Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 32.

Троян на сайте. Владельцы игнорят..

  1. #1
    Full Member Репутация Репутация Репутация Аватар для M@xWell
    Регистрация
    04.06.2007
    Сообщений
    127
    Вес репутации
    64

    Троян на сайте. Владельцы игнорят..

    Добрый день всем.
    При входе на некоторый сайт KIS обнаружил Trojan-Clicker.HTML.IFrame.a. Я отписал хозяевам сайта об этом, чтоб они обратились к веб-мастеру. На это они ответили, что, мол, проблема решена, спасибо за содействие. Но на деле ничего они не предпринимали - KIS все также ругается... Я им написал еще раз, но они проигнорили. Можна как-то прикрыть доступ пользователей к их сайту? Компания работает в сфере услуг, и я не представляю, сколько людей заходит туда...

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Можно к их провайдеру написать Ну а если они сами провайдер- то бесполезно, разве что устроить DDos- но это не легально Лучше название сайта тут указать, посмотрим. Сделай не активным линк.

  4. #3
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Палыч
    Регистрация
    19.01.2005
    Сообщений
    696
    Вес репутации
    253
    Пиши хостеру. Пиши провайдеру. Можно ещё и регистраторам написать.
    Наше дело правое--победа будет за нами!!!

  5. #4
    Full Member Репутация Репутация Репутация Аватар для M@xWell
    Регистрация
    04.06.2007
    Сообщений
    127
    Вес репутации
    64
    Как узнать их хостер, провайдерa и регистраторa? Я этот сайт в поисковике нашел (чтоб проверить пришлось даже второй раз искать. т.к. ссылку не сохранил...). Соответственно никакой инфы нету, кроме самого сайта..
    Сайт с заразой: pizzamaximus.com
    Отчет KIS:
    обнаружено: троянская программа Trojan-Clicker.HTML.IFrame.a URL: traffmanager.org/tds/iframe.php
    ЗЫ: Еще решил вести с ними борьбу: буду писать на разные целенаправленные форумы о них.. Пусть о них люди знают>
    Последний раз редактировалось M@xWell; 23.07.2007 в 10:59.

  6. #5
    Visiting Helper Репутация
    Регистрация
    27.01.2006
    Сообщений
    55
    Вес репутации
    67
    У меня похожая ситуация, детектится вирь на сайте, владельцы говорят, что все нормально. На вирустотале семеро его видят.
    Скрипт я выдернул с сайта, он приложен.
    Вложения Вложения
    • Тип файла: txt 111.txt (2.7 Кб, 19 просмотров)

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Палыч
    Регистрация
    19.01.2005
    Сообщений
    696
    Вес репутации
    253
    IP 193.178.144.85

    inetnum: 193.178.144.0 - 193.178.147.255
    netname: IPROMO
    descr: IpromoGroup Ltd.
    descr: Web hosting and domain names registration
    descr: PO Box 740
    descr: Kiev
    descr: 01034
    country: UA
    admin-c: II151-RIPE
    tech-c: LH2956-RIPE
    status: ASSIGNED PI
    mnt-by: RIPE-NCC-HM-PI-MNT
    mnt-lower: RIPE-NCC-HM-PI-MNT
    mnt-by: IPROMO-MNT
    mnt-routes: IPROMO-MNT
    mnt-domains: IPROMO-MNT
    source: RIPE # Filtered

    role: IQ-INTER.NET IRHSP role object
    address: PO Box 740
    address: Kiev-34, Ukraine
    address: 01034
    phone: +44 078 03 04 05 06
    phone: +38 067 704 78 26
    phone: +38 044 24 707 24
    e-mail: [email protected]
    admin-c: LH2956-RIPE
    tech-c: LH2956-RIPE
    nic-hdl: II151-RIPE
    mnt-by: IPROMO-MNT
    source: RIPE # Filtered

    person: Lubes Haidamaka
    address: PO Box 740
    address: Kiev-34
    address: Ukraine
    phone: +38 044 24 707 24
    e-mail: [email protected]
    nic-hdl: LH2956-RIPE
    source: RIPE # Filtered

    % Information related to '193.178.144.0/22AS21343'

    route: 193.178.144.0/22
    descr: IPromo Group
    origin: AS21343
    mnt-by: IPROMO-MNT
    source: RIPE # Filtered
    Последний раз редактировалось Палыч; 23.07.2007 в 11:06.
    Наше дело правое--победа будет за нами!!!

  8. #7
    Full Member Репутация Репутация Репутация Аватар для M@xWell
    Регистрация
    04.06.2007
    Сообщений
    127
    Вес репутации
    64
    [email protected] - сюда писать?
    ЗЫ: А как ты это сделал?! Научи, хочу все знать!

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    Цитата Сообщение от M@xWell Посмотреть сообщение
    ЗЫ: А как ты это сделал?! Научи, хочу все знать!
    http://ru.wikipedia.org/wiki/Whois

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Палыч
    Регистрация
    19.01.2005
    Сообщений
    696
    Вес репутации
    253
    Сначала узнаём IP сайта. Для этого:
    Пуск -- Выполнить-- ping -t ввв.pizzamaximus.com -- ОК
    В чёрном окне смотрим айпишник.

    Потом идём на какой-нибудь сайт, который по IP предоставляет сведения. Их в Интернете не один, и не два, а много. Я привык пользоваться http://old.antichat.ru/util/whois/
    Забиваешь в строку ввода найденный IP и жмёшь кнопку Проверить.
    Всё.
    Наше дело правое--победа будет за нами!!!

