511 читатель, 51 пост
Администрация
Модераторы
Все, что относится к такому важному аспекту компьютерной безопасности, как вирусы и защита от них. Обсуждаем программное обеспечение для борьбы с вирусами под различные операционные системы. Рассказываем случаи заражения (или возможного заражения) вирусами. Делимся средствами для устранения последствий заражения вирусами.
комментарии (315)
файлы у спамеров уже есть, терять нечего.
а что его ещё и всё хабрасообщество увидит, так это теперь ничего не значит.
как было много спаму на ресурсе, так и дальше будет.
между прочим антивируса у себя не имею, и, хм, заразы пока ни разу не ловил.
Вы так думаете до тех пор, пока антивирус не поставите :)
в интернете вирусы редко бывают, обычно их тащат с флешек.
а так автозапуск отключить и руками убрать вредоносное никто не мешает :-)
Не сказал бы. Фейки «У вас устаревший FlashPlayer, скачайте эксзешку во-о-от отсюда», я вижу довольно часто
Тут конечно вопрос, что эти файлы делают — может безобидные, которые просто размножаются и все, а может и нет.
Единственный, кто смог помочь во всех трех случаях — AVZ. Хоть и бесплатный, но это оружие массового поражения! Я не знаю как он это делает, но после удаления заразы, применив «Востановление системы» в самом AVZ ОС поднималась как вурдалак из могилы… хотя казалось уже, что все, поможет только переустановка…
Если рассуждать в ключе получаемых файлов (флешка, сайты), то могу ответить вам как человек, который какое-то время занимался реверсингом — в подавляющем большинстве случаев одного взгляда на внутренности файла (даже без дизассемблирования) вполне достаточно чтобы понять, что перед нами зараза или что к нормальному файлу прикрутили что-то, даже можно довольно быстро локализовать область «гадости» — код, зашифрованные настройки и т.п., именно поэтому у многих гигов сразу в контекстом меню к любому файлу прикручен какой-нить hex-редактор и совершенно нет необходимости в ненадежных антивирусах.
Плюс ко всему я говорил KVtX, что на винчестере уже могут лежать зараженные файлы (неважно откуда они взялись). У меня например раздел «С» с операционкой и установленными программами содержит 200 000 файлов. Все другие разделы содержат еще столько же или больше. Руками проверять пол миллиона файлов? Да проще сразу застрелиться.
Если говорить про не известную систему, то это совершенно отдельный случай. Я никогда не стану заходить при таких условиях в личный кабинет своего банка даже после полной проверки антивирусом и вам ни в коем случае не стану рекомендовать это делать, потому что нет никакой гарантии что вы в безопасности. А ручная проверка системы не такая уж и сложная задача (хотя смотря какое окружение там конечно), человеку вполне под силу и для этого вовсе не нужно сидеть и проверять все «пол миллиона файлов», достаточно знать как функционирует windows и где нужно искать в первую очередь (хотя признаюсь, я не стал бы рисковать и просто переставил бы систему при первой возможности).
А вообще, сжатые файлы — это первый звоночек что мы имеем дело с чем-то подозрительным. Рядовому программисту в голову никогда не прийдет портить свою программу упаковшиком, поэтому тут начинается анализ почему это сделано, может частичная защита кода предназначенная для защиты от нелегального копирования, а может две склеенных программы (нормальная и вирус) и упакованные для защиты от антивируса. При желании можно сесть снимать пакер, но лучше просто не тратить время и нервы сразу удалив такой файл (в любом случае, как показывает практика, антивирус тут вам не помощник).
так вот он содержит червяка на яве (кроссплатформенный, зараза)
который что-то пытался запустить на моём компе
дело было так:
идём по ссылке типа «скачать бесплатно», кажется, здесь капча, затем секундомер.
должен быть файл, но летитбит делает вид, что ошибка. короче, тут может быть несколько кругов
червяка надо ловить после секундомера между ссылками «скачать файл» и «попробовать ещё раз».
обнаружил я его по двум признакам: вылез обновлятор явы (у меня на винде ява только по запросу загружается) и фф ругнулась, что сайт хотел вам что-то запустить (именно запустить), пока замяли, но вы можете разрешить, нажав сюда
как-то так
успехов
Есть вирусы, которые не требуют участия пользователя для заражения машины. Или вы считаете, что новых дырок уже никто не найдет?
Руками тоже не всё так просто уберешь. Хотя бы потому, что без антивируса вы не скоро узнаете, что что-то убирать надо.
Люблю линукс за то что для того чтоб запустить вирус надо конкретно позаниматься сексом с wine и доставить библиотек всяких… но вирус всё равно не поймет куда он попал))
Юзаю их под бубунтой для проверки флешек и контроля за файлопомокой.
