Одноклассники, меня разводят?

Deitar

Вобщем захожу на однокласники. ру, а мне при авторизации выдают:

ну думаю совсем ох**ли, ничего им платить не буду, и пишу об этом в строке.

И мне выдает следующее:

Мне одному кажеться, что лучше не запускать этот файл? Вебом проверил вроде все норм.

badydoc

развод 99%, тока что защел вполне стандартно, без всяких СМС

ober

запусти, конечно. и друзьям дай запустить еще. и на работу принеси.

Deitar

черт придеться ехать на горбушку за болванками 😞 переустановка винды привееет! 😞

Deitar

ober
запусти, конечно. и друзьям дай запустить еще. и на работу принеси.

А это мысль 😊 Пожалуй так и поступлю 😊 Могу выслать копию вам на почту, нада ? 😊

ober

мдэ. давай. ща выдам АтчОт

можно на файлообменник залить. и сцылу сУда кинуть. так быстрее.

Manstopper

Сдается мне что сел у тебя на машинке зловред и модифицировал файл hosts 😊

Что у тебя написано в файле
c:\WINDOWS\system32\drivers\etc\hosts ?

Это ты какбе заходишь не на одноклассники, а вместо оных на сайт-подделку, пытающийся воровать деньги путем развода наивных граждан на SMS 😊 Да еще и чтобы они троян какой-то скачали. Совсем совести нет 😊

Deitar

# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом '#'.
#
# Например:
#
# 102.54.94.97 rhino.acme.com # исходный сервер
# 38.25.63.10 x.acme.com # узел клиента x

127.0.0.1 localhost
#hosts
91.212.198.69 vkontakte.ru
91.212.198.69 www.vkontakte.ru
91.212.198.69 odnoklassniki.ru
91.212.198.69 www.odnoklassniki.ru
91.212.198.69 odnoklasniki.ru
91.212.198.69 www.odnoklasniki.ru
91.212.198.69 mail.rambler.ru
91.212.198.69 www.mail.rambler.ru

Deitar

что будет если я удалю текст после локал хоста?

ober

ничего

Deitar

ober
мдэ. давай. ща выдам АтчОт

можно на файлообменник залить. и сцылу сУда кинуть. так быстрее.

сейчас сделаю

закачал сюда http://slil.ru/27868385

ober

забирайте

ober

детский сад, трусы на лямках...

Deitar

ober
ничего

стер, теперь выдает нормальные одноклассники.

ober, Manstopper, спасибо!

Deitar

Мда, по ходу доктор веб отстой полный. Посоветуете поставить аваст? 😊

ober

выводы сам делай 😀

Manstopper

Вот какбе тут видно, что зловещий зловред сделал так, чтобы такие имена хостов резолвились совершенно левыми айпишниками:

Deitar
91.212.198.69 vkontakte.ru
91.212.198.69 www.vkontakte.ru
91.212.198.69 odnoklassniki.ru
91.212.198.69 www.odnoklassniki.ru
91.212.198.69 odnoklasniki.ru
91.212.198.69 www.odnoklasniki.ru
91.212.198.69 mail.rambler.ru
91.212.198.69 www.mail.rambler.ru

Ставь Касперского и не сиди в инете под аккаунтом администратора 😊

rawmeathunter

Домен точно o d n o k l a s s n i k i . r u - или похожая под#ебка?

Manstopper

rawmeathunter
Домен точно o d n o k l a s s n i k i . r u - или похожая под#ебка?
Читай внимательнее 😊
В связи с тем, что зловред добавил вот это все в hosts, odnoklassniki.ru на этой машине стали резолвиться не тем ip-адресом, по которому они находятся, а совершенно левыи айпишником, на котором висит веб-сервер с сайтом-подделкой 😊

Можно зайти и посмотреть, только осторожно 😊
http://91.212.198.69/

whois:


% This is the Ripe-Mirror Whois server.

% Note: this output has been filtered.

