Рассылка по Skype трояна, ворующего Bitcoin

[polym0rph]

04 апреля Лаборатория Касперского сообщила, что обнаружила трояна, который распространяется через Skype рассылкой сообщений типа

- Я не могу спать после увиденного: http://www.goo.gl/XXXXX?image=IMG0540250-JPG
- Что ты думаешь об этой картинке, которую я отредактировал http://www.goo.gl/XXXXX?image=IMG0540250-JPG

 Вот еще список фраз, которыми пользуются злоумышленники, применяя навыки социальной инженерии:
hahaha
Is this you?
Picture of you?
Tell me what you think of this picture
This is the funniest picture ever!
I cant believe I still have this picture
Someone showed me your picture
Your photo isn't really that great
I love your picture!
What do you think of my new hair?
You look so beautiful on this picture
You should take a look at this picture
Take a look at my new picture please
What you think of this picture?
Should I upload this picture on facebook?
Someone told me it's your picture

Сервис сокравщения ссылок Goo.gl показывает, что на данный момент было уже более 170k кликов по этой ссылке, а час назад было 160k, то есть в среднем это 10k кликов в час или 2ю7 клика каждую секунду!
 
Сам троян ворует wallet.dat и подключает компьютер к ботнету, управляющемся по IRC. Сам троян написан на VB, тело трояна можно найтипо этому пути:

C:\Users\s\Desktop\Must Use Different Name\HqwKH\avivah.vbp
 
Больше всего заражений пришлось на Россию и Украину.
 

 

С следующем сообщении уже говорится о другом трояне, который также рассылается аналогичным способом через Skype.

 

Он запускает на компьютере жертвы майнер, который зарабатывает на счет злоумышленника. Приведена команда запуска:

bitcoin-miner.exe -a 60 -l no -o http://suppp.cantvenlinea.biz:1942/ -u XXXXXX0000001@gmail.com -p XXXXXXXX

 

Мораль сей басни: ответственнее относитесь к безопасности на своем компьютере и помните, что за сохранность своих средств в Bitcoin  отвечаете только вы сами.

[Razore]

если кошель зашифрован это поможет?

[Егор]

поможет , пока ключ не подберут...

[Слава Брызгалов]

Я так понимаю достаточно добавить строчку suppp.cantvenlinea.biz 127.0.0.1 в host файл в виндовс и небеспокоиться.

[polym0rph]

 

если кошель зашифрован это поможет?

Да, если троян тупой. А так никто не мешает злоумышленнику в троян внедрить кейлоггер, который считает все, что вводится с клавиатуры, и таким образом получить пароль. Некоторые товарищи из-за этого свои пароли вводят мышкой с помощью экранной клавиатуры. На что зловредописатели стали делать снимки экрана периодические или по какому-то триггеру. Короче, война технологий.

 

Я рекомендую кошелек вообще держать на отдельном компьютере, или, хотя бы, виртуалке, как описано в статье про безопасное хранение кошелька.

[Shadov_v]

 держать на отдельном компьютере, 

Отдельном от чего?  :)

[Extendz]

Отдельном от чего?  :)

Отдельном от основного, я полагаю.

[polym0rph]

@Extendz,

Да, правильно. Почему-то у бухгалтеров не возникает идеи держать систему банк-клиент на компьютере где серфят в сети, играют в игрушки, качают торренты  и т.п., а народ у нас спокойно держит кошельки с приличными суммами.

[Shadov_v]

Меня неправильно поняли маленько, я имел ввиду, что вообще лучше от инета отрубиться совсем. Шутканул, так сказать, неудачно... :-(

[Pingui]

Хм... При клике по подобной ссылке скайп сам скачивает и запускает файл? Или используются уязвимости браузеров?

[u2u]

Диву дался когда прочитал, сори что вешаю ссылки...думаю не удалят....мне интересны мысли пользователей

http://respublika-kz.info/news/society/29727/

http://www.securelist.com/ru/blog/207764586/Lavinoobraznaya_ataka

http://www.securelist.com/ru/blog/207764587/Skype_mageddon_radi_dobychi_bitkoinov

[u2u]

В статье лаб каспера дает интересные данные....кто то усердно разными способами, с 1 марта закидывает майнера на компы жертв-отсюда + ЖИРНЫЙ к общему росту....вообщем голова есть --выводы за Вами...мне будет интересно

1 ссылка с инфосайта

2 с сайта касперыча хрыча

[Andrey Puurmaa]

_{А не является ли только это, распространение вируса-майнера нашим долгожданным и таинственным  " ASIC  майнером"  который сложность сети до небес повышает ? .  Радует   это лохотронщиков,  которые якобы вот вот уже  с ноября 2012 каждую неделю  обещают  начинать отгрузку несуществующего  ASIC продукта  ?} 

_{Кто-нибудь видел кого-нибудь , кто видел   ASIC  майнера :D  ?}

Изменено 9 апр 2013, 19:26 пользователем Nirton

[Selefior]

Ну про кражу кошелька тред тут 

 

Ну а второе - обычный ботнет, он был, есть и будет. 

[Shambler]

"А скайп не нужен, родной"

[Ogame]

Ужс. Не думал, что bitcoin настолько распространен и актуален, что его воруют.

Я думал это больше дорогое хобби "кто рукастее" и баловство у кого железо мощнее)