Недавно пользователи ICQ познакомились с новым вирусом – Piggy.zip или H1N1. Вирус крадет пароли от «аськи» и распространяется дальше через группы контактов. Украденные пароли при этом попадают на сайт icq.com – в поле “О себе” взломанного аккаунта.
Вирус приходит в качестве сообщения от пользователя, который уже заражен. Так как рассылка идет по группе контактов, пользователи уверены, что к ним обращается их знакомый. В теле сообщения находится предложение скачать архив Piggy.zip. Обычно продвинутые пользователи в этом случае уже подозревают неладное и задают «приятелю» каверзные вопросы. Нормальный вирус – бот молчит, чем себя и выдает. Новый вирус умеет отвечать и создавать видимость, что вы общаетесь с реальным человеком. На вопрос «А это случайно не вирус?» или любое другое предложение, содержащее слово «вирус» бот выдает фразу «Да нет, это ролик про свинью, глянь». А получив вопрос «Ты случайно не бот?» вирус оскорблено восклицает: «Сам ты бот!». Аналогичным способом он отшучивается от слов «спам», «Троян» и других.
Посетив ваш аккаунт, вирус меняет пароль ICQ и записывает новый пароль в зашифрованном виде в поле «О себе» на на сайт icq.com. Скорее всего, это делается, чтобы облегчить хакерам доступ к новым паролям – эти поля на сайте открыты и забрать оттуда информацию может любой желающий. При этом их нельзя вычислить – на эти поля заходят и поисковые системы, и другие пользователи.
Правда, если владелец взломанной аськи подсуетится, он может успеть вернуть себе пароль от аккаунта. Для этого надо зайти в поле «О себе» своего аккаунта (сделать это можно, к примеру, с чужой аськи). В данном поле после действий вируса появляется набор из нулей и единиц, который надо разбить на группы по 10 символов. Каждая из восьми групп переводится в одну цифру согласно таблице:
0100110010 – 1
0101100000 – 2
0101100010 – 3
0101100100 – 4
0101100110 – 5
0101101000 – 6
0101101010 – 7
0101101100 – 8
0101101110 – 9
0100110000 – 0.
В результате пользователь получает свой новый 8-значный пароль и может зайти в свой аккаунт. Пароль, конечно же необходимо тут же сменить – ведь его могут вычислить и другие пользователи. Такой способ увода паролей затрудняет поиск вредителей, так как пароль от чужой аськи может захватить кто угодно, если первым расшифрует пароль.
Как отмечается на сайте webplanet.ru, Piggy – не первый вирус, который умеет отвечать на вопросы. В 2005 году появился червь IM.Myspace04.AIM, который так же распространялся по мессенджеру и отшучивался на заявления о том, что он вирус. В 2007 году широко прославился российский бот, который с помощью болтовни о сексе выманивал деньги у пользователей.