% Information related to '91.212.198.0 - 91.212.198.255'

inetnum: 91.212.198.0 - 91.212.198.255
netname: NEVAL
descr: Individual retailer Nevedomskiy A A
country: RU
org: ORG-IrNA1-RIPE
admin-c: NAA21-RIPE
tech-c: NAA21-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-END-MNT
mnt-by: NEVAL-mnt
mnt-lower: RIPE-NCC-END-MNT
mnt-routes: NEVAL-mnt
mnt-domains: NEVAL-mnt
source: RIPE # Filtered

organisation: ORG-IrNA1-RIPE
org-name: Individual retailer Nevedomskiy Alexey Alexeevich
abuse-mailbox: abuse.lirkz@gmail.com
org-type: OTHER
address: Russian Federation
mnt-ref: NEVAL-mnt
mnt-by: NEVAL-mnt
source: RIPE # Filtered

person: Nevedomskiy Alexey Alexeevich
address: Russian Federation
abuse-mailbox: abuse.lirkz@gmail.com
phone: +79024883214
nic-hdl: NAA21-RIPE
source: RIPE # Filtered

% Information related to '91.212.198.0/24AS49314'

route: 91.212.198.0/24
descr: NEVAL
origin: AS49314
mnt-by: NEVAL-mnt
source: RIPE # Filtered

Как видим, диапазон адресов принадлежит некоему ПБОЮЛ Неведомский 😊



Manowar

Да всё правильно вроде. Уже год чтоли как регистрация у них за смс.
А старые аккаунты бесплатно работают.

Manstopper

Manowar
Да всё правильно вроде. Уже год чтоли как регистрация у них за смс.
А старые аккаунты бесплатно работают.
Ты тему читал вообще? 😛

Manowar

Manstopper
Ты тему читал вообще?
читал конечно, я про точто смс за деньги это уже не развод у ни, а конкретно про этот случай http://www.securelist.com/ru/weblog/39132/Skomprometirovany_dannye_desyatkov_tysyach_polzovateley_VKontakte
OСегодня в свободный доступ попали данные учетных записей более чем 130 тысяч пользователей популярной российской социальной сети «ВКонтакте».

Информация была опубликована на одном из хакерских сайтов.

Наши эксперты проанализировали эти данные и подтверждают факт компрометации.

Согласно нашей информации инцидент выглядит следующим образом:

Сайт, указанный в сообщении (83.133.120.252), известен «Лаборатории Касперского» как фишинговый и блокируется при попытке обращения к нему персональными продуктами.

Вредоносная программа Trojan.Win32.VkHost.an (детектируется нами с 28 июля) распространялась через приложение ВКонтакте (hxxp://vkontakte.ru/app711384?&m=2, в настоящий момент заблокировано администрацией ресурса).

После установки в систему данный троянец подменял файл hosts на следующий:

83.133.120.252 vkontakte.ru
83.133.120.252 odnoklassniki.ru


Потом, когда пользователь пытался открыть сайт одной из этих социальных сетей, то его перенаправляли на фишинговую страницу, в которой надо было залогиниться.

Логин и пароль уходили в базы на том же сайте 83.133.120.252. В настоящий момент база «Одноклассников» пуста, поэтому говорить о компрометации данных пользователей и этой социальной сети — пока рано.


После того, как пользователь логинился на поддельной странице, происходил редирект сначала на новую страницу. На данной странице имеется следующий текст:

ВНИМАНИЕ!

Ваш аккаунт опознан системой как потенциально опасный.
С вашего IP-адресса ведётся Спам-рассылка.
Аккаунт признан фейком, созданным злоумышленниками для Спам-рассылок, и будет удалён через 24 часа после прочтения данного уведомления, в случае отказа от подтверждения аккаунта.

Если аккаунт настоящий, его необходимо подтвердить.

Отправьте смс с текстом orderit30193 (без пробелов), на номер 6008 В ответном смс вам придёт Код активации.

Стоимость смс соответствует стоимости по вашему тарифному плану.

Что самое интересное, если пользователь отправит смс, то он действительно получает некий код, так как на сайте имеются страницы с следующим содержанием:

Kод принят! Скачайте и запустите файл – Скачать

По ссылке находится файл access.exe, который восстанавливает оригинальный файл hosts (127.0.0.1 localhost).

Вы ввели не правильный код. Вернитесь и введите код из смс сообщения!

Мы рекомендуем всем пользователям «ВКонтакте» и «Одноклассников» проверить содержимое своих файлов hosts, которые находятся в каталоге %windir%\system32\drivers\etc, и если в них обнаружены ссылки на vkontakte.ru и odnoklassniki.ru — удалить данные записи.

Обязательно также сменить все пароли от всех аккаунтов! (не только в социальных сетях, но и в электронной почте и прочие). В случае попадания на подобные фишинговые страницы, ни в коем случае не вводить свои логин и пароль и не отправлять никаких SMS-сообщений.

UPD. Мы более детально перепроверили данные и должны сообщить, что речь идет не о 130 000 аккаунтах, как было написано первоначально, но о более чем 40 000.