1. Вы находитесь в архивной версии форума xaker.name. Здесь собраны темы с 2007 по 2012 год, большинство инструкций и мануалов уже неактуальны.

Спам вконтакте. «Пройдите наш опрос».

  1. Спам вконтакте. «Пройдите наш опрос».

    [​IMG]
    Такой спам сейчас ходит по сети «вконтакте», видели наверное уже)
    Рассмотрим, что же там происходит, и как от этого лечиться.
    Форма спама имеет несколько вариаций, о них позже, представим, что нам пришел такой вариант:


    При переходе по указанному адресу нас переадресует на vk-blogin.ru/blog.php, на котором, собственно, нас просят пройти некий опрос, созданный для улучшения сервиса вконтакте. При завершении длинной цепочки вопросов нас не как обычно попросят отправить СМС на платный номер, а предложат скачать некий файл:
    Подробнее ниже:

    [​IMG]
    Stats.exe, весом в 1,32 мб, запакованный в upx. Проверка на virustotal. md5:0364175771B7B4F7A1E75B34E726BF43
    Снимем upx, вес 3,16 мб, delphi 2009, Проверка на virustotal. md5:742E0A494FD5610073A21B492F055CE2
    Ну, запустим этот Stats.exe:

    [​IMG]

    Введем для начала случайные данные:

    [​IMG]

    Значит стоит проверка валидности, предусмотрительные злоумышленники.
    Введем данные от реального аккаунта:

    [​IMG]

    А сниффер тем временем ловит следующее:

    [​IMG]

    При вводе правильных данных, начинается скачивание файла install_msi.exe, который сохраняется во временной папке системы.
    install_msi.exe, упакован upx, проверка на virustotal. md5:6F22F4CF587964CED4458F1D794FD12D
    Во время скачивания происходит спам по всему списку друзей того аккаунта, что был введен, когда спам окончен – запускается скачавшаяся программа, правит hosts файл с целью последующего редирректа на фишинговые страницы и отправляет систему в перезагрузку.

    [​IMG]

    Как происходит сам спам?
    Скачивается шаблон сообщения для спама, после которого вставляется картинка на фишинговую страницу:

    [​IMG]

    Там мы и видим, что вариаций совсем не так много)
    Как вылечиться?
    В принципе, никаких вирусных файлов после инфекции в системе не остается, но на перечисленные страницы система попасть не сможет:

    [​IMG]

    Для исправления нужно просто открыть файл C:\WINDOWS\system32\drivers\etc\hosts и удалить в нем все строки. Перезагрузка не нужна, теперь переадресация на фишинговые страницы не работает.

    (с)onthar