Пользователи сайта "В Контакте.Ру" стали жертвами компьютерного вируса

[Иван 290]

Жаль, что исходников a и b-модификаций ни они, ни мы не получили.

звиняйте дядьку, но сампл .b это и есть чистый AntiDurov у Доктор Веб - .a и .с берутся ориджином. доктора его получили очень оперативно

а чего Агнитуму помешало этот сампл найти?

прекольно, vkontakte оценили масштабы катастрофы

В пятницу 16 мая посредством системы личных сообщений ВКонтакте была разослана ссылка на вирус. Около 30 тысяч пользователей, несмотря на предупреждения Контакта, перешли по этой ссылке. Еще 70 тысяч получили подобную ссылку. В течение суток (в субботу 17 мая) рассылка сообщений с ссылкой на червь была полностью нами остановлена.

интересно а сколько из 30 000 запустили потом файл?

какие будут предположения?

[Иван 290]

Кстати очень странно, что информация о DrWeb c контакта постепенно исчезла....не находите? Ведь сначала там абсолютно точно писали, что "Вы можете воспользоваться продуктами DrWeb, для лечения..." и т.д., неужто оставить и ту и ту информацию стало проблематично и Дуров мужественным решением оставил инфу только про ЛК ...вобщем тем кто наблюдает за происходящим с 16 числа картина ясно вырисовывается

фигня какая-то, а где она там была?

я окромя заявления Дурова и инструкции лечения от Гальченко озвученной Кузнецовым 19 мая не видел ничего у них

[Виталий Я. 859]

Сампл .а да, самп .b нет.

Виталий, Вы о чем? Причем тут пиар отдел? CureIT давно созданная докторовская утилита, использующая их стандартные базы - зачем нужен пиар отдел в Москве, чтобы ее выпускать? Утилита давно была, был добавлен детект и лечение в базы. Нормальная работа вирлаба.

Пардон, про CureIT! совсем из головы вылетело со вчерашним якобы "выбросом на ЛАЭС", тут и .b с .c спутать легко было

Информационный повод в Москве подхватили тем не менее в удачный момент. Замена линка на warning командой соцсети была предпринята уже по следам публикаций.

[Dexter 20]

Слушайте, поднадоело уже.

Ладно.

больше не буду.

интересно а сколько из 30 000 запустили потом файл?

какие будут предположения?

дык процентов 80, не меньше.

10 процентов не запустили, потому что поняли, что это, и еще 10 просто не нашли, что запустить.

[Zyx 45]

Слушайте, поднадоело уже. Не было на сайте вконтакте информации про лечение Доктором вообще, никогда. По крайней мере я не видел.

фигня какая-то, а где она там была?

я окромя заявления Дурова и инструкции лечения от Гальченко озвученной Кузнецовым 19 мая не видел ничего у них

А вот это вы зря. Информация была, а то что вы ее не видели...."это ваши проблемы".

На сколько мне известно, это именно служба мониторинга "Доктор Веб" сообщила Дурову об эпидемии и эпидемия была сразу же локализована, и по ссылке на вирус выдавалось предупреждение о вирусе и надпись о том что Доктор уже лечит этот вирус и советует воспользоваться лечилкой....

А потом эти новости пропали "при странных обстоятельствах" и теперь в новостях не буквы о докторе, зато про ЛК много написано

Я никого ни в чем не обвиняю, я просто трактую ситуацию как человек который наблюдает за происходящим с самого начала, вот и все.

А для себя пусть каждый решает сам. - ИМХО

[Олег Гудилин 95]

Я никого ни в чем не обвиняю, я просто трактую ситуацию как человек который наблюдает за происходящим с самого начала, вот и все.

А для себя пусть каждый решает сам. - ИМХО

Новости в контакте по теме всего 2. Первая выпущена 17 мая, вторая от 22 мая с инвормацие про нашу утилиту.

Как изначально выглядела новость от 17 мая и претерпела ли она изменения легко понять погуглив и найдя ее исходный вариант в форумах и блогах. Дальше каждый действительно все выводы делает сам.

[Иван 290]

Компания "Доктор Веб" предупреждает: 25 мая в 10 часов утра начнется уничтожение всех данных http://info.drweb.com/show/3365/ru

неужели прямо всех и данные о моих штрафах в ГАИ тоже того!? Ура!!!!!!!!!!!