А толку, под линукс всё-равно _рабочих_ вирусов _пока_ нет
А нахрена тебе clamav? Он виндовые вирусы на серверах призван фильтровать.
Хотя ещё одной причиной можно назвать то, что для каждой версии ядра нужны свои вирусы, а это уже хороший ограничитель эпидемий, даже если их и начнут писать. Правда придется перейти с ubuntu… что-то я заболтался
но готов поспорить довольно большая часть людей чьи пароли и ящики попали в этот список, имеют один и тот же пароль и к ящику и к контакту(и к куче других сервисов)…
я не думаю что пользователю будет приятно в один день потерять и страничку в контакте и свой любимый ящик (:
Если я не ошибся со скриптом, то уникальных email там чуть более полуторы тысяч. А с правильным паролем и того меньше. Так что не густо в этот раз
а на счет паролей… насколько я понимаю их уже поменяли… ну по крайне мере я бы так поступил на месте спамерщиков, потому что по другому смысла не вижу… имхо :)
12897
вернее чуть меньше — там есть к одинаковім мілам разные пароли — видимо кто-то думал что ошибся и ввел еще один из своих «стандартных» паролей
Всего 11.258
mail.ru + list.ru + bk.ru + inbox.ru = 5959 + 249 + 323 + 259 = 6790 (60 %)
yandex — 2281 (20%)
rambler — 1009 (9%)
tut.by — 239 (2%)
ukr.net — 160 (1.4%)
gmail.com — 124 (1.1%)
Вот список только адресов email без пароля (Без повторений и отсортированные по алфавиту):
ifolder.ru/15006362
depositfiles.com/files/uut7u2n6j
rapidshare.com/files/307597081/13_mail.txt.html
С целью проверить, не взломали ли вас.
www.null-byte.info/500k.txt
Либо старые, либо к IP привязываются, либо я что-то неправильно делаю
По неаккуратности, кажется, мой пароль тогда все-таки улетел, зато XSS в коллекцию поместил :-)
а что с депозитом не так, объясните, пожалуйста?
devochka345@list.ru: хуйктопросичётмойпароль
futami@mail.ru: заебали читеры
kiss-kat@yandex.ru: яэмопридурок
-------------@rambler.ru:******
opel-11@mail.ru:Apache/2.2.12(Win32)DAV/2mod_ssl/2.2.12OpenSSL/0.9.8kmod_autoindex_colorPHP/5.3.0mod_perl/2.0.4Perl/v5.10.0
Интересно, что на один ящик несколько паролей…
Очевидно человек забыл пароль и пробовал разные
кстати, на каком-то форуме техподдержки майкрософт видел человека с ником-серийником :)
Видимо сейчас модно использовать серийники от винды 7?!)
и
TCP8W-T8PQJ-WWRRH-QH76C-99FBW
;)
LebchuuGgGg@xxx.ru: якабельлюблютанечку
Kiss.2222@xxx.ru: самаяэксклюзивнаяблондиночка
smile22222@xxx.net: люблюсебя
art-selkov@xxx.ru: БЛЯ БУДУ НЕ ЗНАЮ
rita.belousko@xxx.ru: малявочка
AlenaBlohina@xxx.ru: аленкамуся
sava97@xxx.ru: историясреднихвеков
nba-maccarti@xxx.ru: вадикиженясупер
killx1@xxx.ru: ялучший
i_d_z@xxx.ru:svetko412914836йа такая
fcdm_93@xxx.ru:fuckofdinamominsk
Yazik_p@xxxx.ru:fuckyou
rihanna-1@xx.ru:fuckoffubitch
email тоже иногда смешные…
***on_borzhemski@mail.ru: гомэрсексуал
***gey-beltykov@mail.ru: сексгуру
***rycheva_tatyan@mail.ru: липецкая область
***sim_belolipec@mail.ru: с*ка-козел-п*дор
***chuuGgGg@mail.ru: якабельлюблютанечку
***hanya-fish@mail.ru: логыфевпа
***h52@inbox.ru: выебланы*уйвзломаетепароль
***tia32434@yandex.ru:nastiaзнаете, каквслове*я*сделатьтриошибки?-написать*йа*!!...xDD
top1:
***si2008@mail.ru: приветтывконтактзайтиможешь?
:D
Если их ввести не верно то они тоже фиксируются.
скорее всего, что юзеры видя новую страничку, на которой их просят что-то подтвердить, начинают в лёгкой панике пытаться «вспомнить» пароли, которые вирус аккуратно логирует.
