Frogs.exe

Сейчас идет массовая рассылка данного сообщения

Не вздумайте открывать!!!

Ссылка для скачивания файла Frogs.rar
_http://file.qip.ru/file/100122839/beef555a/Frogs.html
[-- Файл отправлен через file.qip.ru. Подробнее на сайте: http://file.qip.ru --]

головоломка на обман зрения прикольная )

Программа меняет пароль на аккаунт
и автоматически рассылает ссылку по контакт листу

http://forum.qip.ru/showthread.php?p=318114

Вроде оно.
Но не факт

Касперский:
Hoax.Win32.IMPass.aj
Время детектирования 02 сен 2009 12:27 MSK
Время выпуска обновления 02 сен 2009 16:33 MSK

проверял на вирустотале.. чист(((
скачал.. но так и не запустил :D

Его скачало больше 20000 человек с сервера квипа.
Мне так и не дошел(
И по ссылке не скачал(
ссылка на запрашиваемый файл не действительна.

ЗЫ добрые люди поделились ссылкой)

я удалил его(( зачем хз.. щас тоже жалею :(

проверял на вирустотале.. чист(((
скачал.. но так и не запустил :D
1 все же что-то заподозрил)
http://www.virustotal.com/ru/analisis/8e13d9f9dbf075f74946392d389e5d6dc25a5f70474acd6f46 abc61da218a875-1252356758

На Семерке х64 не запустился у меня

я удалил его(( зачем хз.. щас тоже жалею

всмысле жалеешь, проссал аську чтоль?

а если сперли брутом реал вернуть???или как думаете qip отреагирует на это в плане того что вернут старые пароли

всмысле жалеешь, проссал аську чтоль?
нет почему же, аська на месте говорю же не запустил, пожалел что удалил... покапаться надо было :)

у меня есть этот гребанный фроги я его запустил....но это ппц косяк qip и каспера что они допустили такой ппц...если нада могу залить фроги на слил

только сегодня помогал человеку вернуть его асю отжатую этой ссылью- да и непохоже что автоматом рассылаеться- т к ко мне с контакта акка который угнали стучался совсем не бот и уговаривал меня посмотреть головоломку

P.S.Кстати он уже палиться (вирус)

как уже я постил:
пассы уходят на номер 49982679 в формате UIN;NEWPASS;OLDPASS :)
также парсится станичка ASCII "http://qeepy . livejournal . com/profile" на предмет ASCII "title=""AIM""" и
ASCII "title=""ICQ""" типо как запасное средство управление.

народ а реал как нибудб вернуть????оч оч нада

новый пароль рандомный, цифровой, 8 символов,так что вперёд. :)
сбрутить врядли. так что ретив на примари.
http://www.threatexpert.com/report.aspx?md5=f611fadc268c2bb0d3c020c2ded53b7c

мде.....а за денежку если ;)))

мде.....а за денежку если ;)))
обьясняю- как минимум нужно знать ПМ (если ася рамблеровская то в контакт листах просматриваеться) ну а дальше все элементарно- получиш мыло- вернеш асю

в том то и проблема что нету мыльника,кста еще интересная инфа после запуска лягушек процесс висит "Frogy" в процессах

ребят, есть архив, содержащий этот файлик... уцда его выдожить на ваше растерзание

и еще... после закрытия окна... процесс фрогс.ехе еще в процессах, т..е. не выгружает ся

ребят, простите Христа ради.. я пьян... у меня СЫН родился...

как уже я постил:

Судя по кешу гугла, этот номер достался KG26

Судя по кешу гугла, этот номер достался KG26

да вроде как RinatOK получил номер :) интересно он как-нить причастен или нет.

как минимум нужно знать ПМвроде теперь пароль восстанавливается вне зависимости от мыла. отвечаешь на контрольные вопросы и вводишь любое мыло. :rolleyes:

если не трудно, перезалейте трояна на другой файлообменник! :o

Alexandr II я скачивал у меня есть на компе могу прислать..

