Буквально сегодня через ICQ и обменник file.qip.ru стал распространятся достаточно интересный вирус, интересен хотя бы тем, что он умеет говорить :)
Всё началось с того что я получил сообщение от своего знакомого
(23:26:41) ***:
Ссылка для скачивания файла Egg.rar
file.qip.ru/file/104633322/*** (950 кб)
[-- Файл отправлен через file.qip.ru. Подробнее на сайте: file.qip.ru/ --]
(23:28:08) Screatch:
это что
(23:28:17) ***:
нечто позитивное )
Ранее печальный опыт заставил меня спрашивать каждый раз когда я получаю подобные ссылки, но получив ответ я понял что опасатся нечего… открыл, обратил внимание на то что написано
Tested by Kaspersky Anti-Virus 2009-10-18 и без боязно скачал и запустил, увидел яичницу, закрыл. Но тут меня в очередной раз спас Linux.
Несколько минут спустя я узнал что как оказалось, это был вирус, и судя по всему достаточно хорошо спланированный. По состоянию на 01.23 МСК файл был скачан уже 13,897 раз. Немаленькая такая армия ботов получается.
Удивила сама организация вируса, разработчик вируса заранее продумал что большинство спросят вопрос на подобие «Что это такое» и подготовил авто ответ. После заражения вирусом, вирус крадёт ваш ICQ аккаунт независимо от того каким IM клиентом вы пользуетесь, затем вирус рассылается всему контакт листу.
Возможно хабрахабр это не то место где стоит предупреждать о вирусной опасности но всё-таки, может кто не знал…
UPD: Вирус был удалён с file.qip.ru по состоянию на 01.35 МСК, в причине было указано
This file is no longer available because of claim by support. К этому временю вирус был скачан уже более 14 000 раз.
UPD2: Перенёс в тематический блог.
комментарии (289)
Скажи какое название было у архива.
А вообще перешел на Pidgin. Одно не нравится — список контактов висит на панели задач (Win7).
boardgames.about.com/od/scrabble/a/q_without_u.htm
квип = quip
И не нужно гнать на москвичей.
quip = квип, куип (сравни quit)
qip = кип
очевидно что в последнем случае букв «u» или «v» не наблюдается в принципе, потому и при чтении их может добавить только распаленная фантазия некоторых «немосквичей»
Стоит сказать об окончании «e» — слов таких много, а заканчиваются они при этом на согласную при произношении.
Интересно, они просто погуглили, перенаправили вопрос в справочную службу английского языка или решили блеснуть непрофильными знаниями?
(Сам пользуюсь мирандой уже который год...)
256бит ключ шифрования профиля и пароля. >.< Да, я параноик.
это я про паранойю
По-моему, если я пользуюсь каким-то сервером, то я знаю, откуда и какой там сертификат… Или вы говорите о подмене на уровне DNS, например, и я попаду не на тот айпишник, а он выдаст себя за настоящий сервер? Может, вы и правы…
(фрагмент переписки с ним — в личке)
Заметим, что «интеллект» у бота очень ограниченный и он умеет отвечать только на вопросы, в которых содержится одно из слов: «что», «чо», «чё» , «че» , «шо» , «що» и «чито». Подборка слов лишний раз показывает любовь рунетчиков к «русскому» языку.источник: www.securelist.com/ru/weblog?author=82
Мне за двадцать минут вирус раз пять присылал сообщение со ссылкой, и я с ним (с вирусом) разговаривал :) Жаль, отвечает только один раз.
Пользовался Мирандой
Про вирус отписался в техподдержку qip.ru лично, на тот момент его скачало 11.000 человек.
Система Windows 7, антивирус от Microsoft
Kpyto, 18.10.2009 22:53:45:
:) что там?
****, 22:53:54:
нечто позитивное )
Kpyto, 22:54:03:
:-) типа вируса?)))
***, 22:54:10:
нет, ты не в церкви, тебя не обманут ))
А у меня список людей онлайн поредел вполовину. Вернулись восстановив пароль на ICQ.com считанные единицы. Я капец какой-то.
Можете залить любой новый вирус и посмотреть на скорость реакции антивирусных компаний, либо сравнить количество сигнатур, ведь на их основе видно, сколько вирусов может обнаружить антивирус, ну и эвристика еще есть конечно…
Так вот, у Касперского (взял для примера, т.к. сам им пользуюсь) 3018907 сигнатур. MSE не пользуюсь, но думаю до такого количества сигнатур у них нету.
Microsoft не антивирусная компания, она не нацелена на выпуск антивируса (это второстепенная задача), для остальных перечисленных компаний, это первостепенная задача, за которую они еще и получают деньги.
Как видно из сравнения, Microsoft далеко не лидирует со своими продуктами, хоть и может конкурировать с некоторыми…
Удивительно, что вам это не очевидно.
«очевидно», «я думаю» — это вообще не аргументы, вам не кажется?
я вас спросил про Security Essentials, а вы мне ответили непонятно про что (про OneCare, вернее). очень разумно. вы наверно не знаете, но это сильно разные вещи. так что это не подтверждение ни разу.
