Ловушки

• Кое-что о бесплатных программах
• Хочу познакомиться с тобой
• Патчи, патчи, патчи
• Дешевый Интернет не нужен?
• Халявный Интернет и крутые хакеры
• Верить нельзя никому...

Кое-что о бесплатных программах (ловушки для дураков)

На сайте HackZone (www.hackzone.ru) в разделе HackZone Alert регулярно публикуются объявления о размещении троянских коней под видом бесплатных программ на www-серверах. Ниже приведены только некоторые из этих объявлений.

Саша  15.01.2000 10:33:00
На сайте http://webline.newmail.ru/, в архивах с программами HTML Color
String Maker http://webline.newmail.ru/cstring.zip) и NeoTrace 2.02
http://webline.newmail.ru/neotr202.zip) кроме самих дистрибутивов программ,
лежит еще и по файлу new.exe (64 килобайта) с стандартной иконкой
setup-файла. Dr. Web их определяет как Trojan.Stealth. Однако, что
интересно, сами дистрибутивы программ вроде бы чистые, так что непонятно -
то ли этим занимаются весьма ленивые люди, то ли просто рассчитывают на
лохов.

Alexey ( http://galibin.chat.ru ), galibin@chat.ru  25.01.2000 23:08:25
На сайте [MANIACs] HomE Pages,
http://lightning.prohosting.com/~elja/,
в разделе программы соблазнился на прогу Sapfile "прикольная вещица, -
незнаю как это происходит, -кароче что то вроде вращающихся спиралей на
которые смотришь несколько секунд, -потом отводишь глаза, и все начинает
плавать!!! ".
Скачал, НортонАнтивирусом проверил. Все в норме. Запустил.  Спирали
появились, но одновременно завопил Jammer : "New record in registry; ...
Run ... c:\...\system\winexe.exe" и AtGuard "Outbound TCP ...
Application:winexe.exe   Remoute service:smtp(25)   Remoute addres:
mail.compuserve.com ..."
Нехороший человек этот MANIAC, к томуже и плавать перед глазами ничего не
начинает. Дважды обманщик. Хорошо, что я предохраняюсь :-)

DIMM on , dimm_on@mail.ru  18.11.1999 19:52:23
http://www.freeinet.newmail.ru/freeinet.exe
По этому адресу вы можете найти отличного трояна, хотя это должен быть
заархивированный сайт www.freeinet.newmail.ru , на котором содержиться ну
очень много различной халявы (а я-то думал - откуда они берут халявные
пасворды =) .

Андрей  , chechaco@chat.ru  17.11.1999 00:30:29
http://programm.ok.ru/mc.html
Посмотрите эту подборку. Под видом программы защиты от хакеров и
уWEB-ускорителя рассылаются натуральные трояны!

Александр Зинкевич ( http://www.freesoft.ru/ ), alexander@freesoft.ru
30.11.1999 05:03:45
Обнаружен Trojan.Win32.TrojanRunner !

========
Erudit 1.50
Реализация популярной игры в слова Scrabble (Эрудит, Крестословица) на
русском языке. Содержит словарь из 26,500 слов. Возможен выбор уровня
сложности.
http://www.chat.ru/~erudit_game/erudit.zip
Size: 161 Kb
Stat: FreeWare
Author: Волков Дмитрий
Mail: erudit_game@chat.ru
========

JWolf , jwolf@mail.ru  28.11.1999 21:27:29
Народ !!! Не повторяйте моих ошибок - НЕ качайте ничего с
www.hardsoft.da.ru  !!!
Они во все троянов напихали !!
Испытано на себе !!

Александр ака Algo , algol@glasnet.ru  28.11.1999 18:44:14
  Дятлов развелось...
http://www.chat.ru/~spacreat/spdialer/ с этой страницы, хозяин которой
Александр Панченко, spacreat@chat.ru, подсовывают лежащий здесь
http://bang.sinor.ru/~maxowl/spdialer/spdialer.zip вирус
Trojan.Win32.RC5_Dropper

Точно такой же диагноз и здесь:
ftp://ftp.freeware.ru/pub/internet/connect/spdialer.zip

И тут тоже... :(
URL From Page:  http://www.softlist.ru/cgi-bin/program.cgi?244
From URL:  http://www.chat.ru/~spacreat/spdialer/spdialer.zip

И тут http://rus-soft.unet.ru/ тот же самый spdialer.zip с
Trojan.Win32.RC5_Dropper

Люди, будте бдительны!

John Lammer (http://johnlammer.x-hardcore.com), jlammer@chat.ru  15.09.99
22:41:04
Приходит письмо от ListMailer  - подписка на SoftList.ru
#25 (почти как ЛистСофт на который я действительно подписан), а там среди
прочих програмка WEB Specialist1.0 Alpa, которая по уверению авторов
заносит данные о твоей страничке в 1234 поисковые машины.
В результате ViruSafe (спасибо sexyboy'ю, я приобрел этот антивирус с
помощью его кредитных карточек) определил что там сидит
Win32.BackOrifice.c.- троян. Он пишет в WIN.INI строчку на запуск
winda.exe, которая прописалась в C:\windows\.
Других проблем пока не заметил..

