то образом пиздит асечный пароль, логинится в ICQ и пароль меняет, после чего начинает рассылать кому попало свою хуйню про вебмани.

Если в данных ICQ прописан мёртвый email (именно так обстоят дела у двух наших человек, заведших аську в 1999 году) - UIN'у пиздец. Если email живой - заказывать новый пароль (https://www.icq.com/password/), получать его и заново логиниться, тогда номер спасён. В случае с пиздцом UIN'у есть ещё маза вести мутные переговоры с саппортом ICQ с неизвестным результатом.

Пару часов назад заразу стал узнавать Касперский, если его обновить. Релиза по этому поводу пока нет. Опознаёт как trojan-psw.win32.ldpinch.sf - как в том csrss.exe, так и в пресловутом файле chipes.exe.

Мораль: проследите, чтобы в данных ICQ у вас был прописан живой email!