По информации Прайм-ТАСС, «шпион» регистрирует в перечне неактивных или обычных контактов виртуального пользователя с именем ICQ System и коротким номером 12111. Программа может либо похитить пароль для входа в ICQ, либо повредить его, в результате чего пользователь не сможет пользоваться мессенджером.
Обычно вирус первично проявляется в виде сообщения от кого-либо знакомого (по всей видимости, уже зараженного) из контакт-листа ICQ, сообщение содержит вопрос о том, нет ли у получателя webmoney («Есть webmoney?», «Привет, у тебя случайно нету webmoney?» и другие).
Затем обычно следует призыв посмотреть «прикольный флешь» или фраза «Смотри флашка прикольная!» (возможны другие варианты), которая сопровождается ссылкой на лежащий на одном из сайтов в российском Интернете исполняемый файл (зафиксировано название «chipes.exe», размер 22 308 байт).
Получатели, открывшие этот файл, подвергаются заражению. В настоящее время, после звонка Ленты.ру хостинг-провайдеру сайта, где был размещен файл с вирусом, (российской компании в одном из крупных городов) изначальный источник распространения вредоносной программы был нейтрализован. В то же время, существует вероятность, что вирус распространяется еще через какие-либо сайты. Пользователям ICQ традиционно рекомендуется ни в коем случае не открывать подозрительные .exe и другие исполняемые файлы из Интернета.
Было установлено, что при заражении (по предварительным данным, он размещается в ОС Windows в файле WINNTcsrss.exe) вирус крадет пароль из ICQ-клиента, после чего меняет его на сайте ICQ и начинает рассылать от имени жертвы сообщения о webmoney. Возможно, вирус также пытается украсть данные о счете в webmoney, если такой есть, и выполнить какие-либо еще злонамеренные действия.
В случае, если у пользователя в личных настройках ICQ прописан действующий e-mail, можно с его помощью получить на сайте ICQ новый пароль и восстановить контроль над аккаунтом. Если прописан недействующий e-mail (или он отсутствует), аккаунт может быть утрачен (вместе с тем, остается возможность письменного обращения в службу поддержки ICQ). По предварительным данным, описание вируса в четверг днем было добавлено в антивирусную базу «Лаборатории Касперского», которая классифицировала вредоносный модуль как Trojan-PSW.Win32.LdPinch.sf.
Мнения Блоггеров
Попробуем разобраться, что же произошло., пишет на своем ЖЖ zero_bit Вчера днём асечный сервер опять начал тупить (вот уже который раз за последнее время), в результате чего большинство юзеров словило дисконнект. После повторного подключения в контакт-листе обнаружилась новая группа General (у кого раньше такой не было), а в ней — контакт с номером 12111, называющий себя ICQ System.
Не особо искушённые пользователи могли подумать, что злобные хакеры или спамеры таки пробили великую и могучую защиту непобедимого квипа, и начали скорее сносить номер из контакт-листа. Совсем уж параноики стали вопить, что Кровавый Режим™ в лице AOL начал следить за ними, а в скором времени прикроет все номера с количеством знаков до 9, а также прибьёт все аккаунты, использующие неофициальные клиенты. И, конечно, нельзя обойти вниманием особо одарённых личностей, которые решили, что в их компьютер пробрались злобные хакеры, которые всенепременно захотят учинить какой-нибудь мерзопакостный беспредел вроде кражи их сверхстойкого пароля”qwerty”.
Смешно, честное слово. Во-первых, надо сказать, что сам по себе асечный номер не может быть вирусом, и подозревать его в этом — то же самое, что подозревать фотографию дискеты в желании украсть ваши пароли. Теперь про способ, с помощью которого сей номер попал в контакт-лист. Дело в том, что все асечные контакты хранятся на сервере. Таким образом, если в вашем списке автоматически появился некий контакт, обошедший В. и У. АНТИСПАМБОТА, то это может означать лишь одно: кто-то добавил этот контакт непосредственно в ваш серверный к-лист, а клиент, подключившись к серверу, просто обновил свой локальный список.
А теперь подумайте, кто мог поковыряться в серверном списке 90% асьководов? Правильно, либо асечные одмины, либо злобные хацкеры. А если ещё немного поднапрячь память, то можно вспомнить недавнюю историю с принудительным переводом сервиса на серверный контакт-лист (в результате чего юзеров заставили хранить свои контакты только на сервере). Отсюда можно сделать очевидный вывод о том, что злобные хацкеры вряд ли имеют отношение к появлению Вестника Апокалипсиса. Хм… А ну как AOL и впрямь что-то замышляет?..
Вирус, распространяющийся в ICQ, безвреден
Пользователям домашних компьютеров не стоит бояться за свои данные в связи с массовым появлением в контакт-листах ICQ-клиентов номера 12111. Об этом заявил ведущий вирусный аналитик «Лаборатории Касперского» Виталий Камлюк.
По мнению аналитика, вмешательство третьей стороны, если оно произошло, задело только сервера ICQ. Камлюк отметил, что «Лаборатория Касперского» известила о произошедшем службу безопасности ICQ, сообщает ресурс Лента.ру .
Номер 12111 под именем ICQ System появился в контакт-листах интернет-мессенджеров 19 и 20 июня. Его увидели не только пользователи ICQ, но также QIP, Adium, Pidgin и мобильного клиента Jimm.
По мнению Newsru.com Технологии, может быть две основных причины появления ICQ System. Первое — это «глюк» серверов компании Mirabilis. В таком случае номер 12111 не несет в себе никакой опасности, а в контакт-листы добавился вследствие технического сбоя.
Вторая версия «опаснее». Возможно каким-то талантливым хакерам удалось взломать базу ICQ. Это может грозить различными последствиями для работы сервиса — от наплыва спама до неработоспособности ICQ.