Насобеседовался я таких как вы уже довольно, будущее поколение скатывается ниже плинтуса.
Планктон — неисчислимое существительное. Он не может быть еще одним, олень.
Я не вижу смысла продолжать этот срач со школьниками и поэтому ретируюсь из топика, удачи. Еще раз прошу прощения.
Извините за поздний ответ, случайно наткнулся в ящике.
Разве что троян с правами системы XD
Я албанский вирус, смените пожалуйста /etc/hosts и разошлите меня всем знакомым
без подтверждения на почту!!!
они там совсем чтоли?
80% тех, кому я лечил компы, ранее сидели за IE
после установки на их компы в моем случае оперы проблемы прекратились.
по части вирусни.
При написании связки эксплойтов для загрузки малвари учитываются все браузеры. Подчеркиваю, в том числе и firefox и opera и safari… milw0rm.com — для ie около 50 известных уязвимостей для всех версий, для firefox около 20. Ни для ie8, ни для FF3.6 в общем доступе пока ничего нету.
Я к тому, что по сути, абсолютно все равно каким браузером юзер откроет специально сформированную страницу, т.к. хватит одной критической уязвимости для заражения ПК и соответственно получения всех данных.
Доказано многолетним опытом и здравым смыслом.
но для меня эта практика показала указанный мною результат).
Просто те, кого пересаживаешь на браузер_по_умолчанию, как-то понимают момент и начинают думать при использовании интернета,
думаю, тут тоже есть важный момент…
вот вам, категория A и можно только news/media/podcasts/travel/sports
а вам, кто заплатил побольше и adult themes/nudity/pornography ^^)
Ничему не учатся, печально.
а школы… вот нас учили целый год, в 9 классе пэинту. целый год, да.
perl -pi -e 's/[;].*$/ ==pass== /' passwords.txt
У вас какой-то слишком негативный комментарий. Есть такая вещь, как вежливость. В жизни она очень важна.
Что делать, если Вы нашли базу с 13к паролями по адресу «/log.txt»? Варианты ответа:
1. Написать абузу хостеру
2. Разослать семпл в антивирусные компании
3. Отпойзонить базу на фейковом сайте
4. Разостать предупреждения пользователям
5. Слить базу на Хабре
6. Продать базу на античате
а я предлагаю попутно просвещать народ. можно сайтик под это дело запустить со всякими ХауТу для чайников и другими инструкциями. на нём кстати и размести скрипт, которому можно будет скармливать подобные базы по мере нахождения на просторах интернета.
Всего мыл: 13721
mail.ru — 7319
rambler.ru — 1279
gmail.com — 147
yandex.ru — 2685 (ya.ru — 65)
inbox.ru — 317
…
*может, можно сказать, что пользователи mail.ru чаще забывают/меняют пароль)
Либо отношение ящиков такое, либо юзеры mail.ru чаще ошибаются с паролем.
На самом деле, как показывает практика, — что-то среднее.
Выдает сообщения, что вас сломали, введите старый пароль и 2 раза новый. =)
как это все подло) чувствую себя плохим, ооочень плохим :D
*****@yandex.ru: гипсакартон //та, насяльника
*****@mail.ru: паролище //вот это паролище
*****@mail.ru:vsekruto //видимо, не всё
*****@mail.ru: Зорятокапопробуй //Зоря, можешь пробовать
*****@yandex.ru: лошара // раз поломали, то да
*****@rambler.ru: влюбленныйидиот //бывает…
*****@rambler.ru: бугагаяподстолом // тока список паролей дочитаю и там встретимся
*****@rambler.ru: благословение //на взлом
*****@inbox.ru:smertmentam // NC
*****@inbox.ru: выебланыхуйвзломаетепароль // Хех :)
*****@yandex.ru:nastiaзнаете, каквслове*я*сделатьтриошибки?-написать*йа*!!...xDD //Настя, грамотная девочка
*****@mail.ru: чекист //хреновый чекист
*****@mail.ru: контактотстой //Мазохист прям
Считаю так по двум причинам:
1) в рандоме из списка выбираю строчку и тестирую его работоспособность вконтакте, ни один не работает. Разве возможно что так быстро все поменяли пароль? Скажите который из них еще работает и я начну сомневаться что это фэйк.
2) в рандоме из списка выбираю еще строчки и ищу их по e-mail в гугле, и ни одного результата поиска подтверждающего существование мейла (хотя логично могли бы существующую e-mail базу внести). Даже мой мейл светится в гугле, но ни один из тех что мне попались в списке.
Подтвердите мои догадки, попробуйте и вы найти работающий/существующий e-mail.
Возникает вопрос, зачем делать такой фэйк и вообще зачем выкладывать это в интернете?
