вКонтактный вирус

[dolboed]

На сайте Dr. Web размещено сообщение от 16 мая о серьезной вирусной эпидемии, затронувшей подписчиков популярной социальной сети "ВКонтакте.Ру". Выглядит как розыгрыш, особенно вот этот пассаж:
Если пользователь будет достаточно долго вчитываться в данный текст и предастся размышлениям относительно его содержания, он рискует потерять не только все системные файлы, но и свои файлы данных - документы, фотографии, электронные письма и многое другое. Поэтому самое лучшее действие при появление такого сообщения - немедленное выключение питания компьютера, что позволит, по крайней мере, сохранить если не все данные, то хотя бы их часть.

Однако Dr.Web — реально существующая компания, так что вся ответственность за правдивость сообщения лежит на ней.
Мне остаётся лишь предупредить читателей этих строк, если они вдруг имели неосторожность заразить свои компьютеры, принять меры предосторожности. А френдов, владеющих вирусной темой, прошу высказаться на тему правдоподобия описанной страшилки.

Comments

[romashov.livejournal.com]

уверен, что Dr.Web пугать народ не будет ни в коем случае - это правда.
Вконтакте сработали оперативно - днём не доходили внутренние сообщения, даже просто содержащие латиницу.
но подобному вирусу может подвергнуться буквально любая сеть - и одноклассники, и жж. Ведь вирус делает простое дело "Ворует логин и пароль - и оставляет друзьям пользователя ссылки на себя".

[nebov.livejournal.com]

С макинтошем небойсь бояться нечего?

[andy.livejournal.com]

Ну только я подумал, что там непаханное поле для киддисов, ан нет, подтягиваются.

[payalnik.livejournal.com]

А в чем, пардон, сомнения? Удалить все файлы с диска да, можно :)

[vitonchik.livejournal.com]

Почему бы и нет, вполне реальная штука. Про "вчитываться" - видимо, не совсем ясно выразились, что чем дольше человек будет тупить, тем быстрее останется с голым винтом или по крайней мере без установленного софта.

[vadim-i-z.livejournal.com]

А где это? По ссылке http://info.drweb.com/show/3359/ru происходит редирект на http://info.drweb.com/

[alexminza.livejournal.com]

http://vkontakte.ru/away.php?to=%68%74%74%70%3a%2f%2f%72%6f%6c%61%6e%64%2e%6d%69%09%73%65%09%63%75%72%65%2e%63%6f%6d%2f%64%65%74%69%2e%6a%70%67

[dolboeb.livejournal.com]

Ведь вирус делает простое дело "Ворует логин и пароль - и оставляет друзьям пользователя ссылки на себя".

В ICQ это действительно очень распространённая вирусная практика.
А вот в ЖЖ за 9 лет его существования я таких примеров не видел ни разу.
Не очень понятно, как должен выглядеть этот пост в ЖЖ, чтобы распространиться лавинообразно. Всё-таки в ЖЖ контингент чуть-чуть другой, чем в Аське, а уж тем более в сети вКонтакте. Люди вопросы задают.

[dolboeb.livejournal.com]

А что там, по этой ссылке?
Чтобы на неё зайти, нужно логиниться.

[alexminza.livejournal.com]

ВКонтакте | Ссылка на сайт с вредоносной программой (вирусом)

Ссылка, по которой вы попытались перейти, содержит вирус. Скорее всего, Вы получили ее личным сообщением от друга, перешедшего ранее по подобной ссылке, невзирая на все наши предупреждения и предупреждения своего браузера.

Пожалуйста, сообщите об этом тому, кто прислал Вам это сообщение, и посоветуйте обновить антивирус.

ВКонтакте всегда следит за Вашей безопасностью!

[romashov.livejournal.com]

По-моему, коэффициент переходов по неподписанным ссылкам в личных сообщениях вконтакте намного выше, чем в постах жж. Ну и, может быть, кучность - я почти не припоминаю френдов вконтакте с менее чем 30-50 друзьями, в основе своей - 100-300 и выше.
Произведение этих двух показателей обеспечивают как минимум право на жизнь для этого вируса.

[vkumov.livejournal.com]

На счёт удаления файлов не знаю, но за сегодня 7 раз пришли ссылки.
http://vladimir-morf.livejournal.com/172878.html

[vadim-i-z.livejournal.com]

Спасибо!

[1master.livejournal.com]

Они, как я понимаю, всего лишь пытались сказать, что если пользователь не нажмет reset сразу, как увидит сообщение, то у него будут проблемы.

