Говорят, что хотят нанять, а сами рассылают вирусы

Пришло такое же письмо, увы открыл. Убил все задачи левые, удалил также файлы связывающие с ними.
Сейчас провожу проверку всей системы Cure It. Кстати кто нибудь использует антивирус от майкрософта? Microsoft Security Essentials?

Цитата ("Vlad_06"):

Читал вчера тему и радовался, что наконец-то народ стал понимать преимущества касперского (про двух спецов не говорим).
И тут раздается телефонный звонок... Звонит приятель. Рассказывает. Был в интернете, не помнит где. Нажал на что-то, не знает на что. Ксперский тут же выбросил черный флаг, на котором было написано... что написано, он прочитать не успел, потому касперский тут же исчез.Винчер замигал желтым огоньком. Он в панике начинает закрывать окна - мышь не работает. Комбинация из трех клавиш - клавиатура отключена. После reset'a запускает касперского - "исполняемый файл не найден". Пытается повторно установить - "файл заблокирован". Более того, папки с именами "антивирус" и kis - тоже заблокированы. И над всем этим - окно: "Internet Security: на вашем компьютере обнаружено вредоносное ПО. компьютер заблокирован, чтобы предотвратить распространение.... Чтобы снять блокировку отправьте смс на номер..."
Ну, дальше не интересно. А интересно, с какой легкостью эта гадость вышибла Касперского.
Правда, у него нехорошая привычка сидеть с учетной записью администратора, но все равно. Второй прокол касперского за последние 3 года

Замечательный антивирус, но его больное место, как раз то, что некоторые вирусы вырубают его, поэтому пользуюсь NOD32-хотя пропускает чаще вирусы чем каспер, но не одна тварь его не вырубает.

Мне тоже пришло письмо. Но файл я не скачивала. Спасибо вам всем за предупреждения!

Тоже сегодня получил такое послание:


Заподозрил неладное, глянул исходный код картинки.. это оказался исполняемый файл с расширением jpg.
Отослал файл в лабораторию Avira. Вот их ответ:

Thank you for your email to Avira's virus lab.
Tracking number: INC00432---0.

A listing of files alongside their results can be found below:
File ID FilenameSize (Byte)Result
25557488 Foto.jpg 754.42 KB MALWARE

Please find a detailed report concerning each individual sample below:
FilenameResult Foto.jpg MALWARE

The file 'Foto.jpg' has been determined to be 'MALWARE'. Our analysts named the threat TR/Drop.Agent.772531. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection will be added to our virus definition file (VDF) with one of the next updates.

Так что будьте осторожны.

Теперь начнется... Получили базу э-мэйлов и каждый день будут приходить подобные. Самое нелепое то, что многие начинающие фрилансеры сразу попадаются на них, не имея даже серьезной защиты ОС. Первое письмо открыл, вернее, файл. Стоит КАВ 2010, который и запускает объекты виртуально. Он даже не разрешил скачать его. В общем, всем советую. Не пропускал пока ничего.

Я открылаааа...Бьюсь головой об стену. 3 года на фрилансе не избавили от любопытства. Кажется, кипер увели все же.

Мне пришло такое письмо. архив открыл, как увидел что там сразу выключил.
в итоге лишился 250 баксов что лежали на счета.
украли все под 0.

webmoney под сомнение нужно ставить как систему в целом раз она такая безпонтовая.

1. кто подскажет, что делать кроме как в милицию в отдел К идти?
2. реально деньги вернуть как то или все уже....

помогите люди добрые наказать мошенников

Блин вебмани надо вводить подтверждение платежа смс-кой с зарегистрированного телефона с невозможность его смены, например, без подтверждения регистратором смены мобилы

wmdesigner, таких не удается, к сожалению, наказывать в большинстве случаев, но попробовать можно. Единственный совет на будущее - всегда перед скачкой неизвестных файлов выходить из таких систем, да и вообще, всё сохранять в уме. Чтож поделаешь?...
Наверное, самый лучший способ подтверждения у MoneyMail/Я.Денег в виде уникальной таблицы для составления контрольной суммы...

Я тоже получил этот вирус. Изучил его, но тему увидел только сегодня, поэтому администрации отправил описание. И вот лично мое описание:

Почта отправителя трояна: ***

Описание трояна:
текстовый файлик - на самом деле ехе-шник, который запускается ярлыком при распаковке архива (поэтому архив лучше распаковывать через тотал коммандер, путем копирования). Кейлогер перехватывает все нажатые клавиши с клавиатуры, а значит и все пароли.

