Очередные мошенники и угон учетных записей вконтакте… или странные exe-шники, которые вконтакте требует установить

в 22:02, , рубрики: vkonakte, мошенники, угон аккаунтов, метки: , ,

Сегодня, вернувшись домой после тяжелого трудодня, заварив себе кофе и захватив пару вкуснющих плюшек упал за компьютер, с улыбкой открыл вконтакте, предвкушая послушать что-нибудь прекрасное.

Но не тут-то было. Сначала меня попросили ввести капчу. Окей, ввел капчу. Но меня все равно не пустили в мою учетную запись, я был перенаправлен на страницу vk.com/validate_profile.php. Как оказалось, моя страница была взломана и с нее рассылался спам:
image


От души поблагодарив разработчиков вконтакте за ответственность и внимательность к их пользователям, а также не обойдя нежными мыслями спамеров, ввел старый и новый пароли.
После этого меня попросили ввести телефон, часть которого уже была показана (на изображении телефон закрашен звездочками):

image

Думаете что меня ждала стандартная процедура восстановления пароля? Вы ошибаетесь. Если интересно — добро пожаловать под кат.

Нуу… думаю вообще молодцы. Секьюрно все, умнички, цены вам нет! Ввел оставшиеся цифры, жмакнул кнопочку отправить.

Дальше начинается интересное. Пришла смс крайне странного содержания (см. изображение ниже):
image

Подумал что скорее всего спам. Но смс от вконтакте все нет и нет!
Нажал на ссылку «Что делать если не приходит смс». В ней попросили отправить смс на какой-то номер (странно, но бог с ним), и обещали выслать код:
image

Полученное сообщение привожу ниже:
image

7hlp.com/… интересно, не находите?

Любопытно… ладно. Ввожу код. Вижу следующее сообщение:
image

Паника начинает нарастать. Жму кнопку. Скачивается программа activator.exe.
Выкладываю скачанную программу тут (может быть кто из знающих людей сможет разобраться, что с ней дальше делать):
www.dropbox.com/s/rc9w4kmbqzm4e0a/activator.exe

Пингую vk.com:
image

Проверяю чей ip:

Reverse Lookup: основное имя домена для адреса 67.211.196.199 – ya-lublu-konei.ru

NetRange: 67.211.192.0 — 67.211.207.255
CIDR: 67.211.192.0/20
OriginAS: AS30158
NetName: ARIMA-NETWORKS
NetHandle: NET-67-211-192-0-1
Parent: NET-67-0-0-0-0
NetType: Direct Allocation
RegDate: 2007-08-27
Updated: 2012-03-02
Ref: whois.arin.net/rest/net/NET-67-211-192-0-1

OrgName: ARIMA Networks Inc.
OrgId: AN
Address: 4190 Still Creek Drive
Address: Suite 140
City: Burnaby
StateProv: BC
PostalCode: V5C 6C6
Country: CA
RegDate: 2011-02-07
Updated: 2011-06-22
Ref: whois.arin.net/rest/org/AN

OrgNOCHandle: CL333-ARIN
OrgNOCName: Look, Curtis
OrgNOCPhone: +1-778-783-0414
OrgNOCEmail: curtis@arima.ca
OrgNOCRef: whois.arin.net/rest/poc/CL333-ARIN

OrgTechHandle: CL333-ARIN
OrgTechName: Look, Curtis
OrgTechPhone: +1-778-783-0414
OrgTechEmail: curtis@arima.ca
OrgTechRef: whois.arin.net/rest/poc/CL333-ARIN

OrgAbuseHandle: CL333-ARIN
OrgAbuseName: Look, Curtis
OrgAbusePhone: +1-778-783-0414
OrgAbuseEmail: curtis@arima.ca
OrgAbuseRef: whois.arin.net/rest/poc/CL333-ARIN

Ip вообще никак не выглядит принадлежащим вконтакте.ру.

На всякий случай проверяю файл hosts (работаю под win7) — ничегошеньки.

Проверяю activator.exe на dr.web:
image

Выглядит крайне подозрительно. Паранойя просто не позволяет мне открыть этот файл.
Попросил друга повторить операции по восстановлению странички с чистого компьютера. Смс не пришло.

Не верю, что вконтакте решил насильственно заставлять пользователей запускать подозрительное ПО.

Продолжу собирать информацию и экспериментировать дальше и обновлять пост в процессе появления новых новостей.
Надеюсь, кто-то найдет этот пост полезным. Также, хотел бы принести свои извинения за скорый стиль изложения, писал в спешке.
Буду рад любой полезной информации и советам.

Автор: tru3

Источник

Поделиться

  1. hosts:

    Вчера у меня была такая же проблема, но к тому же был изменен файл hosts (был сделан скрытым и введены запреты на vk.com, одноклассники и еще что то, всего штук 10). А рядом был создан новый hosts, видимый, НО пустой.
    Все это почистил, удалил кэш и куки браузера, все временные файлы с помощью CCleaner. Заработало!

    Но мне приходило смс с номера 4016, через сайт social-skills . info

* - обязательные к заполнению поля