Daymon66 Сообщение 12/05/2011 12:04 Копия темы
Внимание всем фрилансерам! Вопрос БЕЗОПАСНОСТИ вашего аккаунта! Некий пользователь (мне он представился как Сергей Филатов) создает аккаунты на фрилансе и рассылает сообщение в личку со следующим деловым предложением: 
"Здравствуйте, посмотрел ваш портфолио,красота!!!!поможете мне закончит проект??вот тех задания,возможна предоплата."
Текст письма, естественно как и имя пользователя может меняться.  

  К письму прикреплен архив (joobem.exe; Lion.txt – это вредоносный ярлык; .DS_Store), с программой ВОРУЮЩЕЙ ПАРОЛИ, причем помимо тела вируса в папке находится файл c расширением ЯКОБЫ .TXT, на деле это ярлык, запускающий вирус.

Данная программа лезет по следующим путям (проверялось под виртуальной машиной на WinXP):
%APPDATA%\Opera\Opera\wand.dat
%APPDATA%\FileZilla\recentservers.xml
C:\Documents and Settings\All Users\Application Data\FlashFXP\3\Sites.dat
%APPDATA%\GlobalSCAPE\CuteFTP Pro\8.0\sm.dat
%APPDATA%\GlobalSCAPE\CuteFTP Home\8.0\sm.dat
%APPDATA%\GlobalSCAPE\CuteFTP Lite\8.0\sm.dat

А так же читает реестр вот в этих ветках:
HKCU\Software\DownloadManager\Passwords
HKCU\Software\SmartFTP\Client 2.0\Settings\History\Items

Если у вас есть какие то из этих данных – то они будут автоматически украдены. Во всех этих файлах хранятся пароли, которые легко извлечь.

Если вы все-таки запустили программу, или файл Lion.txt – то нужно сделать следующее:

Если у вас установлены программы: Opera, FileZilla, FlashFXP, CuteFTP, DownloadManager, и SmartFTP – то ОБЯЗАТЕЛЬНО СРОЧНО менять все пароли, которые хранятся (вбиты) в этих программах. Если вы ранее пользовались, но удалили эти программы, и там хранились эти пароли – то ОБЯЗАТЕЛЬНО ПРОВЕРИТЬ что по тем путям, которые приведены выше – нету файлов и записей в реестре.

Резервных копий, записей в автозагрузку программа не делает.

joobem.exe размер (491 554 байт) 

контрольные суммы:
SFV32: 8DB4F3CC
MD5: 91debf2ef5e7e319d9de4332f1245a4a

так же в архиве файлы Lion.txt.lnk и .DS_Store

С уважением, Елена и два вредных программиста.

P.S. 21.05.11 пришел в личку модифицированный joobem.exe, вот его параметры:

размер: (243 200 байт)
контрольные суммы:
MD5 a151154649a2bb8d831833e5feff073a
SFV32 2919992F

ворует вот эти данные:
HKCU\Software\DownloadManager\Passwords
%APPDATA%\FileZilla\recentservers.xml
%APPDATA%\FlashFXP\3\Sites.dat
HKCU\Software\SmartFTP\Client 2.0\Settings\History\Items
%APPDATA%\GlobalSCAPE\CuteFTP Pro\8.0\sm.dat
%APPDATA%\GlobalSCAPE\CuteFTP Home\8.0\sm.dat
%APPDATA%\GlobalSCAPE\CuteFTP Lite\8.0\sm.dat

djcrazy Сообщение 12/05/2011 12:08 Копия темы
отошлите еще во всевозможные антивирусники эти данные с файлами ;)

yug76 Сообщение 12/05/2011 12:10 Копия темы
Да, приходила эта шляпа ко мне, удалитьее к чертям!!!

LanaTucker Сообщение 12/05/2011 12:12 Копия темы

CUBALIBRE Сообщение 12/05/2011 12:23 Копия темы
то есть такая вопиющая безграмотность заказчика вас не смутила?

djcrazy Сообщение 12/05/2011 12:26 Копия темы
скрытая реклама маков просто, ну Яна

MIDL-WEB Сообщение 12/05/2011 12:37 Копия темы
Увидел фамилию, аж дрож пробежала:)

CUBALIBRE Сообщение 12/05/2011 12:39 Копия темы
не ну у меня тоже типа мак..но меня больше спасает не он, а отсутствие кошелька яндекс денег например
потому как вот есть знакомый с маком, у котороговсё равно вот таким способом яды увели

djcrazy Сообщение 12/05/2011 12:42 Копия темы
"типа мак" – это писи с наклейкой откусанного яблока?)))

На самом деле если голова есть, то все норм будет. У меня писи ХР SP 2. Есть и яды и вебмани и ниразу ничего. тьфу-тьфу-тьфу

CUBALIBRE Сообщение 12/05/2011 12:52 Копия темы
ну я не в курсе как там чё у него..
я в любом случае всякие хрени не качаю... тем более от заказчиков, которые пишут ".. ваш портфолио.. закончит проект..вот тех задания"

djcrazy Сообщение 12/05/2011 12:53 Копия темы
ну да. все прална. сщас присшлю тебе ссилку на фотографий тебе)

Daymon66 Сообщение 12/05/2011 12:59 Копия темы
полазила по профилю этого Сергея, на сайте уже больше года и профиль нормально заполнен – так что акк скорее всего тоже угнанный...

AKLion Сообщение 12/05/2011 13:04 Копия темы
Вот таким способом на маке пароли увести нельзя!!!!

CUBALIBRE Сообщение 12/05/2011 13:12 Копия темы
откуда я знаю таким способом были уведены или не таким.... но это был ещё Эдмон..хотя этот тоже на него очень похож

djcrazy Сообщение 12/05/2011 13:17 Копия темы
ученик чародея)

DrSun Сообщение 12/05/2011 13:28 Копия темы
странно, говорит как Эдмон! А говорили, что его посадили. Не может же быть двух горячих кавказских перцев с таким русским языком? Неужели это была басня про его поимку, чтобы нас успокоить?))

CUBALIBRE Сообщение 12/05/2011 13:36 Копия темы
того-чьё-имя-нельзя-называть?

djcrazy Сообщение 12/05/2011 13:36 Копия темы
*оглядываясь, шёпотом* даааа

hardcoder Сообщение 12/05/2011 13:39 Копия темы
А почему "ваш портфолио" вас смущает?
по-моему, тут нет однозначно правильного (или неправильного) варианта.

dudniklorik Сообщение 12/05/2011 14:04 Копия темы
недавно обнаружена подпольная фабрика, выпускала 3 разновидности эдмонов. фабрику разгромили, но сколько моделей уже успели выпустить в свет – неизвестно, гл. инженер сожрал папку с документацией

CUBALIBRE Сообщение 12/05/2011 14:17 Копия темы
в купе с остальным "ваш портфолио" меня бы обязательно смутило

EmmaOlenina Сообщение 12/05/2011 14:33 Копия темы
зачем же открывать подозрительные файлы от сомнительных персон:/

imort Сообщение 12/05/2011 14:53 Копия темы
Нод ловит?

Daymon66 Сообщение 12/05/2011 15:01 Копия темы
практически всем антивирусам на него с высокой колокольни, и тут удивляться нечему – на фрилансе почти всегда только свежатинка по вирусам, что печально :(

imort Сообщение 12/05/2011 15:06 Копия темы
Вообще судя по описанным действиям трояна, его должны не то что антивири ловить, защитник виндовс блокировать должен!(((

DimSUN Сообщение 12/05/2011 16:23 Копия темы
Сколько можно покупаться на эту хрень с ехе-шниками...

