Добрый день всем.
При входе на некоторый сайт KIS обнаружил Trojan-Clicker.HTML.IFrame.a. Я отписал хозяевам сайта об этом, чтоб они обратились к веб-мастеру. На это они ответили, что, мол, проблема решена, спасибо за содействие. Но на деле ничего они не предпринимали - KIS все также ругается... Я им написал еще раз, но они проигнорили. Можна как-то прикрыть доступ пользователей к их сайту? Компания работает в сфере услуг, и я не представляю, сколько людей заходит туда...
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Можно к их провайдеру написать Ну а если они сами провайдер- то бесполезно, разве что устроить DDos- но это не легально Лучше название сайта тут указать, посмотрим. Сделай не активным линк.
Как узнать их хостер, провайдерa и регистраторa? Я этот сайт в поисковике нашел (чтоб проверить пришлось даже второй раз искать. т.к. ссылку не сохранил...). Соответственно никакой инфы нету, кроме самого сайта..
Сайт с заразой: pizzamaximus.com
Отчет KIS:
обнаружено: троянская программа Trojan-Clicker.HTML.IFrame.a URL: traffmanager.org/tds/iframe.php
ЗЫ: Еще решил вести с ними борьбу: буду писать на разные целенаправленные форумы о них.. Пусть о них люди знают>
Последний раз редактировалось M@xWell; 23.07.2007 в 10:59.
У меня похожая ситуация, детектится вирь на сайте, владельцы говорят, что все нормально. На вирустотале семеро его видят.
Скрипт я выдернул с сайта, он приложен.
Сначала узнаём IP сайта. Для этого:
Пуск -- Выполнить-- ping -t ввв.pizzamaximus.com -- ОК
В чёрном окне смотрим айпишник.
Потом идём на какой-нибудь сайт, который по IP предоставляет сведения. Их в Интернете не один, и не два, а много. Я привык пользоваться http://old.antichat.ru/util/whois/
Забиваешь в строку ввода найденный IP и жмёшь кнопку Проверить.
Всё.
owner-contact: P-JRF133
owner-fname: Jim
owner-lname: Fletcher
owner-street: rtertwert
owner-city: wqeqe
owner-zip: 99011
owner-country: UA
owner-phone: 23444
owner-email: [email protected]
Добавлено через 10 минут
Сообщение от 5ergi0
P.S. По моему скрипту: кто-нибудь знает, как его расшифровать?
Увы. Знаю только, что %3C%73%63%72... и т. д. представляют собой ASCII-коды. То есть то, что в "%", это следующее:
<script language="javascript">function dF(s){var s1=unescape(s.substr(0,s.length-1)); var t='';for(i=0;i<s1.length;i++)t+=String.fromCharCod e(s1.charCodeAt(i)-s.substr(s.length-1,1));document.write(unescape(t));}</script>
Последний раз редактировалось borka; 23.07.2007 в 15:32.
Причина: Добавлено сообщение
Спс.. одного метода вполне хватит)).. Не отвлекаемся от темы.. Ктото страницу смотрел?
Сайт pizzamaximus.com либо взломан, либо владелец сайта сам разместил iframe с ссылкой на сайт с эксплоитом (за деньги само собой ).
traffmanager.org/tds/iframe.php - traffmanager.org/tds/ifram.php -traffmanager.org/sploit.php (зашифрован полиморфным криптером HtmlGuard). Если расшифровать содержимое сплоита, то можно видеть, что он должен загрузить файл и выполнить (если уязвим IE) - traffmanager.org/exp/svc.exe, который в свою очередь должен скачать:
traffmanager.org/new/get_exd.php?l=
traffmanager.org/new/get_exa.php?l=
traffmanager.org/new/get_exb.php?l=
traffmanager.org/new/get_exc.php?l=
traffmanager.org/new/get_exe.php?l=Russian
Некоторые файлы недоступны. Те что скачиваются - пинч (svc4.exe) и руткит ddos.exe (снимает хуки, регистрируется как сервис, после старта запускает IE. спрятанный из кернела и завершает свою работу).