Kaspersky Internet Security 7.0

The requested URL hттp://counter-google.com/stats/index.php is infected with Trojan-Downloader.JS.Agent.kd (http://www.viruslist.com/en/search?VN=Trojan-Downloader.JS.Agent.kd) virus



Новость весит на СекЛабе, но на момент печати этого сообщения актуальна.



Куда обращаться на предмет пресечения вирусной активности?

В поддержку google ессессно

Google Inc.
1600 Amphitheatre Parkway
Mountain View, CA 94043
phone: (650) 253-0000
fax: (650) 253-0001

(это если охота вживую пообщаться)

или вот сюда
http://www.google.com/support/bin/request.py?ctx=answer
http://www.google.com/support/bin/request.py?contact_type=cf_noresponse

Отписался. Посмотрим, как работают. :)

Когда я писала первое сообщение проверка url от DoctorWeb говорила что там все чисто...

отркрыла страничку.... собсно весь исходный код

:[

кстати на секлабе ничего похожего на эту новость не нашлось

и ещё на будущее - если по ссылке есть что-то вредное или опасное - не надо её делать активной

Ссылку передалал, каспер на нее по-прежнему ругается.
На секлабе новость была прямо под Шифрование дисков в Windows Server 2008 с поддержкой TPM, которая на главной сейчас имеется. Предыдущую статью убрали, найти ее мне не удалось. Но сути дела это не меняет.

Добавлено через 1 минуту
Все же интересно, зачем потерли статью на секлабе.

Так... теги

[url]
вокруг ссылки потри...


Может кто-нибудь все-таки ответит, есть там сейчас что-нибудь или нет?

Сейчас там пусто. Возможно, зараза работает не круглые сутки. Посмотрим что будет сегодня ночью.

Может кто-нибудь все-таки ответит, есть там сейчас что-нибудь или нет?
Да, действительно есть, trojan-downloader, написанный на JavaScript - KIS все правильно определяет.

А мне грузится пустышка.

А мне грузится пустышка.
Попробуйте загрузить этот ресурс каким-либо даунлоадером, а потом глянуть внутрь. Вполне возможно также, что троян грузится не каждый раз, а по рандомайзу, или же он читает строку User Agent браузера (у меня настроено на IE).

PS. А вот теперь уже "Connection refused".

Да, действительно есть, trojan-downloader, написанный на JavaScript - KIS все правильно определяет.
Если заходить Оpera, то встречает пустая страница.
http://online.drweb.com/?url=1 определяет страницу двубайтного размера.
P.S. Или ловушка настроена на IE?

Если заходить Оpera, то встречает пустая страница.
http://online.drweb.com/?url=1 определяет страницу двубайтного размера.
P.S. Или ловушка настроена на IE?
Да, в Опере он не "прокатит"...

У меня теперь уже выдает следующую строку:

:[

PS. Но, в любом случае, троян там есть...

собственно Креведко тоже пустую страничку грузит
(уффф... значит у меня все чисто на компе)

Странно, что суппорт молчит. Странно, что статью с секлаба убрали.
У меня предупреждение идет в Мозилле при работающем Скрипт Блокин.

Странно, что суппорт молчит. Странно, что статью с секлаба убрали.
У меня предупреждение идет в Мозилле при работающем Скрипт Блокин.
А почему вы решили, что домен counter-google.com как-то связан с google.com?

кстати, если поискать гуглом counter-google.com то можно получить предупреждение что
this site may harm your computer

Русскоязычный Гугл тоже не дремлет: http://www.google.ru/search?hl=ru&q=counter-google.com&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+%D0%B2+Google&lr=
Кстати, ссылка на наш форум вторая в списке. Не плохо по-мойму. :)

Попробуйте загрузить этот ресурс каким-либо даунлоадером, а потом глянуть внутрь.Каким например? Я пробовал разные и всё равно получал вместо трояна ерунду.

Каким например? Я пробовал разные и всё равно получал вместо трояна ерунду.
Что онлайн Доктора, что просмотр сайта, что НетВампир - одинаково. Два байта - и ничего больше... Либо вообще ничего.

Русскоязычный Гугл тоже не дремлет: http://www.google.ru/search?hl=ru&q=counter-google.com&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+%D0%B2+Google&lr=
Кстати, ссылка на наш форум вторая в списке. Не плохо по-мойму. :)
Уже первая ;)
Вчера проверял,был ява скрипт который дарил трояна,сегодня глухо.
ЗЫ.смотрел FireFox`ом

Каким например? Я пробовал разные и всё равно получал вместо трояна ерунду.
Так, видимо, поздно уже... =) Похоже, злоумышленники отключили закачку трояна - еще вчера до обеда. Если кому-то интересно, что именно выдавалось клиенту, могу выслать в личку - декодируйте, проверяйте и т.д. Кстати, Максим, там лежал скрипт, очень похожий (возможно, даже идентичный) на один из тех, что ты мне уже присылал.