[Вадим Волков 176]

Компания "Доктор Веб" предупреждает: 25 мая в 10 часов утра начнется уничтожение всех данных http://info.drweb.com/show/3365/ru

неужели прямо всех и данные о моих штрафах в ГАИ тоже того!? Ура!!!!!!!!!!!

Мне эти фразы из пресс-релиза очень понравились :

"Компания "Доктор Веб" предупреждает: 25 мая в 10 часов утра начнется уничтожение всех данных."

"Это поможет не только избавиться от указанного вируса, но и очистить систему от вредоносных объектов, не замеченных другим антивирусом."

"Для тех, кто не успеет до 25 мая воспользоваться Dr.Web CureIt! и вылечить от этого червя компьютер, самое лучшее действие - немедленное выключение питания компьютера, что позволит сохранить если не все данные, то хотя бы их часть. "

Новый пиарщик у "Веба"?

[A. 876]

"Для тех, кто не успеет до 25 мая воспользоваться Dr.Web CureIt! и вылечить от этого червя компьютер, самое лучшее действие - немедленное выключение питания компьютера, что позволит сохранить если не все данные, то хотя бы их часть. "

А дату перевести вперед - не, низя ?

[Иван 290]

Новый пиарщик у "Веба"?

агентство

[A. 876]

забавное:

если пойти по ссылке, сохранить себе на машину картинку из новости и открыть ее в любом hex-вьюере (да даже в фаре , то в самом низу будут видны ошметки дельфийского кода.

в оригинальной картинке, которую дропает червь - конечно же этого нет. она просто меньше.

ребята из дрвеб просто взяли и вырезали jpg из тела червя (тестовых машин нет ? ) . криво вырезали, да так в публикацию и отдали. ну хорошо хоть картинка в секции ресурсов была, а то глядишь - еще бы здоровенный кусок тела вируса "опубликовали" (а потом бы на него антивирусы ругались).

главное - следующий раз не выложите какую-нить картинку прямо с эксплоитом ...

[A. 876]

ну хорошо хоть картинка в секции ресурсов была, а то глядишь - еще бы здоровенный кусок тела вируса "опубликовали" (а потом бы на него антивирусы ругались).

Бугага....

я накаркал таки...

[Mr. Justice 771]

Топик очищен от флейма и оффтопика. Прошу возвратиться к обсуждению темы без личных оскорблений, унижения оппонентов, деструктивной полемики. Большая просьба соблюдать правила грамматики и правописания.

[Иван 290]

А вот это вы зря. Информация была, а то что вы ее не видели...."это ваши проблемы".

На сколько мне известно, это именно служба мониторинга "Доктор Веб" сообщила Дурову об эпидемии и эпидемия была сразу же локализована, и по ссылке на вирус выдавалось предупреждение о вирусе и надпись о том что Доктор уже лечит этот вирус и советует воспользоваться лечилкой....

немного не так

по информации от доктора, которой у меня нет оснований не доверять, они действительно сообщили дурову.

ссобщили они дурову о ссылке http://Roland.misecure.com/deti.jpg, которая внешняя и по которой дуров не мог ну никак разместить какую либо информацию , что о лечилке, что о чем другом.

они просто запретили переходы по ссылке содержащей deti.jpg и все. эпидемия пошла на убыль

но вот наступила суббота и товарищи организующие атаку ссылочку изменили на вот эту http://vkontakte.ru/away.php?to=%68%74%74%...%69%2e%6a%70%67, которая вела на тот же deti.jpg и тут уже доблестные дуровцы прибивая эту ссылку смогли разместить текст предупреждения. и насколько мне известно про эту новую волну никто дурова не предупреждал из ав компаний

ВКонтакте | Ссылка на сайт с вредоносной программой (вирусом)

Ссылка, по которой вы попытались перейти, содержит вирус. Скорее всего, Вы получили ее личным сообщением от друга, перешедшего ранее по подобной ссылке, невзирая на все наши предупреждения и предупреждения своего браузера.

Пожалуйста, сообщите об этом тому, кто прислал Вам это сообщение, и посоветуйте обновить антивирус.

ВКонтакте всегда следит за Вашей безопасностью!

[BeAsT 0]

немного не так

по информации от доктора, которой у меня нет оснований не доверять, они действительно сообщили дурову.

ссобщили они дурову о ссылке http://Roland.misecure.com/deti.jpg, которая внешняя и по которой дуров не мог ну никак разместить какую либо информацию , что о лечилке, что о чем другом.

они просто запретили переходы по ссылке содержащей deti.jpg и все. эпидемия пошла на убыль

но вот наступила суббота и товарищи организующие атаку ссылочку изменили на вот эту http://vkontakte.ru/away.php?to=%68%74%74%...%69%2e%6a%70%67, которая вела на тот же deti.jpg и тут уже доблестные дуровцы прибивая эту ссылку смогли разместить текст предупреждения. и насколько мне известно про эту новую волну никто дурова не предупреждал из ав компаний

Иван поделитесь пожалуйста информацией о первой ссылке(имеется ввиду семпл а)... если у вас есть... и о том когда Дуров её заблокировал? мне бы быо оч интересно.

Топик очищен от флейма и оффтопика. Прошу возвратиться к обсуждению темы без личных оскорблений, унижения оппонентов, деструктивной полемики. Большая просьба соблюдать правила грамматики и правописания.

Спасибо, что удалили сообщения! Ироническая и хамская форма этих сообщений была нужна, что бы показать на сколько жалостны поступки некоторых людей(или не отдельных людей).

[Иван 290]

Иван поделитесь пожалуйста информацией о первой ссылке(имеется ввиду семпл а)... если у вас есть... и о том когда Дуров её заблокировал? мне бы быо оч интересно.

не очень понимаю о чем вы, первая ссылка (http://******.misecure.com/deti.jpg). Реально же сервер отдает по этой ссылке исполняемый файл deti.scr, который и является непосредственно сетевым червем.

[Иван 290]

ну вот и наступило 25е число, когда "25 мая в 10 часов утра начнется уничтожение всех данных"

в 10 часов проверю еще раз, а пока дрожите несчастные пользователи Avast! и VirusBuster

http://www.virustotal.com/ru/analisis/0965...d6fd7aa414b3ccd

http://www.virustotal.com/ru/analisis/9a66...ce288372b37e944

[alexgr 556]

А дату перевести вперед - не, низя ?

можно и назад.... или - по методу рекомендаций по ИБ времен 2000 года - не включать!!!

[Виталий Я. 859]

ну вот и наступило 25е число, когда "25 мая в 10 часов утра начнется уничтожение всех данных"

в 10 часов проверю еще раз, а пока дрожите несчастные пользователи Avast! и VirusBuster

http://www.virustotal.com/ru/analisis/0965...d6fd7aa414b3ccd

http://www.virustotal.com/ru/analisis/9a66...ce288372b37e944

К слову: не скажу за вирлаб VB, но проблема для русскоязычных пользователей продуктов на его движке давно решена. А вот за пользователей Avast! я попереживаю.

[Иван 290]

К слову: не скажу за вирлаб VB, но проблема для русскоязычных пользователей продуктов на его движке давно решена.

и почему я, Виталий, был уверен, что вы отпишитесь?

cкажите каким образом решена проблема?

Пользователям вышеуказанных антивирусов все тот же привет

http://www.virustotal.com/ru/analisis/4084...64c389423a0b6f3

http://www.virustotal.com/ru/analisis/c65e...05239fb3f140e55

[Alex_Goodwin 81]

Поскольку Лаборатория Касперского была оповещена нами одной из первых (16 мая), а утилита была опубликована ими только вчера (20 мая), с уверенностью можно сказать, что Лаборатория Касперского не имеет отношения к разработке и распространению самого вируса.

Дуров отжигает http://vkontakte.ru/blog.php?nid=82

[Иван 290]

2 Alex_Goodwin - смотри Сообщение #41 этой ветки

[Виталий Я. 859]

и почему я, Виталий, был уверен, что вы отпишитесь?

cкажите каким образом решена проблема?

Пользователям вышеуказанных антивирусов все тот же привет

Насколько знаю, было внесение сэмплов в базу Anti-Spyware + создание правил для проактивной защиты, распространенные сразу же через апдейт. Но это для перестраховки - мало ли кто в режиме пониженной защиты сидел.

Пользователям VirusTotal привет пламенный. В СПб имеется >=2 вирлабов.

[Иван 290]

было внесение сэмплов в базу Anti-Spyware

про проактивную защиту я знаю, это хорошо

а про базы я погляжу когда было добавлено

[A. 876]

+ создание правил для проактивной защиты

Простите, а что в этом черве такого выдающегося, что для него аж пришлось создавать правила в проактивке ?

Запись в ключ автозапуска реестра ? регистрация себя как сервис ? попытка доступа к персональным данным ?

эти все эти действия ваш _продукт_ ловить не в состоянии и теперь впервые столкнулся с необходимостью ?

бррр