1) Логично что из-за рейтинга, наверно много народу на такой сайт залезут что выложил таку информацию.
2) Или из-за кармы, поймите, я ничего не имею против автора темы, но любой мог бы сгенерировать такой список и выложить его на хабре для повышения своего рейтинга, потому как никто не сможет проверить фэйк ли этот список или нет то все поверят что это правда.
Хабро-читатели, что вы думаете о такой точке зрения?
когда я это нашел, было два файла текстовых. второй файл был намного меньше первого (около 1000 строк) — там намного чаще попадались рабочие пары логин-пароль.
+нужно отметить, что при заходе на многие из аккаунтов принудительно предлагается сменить пароль, т.к. аккаунт взломан и с него шлется спам. то есть и пользователи сами меняют пароли, и те кому в руки попала база тоже меняют их.
могу кинуть вам в личку, если желаете
Наверное дискуссия о фэйке закрыта в пользу подлинника :)
видимо на рандом визуализация влияет :)
83: 123456
38: 123456789
33: qwerty
31: vkontakte
26: Дедушка
25: 111111
21: 7777777
16: 1234567890
12: 123321
12: 12345678
12: 123123
но при чем тут «Дедушка» !!!???
ой, у меня пути с другими слешами:) ничего личного — это просто
бизнесlinuxдаже как-то не верится, что не нужно искать пароли от Нода тк очередной сервачок отрубился)
видимо все так друг другу не доверяют в нашем мире…
реально, прав был Митник —
юзверь это самый главный вирусчеловек есть самый слабый фактор любой системыps на проверенных мною — подтер все палевное и отправил письма сам себе с предупреждением.
@mail.ru: НЕХУЙТУТПОЛЗАТЬ
@mail.ru: логыфевпа
@mail.ru: нездесьползать
@mail.ru: нехуйздесьползать
@mail.ru: нехуйтутползать
Отсюда неочевидный вывод — те, кто действительно умеют ставить пароли, не вводят их в фишинговых сайтах :)
P.S. Не судите строго…
Неужели непонятно что это с пароли фишинговых сайтов?
vkontakte.ru 84.134.53.221 #there is some phishing page
программист :))))
последние дня 3 затихло, но видимо скоро пойдет новая волна…
p.s. сейчас и в прошлый раз моих учетных данных в этих списках не было)
echo «vkontakte.ru 84.134.53.221 #there is some phishing page» > %WINDIR%\system32\drivers\etc\hosts написать
sudo echo «vkontakte.ru 84.134.53.221 #there is some phishing page» > /etc/hosts
я первый слеш опустил умышленно, дабы не было ассоциаций с никсовым /etc/hosts
Спамерам нужны миллионы ящиков. 13к для них — капля в море. А еще у этих ящиков нет никакого таргетинга, что почти автоматом приближает их стоимость к нулю…
но лишний раз по этим ящикам написать о том, что их email или icq аккаунт будут удалены без акктивации по смс, с учетом того что это в основном планктон, с не особо большим мозгом в сфере ИТ… могут и купиться. хотя хз. сугубо личное мнение.
Либо уже отреагировали (респект), либо фейк-файл (не респект)
ps есть множество мест в интернете где куча таких списков, и у всех пароли вида qwerty 1q2w3e4r и тд. всётаки более внимательно нужно относиться к выбору пароля
Сам года 2 использую линупс(генту, убунту) с фф3, а месяца 4 назад с хромиумом.
Ни в одном дампе я не попадался.
С линупсом проблем нет, в руке сидит как влитой, вирусы и кулхацкеры очень боятся, зависимости никакой, очень рекомендую etc.
:)
вроде и странички не похожи на созданные на скорую руку
А вообще конечно, суть не в том, что якобы винда плохая. Просто во-первых сами юзеры не соблюдают технику безопасности (не сидеть под админом), во-вторых сами же юзеры в большинстве своем запускают непонятные приложения.
Так что не виндовс нынче ломают, головы наши взламывают.
*me усердно ищет путь C:\WINDOWS\system32\drivers\etc\ у себя в Ubuntu :)
Линуксоидов в процентном соотношении настолько мало, что никто в них целиться не будет.
самые тупые юзеры — это которые на яндексе. из 10 пароль не подходит только 2-3.
самая умная система — это яндекс. после примерно 20 заходов на разные адреса она просит ввести цифры, независимо от правильности пароля.
самые «умные» юзера — это на gmail. они создают невротибаццо какие пароли, но толку от этого никакого.
самые гламурные .tpfh — это на mail.ru. пароли состоят из слов дом2 или вместо буквы Ч пишут 4.
Или уже поздно? )))