Очередные мошенники и угон учетных записей вконтакте… или странные exe-шники, которые вконтакте требует установить

от автора

Сегодня, вернувшись домой после тяжелого трудодня, заварив себе кофе и захватив пару вкуснющих плюшек упал за компьютер, с улыбкой открыл вконтакте, в предвкушении послушать что-нибудь прекрасное.

Но не тут-то было. Сначала меня попросили ввести капчу. Окей, ввел капчу. Но меня все равно не пустили в мою учетную запись, я был перенаправлен на страницу vk.com/validate_profile.php. Как оказалось, моя страница была взломана и с нее рассылался спам:
image

От души поблагодарив разработчиков вконтакте за ответственность и внимательность к их пользователям, а также не обойдя нежными мыслями спамеров, ввел старый и новый пароли.
После этого меня попросили ввести телефон, часть которого уже была показана (на изображении телефон закрашен звездочками):

image

Думаете что меня ждала стандартная процедура восстановления пароля? Вы ошибаетесь. Если интересно — добро пожаловать под кат.

Нуу… думаю вообще молодцы. Секьюрно все, умнички, цены вам нет! Ввел оставшиеся цифры, жмакнул кнопочку отправить.

Дальше начинается интересное. Пришла смс крайне странного содержания (см. изображение ниже):
image

Подумал что скорее всего спам. Но смс от вконтакте все нет и нет!
Нажал на ссылку «Что делать если не приходит смс». В ней попросили отправить смс на какой-то номер (странно, но бог с ним), и обещали выслать код:
image

Полученное сообщение привожу ниже:
image

7hlp.com/… интересно, не находите?

Любопытно… ладно. Ввожу код. Вижу следующее сообщение:
image

Паника начинает нарастать. Жму кнопку. Скачивается программа activator.exe.
Выкладываю скачанную программу тут (может быть кто из знающих людей сможет разобраться, что с ней дальше делать):
www.dropbox.com/s/rc9w4kmbqzm4e0a/activator.exe

Пингую vk.com:
image

Проверяю чей ip:

Reverse Lookup: основное имя домена для адреса 67.211.196.199 – ya-lublu-konei.ru

NetRange: 67.211.192.0 — 67.211.207.255
CIDR: 67.211.192.0/20
OriginAS: AS30158
NetName: ARIMA-NETWORKS
NetHandle: NET-67-211-192-0-1
Parent: NET-67-0-0-0-0
NetType: Direct Allocation
RegDate: 2007-08-27
Updated: 2012-03-02
Ref: whois.arin.net/rest/net/NET-67-211-192-0-1

OrgName: ARIMA Networks Inc.
OrgId: AN
Address: 4190 Still Creek Drive
Address: Suite 140
City: Burnaby
StateProv: BC
PostalCode: V5C 6C6
Country: CA
RegDate: 2011-02-07
Updated: 2011-06-22
Ref: whois.arin.net/rest/org/AN

OrgNOCHandle: CL333-ARIN
OrgNOCName: Look, Curtis
OrgNOCPhone: +1-778-783-0414
OrgNOCEmail: curtis@arima.ca
OrgNOCRef: whois.arin.net/rest/poc/CL333-ARIN

OrgTechHandle: CL333-ARIN
OrgTechName: Look, Curtis
OrgTechPhone: +1-778-783-0414
OrgTechEmail: curtis@arima.ca
OrgTechRef: whois.arin.net/rest/poc/CL333-ARIN

OrgAbuseHandle: CL333-ARIN
OrgAbuseName: Look, Curtis
OrgAbusePhone: +1-778-783-0414
OrgAbuseEmail: curtis@arima.ca
OrgAbuseRef: whois.arin.net/rest/poc/CL333-ARIN

Ip вообще никак не выглядит принадлежащим вконтакте.ру.

На всякий случай проверяю файл hosts (работаю под win7) — ничегошеньки.

Проверяю activator.exe на dr.web:
image

Выглядит крайне подозрительно. Паранойя просто не позволяет мне открыть этот файл.
Попросил друга повторить операции по восстановлению странички с чистого компьютера. Смс не пришло.

Не верю, что вконтакте решил насильственно заставлять пользователей запускать подозрительное ПО.

Продолжу собирать информацию и экспериментировать дальше и обновлять пост в процессе появления новых новостей.
Надеюсь, кто-то найдет этот пост полезным. Также, хотел бы принести свои извинения за скорый стиль изложения, писал в спешке.
Буду рад любой полезной информации и советам.

ссылка на оригинал статьи http://habrahabr.ru/post/158695/


Комментарии

2 комментария на ««Очередные мошенники и угон учетных записей вконтакте… или странные exe-шники, которые вконтакте требует установить»»

  1. Аватар пользователя Estaf
    Estaf

    точно также! после многодневных мучений и очисток компьютера… — смс стали приходить не с 5537 а с 4016, И ВСЕ!!! Решение есть????:((

    1. Аватар пользователя admin
      admin

      Ну логично же что надо купить антивирус какого нибудь касперского и установить его на компьютер.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *