Od kilku godzin, z różnych numerów GG, dostaję pojedyncze wiadomości (w odróżnieniu od rozmów) o treści: www.hsqvyrpzeh.info/?awbiby.jpg (jeśli używasz Windows, to trzymaj się z daleka). Ostatnia część (query string) jest losowa.
Fakt, że przychodzi jako pojedyncza wiadomość, każe przypuszczać, że do użytkowników GG trafia jako zagnieżdżony w rozmowie obrazek. Ludzie, od których to dostałem, nie mają pojęcia, o co chodzi, bo nic nie wysyłali.
Dostałem też od paru nieznajomych, ale wszyscy mieli mnie na liście kontaktów. Wszyscy używają oficjalnego klienta GG. Czyżby nowy trojan? Próba odwiedzenia wgetem i Firefoksem pokazuje pusty dokument. Nie próbowałem jeszcze zmieniać nagłówka User Agent.
Update: Smalu deobfuskował kod strony (wysyłany jest tylko do użytkowników IE), wygląda na to, że do wstrzyknięcia używa techniki Trojan-Downloader.JS.Agent.ab, dalej nie wiadomo, co (oprócz rozsyłania linka dalej) robi sam trojan.
Update: Inne wątki na ten temat:
Update: Wyciągnąłem z kodu trojana listę używanych ciągów tekstowych, znalazłem przy okazji mechanizm automatycznej aktualizacji za pomocą adresu http://66.185.126.34/cgi-bin/exe_output.cgi, do którego przekazywany jest numer GG i dwa bliżej nieokreślone parametry, wyglądające na bieżący znacznik czasu i hasło użytkownika. Jeśli padłeś ofiarą trojana, to po jego usunięciu zmień hasło do swojego konta.
by marta.i.am
28 gru 2006 at 23:58
no i otworzylam ten szajs bo akurat ten kumpel fajne linki zawse daje:/ i co mam teraz zrobic jak to cos usunac i czy pomoze format bo mam zamiar takowy zrobic. Czy to wystarczy? sory czytam te komentarze ale jakos nie kumam zbyt dobrze wszystkiego… heh. Pozdr i z gory dziekuje
by Sfinks
29 gru 2006 at 05:14
Robal jak widac nic ciekawego nie robi poza panika w necie ;) a umnie NAV wyskoczyl z informacja o virze NAV z RT jak widac dziala dobrze :) po skopiowaniu txtka „odkodowanie” od smalu jak chcialem go inny board wrzucic
Po wklejeniu linka do FF 1.5.0.9 odpalil sie na chwile wmp ale go zaraz wywalilem a system przeszukany i nic niema :)
by eRiZ
29 gru 2006 at 15:33
Zauważyłem nowy objaw: od osób z zainfekowanym kompem trojan wysyła losowe wiadomości z wciśniętymi tymi emotkami, co są w tablicy execa.
by Monika
29 gru 2006 at 17:10
Dostałam podobnego linka do tych które wymieniliście w swoich komentarzach… po kliknieciu na niego zablokowało mi gg na 24h;/ Teraz juz jest niby wszystko w porzadku,ale czy ten robal na pewno juz nigdzie nie siedzi w moim kompie? Jesli cos wiecie na ten temat to piszcie prosze!
by liviopl
29 gru 2006 at 19:12
A ja ten link dostałem :P .
Ale szybko zamknąłem kartę (Opera).
by maciek...
29 gru 2006 at 22:59
też go dostałem i kliknąłem na to. zobaczyłem że wrzuciła sie jakaś aplikacja U.exe ale dała sie usunąć. Za każdym razem gdy przechodze z nieaktywnego na aktywny zauwarzyłem że uruchamia sie proces update.tmp. Wobec tego mam pytanie czy to jest sprawka wirusa czy tak juz jest w gadu??
by Stelmi
30 gru 2006 at 10:12
To ja mam Operę, i nic się nie stało;) A net jest wolny, bo przekroczyłem transfer ;p
by liviopl
30 gru 2006 at 13:21
update.tmp to komponent starego Padu-Zasradu® o ile mi wiadomo.
by Serniczek
31 gru 2006 at 15:50
A ja nic takiego nie dostałem i nie wieże w takie bajki po zatym kazdy głópi ma antywira i antywirus wykryłby takie dziadostwo i nikt nie otwiera linków od nieznajomych, przynajmniej ja jakiś dziwnych.
by eRiZ
03 sty 2007 at 14:37
Gdyby każdy głupi miał antywirusa, to nie byłoby takiej afery. Poza tym, nie wszystkie wyłapywały ten shit.