Начало там такое:

<div id="mydiv"></div>
<Script Language='JavaScript'>
function xor_str(plain_str, xor_key) {
var xored_str = "";
for (var i = 0 ; i < plain_str.length; ++i)
xored_str += String.fromCharCode(xor_key ^ plain_str.charCodeAt(i));
return xored_str;
}
var plain_str = "\xe4\xce\xce\xb2\xa5\xb6\xe4\xa9\xa9\xe4\xf9\xe4\x aa\xa1\xb3\xe4\x85\xb6\xb6\xa5\xbd\xec\xed\xff\xce \xb2\xa5\xb6..."
...

Так, видимо, поздно уже... =) Похоже, злоумышленники отключили закачку трояна - еще вчера до обеда.Этот я не качал, я качал до этого много. Как-то они дифференцировали то, что я захожу не браузером и давали ерунду (пустая страница, грустный смайл и так далее).

Кстати, Максим, там лежал скрипт, очень похожий (возможно, даже идентичный) на один из тех, что ты мне уже присылал. Я не удивлюсь, даже если он ставит тоже самое.

Как-то они дифференцировали то, что я захожу не браузером и давали ерунду (пустая страница, грустный смайл и так далее).
Ну, дифференцировать можно, как минимум, по строке User Agent. У моего даунлоадера я установил User Agent в точности как у Internet Explorer 6-й версии - и именно в таком варианте я и получил трояна с этого сайта.

Не помогло, я тоже пробовал. :( А какой у Вас даунлоадер?

Вчера утром для закачки я использовал FlashGet.

Похоже, как только ссылки на заразу появились в Гугле, закачку отключили. :(

Добавлено через 1 минуту
Не, ни фига. Троян по-прежнему закачивается.
Касперский только что ругался снова.
Проблема не решена.

:http:counter-google.com/stats/index.php
Размещен эксплоит, в случае эксплуатации уязвимости загружает и запускает на исполнение трояна-загрузчика весом 7 кб
Тот в свою очередь загружает еще одного трояна - на этот раз шпиона-банкера. Оба файла при завершении работы удаляют оригинальный файл.
Троян-загрузчик:

http://www.virustotal.com/resultado.html?44d539ae4b6a064782cbdd5ae91f0521

При запуске загрузчик внедряется в системный процесс svchost.exe с целью обойти брандмауэр. Отличительныя особенность - обход Касперского 7 автокликом (т.к. Касперский детектирует внедрение в процесс). Так же отмечу, что Касперский может детектировать этого загрузчика эмулятором (при детальном уровне в файловом антивирусе).Скачивает и запускает на исполнение Trojan-Spy.Win32.Bsub или Banker - как уж обзовут весом 105 кб. Не детектируется.

http://www.virustotal.com/resultado.html?d6d963411d0e298d53cecd41114baf86

Шпиончик представляет собой библиотеку matahsw.dll (пакованную UPX), зарегистрированную как BHO. Следит за посещением пользователем сайтов банков:
citibank.de
finanzportal.fiducia.de
cortalconsors.de
Плюс крадет пароли (PROTECTED STORAGE) с ПК, создает файлы help.txt,alog.txt,commands.xml,dr.gif,di.gif,tns.d ll в каторых хранит награбленное и передает их сюда:
thekurt.info/oops/upload.php
thekurt.info/oops/command.php
thekurt.info/oops/commandack.php
thekurt.info/oops/newuser.php
thekurt.info/oops/mail.php

Ссылки virustotal.com не открываются...

Размещен эксплоит, в случае эксплуатации уязвимости загружает и запускает...

Хм... О какой уязвимости идет речь?

Ссылки virustotal.com не открываются...
Быстро устаревают, несколько часов назад еще можно было увидеть.

Быстро устаревают, несколько часов назад еще можно было увидеть.В таких случаях лучше делать скриншоты.

Хм... О какой уязвимости идет речь?
Уязвимости браузера я так понимаю.
Вы же сами привили начальный текст зашифрованного (xor) эксплоита?
Вероятно там не один эксплоит, а целый набор - mpack.
Загрузчик


Antivirus Version Last Update Result
AhnLab-V3 2007.7.31.1 2007.07.31 -
AntiVir 7.4.0.54 2007.07.31 -
Authentium 4.93.8 2007.07.31 -
Avast 4.7.1029.0 2007.07.31 -
AVG 7.5.0.476 2007.07.31 -
BitDefender 7.2 2007.08.01 -
CAT-QuickHeal 9.00 2007.07.31 -
ClamAV 0.91 2007.08.01 -
DrWeb 4.33 2007.07.31 -
eSafe 7.0.15.0 2007.07.31 -
eTrust-Vet 31.1.5021 2007.08.01 Win32/Chepvil!generic
Ewido 4.0 2007.07.31 -
FileAdvisor 1 2007.08.01 -
Fortinet 2.91.0.0 2007.08.01 -
F-Prot 4.3.2.48 2007.07.31 -
F-Secure 6.70.13030.0 2007.07.31 -
Ikarus T3.1.1.8 2007.07.31 -
Kaspersky 4.0.2.24 2007.08.01 -
McAfee 5087 2007.07.31 -
Microsoft 1.2704 2007.08.01 -
NOD32v2 2430 2007.07.31 -
Norman 5.80.02 2007.07.31 -
Panda 9.0.0.4 2007.08.01 -
Rising 19.34.20.00 2007.08.01 -
Sophos 4.19.0 2007.08.01 -
Sunbelt 2.2.907.0 2007.07.31 -
Symantec 10 2007.08.01 -
TheHacker 6.1.7.159 2007.07.31 -
VBA32 3.12.2.2 2007.07.31 -
VirusBuster 4.3.26:9 2007.07.31 -
Webwasher-Gateway 6.0.1 2007.08.01 -
Additional information
File size: 7253 bytes
MD5: 229db5a21f3aab1288a13106aaa1eacc

