Злоумышленники все активнее распространяют вредоносное ПО посредством СМС

28 ноября 2011 г.

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает пользователей о росте популярности в различных регионах России (Санкт-Петербург, Свердловская область, Краснодар, Воронежская область, Липецкая область, Екатеринбург, Красноярск, Приморский край, Московская область, Нижний Новгород) схемы мошенничества, использующей рассылку СМС-сообщений для распространения вредоносных программ. Средний ущерб, наносимый пользователю злоумышленниками, как правило, не превышает 300 рублей, но были зафиксированы случаи, когда жертвы теряли и более крупные суммы.

Вовлечение жертвы в мошенническую схему начинается следующим образом. На телефон ничего не подозревающего пользователя приходит СМС, содержащее информацию о том, что на его номер поступило новое сообщение MMС. Для просмотра этого послания следует перейти по ссылке на предложенный сайт. Если пользователь переходит по указанной ссылке, на его мобильный телефон под видом MMС загружается какое-либо изображение или видеоролик (как правило, фотография киноактрисы или эстрадной звезды) и троянская программа, предназначенная для мобильных устройств с поддержкой Java. Во многих случаях это Java.SMSSend.251, однако подобные троянцы часто видоизменяются в целях усложнения их детектирования: согласно результатам наблюдений, новая модификация появляется в среднем каждые две недели.

Данная троянская программа, запустившись на инфицированном устройстве, отправляет СМС-сообщение на короткий номер, в результате чего со счета пользователя списывается определенная денежная сумма. Как правило, злоумышленники стараются рассылать подобные сообщения в выходные дни или ночью, чтобы максимально затянуть разбирательство пользователя со службами технической поддержки мобильного оператора. Доменов, ссылки на которые содержатся в рассылаемых сообщениях, также существует множество: на сегодняшний день в распространении вредоносного контента замечены сайты mms-center.ru, center-mms.ru, mms-new.ru, mmspicture.ru, mmsbases.ru, mmsclck.ru, mms-cntr.ru, 1-mts.ru, boxmms.ru, new-mms.org, d.servicegid.net и многие другие. Все эти ресурсы добавлены в базы Dr.Web как нежелательные для посещения.

Массовые рассылки подобных СМС-сообщений осуществлялись по целому ряду регионов, среди них — Санкт-Петербург, Свердловская область, Краснодар, Воронежская область, Липецкая область, Екатеринбург, Красноярск, Приморский край, Московская область, Нижний Новгород и другие. Средний ущерб, наносимый пользователю злоумышленниками, как правило, не превышает 300 рублей, но были зафиксированы случаи, когда жертвы теряли и более крупные суммы.

Компания «Доктор Веб» призывает пользователей проявлять бдительность и не переходить по ссылкам в подозрительных сообщениях, полученных от неизвестных отправителей. Особенно высокой опасности подвержены владельцы мобильных телефонов, на которых не установлено антивирусное ПО.

С уважением,

Служба информации
компании «Доктор Веб»
www.drweb.com

xfce4-weather-plugin No data

Такую радостную надпись стал выдавать погодный информер с 1 ноября. Дело в том, что поставщик информации поменял ключ и ИД юзера. Мотивируя это повышенной нагрузкой на сервера и еще какой то фигней. Интересующиеся могут  ознакомится с первоисточником bugzilla.xfce.org/show_bug.cgi?id=8105

В ожидании реакции от автора прошло 11 дней. Насколько я знаю, до сих пор в оффициальных местах нет реакции и исправления этого полезного плагина.

Решение как обычно пришло с запада 🙂
Некий Robby Workman опубликовал патч, решающий данную проблему.

Путь по которому пошел вышеозначенный товарищ мне не понравился 🙂 Он менял не только то что нужно, но и версию пакета.
А это означает конфликт с yum, и возможныепроблемы с обновлением, когда автор плагина поправит (если поправит) свое творение.

Всего то правок — в файле /xfce4-weather-plugin-0.7.4/panel-plugin/weather.h надо просто поменять две цифры.

