Вы инфицированы вирусом N1H1 или ICQ вирус Piggy

Вторник, 19 января 2010 г.
Просмотров: 599
Подписаться на комментарии по RSS

Вчера многие пользователи ICQ получили сообщения с предложением загрузить и посмотреть флешку про "свинью". Как ни странно, желающих загрузить подозрительный файл и запустить его на выполнение нашлось предостаточно.

Сообщения выглядели примерно так:

Nick (17:08:26 18/01/2010)
Прямая ссылка для скачивания файла Piggy.zip
http://****/?25556 (1,95 мб)

Nick (17:08:42 18/01/2010)
флешка про свинью ) глянь )))


Вирус написан на Delphi и имеет размер 1,5 - 2 Мб.
После запуска вирус изменяет пароль на номере жертвы и отправляет ссылку на свою копию всему контакт листу. Также вирус Piggy меняет информацию на номере жертвы:

Ник: H1N1
Имя: Infected
В поле "О себе" появляется непонятный набор из комбинаций цифр 0 и 1. Именно эти 80 знаков из поля "О себе" и являются новым зашифрованным паролем от номера.

Также удалось расшифровать алгоритм, по которому и происходит шифрование пароля:

0100110010 = 1
0101100000 = 2
0101100010 = 3
0101100100 = 4
0101100110 = 5
0101101000 = 6
0101101010 = 7
0101101100 = 8
0101101110 = 9
0100110000 = 0


Таким образом, имея код: 01011001100101101010010110100001001100000101101000010110110001011011000101101000
Получаем пароль: 57606886

Также для расшифровки пароля можно воспользоваться этим скриптом.
Обсудить на форуме.

От себя в очередной раз хотим напомнить, что лучше воздержаться от перехода по ссылкам, пришедшим к вам по ICQ или электронной почте! Если же вам предлагается скачать какой-либо файл, будь то скринсейвер или какая-то другая крайне полезная программа, наверняка это вирус!