Попался, эта софтина добавляется в автозапуск?
После закрытия и убиения процесса всё ок? Кроме кражи номера ничего не происходит и никаких бекудров себе троян не оставляет?

Пароль точно только цифровой и восьмизначный ?

Ловите кто просил _http://webfile.ru/3900346 только поосторожней.
А я уже потерял свой мыло не помню хоть и было оно забито, вопросы тоже забыл. Башка дырявая :(

кароч)))точно знаю что процесс который висит в процессах отвчает за рассылку другим контактам...вроде ток ICQ пассы тырит

Касперский уже ловит:

Hoax.Win32.IMPass.am
Время детектирования 07 сен 2009 22:36 MSK
Время выпуска обновления 08 сен 2009 02:14 MSK

Проверенный файл: Frogs.rar - Инфицирован
Frogs.rar/Frogs.exe - инфицирован Hoax.Win32.IMPass.am

хм....да уж....спустя пол дня каспер очухался......кста попробуйте

ща сделал комплексную проверку вот результаты

Антивирус Версия Обновление Результат
a-squared 4.5.0.24 2009.09.08 -
AhnLab-V3 5.0.0.2 2009.09.07 -
AntiVir 7.9.1.12 2009.09.07 -
Antiy-AVL 2.0.3.7 2009.09.08 Hoax/Win32.IMPass
Authentium 5.1.2.4 2009.09.07 -
Avast 4.8.1351.0 2009.09.07 -
AVG 8.5.0.409 2009.09.07 -
BitDefender 7.2 2009.09.08 -
CAT-QuickHeal 10.00 2009.09.08 -
ClamAV 0.94.1 2009.09.08 -
Comodo 2204 2009.09.08 -
DrWeb 5.0.0.12182 2009.09.07 -
eSafe 7.0.17.0 2009.09.06 -
eTrust-Vet 31.6.6725 2009.09.08 -
F-Prot 4.5.1.85 2009.09.07 -
F-Secure 8.0.14470.0 2009.09.08 -
Fortinet 3.120.0.0 2009.09.08 -
GData 19 2009.09.08 -
Ikarus T3.1.1.72.0 2009.09.08 -
Jiangmin 11.0.800 2009.09.08 -
K7AntiVirus 7.10.837 2009.09.05 -
Kaspersky 7.0.0.125 2009.09.08 Hoax.Win32.IMPass.am
McAfee 5734 2009.09.07 -
McAfee+Artemis 5734 2009.09.07 Artemis!F611FADC268C
McAfee-GW-Edition 6.8.5 2009.09.08 Heuristic.BehavesLike.Exploit.CodeExec.NLOB
Microsoft 1.5005 2009.09.08 -
NOD32 4404 2009.09.08 -
Norman 6.01.09 2009.09.07 -
nProtect 2009.1.8.0 2009.09.07 -
Panda 10.0.2.2 2009.09.07 -
PCTools 4.4.2.0 2009.09.07 -
Prevx 3.0 2009.09.08 -
Rising 21.46.10.00 2009.09.08 -
Sophos 4.45.0 2009.09.08 -
Sunbelt 3.2.1858.2 2009.09.07 -
Symantec 1.4.4.12 2009.09.08 -
TheHacker 6.3.4.3.397 2009.09.07 -
TrendMicro 8.950.0.1094 2009.09.08 -
VBA32 3.12.10.10 2009.09.08 -
ViRobot 2009.9.8.1922 2009.09.08 -
VirusBuster 4.6.5.0 2009.09.07 -


4 из 41 очень неплохо я бы сказал

gmyz, спс ;)
интересно касперский его может поймать только проактивкой с эвристикой. :rolleyes:

gmyz, спс ;)
интересно касперский его может поймать только проактивкой с эвристикой. :rolleyes:
Нет.

Мне больше интересует, по какому принципу бот работает, который отписывает.
Все разные сообщения присылает.

