-
[QUOTE=Maxim;125769]Каким например? Я пробовал разные и всё равно получал вместо трояна ерунду.[/QUOTE]
Так, видимо, поздно уже... =) Похоже, злоумышленники отключили закачку трояна - еще вчера до обеда. Если кому-то интересно, что именно выдавалось клиенту, могу выслать в личку - декодируйте, проверяйте и т.д. Кстати, Максим, там лежал скрипт, очень похожий (возможно, даже идентичный) на один из тех, что ты мне уже присылал.
Начало там такое:
[CODE]<div id="mydiv"></div>
<Script Language='JavaScript'>
function xor_str(plain_str, xor_key) {
var xored_str = "";
for (var i = 0 ; i < plain_str.length; ++i)
xored_str += String.fromCharCode(xor_key ^ plain_str.charCodeAt(i));
return xored_str;
}
var plain_str = "\xe4\xce\xce\xb2\xa5\xb6\xe4\xa9\xa9\xe4\xf9\xe4\xaa\xa1\xb3\xe4\x85\xb6\xb6\xa5\xbd\xec\xed\xff\xce\xb2\xa5\xb6..."
...[/CODE]
-
[QUOTE='aintrust;125833']Так, видимо, поздно уже... =) Похоже, злоумышленники отключили закачку трояна - еще вчера до обеда.[/QUOTE]Этот я не качал, я качал до этого много. Как-то они дифференцировали то, что я захожу не браузером и давали ерунду (пустая страница, грустный смайл и так далее).
[QUOTE='aintrust;125833']Кстати, Максим, там лежал скрипт, очень похожий (возможно, даже идентичный) на один из тех, что ты мне уже присылал. [/QUOTE]Я не удивлюсь, даже если он ставит тоже самое.
-
[QUOTE=Maxim;125843]Как-то они дифференцировали то, что я захожу не браузером и давали ерунду (пустая страница, грустный смайл и так далее).[/QUOTE]
Ну, дифференцировать можно, как минимум, по строке [I]User Agent[/I]. У моего даунлоадера я установил [I]User Agent[/I] в точности как у [I]Internet Explorer[/I] 6-й версии - и именно в таком варианте я и получил трояна с этого сайта.
-
Не помогло, я тоже пробовал. :( А какой у Вас даунлоадер?
-
Вчера утром для закачки я использовал [I]FlashGet[/I].
-
Похоже, как только ссылки на заразу появились в Гугле, закачку отключили. :(
[size="1"][color="#666686"][B]Добавлено через 1 минуту[/B][/color][/size]
Не, ни фига. Троян по-прежнему закачивается.
Касперский только что ругался снова.
Проблема не решена.
-
:http:counter-google.com/stats/index.php
Размещен эксплоит, в случае эксплуатации уязвимости загружает и запускает на исполнение трояна-загрузчика весом 7 кб
Тот в свою очередь загружает еще одного трояна - на этот раз шпиона-банкера. Оба файла при завершении работы удаляют оригинальный файл.
Троян-загрузчик:
[url]http://www.virustotal.com/resultado.html?44d539ae4b6a064782cbdd5ae91f0521[/url]
При запуске загрузчик внедряется в системный процесс svchost.exe с целью обойти брандмауэр. Отличительныя особенность - обход Касперского 7 автокликом (т.к. Касперский детектирует внедрение в процесс). Так же отмечу, что Касперский может детектировать этого загрузчика эмулятором (при детальном уровне в файловом антивирусе).Скачивает и запускает на исполнение Trojan-Spy.Win32.Bsub или Banker - как уж обзовут весом 105 кб. Не детектируется.
