Перейти к содержимому


* * * * * 1 Голосов

Рассылка спама через ICQ


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 53

#1 Gray

Gray

    Хранитель форума

  • Members
  • PipPipPipPipPipPipPipPip
  • 15 125 сообщений
  • Пол:Мужчина
  • Интересы:Kоллекционирование. Собираю статусы. Свои =) Сейчас в коллекции:

    1. 1е место в мире по ПВП в Lost Realms, 2004-2005г (lost-realms.org)
    2. 1е место на турнире Химкинского района по HoMM3, 2006г
    3. 2е место на всероссийском турнире по ПKМ:ВМЛ, 2005г (legend.seaward.ru)
    4. 8е место в мире по ПВП в MUME, 2003г (mume.org)

    И как бонус - позиция самого активного юзера этого форума ;)

Отправлено 27 Май 2009 - 20:56

Открываю эту тему, т.к. предыдущую закрыли...

Уже который месяц идет рассылка спама через аську. Спам двух типов - или это предложение отправить смс на номер 6008 (мессаги разные, но номер всегда один и тот же), за что типа должен свалиться бонус на счет мобильника; либо реклама сайта секс-знакомств (сайт один, а вот доменных имен у него уйма). До сих пор я либо терпел, либо просто игнорил аськи зараженных контактов... но самое ужасное, что сегодня мне первый раз сказали, что спам идет и ОТ МЕНЯ тоже :blink: А у меня стоит НОД32, постоянно обновляемый! Походу, появился какой-то эксплойт, не вылечиваемый (и даже не обнаружеваемый) НОДом... Что делать?

#2 БуРаТиНО

БуРаТиНО

    Живёт на форуме

  • Members
  • PipPipPipPipPipPipPip
  • 1 172 сообщений

Отправлено 28 Май 2009 - 09:33

Тут дело не в ноде, просто смени пароль от аськи и от мыла, если она у тебя зарегистрирована - смени секретный вопрос.
Твой пароль просто подобрали. Как правило, у многих один пароль - и от аськи и от мыла и тп....

У меня есть один знакомый, который занимается взломом асек и почты......... там много способов взлома, как с твоим участием, так и без тебя.

Сообщение отредактировал БуРаТиНО: 28 Май 2009 - 09:36


#3 Gray

Gray

    Хранитель форума

  • Members
  • PipPipPipPipPipPipPipPip
  • 15 125 сообщений
  • Пол:Мужчина
  • Интересы:Kоллекционирование. Собираю статусы. Свои =) Сейчас в коллекции:

    1. 1е место в мире по ПВП в Lost Realms, 2004-2005г (lost-realms.org)
    2. 1е место на турнире Химкинского района по HoMM3, 2006г
    3. 2е место на всероссийском турнире по ПKМ:ВМЛ, 2005г (legend.seaward.ru)
    4. 8е место в мире по ПВП в MUME, 2003г (mume.org)

    И как бонус - позиция самого активного юзера этого форума ;)

Отправлено 28 Май 2009 - 23:31

Мой пароль невозможно подобрать... это 16 символов, с цифрами, большими и маленькими буквами, и спецсимволами. Кроме того, чтобы рассылать мессаги с моей аськи, пришлось бы зайти на нее с другого компа - а при этом меня бы дисконнектнуло. Я бы заметил - у меня аська постоянно включена! В инете касперский пишет, что это новый руткит, который вроде как лечится только им - но ставить каспера ради такой цели как-то не але :)

#4 spitfire

spitfire

    Хранитель форума

  • Members
  • PipPipPipPipPipPipPipPip
  • 2 527 сообщений
  • Пол:Мужчина
  • Город:химки
  • Интересы:skateboard

Отправлено 28 Май 2009 - 23:42

Сотри всю инфу о себе: Город,Страну,Имя и др
мне помогло

#5 .creo

.creo

    Свой человек

  • Members
  • PipPipPipPipPipPip
  • 786 сообщений
  • Пол:Мужчина
  • Город:DefaultCity
  • Интересы:лучше вам и не знать %)

Отправлено 29 Май 2009 - 00:13

Подбирать пароль не обязательно, есть и другие способы :)
Раз уж идет спам с твоего номера, то возможно и пароль тю-тю. Стало быть, ты знаешь что делать.

1) Поставь касперского — час работы ведь, если не отвлекаться.
2) Клиент заново скачай, на всякий.

Цитата

это 16 символов
Максимум 8 символов

#6 Gray

Gray

    Хранитель форума

  • Members
  • PipPipPipPipPipPipPipPip
  • 15 125 сообщений
  • Пол:Мужчина
  • Интересы:Kоллекционирование. Собираю статусы. Свои =) Сейчас в коллекции:

    1. 1е место в мире по ПВП в Lost Realms, 2004-2005г (lost-realms.org)
    2. 1е место на турнире Химкинского района по HoMM3, 2006г
    3. 2е место на всероссийском турнире по ПKМ:ВМЛ, 2005г (legend.seaward.ru)
    4. 8е место в мире по ПВП в MUME, 2003г (mume.org)

    И как бонус - позиция самого активного юзера этого форума ;)

Отправлено 29 Май 2009 - 02:42

Просмотр сообщенияspitfire (29.05.2009, 00:42) писал:

Сотри всю инфу о себе: Город,Страну,Имя и др
мне помогло
Ее и так не было...

Просмотр сообщения.creo (29.05.2009, 01:13) писал:

Максимум 8 символов
Оно обрубает пароль? Проклятие... впрочем, первые 8 символов у меня как раз наиболее сложны для подбора - вряд ли это именно перебор.

Собственно, наиболее интересный вопрос следует ставить так: возможна ли отправка сообщений с моего номера без того, чтобы включенную на моей машине аську "выбило" аськой, запущенной с какой-то другой?

#7 .creo

.creo

    Свой человек

  • Members
  • PipPipPipPipPipPip
  • 786 сообщений
  • Пол:Мужчина
  • Город:DefaultCity
  • Интересы:лучше вам и не знать %)

Отправлено 29 Май 2009 - 03:21

Цитата

Оно обрубает пароль?
Именно.

Цитата

возможна ли
Не возможна. Другой вопрос — может ты этого просто не замечаешь ? У меня, например, переподключение стоит. Да и за аптаймом не слежу.

#8 Lexxus

Lexxus

    Сохранитель форума, всеplanetарный знаток свитчей.

  • Members
  • PipPipPipPipPipPipPipPip
  • 2 689 сообщений
  • Пол:Мужчина

Отправлено 29 Май 2009 - 06:09

Просмотр сообщенияGray (27.05.2009, 21:56) писал:

что спам идет и ОТ МЕНЯ тоже :rolleyes:

Юзаешь qip?
Или что-то другое?


Если qip, то картина ясная...
Решается сменой клиента ICQ

#9 Gray

Gray

    Хранитель форума

  • Members
  • PipPipPipPipPipPipPipPip
  • 15 125 сообщений
  • Пол:Мужчина
  • Интересы:Kоллекционирование. Собираю статусы. Свои =) Сейчас в коллекции:

    1. 1е место в мире по ПВП в Lost Realms, 2004-2005г (lost-realms.org)
    2. 1е место на турнире Химкинского района по HoMM3, 2006г
    3. 2е место на всероссийском турнире по ПKМ:ВМЛ, 2005г (legend.seaward.ru)
    4. 8е место в мире по ПВП в MUME, 2003г (mume.org)

    И как бонус - позиция самого активного юзера этого форума ;)

Отправлено 29 Май 2009 - 23:42

Просмотр сообщения.creo (29.05.2009, 04:21) писал:

Не возможна. Другой вопрос — может ты этого просто не замечаешь ? У меня, например, переподключение стоит. Да и за аптаймом не слежу.
Я слежу... я все ж торгую через эту аську :wacko: Обрыв - динь-дон, плюс всплывающее окошко: пропустить невозможно!