сдается мне что не бот... или если боту ответили. то уже человек отвечает, имхо.

попробовал этот троян на виртуальной машине. поставил qip, касперского (отключил проверку файлов и оставил только проактивку с эвристикой)
трян пароль не изменил и никакие ссылки другим контактам не разослал сколько ни старался спровоцировать. )))

ко мне чёто не пришёл....жалко тоже :D

DrWeb 5.0.0.12182 2009.09.07 -

DrWeb 5.0.0.12182 2009.09.08 + Trojan.PWS.Qiper.2

все кому не пришёл трой, видимо у тех в контакт листе не бараны сидят ИМХО :rolleyes:

Качал его здесь:
http://fileshare.in.ua/2223740

DrWeb 5.0.0.12182 2009.09.08 + Trojan.PWS.Qiper.2

все кому не пришёл трой, видимо у тех в контакт листе не бараны сидят ИМХО :rolleyes:


я утром проверял)мб док веб очухался

я утром каспером проверял, тож не палился... вчера вечером проверял, на свежих базах, и тож не палился... счас специально обновил базу (до этого была обновлена 45 мин назад...)
Сейчас каспер его палит... и называет Hoax.Win32.IMPass.am

Тут уже писали что каспер его палит, хотя у меня после поста он его не палил... может разные версии виря?

Интересно было бы посмотреть на его сорцы... а именно на алгоритм декрипта пароля... кстати ломанули только КВИП на сколько я понял, и не Инфиум...
Но всё равно было бы интересно посмотреть на алгоритм декрипта пароля...

В сети я так полагаю есть... искалл... но нашёл ток платно... но искал под инфиум...

мммда, что еще сказать, только идиоты открывают ссылки, спам.

мммда, что еще сказать, только идиоты открывают ссылки, спам.


там было оч грамотно сделанно так что ненад...+файл был выложен на файл квип и писало что каспер ничего не нашел....

я утром каспером проверял, тож не палился... вчера вечером проверял, на свежих базах, и тож не палился... счас специально обновил базу (до этого была обновлена 45 мин назад...)
Сейчас каспер его палит... и называет Hoax.Win32.IMPass.am

Тут уже писали что каспер его палит, хотя у меня после поста он его не палил... может разные версии виря?

Интересно было бы посмотреть на его сорцы... а именно на алгоритм декрипта пароля... кстати ломанули только КВИП на сколько я понял, и не Инфиум...
Но всё равно было бы интересно посмотреть на алгоритм декрипта пароля...

В сети я так полагаю есть... искалл... но нашёл ток платно... но искал под инфиум...


я проверял по онлайн проверке тогда там самые свежие базы были каспер утром палить стал)можно ща еще проверить сколько из 41 антивура пропалит ща отпишу

ну вот ща проверил еще один антивир из 41 очухался а именно
AntiVir 7.9.1.12 2009.09.08 JOKE/IMPass.AM


кста еще точно известно что пароли цифровые восьми значные так что можно брутить попробывать

мало того что на сайте квипа был выложен, там же было написано что проверено касперским, я скачавши этот архив, проверид его обновленным нодом.

кста еще точно известно что пароли цифровые восьми значные так что можно брутить попробывать
а откуда инфа? на асечном форуме (http://www.icq.com/forums/index.php?act=view_topic&group_id=10084&topic_id=230390&post_id=927698&page=5) говорят, что 7 цифр
1. Эта программа меняет пароль на случайный цифровой - т.е. на 7ми значное число.
определиться бы. сейчас пока восьмизначные брутфорсю, но приятного мало, тк их дохрена :(

я после фроги вернул две аськи на обоих пароль был 8ми значный)

Приходило такое, но слава богу друг от имени которого прислали мне эту ссылку написал мне с новой аси...

Баньте ТС! Он трой впаривает!

и все кто перейдёт на эту страницу - хапнут вирус

Никто тут ничего не впаривает. А обсуждаем про троя как раз который ворует аськи.