Сайт о всевозможных мошенниках и аферах в сети Интернет.

Поиск по этому блогу

15 нояб. 2010 г.

Удалить myguests вконтакте. Как происходит фишинг - ловись рыбка большая и маленькая.

Да-да-да, знаю, «ваша страница заблокирована, поскольку с вашего компьютера происходила рассылка спам-сообщений, мы ограничили вам доступ». Верно? Всем, чье серое вещество не в состоянии осилить «многобукаф» и нетерпится поскорей разрешить проблему, рекомендуется пролистнуть сей текст в самый низ странички, и произвести два нехитрых действия о коих там говорено. А ежели есть товарищи, восхотевшие уяснить почему и что такое стряслось с их страничкой на вконтакте, дабы повторно в будущем не попасть впросак, милости просим ознакомиться со всем нижеследующим документом. Итак, вникайте.


Мои поздравления господа, в следующий раз, когда обнаружите какую-нибудь хитрую программу «для рисования аватаров», «поднятия рейтинга», «просмотра гостей» или всяких прочих ништяков, потрудитесь испросить у гугла — а правда ли, что воспользовавшись оными, вы получите то, что вам впаривают с благими намерениями.

На деле же, все эти намерения прозрачны, как блузка телеведущей — в системе перепишут файлик hosts, дабы в браузере вам был нарисован вместо вконтакта фишинговый сайтик, в тютельку похожий на настоящий. А при вводе логина с паролями скажут, дескать, аккаунт ваш мы поблочили, чтоб неповадно было спамерствовать, ибо нефик... потом любезно предоставят еще какую нибудь программулину, сотворенную этими же самыми добрыми ребятами, которая будучи скачанной и запущенной, донесет до вашего сведения, что да, не кручиньтесь, беда ваша нам известна, и мы вам конечно же поможем, только зашлите СМС с таким-то текстом на такой-то номер, и обрете счастье.

А нефик-то, всего лишь навсего, хрень всяческую скачивать и собственноручно же запускать у себя на компутере, порой даже невзирая на истошные визжания касперского или еще какой тулзы, живущей у вас с целью ограждать от троянов с вирусами, и прочей нечисти. И даже опрометчиво высланная смс не помогает — попасть на вконтакт как не получалось, так и не получается, не огреблось, счастье-то...

Но да ладно, раз уж вы здесь и внимаете этому тексту, надо полагать что все уже стряслось, а посему надо как-то все это решать, а не нотации вам тут зачитывать.
Все это дело сподвигло местного автора исследовать частный случай всей схемы, с упомянутой «программой» myguests, дабы в приступе гуманности поведать о том всем страждущим и потерпевшим.

А схема-то любопытнейшая. Итак, внемлите.
Получена информация с сылкой на скачивание творения под названием myguests с сайта my-guests.ru, vk-vgosti.ru или какого нибудь другого популярного в интернетах рассадника заразы
Программа к великой радости заполучена и запущена. Никаких окошек, показанных на «официальных сайтах» и обнаруживающих присутствие программы в windows пред взором не возникло.

Стало понятно что все это разводка. Ну да ладно, постигло разочарование, бывает
Когда сей неприятный момент уже забыт, возможно за это время компьютер был перезагружен, радостно пытаемся поиметь в браузере сию социальную сеть, сиречь vkontakte.ru.
С изумлением взираем на нарисованную нам страницу авторизации(хотя скорей всего пароль у нас обычно запомнен) Заподозрили что-то неладное...

Ну да ладно, не страшно, вводим туда пароль и... созерцаем в браузере страничку с сообщением вида «Ваша страница заблокирована!»

Вспотев, внимаем тексту тут же нарисованному, и обнаруживаем ссылочку на некий файлик antispam.exe. Возрадовавшись, немедля качаем спасительную «программу разработанную командой вконтакте».

Запускаем. Пред очи имеем красивое оконце, в коем нас заверяют о том, что надобно бы СМС отправить с таким-то текстом на такой-то номер, как тотчас же архивчик будет распакован.(Это еще не сам разблокиратор, а только архивчик, и смс нужна для его распаковки) Причем ссылочка в окошке поименованная как «техподдержка» ведет на некий сайт filecash.ru. О нем же упоминается и в другой ссылочке с гордым названием «лицензионное соглашение».