Просмотр сообщенияLexxus (29.05.2009, 07:09) писал:

Если qip, то картина ясная...
Решается сменой клиента ICQ
QIP Infium, да. Я что-то не понял намека... нету же ж клиента более продвинутого, чем qip!

И кстати, я так и не понял, где сменить пароль. На офф. сайте позволяет только менять детайлзы...

#10 Lexxus

Lexxus

    Сохранитель форума, всеplanetарный знаток свитчей.

  • Members
  • PipPipPipPipPipPipPipPip
  • 2 689 сообщений
  • Пол:Мужчина

Отправлено 30 Май 2009 - 09:36

Просмотр сообщенияGray (30.05.2009, 00:42) писал:

QIP Infium, да. Я что-то не понял намека... нету же ж клиента более продвинутого, чем qip!

не, скорее проДвинутый клиент

Полное удаление и смена клиента - решат проблему, поверь мне :)

а вот тебе и ссылка на раздумье
http://davaeron.blog...qip-infium.html

А чтобы сомненья отпали сами собой, то:
http://virusinfo.inf...7346#post407346  
;)

#11 .creo

.creo

    Свой человек

  • Members
  • PipPipPipPipPipPip
  • 786 сообщений
  • Пол:Мужчина
  • Город:DefaultCity
  • Интересы:лучше вам и не знать %)

Отправлено 30 Май 2009 - 10:20

Lexxus прав :)
Может раньше этот клиент и был нормальным, но когда он попал в руки РБК, стал наполняться говном.

Цитата

На оффоруме QIP есть несколько тем посвященных такой же проблеме, но там в основном сами же форумчане стрелки переводят на вирусы, а вот от dev'ов что-то я не видел комментариев.
Был только один комментарий в блоге инфа (создателя), как раз после взлома сайта, что база получена не была, т.к. она висит на другом локальном серваке.

Цитата

В инете касперский пишет, что это новый руткит, который вроде как лечится только им
Линк ?

Сообщение отредактировал .creo: 30 Май 2009 - 16:50


#12 CTACb

CTACb

    Хранитель форума

  • Moderators
  • PipPipPipPipPipPipPipPip
  • 4 082 сообщений
  • Пол:Мужчина

Отправлено 30 Май 2009 - 10:57

Gray

1. Найди/сделай/попроси загрузочный диск с Касперским (который основан на BartPE) с актуальными базами, загрузись с него и прогони один раз полностью сканирование своего жесткого диска в режиме "offline" (то есть когда основная ОС не запущена). Уверен, ты обнаружишь для себя много нового и интересного. Либо, как вариант, попроси вот здесь помощи у XL-я.

2. Скачай с офсайта и поставь актуальный Infium (на данный момент это версия 9030). А теперь внимание (!). Запускай его в изолированном режиме (с ключиком "/isolated"). И боже тебя упаси ставить всякие навески типа "QIP.Online" (при установке смотри внимательно и снимай лишние "галки").

3. Смени пароль от аськи (необязательно черз веб-интерфейс, можно и средствами самого Infium-а).

4. С моей точки зрения, Infium - вполне себе нормальный клиент. За более чем два года ни у меня, ни у моих друзей никаких проблем не обнаружено. Если спам будет по-прежнему доставать - убери все из своей инфы ("Информация о пользователе") и прикрути простейший анти-спам бот (штатная фича Infium-а).

5. Потихоньку-полегоньку, не спеша "переползай" сам и перетаскивай своих друзей на Jabber. Только пользуй не QIP-овский сервер, а Yandex-овский или Jabber.ru-шный. Как это сделать - читай у меня в блоге, например. Со временем оценишь все удобство такого подхода.

