Как мы уже писали ранее: многие подхватили этот злосчастный вирус и на время потеряли свою ICQ. Друзья, с которыми переписывались еще минуту назад, высылали тебе спам и отвечали адекватно на твои вопросы.
Повезло тем, кто знает e-mail,, который указал при регистрации ICQ. А вот многие оказались в западне. Например: ICQ был зарегистрирован ОЧЕНЬ давно, подарен на День рождения, ваша причина…
Молодой человек Максим с удовольствием помог многим вернуть взломанный номер ICQ. Представляем вашему вниманию метод возврата пароля, если ты не знаешь свое мыло:
«В первый раз (и, по сути, последний) услышал о свинье, ворующей асечные номера, на форуме довольно крупного сайта. Там говорилось о цепочке заражений методом получения файла через ICQ-знакомых. Люди обманывались простым роботом-программой, отвечающим на предсказуемые вопросы вида «Что это?» – «флэшка со свинкой, посмотри)» Качали – и пароль уходил, а информация контакта менялась на «H1N1 infected» с непонятный набором из 80 единиц и нулей.
Собственно, быстрый анализ поисковыми системами показал, что эта ситуация начала происходить примерно с полудня того же дня, причем ни один антивирус не опознавал файл Piggy.exe/Piggy.zip как опасный. На форуме сайта ICQ тема с просьбами восстановить данные выросла в шесть раз. Как оказалось, если быстро среагировать на действие вируса, можно было восстановить пароль с помощью соответственной службы и почтового ящика. А кто не успел – горько плакали.
Решив помочь в одном таком случае, начал разбираться. С почтой – опоздал. Перебор паролей (автоматическая подборка паролей) – особо надежду не лелеял, ибо метод не быстрый, но поставил на всякий случай. Главная ставка была на мониторинг ситуации в мире (в сети).
Спасение пришло достаточно быстро. На коллективном IT-блоге habrahabr.ru добрый человек создал тему (http://habrahabr.ru/blogs/infosecurity/81172) про то, что он дизассемблил («разрезал«) вредный файлик и увидел часть его кода, отвечающую за генерацию нового пароля.
Обратная генерация, по словам автора, была простой. Посему, группа умельцев решила помочь тем, кто потерял номера. Надо было прислать UIN (номерок аси), цепочку из 80 единиц и нулей из инфы и пару контактов из листа для проверки подлинности хозяина.
Мгновенно получил пароль из восьми цифр. Передал просьбу расшифровщика – быстро поменять пароль. Тут же набежало еще несколько зараженных – двум помог через «внезапную техпомощь», а для остальных почему-то не присылали пароли. Кстати, все пароли оказывались из восьми цифр. Спрашивать посчитал наглостью, а сам тем временем посмотрел на пароли и те циферки в инфе (бинарные строчки).
Как оказалось, если разбить двоичные последовательности на группы по 10 цифр, то одинаковым группам соответствовали одинаковые цифры в паролях. Собрав все цифры, получилась небольшая табличка:
0100110000: 0
0100110010: 1
0101100000: 2
0101100010: 3
0101100100: 4
0101100110: 5
0101101000: 6
0101101010: 7
0101101100: 8
0101101110: 9
В итоге был быстро написан код для автоматического перевода бинарной последовательности в пароль. (тут может быть ссылка на прогу) Как оказалось – подошло ожидавшим беднягам.
Мораль:
1) не выключайте антивирус;
2) не принимайте странные файлы и ссылки;
3) берегите себя.
Опубликовано в 
Тэги: