Позавчера вечером пользователи ICQ подверглись атаке нового вируса
Piggy.zip или H1N1, который крадет пароли и рассылает себя дальше по
контакт-листу. Отличительная особенность заразы - вирус умеет отвечать
на вопросы пользователей, убеждая их, что он не вирус. А украденные
пароли он прячет прямо на icq.com - в поле "О себе" взломанного
аккаунта.
Вирус приходит к пользователю от знакомого, который уже заражен. Он
содержит предложение скачать файл Piggy.zip. В таких случаях
пользователи уже могут заподозрить неладное и спросить у "приятеля", не
является ли эта ссылка спамом или вирусом. Ранее вредоносные боты не
умели отвечать на такие вопросы, и пользователь понимал, что это
зараза.
Однако умный бот Piggy умеет отвечать. Увидав в вопросе слово
"вирус", он говорит в ответ: "нет, это флешка про свинью, глянь :)". В
случае вопроса "ты бот?" вирус может ответить "эээ… сам ты бот!"
Аналогичным образом он отшучивается и на другие вопросы, возвращая
фразы со словами "спам", "троян" и другими. Поэтому все выглядит так,
словно ссылку действительно прислал знакомый человек.
Другая особенность вируса: он меняет пароль от ICQ и записывает
зашифрованный пароль в информацию о владельце ICQ-аккаунта, в поле «О
себе». Вероятно, это делается для того, чтобы злоумышленники могли
забирать пароли прямо с сайта icq.com (поскольку эти поля - открыты) и
при этом их нельзя было вычислить (за этой информацией обращаются
многие поисковые системы, можно заходить туда и вручную).
Владелец взломанной аськи может успеть вернуть себе пароль, если
расшифрует поле «О себе» своего взломанного аккаунта (например,
заглянув туда через другую аську). В данном поле содержится набор из
нулей и единиц, их следует разбить на группы по 10 символов, и каждую
группу перевести в одну цифру по данной таблице:
0100110010 - 1
0101100000 - 2
0101100010 - 3
0101100100 - 4
0101100110 - 5
0101101000 - 6
0101101010 - 7
0101101100 - 8
0101101110 - 9
0100110000 - 0
В результате можно узнать свой "новый пароль", сотоящий из 8 цифр.
Его желательно сразу сменить, поскольку его могут расшифровать другие
люди. Как сказано выше, такой метод публикации паролей сильно
затрудняет поиски злоумышленников - ведь теперь чужие аськи может
захватывать кто угодно, если он расшифровал пароль раньше хозяина.
Напомним, что это не первый вирус, который умеет разговаривать по мессенджеру. Еще в 2005 году был замечен червь IM.Myspace04.AIM,
который аналогичным образом отшучивался в ответ на предположения о том,
что он вирус ("lol no its not its a virus", говорил он). А в 2007 году
прославился российский бот, который выманивал деньги с помощью разговоров о сексе. http://webplanet.ru/news/security/2010/01/20/piggy.html
| 
