пятница, 15 июня 2012 г.

Осторожно - вирус!


28/06/2012 Последняя информация тут - Формируем коллективное обращение в сапорт твиттера


27/06/2012 Свежее по темечитаем и держим руку на пульсе.
26/06/2012 Свежее по теме: читаем и держим руку на пульсе.

Сегодня некоторые из моих друзей не смогли зайти в свой аккаунт!
У них вор-вирус сменил мыло и пароль.
Это по всей видимости вирус, который поселился на вашем компе.
(уже сейчас выяснили - это троян - кейлогер) Количество пострадавших растет!


Конкретно в нашем случае многие повелись на такое вот объявление:
База взаимных фолловеров бесплатно - содержит вирус, ворующий аккаунты



Аккаунты, которые первоначально распространяли эту информацию (в твиттере названы народом #кукушата, по имени первого засвеченного там, на рис. - один из них, всего 12 штук) содержали в своем био ссылку на сайт twitticseo.com. На данный момент они почти все забанены, благодаря совместным усилиям тви-сообщества.

Сейчас этот сайт (базу и новости) рекламируют в основном пострадавшие аккаунты, сворованные при помощи этого вируса.

Информация в сворованные аккаунты публикуется при помощи примочки http://seopulttwitter.appspot.com/ - расположенной на свободной площадке, предоставляемой Google для разработчиков. Кто хозяин этого сервиса - непонятно :(.

Если Вы тоже пострадали - обращайтесь в техподдержку твиттера и оставляйте здесь свои контакты.

Что делать? Я не специалист по безопасности, и конечно самое лучшее - это помощь профессионалов. Но общие принципы таковы:

1. Срочно проверять комп на наличие вирусов и вредоносного/шпионского ПО.
Для этого существуют бесплатные утилиты Касперского или Доктора Веба. Главное - скачать самый свежий вариант! Брать - только на официальном сайте!

Kaspersky Virus Removal Tool 

или 

Dr.Web CureIt!


Внимательно и аккуратно проводите тестирование, особенно хорошо, если это сделает специалист. Иначе - почитайте рекомендации, прежде чем начать (надо выйти из всех программ, safe-mode и т.п., не забыть перегрузиться, в некоторых случаях бывает надо отключиться от инета..) После лечения не забыть проверить флешки. Вирусы бывают разные, и с ними надо по-разному бороться.

Не рекомендуется одновременно запускать 2 антивируса (они друг друга не любят:)).

Для большей уверенности имеет смысл протестировать 2-мя антивирусами.

Обычно как делают - вынимаем все диски, флешки и т.п. и грузимся в safemode. Или просто грузимся и больше ничего лишнего стараемся не запускать. Если есть антивирус в резиденте - отключаем.
Запускаем антивирусный СКАНЕР - ну и ждем и выполняем, что он нам скажет :).
Если он будет ругаться на файлы другого антивирусника - игнорим :).

2. Писать в техподдержку твиттера с объяснением: типа "My twitter account is breaked by virus - what to do? Help please!" или

"my account has been hacked by site twitticseo.com!"


Набираться терпения и ждать. По последним данным поддержка твиттера обычно реагирует дней через 10, а то и больше.

Почитать тут:



После всего проделанного - когда вирусов нет, все восстановлено, поменяйте пароли на аккаунте твиттера и емейла. И воспользуйтесь средствами твиттера по защите - указание телефона и т.п.

На будущее:

  • - пользоваться антивирусами
  • - избегать случайных связей :) - не ходить по сомнительным сайтам и не качать файлы. Помните - Бесплатный сыр ТОЛЬКО в мышеловке!
  • - можно как добавку поставить еще плагин типа siteadvisor или MYWOT
  • - и привязать авторизацию твиттера к мобильному телефону


Желаю удачи!

Буду благодарна, если кто-то из спецов по безопасности подробнее распишет процедуру поиска-лечения, а пострадавшие - поделятся подробностями: что и как писали в сапорт твиттера, симптомы, какой вирус нашли, где могли подцепить и т.п.

Этот материал написан на скорую руку - и будет правиться, корректироваться, и дополняться.

Ссылки по теме:

Куда пожаловаться на сайт:















43 комментария:

  1. Итак, потратив уйму времени, выяснено: все погоревшие скачивали архив бесплатных фолловеров, рекламируемых аккаунтом kykywonochek с сайта http://www.twittikseo.com/?page_id=8

    Архив представляет собой экзешник (выполняемый файл).... Дальше объяснять думаю не надо :)

    Удивительно, что антивирусы ничего не сказали...

    ОтветитьУдалить
    Ответы
    1. Кроме кукушенка обнаружились около десятка бот-аккаунтов, которые активно пиарили этот архив

      Удалить
  2. Странно конечно, что запускали экзешник, а не открыли его архиватором. Это пол беды. В последнее время перешел на Trend Micro Titanium и COMODO Firewall. Они не позволяют запускать "левые" файлы и процессы. Даже если запустить экзешник, то на все действия его потребует разрешения.