банкер


Antivirus Version Last Update Result
AhnLab-V3 2007.7.31.1 2007.07.31 -
AntiVir 7.4.0.54 2007.07.31 -
Authentium 4.93.8 2007.07.31 -
Avast 4.7.1029.0 2007.07.31 -
AVG 7.5.0.476 2007.07.31 -
BitDefender 7.2 2007.08.01 -
CAT-QuickHeal 9.00 2007.07.31 -
ClamAV 0.91 2007.08.01 -
DrWeb 4.33 2007.07.31 -
eSafe 7.0.15.0 2007.07.31 -
eTrust-Vet 31.1.5021 2007.08.01 -
Ewido 4.0 2007.07.31 -
FileAdvisor 1 2007.08.01 -
Fortinet 2.91.0.0 2007.08.01 -
F-Prot 4.3.2.48 2007.07.31 -
F-Secure 6.70.13030.0 2007.07.31 -
Ikarus T3.1.1.8 2007.07.31 -
Kaspersky 4.0.2.24 2007.08.01 -
McAfee 5087 2007.07.31 -
Microsoft 1.2704 2007.08.01 -
NOD32v2 2430 2007.07.31 -
Norman 5.80.02 2007.07.31 -
Panda 9.0.0.4 2007.08.01 Suspicious file
Prevx1 V2 2007.08.01 -
Rising 19.34.12.00 2007.07.31 -
Sophos 4.19.0 2007.08.01 Mal/Behav-112
Sunbelt 2.2.907.0 2007.07.31 -
Symantec 10 2007.08.01 -
TheHacker 6.1.7.159 2007.07.31 -
VBA32 3.12.2.2 2007.07.31 -
VirusBuster 4.3.26:9 2007.07.31 -
Webwasher-Gateway 6.0.1 2007.08.01 -
Additional information
File size: 105472 bytes
MD5: 8522406dc796fbe4fe06ef591ae0e676
SHA1: 99a7c8906a1a002d8690195675fdff611c2e01f9

Уязвимости браузера я так понимаю.

Понятно. Просто я думал, что вы имеете ввиду что-то конкретное...

PS. Кстати, там уже лежит несколько другой эксплойт (другой исходник на JavaScript) - отличный от того, что я скачал в понедельник утром. Впрочем, очень может быть, что механизм заражения, тем не менее, остался прежним.

гм...

а полученный грустный смайлик может подтвердить что троян закачан не был?

гм...

а полученный грустный смайлик может подтвердить что троян закачан не был?А вот и не надо было пробовать! =)

Ну, а если серьезно, то скорее всего - да.

а полученный грустный смайлик может подтвердить что троян закачан не был?
Да, не был. Вас добавили в базу "неподдающихся", о чем они и сожалеют. ;) С вашего ip-адреса (если он не динамический) можно уже не пробовать заходить. Не "пустят".


В таких случаях лучше делать скриншоты.
Мне понравилась новая кнопочка "compact". Она позволяет сгруппировать и оформить результат в удобном для вас виде. Рекомендую для темы "Исследование антивирусов". А скриншоты в новой версии Virustotal делать неудобно (слишком удлинен список).

Да, не был. Вас добавили в базу "неподдающихся", о чем они и сожалеют. ;) С вашего ip-адреса (если он не динамический) можно уже не пробовать заходить. Не "пустят".


ip у меня постоянный... зато теперь можно быть спокойной что если кто-то дома откроет этот сайт ничего не установится... (тута инет через роутер, его ещё 2 человека используют)

ИМХО креведко и правда самый безопасный браузер

ИМХО креведко и правда самый безопасный браузерКакой какой браузер?

Какой какой браузер?
SeaMonkey на самом деле не морская обезьяна, а маленький краб artemia salina ;), который в сушеном виде используют для кормления аквариумных рыбок.
http://upload.wikimedia.org/wikipedia/commons/thumb/8/88/Artemia_salina.jpg/300px-Artemia_salina.jpg

ладно... убедили... просто браузер часто креветкой зовут вот и привязалось...

креведкой, на баше чаще всего завут всех кого не лень=))

креведкой, на баше чаще всего завут всех кого не лень=))
это началось до эпидемии креведок

У меня тоже ip статический, тем не менее, я открывал этот сайт несколько раз и несколько раз натыкался на трояна. Так что механизм там другой и при повторном заходе Вы ни от чего не защищены.

Добавлено через 2 минуты

Не понял, на данный момент Касперский заразу отсекает?