зато это очень хорошее опровержение того, что «Бесплатный софт редко бывает лучше платного.» Заметьте, на каком месте находится Antivir? Сразу после монстрообразного KAV, который может и ловит немного больше, зато ресурсов жрет на порядок больше, так что я бы не сказал что он чем-то лучше.
Конечно, если у вас пентиум 1-3, то навряд ли вам стоит использовать Касперского.
А вам не кажется что вы сами ни одного обратного факта не привели и еще ссылаетесь на Antivir, который вообще не имеет отношения к Microsoft?
Я вам пишу про антивирусные продукты от Microsoft вообще. С чего вы взяли что у человека MSE, а не OneCare?
Очень сожалею, но MSE не очень популярный антивирус, поэтому если найдете его сравнение в сети, можете скинуть.
И ссылку на сравнение MSE с другими антивирусами… ;-)
А между 6, 7, 8, 9 разницы никакой — подчиняются одним правилам ретрива. Но примари-то могло отпасть. ;)
Кстати, как ни странно, его только докторвеб палит пока, а так это эволюция сентябрьских «лягушек»
Меня спасла привычка не открывать левые файлы совсем.
написано на дельфи и получается декомпилировать через DeDe, но что-то я там пока ничего не нахожу
За ближайшие 2 дня покосит оччень и оччень много народу…
Хотя, конечно, приятного мало… Сам просрал номер, на котором вся работа завязана…
теперь у тебя отпуск )
И комментарий в коде: заказы на… отправляйте в любую Icq =))
Будут писать вирусы под копыто.
так же пришло сообщение с ссылкой на файл, так же был ответ на вопрос «что это?», так же антивирус не почуял угрозы.
разница только в том, что тогда вирус угробил систему (win32.locker-подобный вирус, который я не смог вылечить, просящий прислать смску на какой-то номер). пришлось переустанавливать ОС.
так что в этот раз, наученный горьким опытом, я даже и не пытался заходить по такой левой ссылке, особенно, когда она пришла от двух совершенно разных людей.
вполне возможно, что это те же самые люди замешаны в этом.
>пришлось переустанавливать ОС.
Просканировал Авастом в безопасном режиме. Плюс со второго ноута нашёл в сети инфу про то, где и под каким именем этот вирус любит прятаться в системе, проверил и удалил вручную. Комп спас.
Когда Вы восполните данные пробелы в своих знаниях, велкам дискутировать.
Да и что мешает хостить сервер у себя? =)
_ http: // webfile.ru / 3900346
ОСТОРОЖНО. ВОРУЕТ ПАРОЛИ ;)
С другой стороны, чтобы поменять поведение вируса — его не достаточно упаковать, а для обхода антивируса — зачастую этого хватит.
«мою копию» классифицировали как:
>Egg.exe — Hoax.Win32.IMPass.aq
а вот доктор-то их сделал в данном конкретном случае
К черту ICQ, давно пора переключаться на джаббер.
Кроме того, я не предлагаю в советском стиле всем сразу переходить на один стандарт — просто постепенно переставать есть этот кактус. Сам аськой не пользуюсь уже месяца три — ни на секунду не пожалел.
Кому может прийти в голову воровать jabber аккаунт? Это не аська, где некоторую ценность может представлять номер, не email на который могут быть зарегены другие аккаунты. Разве что для спама по живым листам, но в этом случае скорее всего будут просто рассылать, не меняя пароль. Либо для рассылки вирусов, но опять же смысл менять пароль?
«Сколько будет 3 + 5 = „
PS: Ещё никогда не подводило)))
Предлагаю всем резко перейти на видео чаты — ну, чтобы было видно собеседника)
Представляете как это подстегнет развитие технологий? Спамеры, так же резко, начнут разрабатывать софт способный в реальном времени создать виртуальную копию собеседника(копия будет решать математические выражения, вплоть до дифференциальных)…
:)
Допустим, научатся имплантировать воспоминания или передавать мысли на растояния. Представляете как тогда будет выглядеть спам в исполнении, приведенного здесь, «яичного вируса»?
Когда первый раз(года 4 назад) столкнулся со ссылкой на подозрительную хрень от друга, пытался поговорить, отвечал явно человек, но что-то невнятное, забил на это, запустил, увидел знакомый порт irc сервера, запустил снифер, узнал сервер и канал с паролем(туда заходил этот бот и по запросу отдавал пароль от аськи и, вроде, умел что-то еще), в итоге, поговорив с человеком, вернул номера асек нескольких друзей.
Популярные персонажи аниме и манги, по внешности представляющие собой антропоморфных животных с хвостиками и ушками.
фурри
теперь вот пытаюсь сбрутить(:
Что, И ТУТ?!
10 PRINT «Скажи что нибудь»
20 INPUT $I
30 PRINT «Сам дурак!»
Извините за мой бейсик.
Такие дела. NOD32 свежий, всё включено.
Ждём ебилдов.:)Win32/Hoax.IMPass.AM приложение
Базы 4520, и тишина.
прогнал его ещё раз через
www.virustotal.com/ru/analisis/9177e351ef5023925e12b33193f82a04817687ead6218189fc23ed03304e2097-1255937279
добавился только касперский.
