Не так давно в «Часкорі» була опублікована стаття «Спогади екс-спамера». У ній один з інтернет-підприємців, які заробляли на спамі у «В Контакті», оголосив про те, що у такого бізнесу дуже скоро майже не залишиться повітря.
Якоюсь мірою з ним можна погодитися - зараз спаму дійсно відчутно менше, ніж було навіть минулого року. Але решта спамерів вдаються до все більш витончених методів. Зараз я хочу розповісти про один з таких методів, що зустрілися мені сьогодні.
Починається все досить невинно, хтось із друзів пише вам банальне "привіт. як справи? ". Ви не менш банально відповідаєте, що у вас все відмінно, і цікавитеся справами співрозмовника, він уточнює: «ти за компом зараз?», запитує: «хочеш посміятися?» і кидає посилання на кшталт
http://tinyurl.com/home-video-10737644-html
На цьому етапі вражає вже те, що бот з, очевидно, зламаного облікового запису пише три цілком доречні репліки, перш ніж кинути посилання. Посилання переспрямовує на сторінку
http://46.98.28.65/home-video/10737644
з інтерфейсом YouTube. Уважний користувач, зрозуміло, помітить невідповідність URL сайту, але розрахунок, очевидно, робиться на тих, хто на таку увагу не звертає.
Сторінку, на яку дається посилання, персоналізовано. Цифри 10737644 у посиланні - це мій id. У назву та опис нібито-відеоролика вставлено моє ім'я:
Відеоролик же не можна подивитися, тому що у мене, виявляється, застарілий Flash Player. Пропонується завантажити його «з сайту Adobe» за посиланням
http://46.98.28.65/Flash-Player.exe
Не менш чудовими є «коментарі». В якості авторів коментарів вказані мої реальні френди з «В Контакті» зі своїми аватарами:
Особливо примітний другий коментар, який повинен остаточно переконати мене, що цей «Flash Player» все-таки потрібно завантажити.
Я звернувся до Onthar - автора попередніх топіків про шкідливий спам у «В Контакті», ось його коментар:
Цей файл - троян-завантажувач. Тобто він завантажує і запускає шкідливі файли з мережі. Справа в тому, що там якась партнерка або ще щось. Файлів вантажиться незвично багато (2-3 тільки за 5 хвилин аналізу), і вони всі продовжують активність в системі. Поки можу точно сказати одне - це ботнет із завантажувачів, звертаються всі файли на різні домени (n-78.ru, vn-66.ru...), але на один ip - 91.223.89.99.
Не секрет, що завантажувати в систему жертви ці файли здатні найрізноманітніше шкідливе ПЗ, аж до знаменитого TDSS-буткіту.
