Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Защита компьютерных систем (http://forum.oszone.net/forumdisplay.php?f=20)
-   -   Фишинг-домен odnokalssiniki.ru (http://forum.oszone.net/showthread.php?t=172578)

Sham 08-04-2010 16:26 1388040
Фишинг-домен odnokalssiniki.ru
 
В ICQ постоянно получаю левые контакты (стоит авторегистрация) с женскими именами, где в заметках обнаруживается всякий спам...

Вот например:
Код:
Что сказать та, я Таня :)
Симпатичная, общительная девушка, люблю путешествовать и гулять с друзьями
Есть в Одноклассниках :) http://odnokalssiniki.ru/dk?st.cmd=friendMain&st.friendId=oborviwdapfvciblnpd0qjmjwgrjsbwxytyyfu&tkn=3539
Если человек невнимательный, то он не обнаружит в имени домена ошибочку, и возможно, перейдет по ссылке, где введет пароль. Скорее всего, вход на реальный сайт одноклассники.ру произойдет, и будет перенаправление на правильный адрес. Однако логин и пароль при этом попадут владельцам фишинг-домена odnokalssiniki.ru...

dmitryst 08-04-2010 16:58 1388065
Цитата:
Цитата Sham
odnokalssiniki.ru... »
этим всё сказано. Если не сами рассылают, то фишеры отрываются. У меня прокси блокирует похожие сайты по маске odno*.ru :)

Sham 08-04-2010 17:43 1388091
еще vk*.ru :)

dmitryst 08-04-2010 18:30 1388126
Цитата:
Цитата Sham
еще vk*.ru »
нет, там кое-что полезное есть, интернет-магазин и еще что-то было, сейчас не вспомню.

Drongo 09-04-2010 12:44 1388651
Цитата:
Цитата Sham
В ICQ постоянно получаю левые контакты (стоит авторегистрация) с женскими именами, где в заметках обнаруживается всякий спам... »
Недавно был случай, на компе нет антивируса, но в две разные аськи приходят точно такие же сообщения от некоей Таньки из одноклассников, первый раз когда был такой приход, я подумал, ну, спам обычный, а когда на тот же самый комп, но на другой номер пришёл точно такой же спам из реально действующего номера, меня насторожило, проверил AVZ - сделал лог и увидел работающий драйвер и в %WinDir% неудаляемый файл, запускавшийся при старте из автозагрузки:
Код:
C:\WINDOWS\system32\drivers\rk_remover.sys
C:\WINDOWS\ramoking.exe
Пришлось составлять скрипт, получился такой
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 SetServiceStart('rk_remover-boot', 4);
 StopService('rk_remover-boot');
 QuarantineFile('C:\WINDOWS\ramoking.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\rk_remover.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\rk_remover.sys');
 DeleteFile('C:\WINDOWS\ramoking.exe');
 DelCLSID('{5A0CAB40-AC94-32AC-0494-4610C850DA02}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ramoking');
 DeleteService('rk_remover-boot');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Выполнив скрипт, комп больше этого спама от Танек не получает. Связано это с обнаружеными службами и файлами или нет, не знаю, но на всякий случай решил отписаться. Может рискнуть и проверить комп AVZ ? :)

Sham 09-04-2010 14:13 1388710
Цитата:
Цитата Drongo
C:\WINDOWS\system32\drivers\rk_remover.sys C:\WINDOWS\ramoking.exe »
не мой случай...

Причина большинства спама в IM (в основном ICQ, как популярного) - это протокольные боты.


P.S. инфа по домену :)

Код:
IP адрес: 61.4.82.77

Location: China  Beijing Linktom Network Technology Co.,Ltd. - Китай, Beijing

domain:    ODNOKALSSINIKI.RU
type:      corporate
nserver:  ns1.motherland-n.net
nserver:  ns2.motherland-n.net
state:    REGISTERED, DELEGATED
person:    Private person
phone:    +7 917 4876520
e-mail:    olololo@ya.ru
registrar: REGRU-REG-RIPN
created:  2010.03.24
paid-till: 2011.03.24
source:    REGRU-REG-RIPN


Время: 19:44.

Время: 19:44.
© OSzone.net 2001-