QIP, вирусы, Pinch
Вчера ко мне опять постучались люди с предложениями троянов... Посему - повышаем
бдительность

Итак, если к вам приходит сообщение вида:
---
Смотри!
< Ссылка на сайт > (< Та же ссылка + рандомное имя файла.zip >;)
Классная вещь!
---

можете быть уверены, ваш корреспондент его не отсылал - это и есть проявление троянца.

взято с <a href="http://www.diary.ru/~hikedaya/p42972189.htm">@дневники - Записная книжка</a>
Я довольно много читал о трояне под названием Пинч (Pinch). Эта зверушка специализируется на краже конфиденциальной информации. Распространяется через ICQ, да и не только через нее, обладает несметным множеством вариантов, но часть имени Pinch - неизменна. Но никогда ранее не доводилось сталкиваться с ним нос к носу. Что ж, все когда-то бывает впервые, иногда прямо с утра.
Итак, если к вам приходит сообщение вида:
---
Смотри!
< Ссылка на сайт > (< Та же ссылка + рандомное имя файла.zip >;)
Классная вещь!
---
можете быть уверены, ваш корреспондент его не отсылал - это и есть проявление троянца. Ответное действие - тут же любым доступным методом уведомить корреспондента о заражении его машины.
В моем случае это выглядело вот так:
обнаружено: троянская программа Trojan-PSW.Win32.LdPinch.gki URL: http: // bpmeye.com / top / chief.zip / chief.scr

Как показала дальнейшая проверка, троян там не один. Вот что выдал Касперский при сканировании HTTP-потока в целом:
обнаружено: троянская программа Trojan-Spy.HTML.Prikolfraud.b URL: http: // co-opworld.com / new / top /

Поскольку из статистики видно, что на страницу люди попадают через поисковые машины с запросом “найди мне все, что касается имени этого сайта” предлагаю всем - в комментариях указывать, на какой сайт вас решил пинч из ICQ отправить. Этот пост будет подниматься по дневнику вверх по мере появления новых имен. На данный момент список выглядит следующим образом:
http: // bpmeye.com / top /
http: // co-opworld.com / new / top /
http: // avoscotes.net / component / top10 /

Формат приглашения:
Привет, смотри!!! :)
< Ссылка на сайт > + (возможно) < ссылка на zip-архив на этом сайте >
Классная вещь! :-)

P.S. Для любопытных - подкинули мне хорошую диаграммку, которая показывает, что именно ворует пинч, весьма занятно.

Рекомендуется посмотреть, где из перечисленного списка у вас сохранены пароли и вычистить их оттуда. Во избежание, так сказать ;)

----

В своем базовом варианте Пинч воровал пароли. Воровал и отсылал их создателю трояна. Позже в инете нашлись заметки о том, что трояна этого сделали многофункциональным. Какими функциями его “облагораживают” в каждой новой версии - остается только гадать. Но поскольку Касперский обнаруживает все версии Пинча под одной сигнатурой (Trojan-PSW.Win32.LdPinch) - функции его следующие:
Trojan - вирусный код встроен в какое-либо легитимное приложение.
PSW - воровство конфиденциальных данных
Win32 - 32-битное windows-приложение (каковых сейчас большинство)
LdPinch - сигнатура вируса (общая для всех)
gki в нашем примере - модификация вируса.
Примечательно, что для рассматриваемой версии Пинча на вирус-листе описания еще нет, слишком молодой еще. А для того, чтобы получить представление о действиях Пинча, можно пройти сюда, тут лежит описание одной из его более старых модификаций: Trojan-PSW.Win32.LdPinch.cgi


p.s. Судя по всему - подвержены все клиенты - потому, как Миранда тоже в списке, но всё-таки есть подозрение, что пользование Мирандой несколько вправляет моск...