    ОтветитьУдалить
    Ответы
    1. Да соглашусь COMODO как фаервол в дополнение с антивирусом - просто прекрасен. У меня в связске с Eset.

      Удалить
  3. Спасибо @Xal0lex!
    По его наблюдению - В екзешнике сидит Trojan.Win32.Cospet!E2 Информации по нему в вирусных базах вообще нет.

    ОтветитьУдалить
  4. в какой-то базе есть, если есть название ;)

    ОтветитьУдалить
  5. Анонимный17 июня 2012 г., 15:25

    В екзешнике сидит Trojan.Win32.Cospet!E2 Информации по нему в вирусных базах вообще нет. Что он делает - неизвестно. Вот ссылка на анализ скачанного по этому адресу файла http://ow.ly/bD4EW
    Из 42 антивирей определяет этот троян только антивирус Emsisoft, и Virustotal.com тому подтверждение. Хотя, это может быть, всего лишь, ложное срабатывание...

    Ну, немного рекомендаций по этому поводу, так сказать. Где сидит этот зверь в системе мне найти не удалось, хотя я запускал этот файл на виртуалке. Поэтому подсказать где искать зверя более конкретно не могу. Да и есть ли он?
    Так как этого зверя определил антивирус Emsisoft, то и рекомендую скачать Emsisoft Emergency Kit 2.0 http://ow.ly/bD6Ib Это бесплатный портативный набор. Распаковываете, просто копируете на USB и проверяете в режиме "Глубокая проверка". Это долго, а что поделаешь?

    Если кто захочет попробовать потом полную версию этого антивиря вот прямая ссылка на дистрибутив http://ow.ly/bD7eO

    ОтветитьУдалить
    Ответы
    1. Огромное человеческое спасибо за проведенное исследование!

      Удалить
    2. Авира зверя не определила, но и запускать тоже не разрешила, ругнувшись на то, что файл пытается выполнить серверные операции. Это меня наверное и спасло - я запретил выполнение файла.

      Удалить
    3. Нод зверя определял, но мне и не приходило в голову его запускать

      Удалить
  6. Анонимный17 июня 2012 г., 15:25

    В екзешнике сидит Trojan.Win32.Cospet!E2 Информации по нему в вирусных базах вообще нет. Что он делает - неизвестно. Вот ссылка на анализ скачанного по этому адресу файла http://ow.ly/bD4EW
    Из 42 антивирей определяет этот троян только антивирус Emsisoft, и Virustotal.com тому подтверждение. Хотя, это может быть, всего лишь, ложное срабатывание...

    Ну, немного рекомендаций по этому поводу, так сказать. Где сидит этот зверь в системе мне найти не удалось, хотя я запускал этот файл на виртуалке. Поэтому подсказать где искать зверя более конкретно не могу. Да и есть ли он?
    Так как этого зверя определил антивирус Emsisoft, то и рекомендую скачать Emsisoft Emergency Kit 2.0 http://ow.ly/bD6Ib Это бесплатный портативный набор. Распаковываете, просто копируете на USB и проверяете в режиме "Глубокая проверка". Это долго, а что поделаешь?

    Если кто захочет попробовать потом полную версию этого антивиря вот прямая ссылка на дистрибутив http://ow.ly/bD7eO

    ОтветитьУдалить
  7. Рецепт:
    Как потерять свой тви-аккаунт:
    дай поиск в тви по строке "twittikseo.com",
    пройди по ссылке,скачай,разархивируй и открой базу взаимных фолловеров!
    Не забудь сказать "пока" аккаунту! :)

    ОтветитьУдалить
  8. Кто пострадал: оставьте тут имена Ваших пострадавших акков, вместе и батька веселее бить :)

    ОтветитьУдалить
  9. Вот кукушата:
    @vitolinpan
    @Viola_twitik
    @twittikseocom
    @TMarinevich
    @TanuwaP
    @VitalinaTwit
    @Elena_Kyrganska
    @Valya_xodskaya
    @ZlataTwit
    @SolutionsBoy
    @LElena80
    @Iricha_N
    Забаним их давайте!

    ОтветитьУдалить
  10. Список пострадавших аккаунтов:
    @sasa7844
    @akutata11
    @olegkozlow
    @bbobb100
    @Nevskiy_A
    @Mayskiykot
    .... и еще
    Теперь с этих аккаунтов при помощи сайта/программы http://seopulttwitter.appspot.com/ транслируется спам.
    Сайт - это свободный хостинг от гугла под приложения...

    ОтветитьУдалить
    Ответы
    1. еще @Olegish10
      @DonaRumata и пивное пузико

      Удалить
    2. расфолловила на всех акках

      Удалить
    3. Расфолловила этот акк везде

      Удалить
  11. Я в ШОКЕ!!! Но ребята тоже, как так, бдительность нужна всегда! Я таких ссылок вообще не открываю!

    ОтветитьУдалить
    Ответы
    1. Повелись на волшебную базу взаимных живых фолловеров, которые якобы ретвитят твои сообщения :)

      Удалить
    2. Ага, тут наблюдается две крайности - одни кликают и ведутся на все подряд, а другие - как квочки "что?где?" - им отвечаешь: гляньте тут, по делу, на блоге Опыта, а они боятся кликнуть и продолжают "квохтать"... :)
      Одни, даже не пострадавшие - кинулись помогать: посылать в баню и рипорт про спам, а другие - прошли мимо...
      Разные люди ...

      Удалить
    3. Получается, сами себя будем банить.)

      Удалить
    4. Я вообще не кликаю ни на что

      Удалить
    5. Пока народ банит не сами себя, а кукушат - аккаунты того, кто их заманил (там же было ясно написпано - они первые и у них в био стоит адрес сайта-заразителя). Что делать со своими украденными аккаунтами - Вам решать. Пока стоит надеяться на то,что вернут...

      Удалить
    6. Анонимный21 июня 2012 г., 16:08

      Это все платная реклама :(

      Удалить
    7. Очень глубокомысленный комментарий и по теме. Главное - очень полезно для окружающих :)

      Удалить
  12. Привет всем у меня увели пару аккаунтов @maksimshinkarev и @shinkarevmaksim. Каюсь грешен качал тот самый преславутый бесплатный список. Антивирус не обнаружил его. Писал в тех поддержку но результата 0.

    ОтветитьУдалить
    Ответы
    1. Терпение! У твиттера очень много обращений. Последний опыт показал, что ответа ждали более 10-ти дней.

      Удалить
  13. Этот комментарий был удален автором.

    ОтветитьУдалить
  14. Вроде все кукушки в бане :) Всем спасибо!

    ОтветитьУдалить
    Ответы
    1. А толку .. сайт снова работает и с аккаунтов украденных рассылают ссылки на эту базу

      Удалить
    2. 1. Видимо не все поняли, как жаловаться на сайт (см Куда пожаловаться на сайт) - на САЙТ, а не на тви-акки! :)
      2. По наблюдениям многих - реакция твиттера на обращения - до 10, а то и больше дней: запаситесь терпением! И проверяйте статус своей заявки: если надо - подтолкните ее комментарием (см Как общаться с сапортом твиттера), проверяйте почту - они пишут на е-мейл, а он может проверкой попасть например и в спам-корзину...

      Удалить
  15. Если что-то решится, дайте знать на этот акк @Nemalblsh

    ОтветитьУдалить
  16. Люди учатся на своих же ошибках,доказано ( Скачал архив с фолловерами и через несколько дней мой акаунт @avchirkov взломали ,теперь я только с #TweetDeck могу с него писать ! Если появится новая инфа как восстановить акк кроме как написать в сапорт пишите на @chirkkov .

    ОтветитьУдалить
  17. весь свой твитт прошла - вроде нет никого, а я еще думаю - где все мои то? вчера друг написал, что возвращают имена свои - если интересно, то его блог sherhaan.ru - почитай

    ОтветитьУдалить
    Ответы
    1. да я в курсе - он 2 дня назад уже нам инструкцию написал - что делать, если взломали аккаунт

      Удалить
    2. Спасибо, в поддержку написал. Украли акк @signaturgod. Взломали почту и через почту запросили сброс мыла. Новый владелец отписался "купил на форуме - гуляй".

      Удалить
    3. Будем надеяться, что вернут. Продажа ТВИТТЕР-аккаунтов ЗАПРЕЩЕНА. Твиттер сохраняет (вам конечно не покажет, но) - сохраняет ВСЮ историю: и твиты, и емейлы. Просто это долго и муторно проверять. Но аккаунты возвращают, надо набраться терпения и ждать (ориентировочно до 10-ти дней), периодически напоминая о своем тикете в сапорте поддержки твиттера.
      Желаю удачи!

      Удалить
  18. За пару дней на этом блоге я столько узнала о твиттере!
    Спасибо, что делитесь актуальной информацией.
    Даже не подумала бы что по дефолту у них такие идиотские условия смены пароля.
    Теперь благодаря вам, буду держать руку на пульсе.

    ОтветитьУдалить
  19. Несколько дней уже почитываю блог - узнала много нового о твиттере. Спасибо, что постите актуальную информацию.
    Даже не могла предположить что сбросить пароль в аккаунте так просто (
    Да и бан получить - тоже легче легкого.

    ОтветитьУдалить
    Ответы
    1. Спасибо за Ваши комментарии. Мне всегда приятно и важно видеть и знать, что информация приносит пользу.

      Удалить