«на сайте forum.antichat.ru выложили это самое яйцо, кому интересно посмотреть:
_ http: // webfile.ru / 3900346
ОСТОРОЖНО. ВОРУЕТ ПАРОЛИ ;) „
Мы это обсуждаем? :)
Прочтите шапку пожалуйста :)
Так как ту ссылку уже прибили, приведу другую.
rghost.ru/538855
Вашу ссылку кстати тоже прибили (не знал, что скачать вирус в интернете уже такая проблема). Поэтому я проверял именно файл из указанного поста — если это уже старая «версия», то извиняюсь за дезинформацию.
Вы садитесь на скамейку в парке. Видите — стоит запечатанная, укупоренная бутылка пива. И вокруг никого.
Вопрос. Вы ее откроете и выпьете? Или пусть стоит… до паркового бомжа?
Р.S. В результате тщательного осмотра сомнений в заводской укупорке бутылки у вас нет.
П.С. Шутка.
Спать надо больше всё-таки…
Пиво в массах вредит здоровью и лично мне на вкус не нравится.
Идет мужик по дороге и видит на обочине бутылку. Открывает, нюхает — водка! «Ну», — думает, — «свезло!». Пьёт и тут же падает замертво.
Идёт ещё один мужик. Видит труп и бутылку. Нюхает — водка. Подозрительно смотрит на труп… нюхает ещё раз — точно водка! Пьёт и умирает.
Идёт третий мужик. Видит два трупа и бутылку. Нюхает — водка же… но два трупа рядом. Ещё раз нюхает — водка.
«Люююди! Помогииите!», — орёт мужик и залпом выпивает.
А вот к файлам я этому отношусь очень очень подозрительно даже ответы типа это что-то позитивное не помогают, фотку, картинку, тест — это можно, но никак не исполняемый файл…
убегаю на учёбу поэтому поправьте меня кто помнит подробнее...
А как проверить?
Можно поподробнее?
1) От чьего имени запущен процесс?
2) В каком режиме находится UAC?
Предыдущая версия пыталась что-то писать в HKLM, на что срабатывал UAС и после запрета изменений троян падал с исключением.
2) uac по умолчанию. Но миранда на другом диске, поэтому хз даж.
Странностей 2 даже :)
1. Нод 4 базы 4520 всё так же молчит.
2. Запустил, закрыл. В процессах не висит. Ещё пару раз потыкал, запускается от меня, после закрытия в процессах не остаётся.
Так что не факт.
HKEY_CLASSES_ROOT\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\started
вот здесь создаёт параметр started со значением 1
По идее в изолированном пространстве…
Остаётся вопрос с принципом действия, точного описания пока найти не могу :(
вир прописал запись по тому же пути, но пароль у него упёрло.
win7 64x uac nod32 miranda у меня
vista 64x uac ess32 qip у него
пытаюсь выяснить почему у меня не сработало.
вот пытаюсь подобрать)
Я просто с ходу не могу вспомнить какую-нибудь подобную ситуацию, но с реальной не вирусной начинкой файла.
Может я какой-то неправильный собеседник, и у меня неправильный контакт лист, но мне никто не кидает ничего первым сообщением в чате ><
http://file.qip.ru/file/104450980/99aeff39/Egg.html
online.us.drweb.com/ -сразу увидел
www.virustotal.com/ru/analisis/9177e351ef5023925e12b33193f82a04817687ead6218189fc23ed03304e2097-1255937279 -потом сюда кормил
Почти никто не видит пока :|
в 13:31 МСК мне пришла ссылка на тот же Egg.rar — файл успешно качается (каспер успешно блокирует :)
Интересно, на file.qip.ru действительно есть антивирус, или у них написано, как на заборе?
P.S. С момента нарезки скриншота до публикации комментария количество скачиваний увеличилось до 1128 (около 4х минут).
Наконец-то!
В лиcте импорта, дергается больно дофига модулей.
К тому же автор вероятнее всего использовал вот эту библиотеку для работы с ICQ сетью и она занимает больше 40% кода файла.
Насчет заражения любого клиента, информация сомнительна, так как вирус ищет файлы qip примерно по такому патерну: \Documents and Settings\{username}\Application Data\QIP\Profiles\*\*.qip
Вирус использует как бинарный протокол так и http API…
… шифруясь под браузер
Ну а сам проект для Delphi называется cheatICQ. Желающим могу дать декомпилированную версию + дамп.
Учтите, что декомпилирован он не в исходный код, а в ASM. Декомпилированный код, скомпилировать заново не получится.
все эти декомпиляторы, сначала дизасмят код, а потом ищут похожие функции.
поэтому они чаще помогают в разборе программы, нахождении функций, чем в получении исходного кода.
И выше линк «исходный» код в любом assembler компиляторе собрать не получиться, т.к. дизасм движки в свою очередь ищут байткод похожий на asm команды :) его конечно, довольно легко «читать» и даже править, но компилировать не получиться :)
хозяин сидел на этом номере 49982679 и по запросу возвращал uin.
новый пароль цифровой 7 или 8-значный.