[url]http://www.virustotal.com/resultado.html?d6d963411d0e298d53cecd41114baf86[/url]
Шпиончик представляет собой библиотеку matahsw.dll (пакованную UPX), зарегистрированную как BHO. Следит за посещением пользователем сайтов банков:
citibank.de
finanzportal.fiducia.de
cortalconsors.de
Плюс крадет пароли (PROTECTED STORAGE) с ПК, создает файлы help.txt,alog.txt,commands.xml,dr.gif,di.gif,tns.dll в каторых хранит награбленное и передает их сюда:
thekurt.info/oops/upload.php
thekurt.info/oops/command.php
thekurt.info/oops/commandack.php
thekurt.info/oops/newuser.php
thekurt.info/oops/mail.php
-
Ссылки virustotal.com не открываются...
-
[QUOTE=vaber;126049]Размещен эксплоит, в случае эксплуатации уязвимости загружает и запускает...
[/QUOTE]
Хм... О какой [U]уязвимости[/U] идет речь?
-
[QUOTE='Maxim;126063']Ссылки virustotal.com не открываются...[/QUOTE]
Быстро устаревают, несколько часов назад еще можно было увидеть.
-
[QUOTE='SuperBrat;126084']Быстро устаревают, несколько часов назад еще можно было увидеть.[/QUOTE]В таких случаях лучше делать скриншоты.
-
[quote=aintrust;126073]Хм... О какой [U]уязвимости[/U] идет речь?[/quote]
Уязвимости браузера я так понимаю.
Вы же сами привили начальный текст зашифрованного (xor) эксплоита?
Вероятно там не один эксплоит, а целый набор - mpack.
Загрузчик
[CODE]Antivirus Version Last Update Result
AhnLab-V3 2007.7.31.1 2007.07.31 -
AntiVir 7.4.0.54 2007.07.31 -
Authentium 4.93.8 2007.07.31 -
Avast 4.7.1029.0 2007.07.31 -
AVG 7.5.0.476 2007.07.31 -
BitDefender 7.2 2007.08.01 -
CAT-QuickHeal 9.00 2007.07.31 -
ClamAV 0.91 2007.08.01 -
DrWeb 4.33 2007.07.31 -
eSafe 7.0.15.0 2007.07.31 -
eTrust-Vet 31.1.5021 2007.08.01 Win32/Chepvil!generic
Ewido 4.0 2007.07.31 -
FileAdvisor 1 2007.08.01 -
Fortinet 2.91.0.0 2007.08.01 -
F-Prot 4.3.2.48 2007.07.31 -
F-Secure 6.70.13030.0 2007.07.31 -
Ikarus T3.1.1.8 2007.07.31 -
Kaspersky 4.0.2.24 2007.08.01 -
McAfee 5087 2007.07.31 -
Microsoft 1.2704 2007.08.01 -
NOD32v2 2430 2007.07.31 -
Norman 5.80.02 2007.07.31 -
Panda 9.0.0.4 2007.08.01 -
Rising 19.34.20.00 2007.08.01 -
Sophos 4.19.0 2007.08.01 -
Sunbelt 2.2.907.0 2007.07.31 -
Symantec 10 2007.08.01 -
TheHacker 6.1.7.159 2007.07.31 -
VBA32 3.12.2.2 2007.07.31 -
VirusBuster 4.3.26:9 2007.07.31 -
Webwasher-Gateway 6.0.1 2007.08.01 -
Additional information
File size: 7253 bytes
MD5: 229db5a21f3aab1288a13106aaa1eacc[/CODE]
банкер
[CODE]Antivirus Version Last Update Result
AhnLab-V3 2007.7.31.1 2007.07.31 -
AntiVir 7.4.0.54 2007.07.31 -
Authentium 4.93.8 2007.07.31 -
Avast 4.7.1029.0 2007.07.31 -
AVG 7.5.0.476 2007.07.31 -
BitDefender 7.2 2007.08.01 -
CAT-QuickHeal 9.00 2007.07.31 -
ClamAV 0.91 2007.08.01 -
DrWeb 4.33 2007.07.31 -
eSafe 7.0.15.0 2007.07.31 -
eTrust-Vet 31.1.5021 2007.08.01 -
Ewido 4.0 2007.07.31 -
FileAdvisor 1 2007.08.01 -
Fortinet 2.91.0.0 2007.08.01 -
F-Prot 4.3.2.48 2007.07.31 -