Gdzieś w Sieci widziałem statystyki nt. wykrywalności trojana po kilku dniach od wysypu. Tylko KAV wykrywał! Reszta tylko „not found”…
by Szatan
03 sty 2007 at 15:11
A ja czuję się bezpieczny dostalem tego linka ale nie klinełem :) czuję się bezpieczny bo nie kożystam z dziurawego windowsa tylko z załatanego Unbuntu :) polecam tyle ale myśle że trojan ma za zadanie blokowanie numerów gg a poco ? niewiem ale takiego wirusa łatwo zrobić :) windows CCC lub nawet w internecie jest generator wirusów do tego javascript i już masz wirusa :P
Pozdrawiam
by globi
04 sty 2007 at 22:05
Gadu-gówno — i wszystko jasne :)
by Alan
05 sty 2007 at 18:02
A ja kliknąłem na ten link.…
ale nic nie zaowazylem;/
by venom
05 sty 2007 at 21:46
ja dostalem cos takiego: artykuł http://www.dearbernard.com/dobre14988.shtml
a ze dostalem to cos od kolegi…klikalem ;/
nic sie nie dzieje, na fw wszystko po staremu, skanowanie avastem nic nie wykrylo, spybot tez nic nie znalazl
pozdro :)
by Kazik_Z_Gazowni
06 sty 2007 at 14:07
Czy mogę jakoś odblokować się jeżeli inna osoba mnie zablokowała na GG???Popadam w depresje..plizzz;] pozdro
by gmurek
11 sty 2007 at 19:52
ja mam zarażone gg wtej chwili i próbuje wytepić szkodnika nie jest to łatwe. Moje gg rozsyła wiadomosci w których sa zawarte emotki i cus takiego „ifbcib” heheh niewiem co to jest.
by Zimer
12 sty 2007 at 12:51
A wie ktos morze czy Awast 4,7 Wykrywa tego trojania
by nick
25 sty 2007 at 19:08
fakac sie
by kiss
28 sty 2007 at 02:07
Kurde mam noda 32 i mi kurwa wyskoczyl jaki trojan kurwa dygam sie bo powarznie mysle o wirusach czy mogli bycie mi powiedziec jak sprawdzic czy go mam??
by kasia
05 mar 2007 at 16:17
to proste! sprawdzasz przy starcie napisy jak pisze cos w stylu kernel cyfra cyfra cyfra to jest ok a jesli pisze windows xp lub jakis inny syfiasty win to masz go napewno !!!
by ad
04 kwi 2007 at 20:01
Czy mogę jakoś odblokować się jeżeli inna osoba mnie zablokowała na GG? …
by dorota
25 kwi 2007 at 18:42
co bedzie jesli ja wysle komus ten link i ten ktos ko odtworzy ??
by paulisia
29 kwi 2007 at 11:37
Ej co mam zrobic gdy gg mi niedziała?? Włańczam dostepny to mi sie robi niedostepny! Zmieniam hasło to piszę — spróbuj później, i nic już niemogę zrobić… Pomóżcie mi prooszę! Co mam robić?
by jedi
29 maj 2007 at 14:20
Jak zablokować kolege na gadu gadu????
by dida
03 cze 2007 at 16:17
CZy można samemu sie odblokowac
by karola
17 cze 2007 at 11:44
ej mam pytanko co to jest spyware od nie dawna mam gg i net i nie mam o tym zielonego pojecia
by olka :(
19 cze 2007 at 19:27
KU**** błagam powiedzcie mi bo oszaleje … szukam po forach…juz nie moge :(( od tygodnia nie chce mi wejsc na gg!! u mnie na kompie!!u np: kumpeli mi normalnie działa!! tylko u mnie cholerstwo mi nie chce isc!! skanowałam avastem nie ma nic!! wlaczam gg lista mi sie nie wgrywa a słoneczko miga!! i nic!!! nie rozumie czemu u mnie mi nie chodzi a u kogos mi działa moje gg!!!!!!!!!!!! teln tak samo nie działa!!! nie wiem co mam robic :(((((
by lukilu
13 lip 2007 at 01:03
cześć kto mi pomorze chciał bym moc włamać sie komus na gg ze swojego kompa nie znam nic poza numerem ofiary kto mi pomoze i powie jak to szybko zrobic i zagarnąc jego liste kontaktów, a jak sie dato i archiwum rozmów. prosze o jakąs pomoc.!!!
by TheXmeN
25 paź 2007 at 21:55
hmm…
wydaje mi się że ten trojan zmienił mi system plików na dysku z NTFS na RAW!!! (cokolwiek to jest) musiałem nieźle się namęczyć by odzyskać całą partycję…
Jak zwykle Norton sobie nie poradził, natomiast na systemie gdzie był Nod32 i odzyskałem całą partycję (w tymi ten plik C:/u.exe) Nod32 od razu go „wyeliminował” :]
by koala
30 paź 2007 at 08:00
mam gg sciagniete mam anti-floodera w gg chce sie zalogowac a tu sloneczko mi caly czas miga
pomocy
by ANGELA
18 lis 2007 at 17:27
Ostatnio duzo ludzi narzeka ze sie im wlamuja na gg, duzo jest tych wirusow.
by NIKT
27 lis 2007 at 19:13
potrzebuję linków z Trojanem…i najlepiej też z innymi wirusami…są mi niezwłocznie potrzebne i to od zaraz… moje GG 9722893 Dajcie znać jak macie…ok? Będę wdzięczny! Pozdro!
