Перейти к публикации
Дедовский городской форум
claus

Skype скопрометирован.

Рекомендованные сообщения

Внимание. Новый троянец распространяется через сообщения в Skype. Не переходите ни по каким ссылкам от контактов(да же самых близких) или ещё откуда-нибудь. троянец очень опасен, DrWeb его внес в базы часа 3 назад, как обстоят дела у других Антивирусов не знаю.Так же есть не подтверждённая информация, что заражение происходит в фоновом режиме!!!

 

Есть два сценария заражения:

1. Браузер в фоновом режиме скачивает заражённый архив, распаковывает и привед! (Браузер получает компанду через эксплойд во flash или js)

2. Вы сами его скачиваете по ссылке из Skype, распаковываете и превед.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сегодня ко мне ломились с украденного контакта по второй схеме.

Зип-архив на бесплатном хостинге, внутри экзешник с именем skype_что-то-там.

Причем сначала была фраза "это Вы поменяли фотографию?" или как-то так - не помню, и что меня напрягло - звонивший меня на "Вы" да еще с большой буквы никогда называть не стал бы.

Ссылка через сокращатор, на goo.gl начинается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Скайп - как триппер в колхозе

сначала у председателя, потом у всех

 

ну это так, шутка

а по серьезному - спасибо за предупреждение, надо мать-старушку предупредить пока не выловила ничего

а то я за ней порнобаннеры уже вычищал...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Сегодня ко мне ломились с украденного контакта по второй схеме.

Зип-архив на бесплатном хостинге, внутри экзешник с именем skype_что-то-там.

Причем сначала была фраза "это Вы поменяли фотографию?" или как-то так - не помню, и что меня напрягло - звонивший меня на "Вы" да еще с большой буквы никогда называть не стал бы.

Ссылка через сокращатор, на goo.gl начинается.

 

Ну наши news makers уже новость сварганили).(читать тут если интересно)

И таки да ссылка через сокрощатор гугла) Но завтра она (ссылка) уже может быть другой

 

add. Там троянец. Прёт с компа всё до чего может дотянутся (все пароли что есть в браузерах и т.п.) + качает маячок + прописывает комп в IRC ботнет.

Изменено пользователем claus

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я вчера по такой ссылке прошла нечаянно, но там обнаружилось сообщение об ошибке "данный файл (какой-то зип_архив) отсутствует". Слова про "фоновый режим" означает, что я могла при этом заразиться?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Я вчера по такой ссылке прошла нечаянно, но там обнаружилось сообщение об ошибке "данный файл (какой-то зип_архив) отсутствует". Слова про "фоновый режим" означает, что я могла при этом заразиться?

Нет.

Заражение происходит в момент открытия архива

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дайте ссылку - каспер проверю...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

только что ко мне тоже ломился кто-то неизвестный, сылку слал. однако, массовая атака на добропорядочных пользователей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

это под виндовс только? прошу уточнить

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Дайте ссылку - каспер проверю...

Файлик остался на работе:-)

Только для винды

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Очень опасная зараза. Каспер особо не помог. DrWeb после полной очистки компа должен по идее справиться (утилита CureIT, работать с компьютером в процессе сканирования абсолютно невозможно)

Изменено пользователем Viper

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Очень опасная зараза. Каспер особо не помог. DrWeb после полной очистки компа должен по идее справиться (утилита CureIT, работать с компьютером в процессе сканирования абсолютно невозможно)

в дедовске у знакомых уже два компа им заразились, продолжаю наблюдение

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Очень опасная зараза. Каспер особо не помог. DrWeb после полной очистки компа должен по идее справиться (утилита CureIT, работать с компьютером в процессе сканирования абсолютно невозможно)

 

Ессено не возможно)

 

Сказочник смотри личку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Соответственно проверил то что от Макса пришло...

 

post-1494-1349676173_thumb.png

 

Перейдя на результат получил следующую инфу...

Backdoor.Win32.Ruskill.fsf

Время детектирования 05 окт 2012 14:09 MSK

Время выпуска обновления 05 окт 2012 15:49 MSK

 

Пруф http://www.securelist.com/ru/search/?funct...n32.Ruskill.fsf

 

По разделам висит как

Вредоносные программы -> Троянские программы -> Backdoor

 

PS: Судя по антивирусным сайтам - только на каспере нет описания этому вирусу, а он просто добавлен в базы - остальные антивирусы на нем хорошо распиарились...

Но это толком то и не вирус, а грабли... Пользователь сам скачивает, сам запускает...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Новость в шапке темы была не компрометирующая скайп, а просто информировала о вирусне для ос винда.

 

Сейчас исправим:

Месяца два назад я писал об этой критической уязвимости в skype support, но она до сих пор не исправлена.

 

Сразу скажу, что саму уязвимость я целиком не знаю, но в последнее время начались массовые угоны аккаунтов.

 

Для реализации атаки необходимо лишь знать логин скайпа и e-mail жертвы, к которому привязан этот логин(в 90% случаев найти e-mail жертвы не проблема).

 

Proof-of-Concept я не знаю. Но делается по достаточно незамысловатой схеме:

-Регистрируется новый скайп на e-mail жертвы.

-Запрашивается восстановление пароля скайпа на этот e-mail.

-Меняется e-mail на зарегистрированном скайпе.

-Дальнейшие действия мне не известны, то ли маркер пароля опять восстанавливается, то ли еще что-то, в итоге злоумышленник меняет пароль от вашего основного скайпа через маркер пароля.

 

На почте жертвы письма появляются примерно в такой последовательности:

http://forum.xeksec.com/f13/t68922/#post98725

 

Вот это вот компрометирование и скайпа и микрософта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

по новостным лентам понеслось:

http://lenta.ru/news/2012/11/14/hack/

поцанчики даже видосик запилили, для ламо, как скайп тырить:

http://www.screencast.com/t/wpI3IxZQw

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Закрыли заплаткой уже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Новость в шапке темы была не компрометирующая скайп, а просто информировала о вирусне для ос винда.

 

Это первый, на моей памяти, вирус распостраняющийся через skype. ) До этого эта звонилка была довольно безопастна...

Хотя я помню времена, когда вирусы распостранялись через icq, я один такой да же ловил.... с тех пор на много аккуратнее)

А по поводу сабжа от Макса, действительно косяк) при том не хилый такой косяк)))

Изменено пользователем claus

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

тссс, теска все уже давно прикрыто и забыто, а осадочек только в наших сердцах...

 

04-rocco-fazzari.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

×
×
  • Создать...