F-Secure 6.70.13030.0 2007.07.31 -
Ikarus T3.1.1.8 2007.07.31 -
Kaspersky 4.0.2.24 2007.08.01 -
McAfee 5087 2007.07.31 -
Microsoft 1.2704 2007.08.01 -
NOD32v2 2430 2007.07.31 -
Norman 5.80.02 2007.07.31 -
Panda 9.0.0.4 2007.08.01 Suspicious file
Prevx1 V2 2007.08.01 -
Rising 19.34.12.00 2007.07.31 -
Sophos 4.19.0 2007.08.01 Mal/Behav-112
Sunbelt 2.2.907.0 2007.07.31 -
Symantec 10 2007.08.01 -
TheHacker 6.1.7.159 2007.07.31 -
VBA32 3.12.2.2 2007.07.31 -
VirusBuster 4.3.26:9 2007.07.31 -
Webwasher-Gateway 6.0.1 2007.08.01 -
Additional information
File size: 105472 bytes
MD5: 8522406dc796fbe4fe06ef591ae0e676
SHA1: 99a7c8906a1a002d8690195675fdff611c2e01f9[/CODE]
-
[QUOTE=vaber;126135]Уязвимости браузера я так понимаю.
[/QUOTE]
Понятно. Просто я думал, что вы имеете ввиду что-то конкретное...
PS. Кстати, там уже лежит несколько другой эксплойт (другой исходник на JavaScript) - отличный от того, что я скачал в понедельник утром. Впрочем, очень может быть, что механизм заражения, тем не менее, остался прежним.
-
гм...
а полученный грустный смайлик может подтвердить что троян закачан не был?
-
[QUOTE=ScratchyClaws;126180]гм...
а полученный грустный смайлик может подтвердить что троян закачан не был?[/QUOTE]А вот и не надо было пробовать! =)
Ну, а если серьезно, то скорее всего - да.
-
[QUOTE='ScratchyClaws;126180']а полученный грустный смайлик может подтвердить что троян закачан не был?[/QUOTE]
Да, не был. Вас добавили в базу "неподдающихся", о чем они и сожалеют. ;) С вашего ip-адреса (если он не динамический) можно уже не пробовать заходить. Не "пустят".
[QUOTE='Maxim;126085']В таких случаях лучше делать скриншоты.[/QUOTE]
Мне понравилась новая кнопочка "compact". Она позволяет сгруппировать и оформить результат в удобном для вас виде. Рекомендую для темы "Исследование антивирусов". А скриншоты в новой версии Virustotal делать неудобно (слишком удлинен список).
-
[QUOTE=SuperBrat;126225]Да, не был. Вас добавили в базу "неподдающихся", о чем они и сожалеют. ;) С вашего ip-адреса (если он не динамический) можно уже не пробовать заходить. Не "пустят".
[/QUOTE]
ip у меня постоянный... зато теперь можно быть спокойной что если кто-то дома откроет этот сайт ничего не установится... (тута инет через роутер, его ещё 2 человека используют)
ИМХО креведко и правда самый безопасный браузер
-
[QUOTE='ScratchyClaws;126227']ИМХО креведко и правда самый безопасный браузер[/QUOTE]Какой какой браузер?
-
[QUOTE=Maxim;126298]Какой какой браузер?[/QUOTE]
SeaMonkey на самом деле не [I]морская обезьяна[/I], а маленький краб artemia salina ;), который в сушеном виде используют для кормления аквариумных рыбок.
[IMG]http://upload.wikimedia.org/wikipedia/commons/thumb/8/88/Artemia_salina.jpg/300px-Artemia_salina.jpg[/IMG]
-
ладно... убедили... просто браузер часто креветкой зовут вот и привязалось...
Page generated in 0.00223 seconds with 10 queries