by Inferno
05 gru 2007 at 21:40
powiem tyle zmierzylem sie z tym trojanem hehe.. ale ni dałem rady … pomogł jedynie format..;)
Naszczescie mam obraz dyskacza wiec 5min i mam wina z softem ;)
hehe podoba mi sie ten robczek … przekmninie go jak bede miał czas…
by Klusek
31 gru 2007 at 22:33
A ja powiem tyle… wlamywanie sie na GG to zwykly akt lamerstwa , chamstwa itp. I wy pewnie moze macie sie za hakerow bo sie komus wlamaliscie na GG…
by Anias
04 sty 2008 at 15:44
Kurde nie wiem co robić:(
MOJE GG BYLO CHRONIONE PRZED WEJSCIEM HASLEM, KTOS MI SIE WLAMAL NA GG I ZMIENIL TO HASLO I NIE UMIEM TERAZ WEJSC W OGÓLE NA GG!!
CO MAM ZROBIĆ??
CZY GDZIEŚ TO ZGŁOSIĆ????
by Koomandor Kaci
15 sty 2008 at 13:03
ciekawe kto mugł wysyłać takie wirusy normalny człowiek czy haker?
by Olo
31 sty 2008 at 13:43
ha ha
by Neo
08 mar 2008 at 19:33
Zrobił to hacker tez potrafie sposób»naucz sie hackingu.
a najlepiej zainstaluj od nowa gg!! mówie ci !! znam sie
by Kielo13
18 mar 2008 at 15:20
DO olka:(
słuchaj pewnie masz jakiegos syfa (jak każdy w kompie)
jak ci nie chodzą komunikatory to srpróbuj wywalić pliki config z foldery docelowego GG i iniie ‚u koleżanki chodzi bo ona nie ma syfa w kompie a jak nie to kriknij sobie nowego windowsa czy co tam masz!!
by Kielo13
18 mar 2008 at 15:25
jeszcze jedno włamywacze używaja twojego config.dat w twoich dokumentach ustawienia lokalne .itp. i tam masz GG wejdź i jest twoje imię ‚itp. wchodzisz i masz config.dat ktos pewnie wysłał to do gościa i ci hasełko zmienił zrób to samo!!! Poszukaj na goglach RESTORE PASSWORD taki programik i wczytaj to config w tym folderze pojawi się hasło na serwer i hasło na kompa
PISZE TO W CELACH ODZYSKANIA HASŁA,A NIE W CELU WŁAMANIA
by Martynos-Stefan
18 mar 2008 at 18:05
u mnie tez kiedys byly 2 linki przeslane, ale niegorzne, wiec u mnie nie ma trojana.
by Martynos-Stefan
18 mar 2008 at 18:07
dobrze wiec, ze tak nie ma.mam tylko bardzo male klopoty z nieznajomymi.
by Martynos-Stefan
30 mar 2008 at 16:26
niedawno zajrzalam do spoza listy do archiwum (wiadomosci od nieznajomych nie widac). dostalam link: http://www.szybko.skroc.pl (nie klikac na to!) i napsialam meila do bezpieczne gadu-gadu.pl pod adresem bezpieczna@gadu-gadu.pl i odpisali mi wczoraj. i napsiano, ze zbalokowano uzytkownika. no i mam na rqzie spokoj.
by Marek
30 maj 2008 at 13:03
dopiero dotarłem do tego serwisu.Dzięki Robert za linka
by Keizo
02 cze 2008 at 20:29
Anias jeżeli masz to gg jeszcze na kompie to sciągnij program gadureader ktory jest banalny w obsłudze i pokazuje wszystkie hasła do serwera i na kompa wszystkih użytkowników korzystających z tego komputera kiedykolwiek. a co do trojana to coś podobnego można łatwo zauważyć jeżeli link zawiera przedrostek www. jeżeli jest tam www3.adresstrony.cośtam to cyferka 3 po www oznacza całkiem niemiły załącznik specjalnie dla twojego kompa^^.
Nierozumiem ludzi zajmujących się takimi sprawami jak takie chamskie trojany.…jaka w tym zabawa? -.-
by Dummmer
24 cze 2008 at 19:17
Dajcie mi linka ‚którego można wysłać na GG,aby kolesiowi padł komp … :D
by Dominika
15 sie 2008 at 11:59
co sie dzije nie moge wejść na gadu i co teraz mam zrobić??
by marcin
15 sie 2008 at 12:14
ja też nie moge wejść. Coś się stało z serwerem GG!
by marta023
15 sie 2008 at 13:37
a ja nie moglam wejsc na gg usunelam go z kompa a teraz nie moge sciagnac z neta nowej wersji…:(
jestem odcieta od swiata HELP!!!
by Ja5
16 sie 2008 at 08:31
Od wczoraj niema łączności na GG nie wiadomo co sie stało czy oadł serwer