Тело копируется в папку:
c:\Documents and Settings\User\Application Data\Options\
имя файла - lsass.exe (буква "а" русская), файл имеет значок Webmoney Keeper'a, одноименный процесс висит в диспетчере задач, также висит notepad.exe, но это оригинальный процесс блокнота и угрозы не представляет, хотя и запущен в скрытом режиме. Блокнот используется программой для своих целей.
Рядом с lsass.exe лежит файлик, в котором в незашифрованном виде (!!!) лежат все Ваши нажатые клавиши.

также файлы после заражения:
c:\Documents and Settings\User\Local Settings\temp\статья 1.txt (статья про недосыпания какие-то)
c:\Documents and Settings\User\Local Settings\temp\Project1.exe (судя по названию - писалось возможно на Delphi, это резервная копия фальшивого lsass.exe)
c:\Documents and Settings\User\Local Settings\temp\do.tt (там две строчки с именами предыдущих файлов)

Примерно каждую минуту троян пытается выполнить DNS-запрос, и достучаться до адреса node5.byetcluster.com по HTTP, куда и отправляет файлик с паролями. Я файлик с паролями подменил на файлик со своим сообщением злоумышленнику. (возможно это только один из УРЛов, куда стучится троян)

Но это лично мое описание, может быть, что-то упустил.

Народ мне тоже такое письмо пришло, даже дважды, скажите пожалуйста если я просто переходил по ссылке, а файл не скачивал, то все ок? вирус ко мне не пришёл?

Если ты не распаковывал архив стандартными методами, и не запускал ярлык, то все ок.

А кто знает вирус рассылают только через личные сообщения или ссылка и в предложениях есть?

А я затупил (( скачал, запустил, понял, что дело хреново и винду сразу переустановил))), я думаю ничего не должны спулить.
В следующий раз буду аккуратнне.

Я использую защиту WebMoney: вход только с одного IP, а при измене IP, то запрос на" зашитую" почту, на которой тоже блокировка IP. Эта защита как-то поможет?
Думаю, что надо ещё использовать активацию на СМС.
У моего брата вломали WebMoney и спёрли 145$, но он на всяких почтавиках и серфингах сидел, а там ломают всех и всё)))

А этот вирус писан только на XP или Vista, или не имеет значения?

Какая разница,у меня vista 64bit тоже висел в процессах.Антивируса у мня нет,пользуюсь файрволом.Он сразу показал этот исполняемый файл как тот пытался ломануться в инет.И вычистил потом всё я.Раньше эта фича была вшита в программу нормальную.Были проекты на другом фрилансе для перевода интерфейса её.Прогу запускаешь и эта фича тож прописывается.А этот с псевдотекстовым файлом и яртыком управление уже новая модификация.И весит меньше

Цитата ("esmint"):

Замечательный антивирус, но его больное место, как раз то, что некоторые вирусы вырубают его, поэтому пользуюсь NOD32-хотя пропускает чаще вирусы чем каспер, но не одна тварь его не вырубает.

Зато у меня Нод32 как-то Виндоус положил... И было это в разгар работы :-(

Исполняемые файлы подписаны CJSC Computing Forces, Google сказал, что это разработчик WebMoney. Может быть злоумышленики специально так сделали, или случайно так осталось ;-)

Тоже получил письмо, ради интереса скачал файл якобы с техзаданием, но вордовский файл не пытался загрузить в Ворд, а просто просмотрел по F3 в ФАРе (предпочитаю в нем работать), увидел что это не вордовский файл, а исполняемый, после чего просто убил архив.

Цитата ("shapod"):

Но у касперского есть хорошая весчь - запуск или открытие любого документа в виртуальном пространстве.

У Comodo такое дело по умолчанию со всеми файлами. А Avast может прошерстить систему во время загрузки (лучшее средство от вирусов, засевших в системе) - такое ни Касперу, ни Вебу и не снилось... Только нужно версию Pro.

Цитата ("alsergast"):

Цитата ("shapod"):

Но у касперского есть хорошая весчь - запуск или открытие любого документа в виртуальном пространстве.

У Comodo такое дело по умолчанию со всеми файлами. А Avast может прошерстить систему во время загрузки (лучшее средство от вирусов, засевших в системе) - такое ни Касперу, ни Вебу и не снилось... Только нужно версию Pro.

Какой смысл шерстить систему, если сигнатуры нет в базе? Какой смысл шерстить систему при загрузке, если антивирь всё равно грузится позже ядра и основных служб?