Пароли к «ВКонтакте» оказались в общем доступе
Игорь Крейн
? Безопасность | Новости | 30.07.2009 17:13
комментарии (11)
версия для печати

Сегодня по блогосфере начала кочевать ссылка на текстовый файл с логинами и паролями (31 июля файл уже не был доступен) к социальной сети «ВКонтакте»; источник этой волны, по всей видимости, находится на форуме Antichat.ru. База паролей постепенно пополняется, что, по всей видимости, указывает на причастность некой зловредной программы, которой заражены компьютеры множества пользователей этого сервиса.

При попытке открыть данный файл Kaspersky Internet Security — а также, возможно, и другие защитные программы — выдаёт предупреждение о том, что этот сайт является фишинговым. В данном случае опасаться нечего, так как речь идёт об обычном текстовом файле. Впрочем, если ваш компьютер заражен, то, скорее всего, никакой антивирусной защиты на нём нет, а следовательно, такое сообщение вы не увидите.

Пароли, как можно убедиться, действующие, а это означает, что тем, кто зарегистрирован на «ВКонтакте», не мешает заглянуть в этот файл и поискать там себя. Размер файла в настоящее время достигает 4 мегабайт, это более сотни тысяч записей о логинах и паролях (впрочем, встречаются и повторы).

Если поиски увенчаются успехом, считайте, что вам не повезло. В этом случае мы рекомендуем как можно быстрее проверить свой компьютер антивирусом, а после успешного лечения — попытаться сменить пароль на этом сервисе. Также имеет большой смысл сменить пароли и на других веб-сервисах, если они совпадают или похожи на данный.

«Вебпланете» пока не удалось выяснить, какой именно вредонос собирает эту базу и по какому принципу он работает. ЖЖ-юзер hitman полагает, что надо проверить файл hosts на вхождение в него строки «vkontakte.ru». Такая запись означает, что при попытке открыть данный сайт браузер обращается по IP-адресу, указанному напротив этой строки, и открывает фальшивый сайт с формой логина «ВКонтакте».

Однако не исключено, что подмена сайтов происходит на более низком уровне при помощи трояна DNS Changer, который переписывает настройки подключения к серверам доменных имён. Не далее как вчера специалисты Trend Micro обнаружили фишинговый сайт «ВКонтакте», использующийся с недавних пор этим трояном.

(обновлено в 17:40) По информации «Лаборатории Касперского» за сбором базы данных стоит вредоносный файл player.exe, который с 28 июля детектируется «Лабораторией Касперского» как Trojan.Win32.VkHost.an.

Он модифицирует пользовательский hosts-файл таким образом, что при следующей попытке зайти на сайт vkontakte.ru.ru или odnoklassniki.ru пользователь перенаправляется на фишинговую страницу (собственно, расположенную на том же сайте, что и база логинов-паролей) — её дизайн полностью идентичен реальному, и в том случае, если пользователь введет свои логин и пароль на поддельной странице, его данные уйдут к злоумышленникам. Пользователь же, вслед за этим, увидит сообщение (конечно же, фальшивое) о том, что его экаунт «будет удалён через 24 часа», если не отправить SMS на специальный номер.

Специалисты «Лаборатории» рекомендуют пользователями обеих соцсетей проверить содержимое файла hosts. Если там есть записи вида «83.133.1**.2** vkontakte.ru» или «83.133.1**.2** odnoklassniki.ru», то нужно открыть файл в любом текстовом редакторе и удалить эти строки, а затем обязательно сменить все пароли от всех аккаунтов в социальных сетях. Ну и, конечно, не отправлять никаких SMS.

(обновлено в 21:40) «Лаборатория Касперского» предлагает эффективный инструмент для проверки того, не попал ли ваш пароль к «ВКонтакте» в эту базу. Вовсе не обязательно открывать весь файл целиком (тем более что, как говорят эксперты, «нет никакой гарантии, что в любой момент вместо базы данных там не окажется очередная троянская программа») — достаточно лишь заполнить простую форму, указав свой e-mail.

Троян DNS Changer подключился к «ВКонтакте»
Игорь Крейн
? Безопасность | Новости | 30.07.2009 15:48
комментировать
версия для печати

Специалисты Trend Micro обнаружили фальшивый сайт «ВКонтакте», использующийся злоумышленниками для кражи паролей пользователей. Риску подвергаются те интернетчики, чьи компьютеры заражены троянской программой DNS Changer.

Принцип работы DNS Changer заключается в изменении настроек DNS таким образом, чтобы преобразование доменных имён в IP-адреса шло через DNS-сервера злоумышленников. Таким образом, пользователь, по собственной инициативе набравший в адресной строке браузера «www.vkontakte.ru», попадёт на сайт, физически расположенный по другому IP-адресу.

DNS Changer пользуется DNS-серверами украинской конторы UkrTelegroup Ltd. В январе усилиями журналиста Брайана Кребса (Brian Krebs) из Security Fix (The Washington Post), нажаловавшегося на UkrTelegroup его провайдеру, зловредные DNS-сервера удалось завалить. Очевидно, временно: UkrTelegroup сменил дислокацию, где и продолжил свою подрывную деятельность.

В Trend Micro полагают, что появление фальшивого «ВКонтакте» — одного из самых популярных сайтов рунета — свидетельствует о том, что количество русскоязычных жертв трояна DNS Changer достигло некой критической массы.

Хакеры украли все пароли пользователей «Вконтакте»
MIGnews.com.ua

Хакеры выложили в открытом доступе в интернете логины и пароли 135 тысяч пользователей социальной сети «Вконтакте». Первым об этом 30 июля сообщил в своем ЖЖ блогер HitMan.

Файл с базой данных учетных записей пользователей «Вконтакте» был выложен по адресу http://83.133.120.252/fakes/vkontakte/log.txt. В нем содержались адреса электронной почты и пароли, многие из которых были действующими. К 9:30 часам утра по московскому времени 31 июля этот файл был удален, пишет News.rin.ru.

По данным «Лаборатории Касперского», логины и пароли были похищены при помощи вредоносной программы Trojan.Win32.VkHost.an. Она распространялась через одно из приложений «Вконтакте», которое уже заблокировано администрацией социальной сети.

У пользователей, чьи ПК оказались инфицированны этой программой, вместо сайтов «Вконтакте» и «Одноклассники» открывались фишинговые страницы, дизайн которых в точности повторял оригинальные ресурсы. Все логины и пароли, введенные на таких сайтах, попадали в руки злоумышленников. При этом пользователям сообщалось о блокировке аккаунта. Для разблокировки предлагалось отправить SMS, стоимость которого достигала десяти долларов.

Сайт 83.133.120.252 «Лаборатория Касперского» идентифицирует как фишиговый. При попытке обращения к этому ресурсу, он блокируется антивирусными продуктами компании.

Эксперты по безопасности рекомендуют всем пользователям «Вконтакте» и «Одноклассников» проверить содержимое файлов hosts. Они находятся по адресу windows\system32\drivers\etc. Если в них оказались ссылки на vkontakte.ru и odnoklassniki.ru, то файлы нужно удалить и сменить все логины и пароли. Также проверить наличие учетной записи в базе данных злоумышленников можно в специальном разделе сайта Securelist.