Сообщение отредактировал CTACb: 03 Июнь 2009 - 11:41


#13 Lexxus

Lexxus

    Сохранитель форума, всеplanetарный знаток свитчей.

  • Members
  • PipPipPipPipPipPipPipPip
  • 2 689 сообщений
  • Пол:Мужчина

Отправлено 30 Май 2009 - 16:46

Поправка
1) есть прициденты, при чем система чиста (на новую виду ставили инфинум - спам все равно идет
2) ты наверное, не в курсе, что впервый раз у тебя не получится так залогиниться, соединение оборвется :)
3) нету смысла менять пароль в клиенте, через который идет спам ;))
4) Юзеры наоборот убегают от qip'a ;)
5) когда меняется протокол у AOL - jabber уходит в лету?)) (Половина точно уходит в лету)


Спам идет не у всех... но у тех, у кого начал валиться сотнями - стоит qip - это факт.
P.S. Даже некоторые админы с dedicated server также говорят, что есть такое гадство от qip... не спасает ничего ;)
Только удаление и чиста того, где нследил ;)

Сообщение отредактировал Lexxus: 03 Июнь 2009 - 20:07


#14 Gray

Gray

    Хранитель форума

  • Members
  • PipPipPipPipPipPipPipPip
  • 15 125 сообщений
  • Пол:Мужчина
  • Интересы:Kоллекционирование. Собираю статусы. Свои =) Сейчас в коллекции:

    1. 1е место в мире по ПВП в Lost Realms, 2004-2005г (lost-realms.org)
    2. 1е место на турнире Химкинского района по HoMM3, 2006г
    3. 2е место на всероссийском турнире по ПKМ:ВМЛ, 2005г (legend.seaward.ru)
    4. 8е место в мире по ПВП в MUME, 2003г (mume.org)

    И как бонус - позиция самого активного юзера этого форума ;)

Отправлено 05 Июнь 2009 - 00:04

Просмотр сообщенияLexxus (30.05.2009, 10:36) писал:

Полное удаление и смена клиента - решат проблему, поверь мне ;)
Смена - это круто... но на что?

Просмотр сообщенияCTACb (30.05.2009, 11:57) писал:

2. Скачай с офсайта и поставь актуальный Infium (на данный момент это версия 9030).
Именно он и стоит, причем с момента его выхода...

Просмотр сообщенияCTACb (30.05.2009, 11:57) писал:

А теперь внимание (!). Запускай его в изолированном режиме (с ключиком "/isolated"). И боже тебя упаси ставить всякие навески типа "QIP.Online" (при установке смотри внимательно и снимай лишние "галки").
"Этот профиль является учётной записью QIP и не может быть открыт в изолированном режиме." У них все схвачено...

Просмотр сообщенияCTACb (30.05.2009, 11:57) писал:

3. Смени пароль от аськи (необязательно черз веб-интерфейс, можно и средствами самого Infium-а).
Я бы рад, но КАК? На сайте формы "смена пароля" - нет. В самом инфиуме искал - не нашел... :)

Просмотр сообщенияCTACb (30.05.2009, 11:57) писал:

4. С моей точки зрения, Infium - вполне себе нормальный клиент. За более чем два года ни у меня, ни у моих друзей никаких проблем не обнаружено. Если спам будет по-прежнему доставать - убери все из своей инфы ("Информация о пользователе") и прикрути простейший анти-спам бот (штатная фича Infium-а).
Там инфы - прожиточный минимум, та что реально нужна... А антиспам, как я понимаю, защищает от спама, который приходит МНЕ. Эта часть как раз не страшна - не так и много того спама... вопрос в том спаме, что идет ОТ МЕНЯ.

