Сегодня, вернувшись домой после тяжелого трудодня, заварив себе кофе и захватив пару вкуснющих плюшек упал за компьютер, с улыбкой открыл вконтакте, предвкушая послушать что-нибудь прекрасное.
Но не тут-то было. Сначала меня попросили ввести капчу. Окей, ввел капчу. Но меня все равно не пустили в мою учетную запись, я был перенаправлен на страницу vk.com/validate_profile.php. Как оказалось, моя страница была взломана и с нее рассылался спам:
От души поблагодарив разработчиков вконтакте за ответственность и внимательность к их пользователям, а также не обойдя нежными мыслями спамеров, ввел старый и новый пароли.
После этого меня попросили ввести телефон, часть которого уже была показана (на изображении телефон закрашен звездочками):
Думаете что меня ждала стандартная процедура восстановления пароля? Вы ошибаетесь. Если интересно — добро пожаловать под кат.
Нуу… думаю вообще молодцы. Секьюрно все, умнички, цены вам нет! Ввел оставшиеся цифры, жмакнул кнопочку отправить.
Дальше начинается интересное. Пришла смс крайне странного содержания (см. изображение ниже):
Подумал что скорее всего спам. Но смс от вконтакте все нет и нет!
Нажал на ссылку «Что делать если не приходит смс». В ней попросили отправить смс на какой-то номер (странно, но бог с ним), и обещали выслать код:
Полученное сообщение привожу ниже:
7hlp.com/… интересно, не находите?
Любопытно… ладно. Ввожу код. Вижу следующее сообщение:
Паника начинает нарастать. Жму кнопку. Скачивается программа activator.exe.
Выкладываю скачанную программу тут (может быть кто из знающих людей сможет разобраться, что с ней дальше делать):
www.dropbox.com/s/rc9w4kmbqzm4e0a/activator.exe
Пингую vk.com:
Проверяю чей ip:
Reverse Lookup: основное имя домена для адреса 67.211.196.199 – ya-lublu-konei.ru
NetRange: 67.211.192.0 — 67.211.207.255
CIDR: 67.211.192.0/20
OriginAS: AS30158
NetName: ARIMA-NETWORKS
NetHandle: NET-67-211-192-0-1
Parent: NET-67-0-0-0-0
NetType: Direct Allocation
RegDate: 2007-08-27
Updated: 2012-03-02
Ref: whois.arin.net/rest/net/NET-67-211-192-0-1OrgName: ARIMA Networks Inc.
OrgId: AN
Address: 4190 Still Creek Drive
Address: Suite 140
City: Burnaby
StateProv: BC
PostalCode: V5C 6C6
Country: CA
RegDate: 2011-02-07
Updated: 2011-06-22
Ref: whois.arin.net/rest/org/ANOrgNOCHandle: CL333-ARIN
OrgNOCName: Look, Curtis
OrgNOCPhone: +1-778-783-0414
OrgNOCEmail: curtis@arima.ca
OrgNOCRef: whois.arin.net/rest/poc/CL333-ARINOrgTechHandle: CL333-ARIN
OrgTechName: Look, Curtis
OrgTechPhone: +1-778-783-0414
OrgTechEmail: curtis@arima.ca
OrgTechRef: whois.arin.net/rest/poc/CL333-ARINOrgAbuseHandle: CL333-ARIN
OrgAbuseName: Look, Curtis
OrgAbusePhone: +1-778-783-0414
OrgAbuseEmail: curtis@arima.ca
OrgAbuseRef: whois.arin.net/rest/poc/CL333-ARIN
Ip вообще никак не выглядит принадлежащим вконтакте.ру.
На всякий случай проверяю файл hosts (работаю под win7) — ничегошеньки.
Проверяю activator.exe на dr.web:
Выглядит крайне подозрительно. Паранойя просто не позволяет мне открыть этот файл.
Попросил друга повторить операции по восстановлению странички с чистого компьютера. Смс не пришло.
Не верю, что вконтакте решил насильственно заставлять пользователей запускать подозрительное ПО.
Продолжу собирать информацию и экспериментировать дальше и обновлять пост в процессе появления новых новостей.
Надеюсь, кто-то найдет этот пост полезным. Также, хотел бы принести свои извинения за скорый стиль изложения, писал в спешке.
Буду рад любой полезной информации и советам.
Автор: tru3
Вчера у меня была такая же проблема, но к тому же был изменен файл hosts (был сделан скрытым и введены запреты на vk.com, одноклассники и еще что то, всего штук 10). А рядом был создан новый hosts, видимый, НО пустой.
Все это почистил, удалил кэш и куки браузера, все временные файлы с помощью CCleaner. Заработало!
Но мне приходило смс с номера 4016, через сайт social-skills . info