Интернет провайдер в Санкт-Петербурге - Вэб Плас. Интернет-провайдер Петербурга.

Санкт-Петербург

English

поиск

Управление почтой

Ваши домашние странички

Тесты на безопасность

Ловушки

Патчи, патчи, патчи (или ловушки для дураков)

Еще одним способом обмануть пользователей является посылка им писем якобы с бесплатными обновлениями используемых ими программ (как правило, это ICQ и Internet Explorer). При этом хакеры могут указывать для повышения правдоподобности письма адрес, вроде бы принадлежащий компании-производителю этого программного продукта. Фантазия хакеров работает - вот письмо, посланное одному пользователю 20 декабря. Программа оказалась троянским конем Coced 2.34 согласно AVP ;)
From: support@microsoft.ru To: rik@microsoft.ru Subject: Microsoft Corporation Update Добрый День! Вас приветствует менеджер по внешне-экономичесской деятельности и общих внешених связей Российского представительства корпорации Microsoft, Рик Киолски. По нашей информации, ваша система Microsoft Windows, а конкретнее приложение Microsoft Internet Explorer отправило на наш локальный сервер 12 декабря 1999 года запрос на аутенфикацию конкретного приложения. По нашим данным Ваш Microsoft Internet Explorer и библиотеИнтернет. Эта ошибка, скорее всего, вызвана при использовании версии WINSOCK.DLL -3.495.123.11a или ниже. Это может ка, отвечающая за безопасность операционной системы Windows подверженна атакам как локально так и через означать, что при использовании специального кода на javascript, зайдя просто на какой-то сайт, Вы даже не заметите как с Вашего компьютера, благодаря ошибке Buffer Overflow (переполнение буффера), пропадут многие файлы и работа ОС Windows в целом будет нарушена. ВАША ОС WINDOWS В ОПАСНОСТИ. Для устранения этой ошибки мы предоставляем бесплатный патч, который прикреплен к письму. Чем раньше Вы исправите эту ошибку - тем больше шансов, что Ваша информация на жестких дисках и в сети Вашей компании не подвергентся опасности. В целях Вашей безопасности файл был проверен перед отправкой на наличие вирусов и троянских коней антивирусной программой AVP последней версии. Кроме того, чтобы предотвратить перехват файла между хостами предоставляем его точное имя, размер, и CRC32: patch-i386-win95-win98-42332113.exe, 21645 Bytes, 312312A Спасибо. -- С уважением, Рик Киолски. Российское представительство Microsoft e-mail: rick@microsoft.ru http://www.microsoft.ru

Вот какое объявление было опубликовано в HackZone Alert: Aleph 16.09.99 01:32:25 Вместе с письмом следующего содержания от "support@microsoft.com" рассылается новая (?) версия Trojan.PSW.Stealth.d (Stealth2), НЕ ОПРЕДЕЛЯЕМАЯ АНТИВИРУСАМИ > From: "Web partizan" > Reply-To: > Subject: Ie patch (i5df7 bug fixed) > In Your Explorer there is a bug,which make not possible to see some web > pages.Now You can fix it with patch which we send you for FREE. > Microsoft support group Примерный размер файла (может слегка варьироваться) ~ 64 Kb (65,536) По смещению 0F6DF Hex открытым текстом (в Unicode) прописано Stealth2 ! К сожалению, у меня отказался запускаться - не то файл "битый", не то в Выне чего-то не хватает, так что я не могу сказать, в самом ли деле это новая версия или все тот же, просто попорченый Trojan.PSW.Stealth.d Думаю, в любом случае, от Trojan.PSW.Stealth.d он будет отличаться (необязательно) только названием файла в ключе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Spooler Service"="\"D:\\WINDOWS\\spoolsrv.exe\"" и номером версии в ключе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Font Cache] "Courier"=hex:53,74,65,61,6c,74,68,20,32,2e,31,38,00 (Это для Stealth.d - литеральное значение: "Stealth 2.18") -= Be Care =-

Данила , daniel@richel.ru 14.09.99 09:00:04 Приходит письмо: Здравствуйте! Эта программа является первой разработкой компании H&D Soft Inc. Она предназначена для оптимизации работы вашего проигрывателя лазерных компат дисков. Если у Вас есть проблемы с чтением компакт дисков, то эта программа предназначена для вас. Но даже если вы не испытываете трудностей с чтением, то она сможет улучшить настройки работы CDRom проигрывателя в MS Windows! Если Вам понравится наша разработка, то, пожалуйста, вышлите нам свои отзывы о ее работе или предложения по ее улучшению. Это позволит нам в дальнейшем выпускать такие полезные программы для Вас. С уважеием директор компании H&D Soft Inc Андрей Ясный. Эта программа, конечно троян причем не сам вирус а его интсаляха. Trojan.PSW.Coced