Что происходит дальше, жгучего желания проверять не возникло, но смутно подозреваю, что и после отправки смс ничего хорошего из этого не выйдет. Кроме снятия энного количества уев с вашего счета на мобильнике в пользу обогащения какого-нибудь школьника, сию хитрую схему сотворившего.

Тут-то наши светлые головы посещает гениальнейшая мысль испросить рекомендаций как же поступить в сложившейся нелегкой ситуевине у многомудрого Гугла или Яндекса. Вбиваем соответствующий адрес, благо запомненный наизусть... и ничего не получается. Гугл, Яндекс и десяток еще каких любимых сайтов не открываются. Незадача...

Теперь поразмыслим что же стряслось на самом-то деле
myguests скачана и со всем присущим удовлетворением запущена.
Программка, незримо для пользователя, учредила в файлике «C:\WINDOWS\system32\drivers\etc\hosts» списочек адресов, внушительного размера. Суть этого файлика в том, что все обращения к сайтам которые там определены, будут происходить на те ip-адреса которые им в этом файлике сопоставлены. Обратив на него внимание, узреем, что куча адресов, кои могут поспособствовать юзеру в поисках решения возникшей проблемы, предусмотрительно перенаправляются на адрес 127.0.0.1. То есть компьютер думает что сайт, который юзер восхотел посетить, не в интернете, а ищет его в самом себе.

Таким же макаром, всевозможные вариации вызова vkontakte, перенаправляются на совершенно другой ip-адрес. Где пользователю-то и подсовывается фишинговый сайт. К примеру, в исследовании для этой статьи, таким адресом был 195.242.161.235. И ежели он еще действует и вы прямо сейчас попытаетесь ввести этот адрес в строку браузера, неминуемо попадете на фишинговый сайт.

Отличается он тем, что на нем нет формы регистрации, к примеру. Различия главной страницы можно уяснить обратив внимание на скрины. Вконтакте настоящий - с формой регистрации, без оной - мошеннический. Различия могут быть и другими.

При попытке жмакнуть по ссылке регистрации, наблюдаем такую картину маслом:

При вводе логина/пароля — ваши данные похищаются, и с аккаунта будет рассылаться спам.
Что делать, как излечить систему.

Безжалостно удаляем с машины всяческие «myguests.exe», «antispam.exe» или что-либо похожее. И ни под каким предлогом больше на такие вещи не ведемся как школота.

находим файлик «C:\WINDOWS\system32\drivers\etc\hosts», открываем блокнотом и сносим оттуда все к чертям, оставив только одну-разъединственную строчку «127.0.0.1 localhost», и все что начертано до нее. Перезапускаем браузер. Возможно потребуется почистить кэш, удалить куки, пароли.

Обретаем счастье. И первым делом, со всей решительностью меняем пароль на вконтакте

2 комментария:

  1. y меня друг в контакте так же попал, потом от него куча спама разослатась всем 100 друзьям. Вот так осторожней надо быть, лучшие оружие - это прямые руки

    ОтветитьУдалить
  2. забавно) буквально на днях столкнулась с похожей ерундой. нюанс лишь в том, что я никогда не скачиваю и не устанавливаю никаких программ, о которых не могу достоверно узнать, насколько они безопасны. Зайдя по ссылке (ничего, заметьте, не скачивая) в официальном блоге одной из соцсетей, заимела себе вирус. Ни антивирь, ни всякие утилиты не помогли. Откат системы тоже как-то не возымел действия. В итоге я серьезно задумалась о переустановке системы.
    В общем умный человек подсказал. Зашла я в выше обозначенную папку. Удалила лишние файлы. А их, надо сказать, оказалось немало. Заработало.
    Это я все к тому, что наткнись я на эту статью парой дней раньше, сохранила бы несколько тысяч нервных клеток. Информация нужная, а, главное, рабочая. Спасибо.

    ОтветитьУдалить