  11. #10
    Full Member Репутация Репутация Репутация Аватар для M@xWell
    Регистрация
    04.06.2007
    Сообщений
    127
    Вес репутации
    64
    2Палыч: можна было не так подробно )) спасибо..

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    https://addons.mozilla.org/ru/firefox/addon/590 один клик заменят все телодвижения столь подробно описанные Палыч.

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    442
    Ещё проще- whois.domaintools.com.
    http://www.softsphere.com - DefenseWall, DefencePlus

  14. #13
    Full Member Репутация Репутация Репутация Аватар для M@xWell
    Регистрация
    04.06.2007
    Сообщений
    127
    Вес репутации
    64
    Спс.. одного метода вполне хватит)).. Не отвлекаемся от темы.. Ктото страницу смотрел?

  15. #14
    Visiting Helper Репутация
    Регистрация
    27.01.2006
    Сообщений
    55
    Вес репутации
    67
    Смотрел
    http://www.virustotal.com/resultado....8595b38c8d13ff

    P.S. По моему скрипту: кто-нибудь знает, как его расшифровать?
    Последний раз редактировалось 5ergi0; 23.07.2007 в 13:49.

  16. #15
    Full Member Репутация Репутация Репутация Аватар для M@xWell
    Регистрация
    04.06.2007
    Сообщений
    127
    Вес репутации
    64
    хм... у меня Каспер ругнулся, а в твоем отчете - не нашел...

  17. #16
    Visiting Helper Репутация
    Регистрация
    27.01.2006
    Сообщений
    55
    Вес репутации
    67
    А я проверял страницу pizza, может скрипт еще что подгружает с traffmanager.org

  18. #17
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    819
    Цитата Сообщение от Палыч Посмотреть сообщение
    IP 193.178.144.85
    Мне больше понравился отчет http://www.completewhois.com по hxxp://pizzamaximus.com:

    DOMAIN: PIZZAMAXIMUS.COM

    RSP: IMENA.ua
    URL: http://www.imena.ua

    created-date: 2007-02-02
    updated-date: 2007-02-02
    registration-expiration-date: 2008-02-02

    owner-contact: P-JRF133
    owner-fname: Jim
    owner-lname: Fletcher
    owner-street: rtertwert
    owner-city: wqeqe
    owner-zip: 99011
    owner-country: UA
    owner-phone: 23444
    owner-email: [email protected]

    Добавлено через 10 минут
    Цитата Сообщение от 5ergi0 Посмотреть сообщение
    P.S. По моему скрипту: кто-нибудь знает, как его расшифровать?
    Увы. Знаю только, что %3C%73%63%72... и т. д. представляют собой ASCII-коды. То есть то, что в "%", это следующее:
    <script language="javascript">function dF(s){var s1=unescape(s.substr(0,s.length-1)); var t='';for(i=0;i<s1.length;i++)t+=String.fromCharCod e(s1.charCodeAt(i)-s.substr(s.length-1,1));document.write(unescape(t));}</script>
    Последний раз редактировалось borka; 23.07.2007 в 15:32. Причина: Добавлено сообщение
    ---
    С уважением,
    Borka.

  19. #18
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.02.2007
    Адрес
    Минск, Беларусь
    Сообщений
    569
    Вес репутации
    586
    Цитата Сообщение от M@xWell Посмотреть сообщение
    Спс.. одного метода вполне хватит)).. Не отвлекаемся от темы.. Ктото страницу смотрел?
    Сайт pizzamaximus.com либо взломан, либо владелец сайта сам разместил iframe с ссылкой на сайт с эксплоитом (за деньги само собой ).
    traffmanager.org/tds/iframe.php - traffmanager.org/tds/ifram.php -traffmanager.org/sploit.php (зашифрован полиморфным криптером HtmlGuard). Если расшифровать содержимое сплоита, то можно видеть, что он должен загрузить файл и выполнить (если уязвим IE) - traffmanager.org/exp/svc.exe, который в свою очередь должен скачать:


    traffmanager.org/new/get_exd.php?l=

    traffmanager.org/new/get_exa.php?l=

    traffmanager.org/new/get_exb.php?l=

    traffmanager.org/new/get_exc.php?l=

    traffmanager.org/new/get_exe.php?l=Russian
    Некоторые файлы недоступны. Те что скачиваются - пинч (svc4.exe) и руткит ddos.exe (снимает хуки, регистрируется как сервис, после старта запускает IE. спрятанный из кернела и завершает свою работу).
    anti-malware.ru

  20. #19
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Палыч
    Регистрация
    19.01.2005
    Сообщений
    696
    Вес репутации
    253
    Цитата Сообщение от borka Посмотреть сообщение
    Мне больше понравился отчет http://www.completewhois.com по hxxp://pizzamaximus.com:
    Даааа... Дело ясное, что дело тёмное.
    Наше дело правое--победа будет за нами!!!

  21. #20
    Full Member Репутация Репутация Репутация Аватар для M@xWell
    Регистрация
    04.06.2007
    Сообщений
    127
    Вес репутации
    64
    Во блин.. написал на [email protected].. игнорят..

Страница 1 из 2 12 Последняя

Похожие темы

  1. Ответов: 1
    Последнее сообщение: 30.08.2011, 14:47
  2. Ответов: 9
    Последнее сообщение: 15.10.2009, 18:19

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01171 seconds with 20 queries