удалить:

#define PARTNER_ID       “1121946239?
#define LICENSE_KEY      “3c4cd39ee5dec84f”

добавить:

#define PARTNER_ID       “1003666583?
#define LICENSE_KEY      “4128909340a9b2fc”

Если к этому моменту еще не возникло понимание как лечить плагин, то для пользователей Fedora 15 я положу два рпмника.
С исходником (xfce4-weather-plugin-0.7.4-2.fc15.src.rpm) и скомпилированный у меня (xfce4-weather-plugin-0.7.4-2.fc15.i686.rpm).

Для остальных — найти исходники плагина, либо у автора, либо в репозитарии своего дистрибутива, внести изменения (куда и какие — выше написано), скомпилировать, установить.

Надеюському то помог 🙂 Сам я рад возвращению погодного информера 🙂

Обновление Fedora 12 до Fedora 15 через yum.

Не секрет, что рано или поздно, но обновить свой линукс все таки придется. То что замечательно работало пару лет назад, продолжает работать замечательно, НО, как пару лет назад 🙂

И вот новый пакет не находиться в старых репозитариях, и вот обновления больше не выпускаются, и вот вместо того, что бы просто набрать yum install нам приходиться вспоминать молодость и «как оно там компилиться то…».

НУ как человек ленивый по природе, я конечно захотел обновить свой комп по простому, с помощью PreUpgrade, что уже проделывал и мне понравилось. Суть данной приблуды в том, что просто ее запускаешь, выбираешь на что обновлять и ВСЕ. Дальше оно само.

Но у меня не все так просто оказалось, с каких то доисторических времен, на каком то древнем диске всего то в 150Г размером у меня нашлась какая то полуживая установленная система, еще кажется ASP, версию даже не возьмусь вспомнить. Она то и сломала хребет верблюду 🙂

Итак, запустил PreUpgrade, выбрал 15-ю как цель, нажал кнопку. В принципе это и есть весь процесс при

Не секрет, что рано или поздно, но обновить свой линукс все таки придется. То что замечательно работало пару лет назад, продолжает работать замечательно, НО, как пару лет назад 🙂

И вот новый пакет не находиться в старых репозитариях, и вот обновления больше не выпускаются, и вот вместо того, что бы просто набрать yum install нам приходиться вспоминать молодость и «как оно там компилиться то…».

НУ как человек ленивый по природе, я конечно захотел обновить свой комп по простому, с помощью PreUpgrade, что уже проделывал и мне понравилось. Суть данной приблуды в том, что просто ее запускаешь, выбираешь на что обновлять и ВСЕ. Дальше оно само.

Но у меня не все так просто оказалось, с каких то доисторических времен, на каком то древнем диске всего то в 150Г размером у меня нашлась какая то полуживая установленная система, еще кажется ASP, версию даже не возьмусь вспомнить. Она то и сломала хребет верблюду 🙂

Итак, запустил PreUpgrade, выбрал 15-ю как цель, нажал кнопку. В принципе это и есть весь процесс обновления при PreUpgrade. В нормальном состоянии оно все делает само дальше…

У меня само не получилось. Началось с того, что у меня мультизагрузка, а даже федоровская вики (fedoraproject.org/wiki/How_to_use_PreUpgrade/ru) признает, что при этом будут траблы. Ну немного понаступав на грабли, в виде полного пути
kernel /boot/upgrade/vmlinuz
initrd /boot/upgrade/initrd.img
тут собсно /boot — лишний совсем. Но пока допер… перегрузился 2 раза 🙂

Но вот случилась таки перезагрузка куда надо и заодно — страшное! Мне было сообщено, что я никак не могу обновить свой древний ASP на свежую Fedorа ибо более чем на 2 ступени оно не желает обновлять. И выбрать что именно обновлять — не предлагало… Я даже попробовал обновить не на 15-ю, а на 14-ю, ведь у меня то была 12-я, но… лишний гиг скаченного и тот же результат. Облом.
Оно предлагало поставить все по новой, с форматированием разделов и прочими радостями установки с нуля…

Решил обновлять через yum. ( fedoraproject.org/wiki/Upgrading_Fedora_using_yum/ru )

На самом деле все оказалось не так и сложно.

Волшебная команда yum —releasever=15 и все начало обновятся с нормальных репозиториев.  Пришлось удалить несколько древних пакетов, и заодно подчистить некоторые хвосты старых установок программ, но все в результате прошло почти как по маслу.