Просмотр сообщенияCTACb (30.05.2009, 11:57) писал:

5. Потихоньку-полегоньку, не спеша "переползай" сам и перетаскивай своих друзей на Jabber. Только пользуй не QIP-овский сервер, а Yandex-овский или Jabber.ru-шный. Как это сделать - читай у меня в блоге, например. Со временем оценишь все удобство такого подхода.
В инфиуме есть и джаббер тоже... но проблема в том, что аська та - рабочая, мне в нее клиенты пишут... а клиент - он, сцуко, всегда прав. Поди заставь его "переползти" :(

#15 CTACb

CTACb

    Хранитель форума

  • Moderators
  • PipPipPipPipPipPipPipPip
  • 4 082 сообщений
  • Пол:Мужчина

Отправлено 05 Июнь 2009 - 00:38

Просмотр сообщенияGray (5.06.2009, 01:04) писал:

"Этот профиль является учётной записью QIP и не может быть открыт в изолированном режиме." У них все схвачено...
Gray, ну я прям не знаю даже как тебя пожюрить за несообразительность, чтоб ты не обиделся, чесслово...
Конечно не может быть открыт! Возьми да создай новый профиль, и импортируй в него хистори от старого... Старый профиль у тебя будет открываться только в "обычном" режиме, а новый - только в изолированном.

  

Просмотр сообщенияGray (5.06.2009, 01:04) писал:

Я бы рад, но КАК? На сайте формы "смена пароля" - нет. В самом инфиуме искал - не нашел...

А ты получше поищи... Кто тут из нас виндузятник, я или ты?
Прикрепленный файл  passchg.png   19,07К   12 Количество загрузок:


Просмотр сообщенияGray (5.06.2009, 01:04) писал:

вопрос в том спаме, что идет ОТ МЕНЯ.
Я какбе тебе, по-моему, весьма прозрачно намекнул, что у тебя вирусы. Лечитесь-с сударь, лечитесь-с. И повторяю, скачай заново и переставь QIP, несмотря на то, что ставил его недавно. Вирусы часто модифицируют QIP-овские dll-ки.


Просмотр сообщенияGray (5.06.2009, 01:04) писал:

В инфиуме есть и джаббер тоже... но проблема в том, что аська та - рабочая, мне в нее клиенты пишут... а клиент - он, сцуко, всегда прав. Поди заставь его "переползти"
Дык я и не предлагаю "пересаживать" клиентов. Начни с друзей. Вот, например, я уже в последнее время аську практически вообще и не запускаю даже. Поэтому самый простой способ связаться конкретно со мной - Jabber.

#16 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 05 Июнь 2009 - 08:42

Вообще фраза - "спам идет от меня" означает один единственный вариант о заражении ПК, если на ПК в это время запущен ICQ клиент. С учетом развития современных троянских технологий (руткиты в бутсекторе с крайне глубокими перехватами, руткиты в драйверах ядра и т.п.) , доверяться одному антивирусу - а особенно такому ширпотребу как NOD32, по меньшей мере глупо.

#17 Madm!c

Madm!c

    Живёт на форуме

  • Members
  • PipPipPipPipPipPipPip
  • 1 100 сообщений
  • Интересы:ацетальдегиддегидрогеназа

Отправлено 05 Июнь 2009 - 08:48

Просмотр сообщенияGray (5.06.2009, 01:04) писал:

Смена - это круто... но на что?
Грей, есть Миранда, есть R&Q.. Сама не юзаю, но, говорят, неплохие)

или вот, отличная штука:
http://qutim.org/download

Сообщение отредактировал Madm!c: 05 Июнь 2009 - 08:50


#18 Lexxus

Lexxus

    Сохранитель форума, всеplanetарный знаток свитчей.

  • Members
  • PipPipPipPipPipPipPipPip
  • 2 689 сообщений
  • Пол:Мужчина

Отправлено 05 Июнь 2009 - 09:14

Цитата

Вообще фраза - "спам идет от меня" означает один единственный вариант о заражении ПК, если на ПК в это время запущен ICQ клиент

:lol:
Логи через avz чистые, заразы кроме infinum'a не стоит. Сам же проверял ;)

XL, есть один еще неоспоримый факт про mailagent ICQ - последнее время участился спам также...
При чем это не какой то там вредный спам... А вполне нормальные сайты :) Типа реклама Lineage II, и прочих он-лайн игр.

