Рейтинг@Mail.ru
загрузкаидет загрузка

В открытый доступ попали тысячи логинов и паролей от аккаунтов сети «ВКонтакте»

Логины от Вконтакте утекли в сетьВ Интернете появился новый компьютерный вирус для операционной системы Windows, который взламывает аккаунты пользователей социальной сети «ВКонтакте».

Точнее не он взламывает, а пользователи сами вводят связку логин/пароль на фишинговом сайте.

Вредоносная программа Trojan.Win32.VkHost.an (детектируется антивирусом Касперского с 28 июля) распространялась через приложение ВКонтакте (hxxp://vkontakte.ru/app711384?&m=2, в настоящий момент заблокировано администрацией ресурса).

После установки в систему данный троянец подменял файл hosts на следующий:
83.133.120.252 vkontakte.ru
83.133.120.252 odnoklassniki.ru

Потом, когда пользователь пытался открыть сайт одной из этих социальных сетей, то его перенаправляли на фишинговую страницу, в которой надо было залогиниться. Логин и пароль уходили в базы на том же сайте 83.133.120.252.



После того, как пользователь логинился на поддельной странице, происходил редирект на другую страницу с текстом:

Цитата:
ВНИМАНИЕ!
Ваш аккаунт опознан системой как потенциально опасный.
С вашего IP-адресса ведётся Спам-рассылка.
Аккаунт признан фейком,созданным злоумышленниками для Спам-рассылок, и будет удалён через 24 часа после прочтения данного уведомления, в случае отказа от подтверждения аккаунта.
Если аккаунт настоящий, его необходимо подтвердить.
Отправьте смс с текстом orderit30193 (без пробелов), на номер 6008 В ответном смс вам придёт Код активации.
Стоимость смс соответствует стоимости по вашему тарифному плану.

Что самое интересное, если пользователь отправит смс, то он действительно получает некий код, так как на сайте имеются страницы с следующим содержанием:

Цитата:
Kод принят! Скачайте и запустите файл -Скачать

По ссылке находится файл access.exe, который восстанавливает оригинальный файл hosts (127.0.0.1 localhost).

Мы рекомендуем всем пользователям «ВКонтакте» и «Одноклассников» проверить содержимое своих файлов hosts, которые находятся в каталоге % windir%\system32\drivers\etc, и если в них обнаружены ссылки на vkontakte.ru и odnoklassniki.ru - удалить данные записи.
Обязательно также сменить все пароли от всех аккаунтов! (не только в социальных сетях, но и в электронной почте и прочие). В случае попадания на подобные фишинговые страницы, ни в коем случае не вводить свои логин и пароль и не отправлять никаких SMS-сообщений.

По материалам securelist.com

Спустя сутки администрация прочухалась и стала рассылать предупреждения следущего содержания:

Цитата:
Вы ввели свой пароль от ВКонтакте на поддельном сайте, специально созданном для воровства паролей и выманивания денег за якобы «подтверждение аккаунта».
Вероятно, Вы скачали вирус, запустили его и в результате заразили им свой компьютер.
Например, он мог быть в программе для бесплатного повышения рейтинга ВКонтакте, бесплатной отправки подарков, выявления посетителей Вашей страницы, определения местоположения мобильного телефона или чего-либо подобного.
Во избежание повторения подобного на Ваш почтовый ящик было отправлено данное письмо.
Ваш новый пароль: *********
Вы можете изменить его в Ваших настройках.
Кроме того, необходимо поменять этот пароль везде, где ещё Вы его используете (например, если пароль от ВКонтакте совпадает с паролем от почтового ящика).
Напоминаем, что ВКонтакте всегда был и остается бесплатным сайтом, не требующим никакой активации аккаунта через отправку СМС.
Если, пытаясь зайти на ВКонтакте, Вы видите требование отправить СМС -игнорируйте его,
а вместо этого откройте файл, обычно располагающийся по адресу C:\WINDOWS\system32\drivers\etc\hosts,
и удалите из него все строки с упоминанием vkontakte.ru, а также другие строки с тем же IP-адресом в начале,
которые блокируют Вам доступ к популярным сайтам. (Для этого Вы должны быть администратором компьютера.)
После этого по возможности удалите с жесткого диска файлы vkontakte.exe, vk.exe или vkontakte.bat, обновите антивирус и запустите проверку своего компьютера на вирусы.
Вы также можете отправить агрегатору, отвечающему за упоминаемый в мошенническом тексте короткий номер, жалобу на злоумышленника с просьбой его наказать.
Мы настоятельно рекомендуем не использовать простой пароль,
не вводить его нигде, кроме страницы входа на сайт ВКонтакте.ру,
не открывать ссылки, в содержимом которых Вы не уверены,
не скачивать программы, в назначении которых Вы не уверены,
даже если ссылка пришла Вам якобы от друга - личным сообщением или через приглашение в группу.
С уважением,
Администрация ВКонтакте.ру

Ну и напоследок немного статистики, которую предоставил хабровчанин spiritedflow (на основе 4х Мб файла логин/пароль, который свободно гуляет в сети):

Цитата:
А вот и статистика. Во время сбора убирал повторения email-пароль и привел почтовые домены к нижнему регистру :)

Топ10 доменов:

26628 mail.ru
6297 rambler.ru
5830 yandex.ru
1680 ukr.net
1637 bk.ru
1359list.ru
1278 inbox.ru
1030 gmail.com
911 bigmir.net
571 i.ua

Топ10 паролей:

165 123456
97 123456789
94 qwerty
71 111111
45 1234567890
45 123321
43 7777777
43 666666
41 1234567
37 123123

Ещё, среди паролей, встречающихся более 10 раз, находятся:
- слова «любовь», «солнышко» и «ненавижу»;
- слово «пароль» (16 раз);
- бренды «sumsung» и «adidas»;
- команду «spartak»;
- имена «andrey», «fktrcfylh»(александр), «natasha», «fyfcnfcbz»(анастасия) и «екатерина».

Всё остальное с данным количеством повторений - это удобные наборы на клавиатуре.
Номер телефона («8» или «7» или «+7» и 10 цифр) использовался 587 раз :)

последние комментарии

Ooooops

Looks like Twitter's feed isn't working at the moment.