Как и написано в руководстве, ссылка выше приведена, сначала обновил сам yum и rpm. Кстати там ссылки битые на download.fedora.redhat.com..

Но они и не нужны, как выяснилось.

Грабли

1. Ожидаемая грабля — не запускаются Х-ы, если видеокарта Нвидиа и драйвера к ней родные.Ну скачть дрова и запустить команду — не проблема.

2. Неожиданная грабля — у меня в fstab был прописан моунт к внешнему диску по NFS. С 12 до 15 версии они поменяли что то и просто так больше не коннектилось, что привело к тормозам при загрузке. Надо ставить UDP, я про это забыл, хоть и знал, пришлось понервничать минут 5.

В результате — все поднялось как родное, все проги — встали на место. Пришлось поискать репозитарии некоторые, они нашлись на  rpmfusion.org/Configuration/

Вывод — НЕ боимся, все совершенно нормально обновляется и не надо переразбивать диски и думать куда деть кучу фоток из того места где оно валяется 🙂

Как обычно — отвечу на вопросы и комментарии и буду рад, если это хоть кому то помогло.

Фишеры охотятся на пользователей «В Контакте» посредством видеороликов

3 ноября 2011 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает о появлении новой мошеннической схемы, рассчитанной на пользователей социальной сети «В контакте». На сей раз злоумышленники обратили внимание на возможность прикреплять к личному посланию, либо к сообщению на «стене» потенциальной жертвы специально созданные видеоролики. С октября по начало ноября 2011 года специалистами компании «Доктор Веб» было зафиксировано более пяти новых схем мошенничества, жертвами которых становятся пользователи «В Контакте».

В новой схеме для обмана доверчивых пользователей социальной сети «В Контакте» киберпреступники используют весьма популярный метод –  отсылку сообщений от имени людей, значащихся в списке друзей потенциальной жертвы. Известно, что к поступающим от собственных родственников, приятелей и знакомых посланиям пользователи относятся с большей степенью доверия, а значит, чаще «клюют» на приманку жуликов.

В этом случае с использованием ранее взломанного аккаунта (либо при помощи системы личных сообщений, либо на «стене» потенциальной жертвы) сетевые мошенники оставляют сообщение, содержащее специально подготовленный ими видеоролик. Этот ролик рекламирует веб-сайт, якобы позволяющий бесплатно отправлять виртуальные подарки другим пользователям социальной сети «В Контакте» и получать дополнительные голоса. Кроме того, на страничке, где опубликована видеозапись, демонстрируется несколько восторженных отзывов других посетителей сайта, якобы успешно воспользовавшихся этим уникальным предложением. Здесь же, как правило, приводится ссылка на созданный жуликами фишинговый сайт.

Разумеется, попытка ввести на открывающемся по ссылке сайте логин и пароль для входа в социальную сеть «В Контакте» заканчивается дискредитацией учетной записи пользователя. Вскоре уже от его имени злоумышленники начинают рассылать по списку друзей предложения посетить созданную ими веб-страничку.

После ввода логина и пароля пользователь перенаправляется на один из мошеннических сайтов, рекламирующих различные сомнительные услуги, например – «поиск двойника». Здесь потенциальной жертве предлагается найти в базах социальной сети похожих на нее людей, для чего следует указать свой номер телефона и ввести в специальную форму код, присланный в ответном СМС. Таким образом, пользователь соглашается на условия платной подписки, в соответствии с которыми с его счета будет регулярно списываться определенная денежная сумма. Примечательно, что созданный жуликами «уникальный сервис» находит «двойников» для любой загруженной фотографии, например, для случайно найденной в Интернете картинки с изображением симпатичного фикуса.

В течение последних двух месяцев специалисты компании «Доктор Веб» фиксируют рост случаев мошенничества с применением «видеотехнологий». По всей видимости, администрация «В Контакте» не успевает вовремя удалять загружаемый злоумышленниками контент. Мы в очередной раз призываем пользователей быть осторожными и не оставлять данных своей учетной записи на посторонних сайтах, которые могут быть созданы сетевыми мошенниками.

С уважением,

Служба информации
компании «Доктор Веб»
www.drweb.com