Spam in limba romana pe Yahoo! messenger (povestea continua)

Dupa povestea mai mult sau mai putin explicabila a spam-ului cu pilulele minune de slabit, iata ca pe Yahoo! messenger a aparut o alta forma de spam in limba romana. De data aceasta face referire la diverse site-uri. Din pacate nu am reusit sa dau de urma “hotului” si nici de vre-un semn de infectie in calculatorul “victimei”.
De aceea apelez si la voi pentru a detecta ce se intampla de fapt.

Totul a inceput in aceasta seara… am primit un mesaj + link de la o persoana care nu trimite niciodata asa ceva.
Mesajul era:

“sal all un site super tare au preturi belea astia, pentru oamenii de rand www.mobila*****.com”

Reintrand pe messenger mi-a relatat ca a fost deconectata primind mesajul: “You have been disconnected because you have signed in to Yahoo! Messenger from another computer or device.”
Parea un semn clar de activitate keylogger… dar se pare ca nu era vorba despre asa ceva (dupa toate investigatiile).
Imediat dupa aceea o buna parte a persoanelor din lista acelei persoane au inceput sa retrimita doar link-ul respectiv, fara alt mesaj. Chestiunea cu keylogger pica deja, mai ales ca site-ul respectiv nu contine nimic suspect.

Pentru ca lucrurile sa devina si mai palpitante, una din persoanele care au retrimis link-ul (comuna in lista mea si a primei persoane) mi-a trimis peste o ora un alt mesaj de tip spam:

“Vrei sa vezi daca prietenii/dusmanii tai sunt pe messenger dar stau invizibili ?
Vrei sa citesti arhivele lor de messenger dar nu stii cum.
Afla toate astea pe http://www.ym***.com

Daca nu te intereseaza pe tine da mai departe pls 😀 :*”

Cert este ca persoanele respective nu au trimis mesajele, site-urile par curate, iar PC-urile de asemenea.
Investigam!
Orice informatie poate fi pretioasa.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

15 responses to “Spam in limba romana pe Yahoo! messenger (povestea continua)”

  1. Ciprian Pop

    Poate faceau doar misto de tine sa te puna sa investighezi 😛

  2. Fane
  3. andrei

    @Radu
    O întrebare. Aţi spus că site-urile sunt curate. Este vorba de site-urile la care se face trimitere în mesaj, fiindcă s-ar putea ca problema să fi apărut când persoana accesa un alt site, o altă pagină. Ar fi util istoricul navigării primei persoane, sau altfel spus pe unde s-a plimbat „pacientul zero”. A primit vreun email „ciudat” pe adresa de yahoo înainte să înceapă tărăşenia ? Un link pe twitter ?

    În plus, şi pe secunia.com au scris despre vulnerabilităţi în YM 8 şi nu înţeleg de ce anumite persoane se încăpăţânează să nu fac upgrade.

  4. Catalin

    Si eu am mai primit mesaje de acest tip dar unele erau si in engleza primeam portiuni de cod HTML sau link-uri dar era de mass-uri,eu cred ca este ceva exploit sau asa ceva, am avut unu exploit facut in perl cu care puteai sa trimiti mass-uri de la o “victima” pe milw0rm gasesti o gramada de exploituri pt Yahoo messenger,MSN messenger etc , de aceea eu recomand Pidgin sau alte programe asemanatoare

  5. Anonimul Necunoscator

    eu ma reusi sa scap de acest “virus” prin schimbarea parolei la messanger,numai avea cum sa intre pe contul meu sa deie spam…

  6. Paul (queensoft)

    Spam inseamna mesaje nesolicitate. In momentul in care ti-ai pus adresa pe un site public, este mai mult decit normal sa primesti mesaje. Deci nu va mai agitati cu ce am facut/zis eu pe acolo.
    Iar virusi din asta de trimit mesaje prin messenger sint destui, aparuti de ceva timp, nu sint o noutate!

  7. inginerul

    Sincer,eu stiam ca Yahoo are o securitate mai mare ca unele banci,dar se pare ca m-an inselat :|.In orice caz recomand ca fiecare persoana care a primit acest mesaj sa isi schimbe parola ca sa nu devina urmatoarea victima.

  8. Catalin

    Radu as mai adauga si programe care schimba statusul plus asa zise aplicatii cu care poti sa vezi cine e pe invizibil si alte programe asemanatoare care nu se stie ce contin

  9. andrei

    Yahoo ar trebui să blocheze accesul la reţea pentru versiunile mai vechi, sau unde s-au descoperit probleme, însă ei sunt mai preocupaţi să blocheze Pidgin-ul. E boală veche cu Yahoo, începând cu programele „de aflat parola” care bântuie prin reţele, continuând cu tâmpeniile de genul „vezi cine este offline” de care amintea Catălin şi culminând cu Yahoo Messenger 10, în nenumărate variante piratate şi pline de troieni.

    Mi se pare cu interesant faptul că se făcea „reclamă” ce par curate. Ca o curiozitate ar trebui verificat dacă respectivii proprietari nu cumva au încercat o creştere a numărul de vizitatori. Poate nu sunt ei vinovaţi, ci o altă firmă la care au apelat pentru optimizare însă pentru a găsit cauza trebuie plecat de la un principiu de bază în jurisprudenţă, „qui prodest?„ sau pe româneşte: Cui îi foloşeşte ?

  10. Catalin

    Eu folosesc pidgin de cand a aparut (inainte foloseam Gaim) atat pe Linux (Mint) cat si pe Windows dar problema cu Yahoo e de ceva timp(1-2 saptamani)pentru ca tot observ ca cei de la pidgin tot incearca sa “repare problema” pentru ca tot au aparut varinate noi (Update-uri)

    @andrei as mai adauga ca Yahoo Messenger 10 a “aparut” pe cand varianta 9 era beta ,tot primeam mass-uri ca sa descarc versiunea 10 dar ce era interesant ca link-ul de unde se descarc era ba RapidShare ba MegaUpload sau alte site-uri de filehosting

    Si in concluzie dupa parerea mea este ca “vinovati” sunt utilizatori de zi cu zi pentru ca nu sunt atenti si descarca toate prostile (asa zise add-on pt yahoo)si daca ii spui ca nu exsista sau ca este virus spune :
    Citez: “E de la prietenul meu si e de incredere nu are cum sa fie infectat”

    Ce ar trebui la Yahoo sa implementeze o “alerta” care sa “forteze” utilizatorul sa descarce varianta mai noua

  11. andrei

    Salut Catalin

    Cei de la Yahoo ar trebui să acţioneze mai responsabil, fiindcă altfel îşi vor limita target-ul la puştani şi purtători de mass-uri. Le este aşa de greu să anunţe oamenii să stea liniştiţi că YM 10 va apărea abia în 2010 ?! Această confuzie întreţinută voit sau nu, nu face altceva decât să favorizeze „scurgerile” şi versiunile virusate.

    Îmi place însă că au un pus buton „Get the New, Safer IE8” ! I-au cumpărat în final, sau doar i-au finanţat ?

Leave a Reply