Не знаю, но по моему пароль: XP@n4EgFle][ - год будут брутить.
Одно дело, когда база с паролями находится в открытом нешифрованном виде, как в qip...
Да и история сообщений также... (history.qip.ru - правда, сейчас это убрали, но остались mblogi.qip.ru - читаем вашу инфу в отрытом доступе - новая фишка типа :-D )

#19 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 05 Июнь 2009 - 09:29

Просмотр сообщенияLexxus (5.06.2009, 10:14) писал:

:)
Логи через avz чистые, заразы кроме infinum'a не стоит. Сам же проверял ;)
с каких пор это стало гарантией полной безопасности?
буткиты, например, авз не детектирует.

Я тут над Кашей смеялся - ему за день приходит до 20 сообщений авторизации с рекламой, несмотря на атиспам боты и пр. средства клиента. У него уже контакт лист переполнен из-за заигноренных юзеров и новых в игнор не поставишь.

Просмотр сообщенияGray (29.05.2009, 00:31) писал:

Мой пароль невозможно подобрать... это 16 символов, с цифрами, большими и маленькими буквами, и спецсимволами.
Реально используется при авторизации первые 8 из них.

Просмотр сообщенияGray (29.05.2009, 00:31) писал:

но ставить каспера ради такой цели как-то не але :lol:
drweb cureit тоже детектирует и обезвреживает последнюю разновидность.

Цитата

Буткит, как и прежде, использует способ, основанный на заражении MBR, для того, чтобы загрузить свой драйвер во время старта операционной системы. Драйвер используется, чтобы не дать обнаружить и вылечить зараженную загрузочную запись. Первые версии использовали перехват IRP-процедур объекта \Driver\Disk, однако технологии борьбы с вредоносными программами развиваются, и вирусописателям пришлось существенно изменить алгоритм работы. Текущий вариант руткита использует более продвинутую технологию сокрытия своего присутствия в системе, по-сравнению с предыдущей версией. На текущий момент ни один из известных руткитов не использует описанные ниже методы.
При старте вредоносного драйвера происходит проверка на наличие активного отладчика. Если он есть, руткит не скрывает зараженный MBR и ничем не выдает своего присутствия в системе.
Чтобы стать практически невидимым, руткит подменяет у нужного устройства указатель на его тип. Данный тип — это определенная структура, в которой вредоносный драйвер подменяет указатель на функцию (ParseProcedure).
В случае открытия антивирусной программой физического диска для низкоуровнего доступа, произойдет вызов перехваченной функции. В ней в свою очередь произойдет перехват IRP-процедуры драйвера более низкого уровня, нежели \Driver\Disk и функции, которая вызовется при закрытии ранее открытого диска. Как только диск закроется, все перехваты вернутся в изначальное состояние.


#20 CTACb

CTACb

    Хранитель форума

  • Moderators
  • PipPipPipPipPipPipPipPip
  • 4 082 сообщений
  • Пол:Мужчина

Отправлено 05 Июнь 2009 - 09:37

Просмотр сообщенияLexxus (5.06.2009, 10:14) писал:

Одно дело, когда база с паролями находится в открытом нешифрованном виде, как в qip...
Я не пытаюсь спорить с тем, что Infium по умолчанию коллекционирует все пользовательские пароли от всех аккаунтов различных служб (в том числе и аськи) и сохраняет их у себя на сервере. Я даже не пытаюсь спорить с тем, что кое-кто недобросовестный из администрации QIP-овского сервера легко может воспользоваться (и скорее всего пользуется) этими паролями в своих корыстных целях. Но это лечится. Например, запуском Infium-а в изолированном режиме. После этого Infium становится вполне адекватным клиентом. При условии отсутствии вирусов, разумеется, как точно подметил XL.




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных