PDA

Просмотр полной версии : Осторожно! Эксплоит на goodman.ru



centur
22.06.2007, 23:40
Всем привет.
Хочу предупредить об эксплоите на сайте goodman.ru
каким-то образом вызывается вот этот скрипт
hXXp://bobo32.org/o0o/exp/qt.php
и идет попытка внедрения через ActiveX
На работе уже словил =( нортон хоть и ругался но пропустил момент внедрения и только смог вычистить кэш.
в итоге AVZ показывает перехват 2х методов в ntdll.dll LdrService или типа того и что-то связанное с реестром (сейчас не могу сказать точно - отключил компьютер от сети почти сразу, хотя и не успел).
Как результат - сегодня поменяли пароль на 6-тизнак ICQ и на почту на gmail.com ( все восстановил вроде бы :) ).
В системе появился внедренный atixdaxx.dll, HijackThis не чистит его (хотя я мог забыть закрыть IE когда чистил), AVZ тоже только констатирует перехват методов ntdll.dll с помощью APICodeHijack.JmpTo (http://www.google.ru/search?q=APICodeHijack.JmpTo&hl=ru&lr=), как лечить - не понимаю или avz не лечит
Через sysinternals Process Explorer - не смог найти и убить библиотеку в памяти. В общем в понедельник-то я продолжу бой, но если посоветуете чем вылечить - буду очень благодарен.

PS извините если где в описании допустил ошибки, пишу в меру знаний и понимания. Не стреляйте в пианиста, он играет как умеет.

drongo
22.06.2007, 23:51
Без активных ссылок пожалуйста, люди любят нажимать. Если сами не можете справиться, правила (http://helpme.virusinfo.info) ждут ;)

Макcим
23.06.2007, 15:35
Вирусные аналитики Лаборатории Касперского выловили хороший улов :)

Trojan-PSW.Win32.LdPinch.buj,
Backdoor.Win32.Agent.almуже детектировались

Trojan-Downloader.JS.Agent.jn
Trojan-Spy.Win32.Banker.crq,
Backdoor.Win32.Small.ls,
Trojan-Downloader.Win32.Small.ertДобавлены в базы.

ВодкуГлыть
25.06.2007, 07:48
Вирусные аналитики Лаборатории Касперского выловили хороший улов :)
уже детектировались
Добавлены в базы.
свеженькие все какие зверята!:)

centur
25.06.2007, 11:03
Спасибо за направление на правила =) (к своему стыду не прочитал их заранее). В общем путем следования "истинам" с этого форума - в SafeMode CureIt вылечил 2 трояна, при запуске AZV в режиме лечения\сбора информации нашелся еще один в System Restore (Goldun.ph, а что CureIt вылечил -я не запомнил). Вроде как все чисто теперь, можно успокоится (дома уже поставил Comodo + Active Virus Shield и обновил базы :). Жене не очень комфортно, но зато безопасно).

PS что больше всего расстраивает пока так это то, что у гудмана все еще висит этот троян, а на сайте контакты не нашел - им самим надо сказать, чтобы фиксили, ресторан-то солидный, и люди могут быть "приятно удивлены", даже без посещения всяких кряк сайтов, а просто находясь в вполне "безопасной" зоне интернета.

drongo
25.06.2007, 11:20
centur, Вы правила не до конца выполнили, логов с темой нет ;)Вполне возможно что-то ещё и осталось из зоопарка;)Насчёт сообщить, вы же в Москве живёте, позвоните ;)

centur
25.06.2007, 12:21
Хорошо, сделаю логи, хотя уже почему то кажется что они чистые будут.


edited: сделал логи а загрузить не могу (из-за того что логи по 200кб в архиве каждый (распакованные - 3 Мб), в свое время ставил антибаннерный hosts файл - он полностью теперь в логах :( )

mayas
29.06.2007, 21:02
зашел по сцыле файрфоксом предложидли что-то сохранить на диск файловый монитор KAV удалил то что я сохранил
вывод: не ходите по сцылам IE и будет вам счастIE

nsl
10.07.2007, 22:36
каким-то образом вызывается вот этот скрипт
Кто нибудь может подсказать каким образом это происходит. Доступ к сайту только у меня, но появилась эта переадресация ума не приложу как убить

drongo
10.07.2007, 22:44
nsl, http://virusinfo.info/showthread.php?t=9116

nsl
11.07.2007, 00:48
nsl, http://virusinfo.info/showthread.php?t=9116
Спасибо. Тепрь еще бы образец кода. Лопатить и лопатить. Но направление указано - еще раз спасибо

drongo
11.07.2007, 13:08
nsl,Не забудьте выполнить правила, может что и найдём.