MARCODESIGN Сообщение 18/05/2011 03:59 Копия темы

prolit Сообщение 20/05/2011 19:13 Копия темы
Каспер и доктор веб нифига не сказали. Все молчат. А пришел файл от www.free-lance.ru/users/M... тоже больше года на сайте. Но как-то ни одного отзыва.

hapanovych Сообщение 22/05/2011 17:46 Копия темы
Пришло такое же "предложение" со ссылкой от пользователя Игорь Витковский [M-e-f] со следующим текстом: "Здравствуйте,смотрю ваше работы и вижу профессионализм!!просто нет слов!есть работа и хочу вам доверят,посмотрите тех задания ... цена,срок жду от вас..." На вопрос –  какая из работ Вас так впечатлила – ответа не последовало, а через несколько минут аккаунт заблокировали. У меня, конечно, нет привычки открывать файлы .exe от незнакомых, но все равно не приятно...

rabbitwindfall Сообщение 16/06/2011 16:38 Копия темы
Мне на почту пришло От кого: Алексей Паневин <alexss@mail.ru>
Кому: colorsite_ru@mail.ru

Здравствуйте,смотрю ваше работы и вижу профессионализм!!
просто нет слов!есть работа и хочу вам доверят,посмотрите тех задания ,
цена,срок жду от вас... exfile.ru/download/184793


Мой ответ был такой:
Спасибо за оценку моих работ. Но идите ***! Вы знаете почему.


Вообще надо думать головой, когда запускаете файлы в EXE формате со словами "ТЗ"

ratsnake Сообщение 12/07/2012 19:56 Копия темы
Осторожно! Мошенник! Сергей Филатов, он же "Константин А, Алексей Алексей, Жора, Дмитрий Сергеев, Белова и т.д.и т. п. уже два года орудует на фрилансерских сайтах под самыми разными именами. Осторожно! То, что кидает всех, я уже знаю, но что еще и вирусы рассылает, только что узнала. Спасибо! Сейчас скопирую и отправлю инфу на Даланс.

ratsnake Сообщение 12/07/2012 20:05 Копия темы
Сообщение с http://dalance.ru/blogs/serega999/1811/#comment66 103 Мошенник Сергей Филаткин
Дорогие клиенты и фрилансеры будьте предельно осторожны с этим человеком так как он является мошенником, за работу деньги он не выплачивает. Все время отмазывается какими-то глупыми отговорками, а на неудобные вопросы начинает отвечать сумбурной истерикой, после чего сразу же выходит из аськи.
Об этом человеке написано куча статей в интернете, дело в том, что он постоянно меняет имена и фамилии.
Со мной он связывался как Сергей Филаткин его номер ICQ 630-913-330 номер мобильного +7-926-343-612-3.
Если хотите еще больше убедиться в том, что он мошенник введите в поисковике "Фрилансер Дмитрий Осадчук" вы прочтете много интересного об этом мошеннике.
Ни кому не пожелаю такого обманщика, в качестве работодателя.
Будьте осторожны!

LanaTucker Сообщение 13/07/2012 08:42 Копия темы

ratsnake Сообщение 13/07/2012 08:53 Копия темы
Вы-то знали, Светлана. Но другие – нет. Извините, если со своим комментарием попала не по адресу.

advokat777 Сообщение 22/07/2012 19:06 Копия темы
Это был мой блог Мой профиль вместе с блогом снесла администрация сайта Даланс. При этом была указана причина "Некорректное поведение на сайте". Через обратную связь я задал вопрос, в чем конкретно заключалось мое некорректное поведение. Уже прошло 2-вое суток ответа НЕТ! Видимо наш хитро..пый Сергей Филаткин, а также Дмитрий Осадчук, а также Дмитрий Городецкий и так далее написал администрации мол я его оклеветал. В блоге были размещены скрины моего общения с ним, поэтому чем руководствовались админы при удалении моего профиля я не знаю. Ну если им нравится сотрудничать с неадекватами флаг им в руки! При создании блога я руководствовался только одной целью уберечь других фрилансеров от афер этого человека.