[abomberz.livejournal.com]

дык контакт вроде уже сразу отрубает это сообщение с вирусом
или он статью на секулабе за трой считает?

Не делайте из мухи слона

[yakovlevra.livejournal.com]

Ни чем не хуже (про игры, уничтожая фрага в которых, удаляется системный файл и т.п.) я рассказывал своим школьным друзьям в 6 классе.
Безусловно, файл "deti.scr" (к слову уже удаленный по крайней мере с первоначального своего места) несет в своем теле вирусный код, но при незначительном весе(всего около 23 кб) не обладает возможностью удалять файлы, и тем более системные файлы (попробуйте сами) - такой возможностью он обладал бы лишь на этапе загрузки ОС, но к счастью вирус менее опасен.
Господа, позвольте же мне вместе с вами порадоваться за небывалую для России клиентоориентированость компаний написавших столь чудные пресс-релизы! Но прошу вас учитывать и то, что в идеале и в инструкции к микроволновке должно быть написано о запрете сушки в ней котов!

Re: Не делайте из мухи слона

[dolboeb.livejournal.com]

но при незначительном весе(всего около 23 кб) не обладает возможностью удалять файлы, и тем более системные файлы (попробуйте сами)

А какая связь между размером файла и его способностями?
C:\Windows\System32\format.com для Висты весит 35Кбайт.

[prostosu.livejournal.com]

а вот еще хотелось бы узнать, у "заразившихся" действительно появилась в application data папка vkontakte c ехе`шным файлом scv, который готов убить все ваши данные?

Re: Не делайте из мухи слона

[yakovlevra.livejournal.com]

Например разберем случай с принудительным удалением системных файлов (метка "Только чтение" + обращения к файлам от запущенных приложений см. Диспетчер Задач). Программе необходимо обойти встроенные защитные системы ОС и отменить запущенные приложения, что по сути то не является чем то удивительным и не обычно не требует лукавых изобретений. Обычно вирус, запускаясь от имени активного пользователя, вынужден не только продублировать свою программу в других приложениях, но и прописаться в системном реестре (для автозагрузки), а так же в системных "службах". Код вируса на данном этапе должен удлиниться в два раза (теперь смею упомянуть, что мои познания в кодинге довольно ограничены, но все же позволяют говорить о подобных вещах).
Вирус обеспечил себя долгой жизнью и достаточным инструментарием и теперь может начать работу.
Считающееся наиболее миниатюрной программой для удаления "неудаляемых" файлов "unlocker" имеет вес дистрибутива около 280 кб, не нуждается в "черном" обходе защитных систем ОС (запускается пользователем), функции же программы удалить, переименовать, перенести имеют лишь относительный функционал - по сути своей действия минимально различаются (файлы отключаются от использования, снимается метка "Только чтение" и т.д.).
Хочу заметить так же, что программа format.com, исправно работающая со времен 98-го, не может запуститься для primary диска из ОС.

Будет дополнением к теме автора дневника - лично я, при стандартном серфинге интернета, за вчера и сегодня перенес более 6-и вирусных атак, в том числе и вКонтакте, дайри.ру, лавплэнет при редиректе по ссылкам френдов и посещением альбомов. Это нормальное поведение хакеров (не сильно подходящее слово для людей, лишь отчасти изменяющих код старых вирусов) в современной медиасреде и обилия социальных сетей.

[m-violinist.livejournal.com]

ха! вот нашёл одно звено, через которое, возможно, вирус был мне прислан...

[vladshutov.livejournal.com]

Когда они (dr.web) пишут "Если пользователь будет достаточно долго вчитываться в данный текст и предастся размышлениям относительно его содержания, он рискует потерять...", речь идет о том, что вирус уже удаляет файлы (25 числа каждого месяца в 10 часов утра, а не от того что кто-то долго читал надпись), и единственное, что остается в такой ситуации выключить питание, и дождаться когда пройдет время "Х", а затем включить компьютер и полечить его свежим антивирусным ПО (можно бесплатно от drweb взять утилиту cureit.exe).
Вот собственно и всё.

[supershurik.livejournal.com]

Если человек идиот и не заметит, что скачал не jpg-шку, а запускной файл и сам вручную запустит его, то вирус, разумеется, активируется.

[damaja.livejournal.com]

ХР классифицирует файл как "файл заставки" если не ошибаюсь.

[damaja.livejournal.com]

а запуск экзешника происходит потом уже без вмешательства пользователя

[sleeping-death.livejournal.com]

остается только добавить, что этот "идиот" еще и под админом сидеть должен :)