Ловушки

• Кое-что о бесплатных программах
• Хочу познакомиться с тобой
• Патчи, патчи, патчи
• Дешевый Интернет не нужен?
• Халявный Интернет и крутые хакеры
• Верить нельзя никому...

Дешевый Интернет не нужен? (или ловушки для дураков)

Поскольку финансовое положение у большинства людей оставляет желать лучшего, они с интересом отнесутся к любой информации о более низких ценах на что-либо (например, на Интернет). Поэтому хакеры часто рассылают пользователям троянских коней под видом прайс-листов. После одной из таких рассылок price.ru опубликовал даже заявление, что он не причастен к рассылке этих псевдо-прайсов. Вот типичный текст письма такого типа с троянским конем, рассылавщегося пользователям провайдеров Петербурга: -----Исходное сообщение----- От: Vladimir Kurilov Кому: users@all.com Дата: 25 сентября 1999 г. 4:47 Тема: Re: Добрый день! По заинтересовавшему Вас вопросу можем предложить Вам прайс нашей фирмы (в виде архива). Надеемся, что наши цены (самые низкие в Санкт-Петербурге) и система скидок студентам, а также прочим малообеспеченным слоям пользователей компьютеров заинтересуют Вас. Наш адрес: ул. Садовая д.56 оф.15 тел: 314 89 76 С уважением, Курилов Владимир. mailto:kurilofv@infos.ru Victor Makagonov , victorm@progresstech.ru 7.09.99 14:32:24 Вам приходит письмо с телом TechMarket price list RAR SFX Arcnive аттач - price.exe На самом деле AVP определяет как Trojan.PSW.Coced.232 Voron , voron@windoms.sitek.net 9.09.99 09:47:16 Привет ! Приходит мне письмецо: From: public1c@1c.ru Subj: Основной прайс-лист "1С" ( еженедельный ) Сентябрь 1 . [body] price_1c.exe ( .exe файл -саморазворачивающийся) Изменения в прайс-листе тут : http://www.1c.ru/rus/PARTNERS/PRICELST/chprice.htm [end body] Делает следующее: 1. [HKEY_CURRENT_USER\Software\General] "1"="C:\\мои документы\\1C\\PRICE_1C.EXE" // То где был 2. [HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\Run] // Ну понятно "Path"="C:\\WINDOWS\\PRICE_1C.EXE.EXE" "Enable"="Yes" "Startup"="" "Parameters"="" По моему создает файл на диске и атачит его куда то :) Иконка на файле прилеплена JPEG :) А на том который в корень пишется уже RAR. При запуске ICQ показывает свое окно, после чего сразу прячет :))) По роутингу пришло с compuserv.com ... С наилучшими пожеланиями Voron Sammy (http://www.bar.ru), sammy@bar.ru 15.09.99 18:18:13 Только что получил свежатинку: Received: from (skipped) Sep 1999 16:26:43 +0400 MIME-Version: 1.0 Content-Type: multipart/mixed; boundary="= Multipart Boundary 0915991317" From: Seller To: Subject: Компьютеры на базе процессоров Intel Рentium II по ценам на 20% ниже рыночных. Date: Wed, 15 Sep 1999 13:17:19 +0300 Return-Path: Delivered-To: sammy@alena.orc.ru (skipped) Received: from [207.0.12.10] (HELO z.com) by aha.ru (CommuniGate Pro SMTP 3.1b9) with ESMTP id 3053050; Wed, 15 Sep 1999 16:21:09 +0400 Received: from TmpStr (195.26.161.67) by z.com with SMTP (Eudora Internet Mail Server 2.2.2); Wed, 15 Sep 1999 05:17:34 +0000 Message-ID: <1274751711-8435065@z.com> X-UIDL: 3465 Status: U "Уважаемые господа! Наша компания "Технология-М" занимается реализацией оптом и в розницу таможенного конфисканта компьютерной и электро-бытовой техники по очень низким ценам.Наши цены на 30-50% ниже, чем средние по Москве. Полный прайс лист находится в файлах присланных Вам в двух вариантах 1й это документ формата word 2й (более новый) это документ формата notepad. Компьютеры на базе процессоров Intel Рentium II по ценам " Дальше текст обрывается. Внутри два файла: price.doc.(много пробелов)exe (58к) и price.zip.(много пробелов) exe (22к) Некоммрческий Доктор Веб 32 ничего не находит.. Если открывать WinZip'ом, то price.zip.exe распаковывается нормально, подделка под ворда - нет. Более свежими антивирусами пока не проверял, запускать тоже не пробовал. Если кому интересно - вышлю файлы мылом. Regards, Sammy Еще одной вариацией на эту тему является посылка писем якобы от потенциального работодателя (кто не мечтает устроиться на работу с большой зарплатой ?) Вот сообщения из HackZone Alert Павел , pavelpe@mail.ru 27.08.99 13:11:04 Ищу работу в Инете. Приходит письмо следующего содержания: "Вы претендуете на рабочее место в нашей фирме. В письмо вложен файл с заданием , после выполнения которого мы пригласим вас к нам в офис на собеседование ." отправлено с huggo@mail.ru В прикрепленном файле (rips.exe) Troyan.PSW.Stealth.a (по Касперскому)