 Аналогичная информация периодически появляется в
 списке рассылки СуперЛинк - обзоре новых программ.
                  Внимание!!!

В опубликованной в прошлом выпуске СуперЛинка программе DesktopShield

http://www.cafe.rapidus.net/stgrolea/DesktopShield99.zip

AVP находит вирус Backdoor.IMailer.

В скаченном 30 сентября файле AVP ничего не увидел, но сегодня, после
получения сообщения от Олега Иванова (за что ему большое спасибо), файл был
скачен снова - AVP с базой за 30.09. однозначно определяет его как вирус!

     18 ноября список рассылки CityCat СуперЛинк дал информацию о полезной
     программе - русификаторе ICQ. Но уже на следующий день он разослал
     следующее сообщение:

  Внимание - обнаружен вирус-троян!
  Руссификатор ICQ99b, о котором было написано во вчерашнем
  выпуске (http://99rus.df.ru/files/icq99b_rus.zip), на поверку
  оказался троянским конем :-(

  Вот что сообщил один из подписчиков:
  Скачал я руссификатор ICQ99b из
  http://99rus.df.ru/files/icq99b_rus.zip
  руссифицировалось.... и... в WINDOWS/SYSTEM появился файл
  pvds32.exe (примерно 124 Кб) - модифицированный троян "HOOK" ,
  который кстати не распознается AVP с апдейтом от 12.11.99 позже там же
  обнаружились еще 2 файла pvdsdll.dll и pvdslg.dll (в последний пишутся Логи ,
  Пароли жертвы и все действия : входил в сеть через терминал или нет
  открывал ICQ и т.д. )
  Удалил pvds32.exe , подчистил реестр и заново поставил
  руссификатор ( для проверки - действительно ли эта зараза склеена с
  руссификатором ? После повторной установки pvds32.exe появился вновь... 
  Сомнений   нет. ) По дошедшим до меня слухам где-то выложены исходники 
  HOOKa и   кто-то постарался , изменил часть кода чтоб AVP не определял его...

  Прошу извинить меня за причиненные неудобства :-(

  Therion  8.11.1999 13:14:43
Я хотел бы сообщить, что в программе NetMonitor на сервере freeware.ru
содержится вирус Backdoor.Valvoline
Вирус, по всей видимости, новый! Мой AVP обнаружил его только после
обновления антивирусных баз, которое было 5 ноября.
-------------------------------
Комментарий HackZone:
В настоящее время FreeWare.Ru проводит проверку указанного файла.Взят он
был с сайта производителя, и на моей памяти было несколько случаев ложной
тревоги AVP в случае шибко умных программ, занимающихся самораспаковкой в
памяти.

 Nic Gogynsky , uze_kok@hotmail.com  3.11.99 04:33:07
Привет Алл.
Если Вам предложат скачать крутой редактор-утилиту для Jagged Alliance 2
из http://members.xoom.com/A601960/
- откажитесь от этого щедрого предложения.
Под видом утилиты лежит -
AVP32 проверяет - обнаружен вирус Trojan.PSW.Stealth.d
Повторяю Trojan.PSW.Stealth.d !!!!!!!!!!
Всем не попасть на эту и другие дурки.

Mo , m_o_n_s_t_e_r@mail.ru  21.10.99 12:29:08
http://www.chat.ru/~mtghack

Любителям STEALTH 2 весьма рекомендуYOU. А нормальным людям не советую
скачивать что-то с этого URLа. Все файлы хранятся под разными названиями
(типа ICQPASS, NUKE...) но имеют оду длину (о чем то это да говорит...).
Вообще то, не говоря о том что все файлы состоят из подбитого троянца
который даже и не запускается коррекно, знание русского языка автором этой
странички оставляет желать лучшего....

Rash , rash@tajnet.com  20.10.99 18:37:27
На http://emul.jump.ru/ в эмуляторах для 3dfх и патчах к игрушкам мой АВП
обнаруживает Trojan.PSW.Stealth.d. Вот так.

SoftLV (http://www.soft.lv), softlv@puh.lv  20.10.99 13:17:07
Пришла сегодня рассылка Omen-News и там вот такое :
5) Игры. Все для 3dfx. 3dfx эмуляторы и коллекция патчей к играм.
Ссылка указывает на http://emul.jump.ru. Все так называемые "патчи" имеют
одинаковое название и определяются AVP v3.0 build131 как
Trojan.PSW.Stealth.d

Dud  , dud@id.ru  2.10.99 19:12:24
http://:members.xoom.com/icqshnik/

Под вывеской "программы для Аськи", лежат экзешники зараженные Стелсом.
Спасибо AVP :)