Alexander (http://www.vicom.ru/~pcp), unknown_designer@mail.ru 15.11.1999 02:06:18 Если вам придет сообщение с текстом: Hello, It's a new ICQ patch for you writen by Silence Hack group. Read readme.txt and enjoy. Best regards, Noah mailto:noah_z@mail.ru и ZIP файлом в аттаче то не советую запускать из этого архива EXE-файлы :-)

Dmitri Tsvetkov , tda@mail.ru 6.09.99 13:06:52 Письмо от Andrey Sokolov ======================================= Здравствуй уважаемый пользователь интернэт. Мы группа разработчиков программных продуктов для российского рынка. Поздравляем тебя с попаданием в число ста счастливчиков получивших наш продукт первыми и абсолютно Бесплатно!!! Представляем тебе новую версию программы предназначенной для улучшения работы твоего Браузера и модема. Не будем вдаваться в подробности что конкретно делает наша программа а скажем лишь о нескольких результатах: скорость интернета увеличивается в 2-3 раза исчезают обрывы связи работа Netscape и Iexplorer более корректна. Попробуй не пожалеешь к тому же в любой момент ты можешь ее дэинсталировать и она вернет все настройки к первоначальным ВНИМАНИЕ: При обнаружении ошибок просим сообщать нам за это выплачиваться материальное вознаграждение !!!!!! Дальнейшие версии уже за $ ===================================== С письмом аттачмент SpInet.exe AVP опознает вирус Trojan.PSW.Stealth.d

А вот объявление в Новостях "Лаборатории Касперского" от 29 ноября 1999 г.: Напоминание о правилах безопасности новостных блоков Сообщения в новостных блоках "Лаборатории Касперского" никогда не содержат вложенных файлов и всегда распространяются в виде "чистого" (не HTML) текста. Эти условия определяют невозможность распространения вирусов и других вредоносных программ в рассылаемых письмах. В случае, если Вам пришло сообщение от "Лаборатории Касперского", содержащее вложенные файлы, то ни в коем случае не запускайте их. Вполне вероятно, что письмо было подделано неизвестными злоумышленниками, пытающимися проникнуть на Ваш компьютер. Даже если антивирусный сканер не нашел ничего подозрительного в присланных файлах, обязательно перешлите их на адрес технической поддержки компании (suppost@avp.ru) на экспертизу.

03.12.99 в списке рассылки "Интернет НьюсУик" было опубликовано объявление о том, что злоумышленники пытались распространять троянских коней под видом приложений к письмам этого списка рассылки и предупреждение его читателям: "ВНИМАНИЕ ПОДПИСЧИКАМ! Редакция ИН не высылает никаких писем с атачметами, выявлен случай, когда злоумышленник пытался подобным образом прислать трояна."

Еще объявления из HackZone Alert Wise Tomcat (http://www.security.nnov.ru/), wise@tomcat.ru 2.10.99 19:11:36 От: ДиалогНаука Москва Тема: Новая версия Dr.Web c поддержкой защиты от WinCIH95 Дата: 24 сентября 1997 г. 0:12 Вас приветсвует служба технической поддержки лучшей антивирусной программы Dr.Web! Мы предлагаем Вашему вниманию новую версию Dr.Web, версия 5.35 (13 августа 1999) и т.д. - А Касперский почему-то считает, что это Trojan.PSW.Stealth.d

Лаборатория Касперского (http://www.avp.ru), info@avp.ru 27.08.99 02:34:19 24 августа с.г. в адрес ряда зарегистрированных пользователей электронной почты (в том числе и на адрес info@avp.ru) от имени известной российской компании Лаборатория Касперского поступило сообщение-предупреждение о появлении нового "чихо-подобного" вируса. Подписана данная фальшивка именем руководителя Лаборатории Касперского Евгением Касперским. Помимо описания псевдо -вируса Daytona_ICQ-1089, в послание вложен файл ICQclean.exe. "Это Patch (Заплата) дла программы ICQ, которая защищает Ваш компьтер от проникновения данного вируса. Перепишите ее в папку, где у Вас установлена программа ICQ, и запустите" - пишут "доброжелатели" (Орфография сохранена). На самом деле в исполняемом файле ICQclean.exe находится в чистом виде "троянский конь". Лаборатория Касперского в очередной раз призывает пользователей электронной почты внимательно относиться ко всем непроверенным сообщениям. Мы настоятельно рекомендуем установить антивирусную программу с последними обновлениями антивирусной базы и проверять все пришедшие файлы.