-
Сообщение от
Maxim
Каким например? Я пробовал разные и всё равно получал вместо трояна ерунду.
Так, видимо, поздно уже... =) Похоже, злоумышленники отключили закачку трояна - еще вчера до обеда. Если кому-то интересно, что именно выдавалось клиенту, могу выслать в личку - декодируйте, проверяйте и т.д. Кстати, Максим, там лежал скрипт, очень похожий (возможно, даже идентичный) на один из тех, что ты мне уже присылал.
Начало там такое:
Код:
<div id="mydiv"></div>
<Script Language='JavaScript'>
function xor_str(plain_str, xor_key) {
var xored_str = "";
for (var i = 0 ; i < plain_str.length; ++i)
xored_str += String.fromCharCode(xor_key ^ plain_str.charCodeAt(i));
return xored_str;
}
var plain_str = "\xe4\xce\xce\xb2\xa5\xb6\xe4\xa9\xa9\xe4\xf9\xe4\xaa\xa1\xb3\xe4\x85\xb6\xb6\xa5\xbd\xec\xed\xff\xce\xb2\xa5\xb6..."
...
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
aintrust
Так, видимо, поздно уже... =) Похоже, злоумышленники отключили закачку трояна - еще вчера до обеда.
Этот я не качал, я качал до этого много. Как-то они дифференцировали то, что я захожу не браузером и давали ерунду (пустая страница, грустный смайл и так далее).
Сообщение от
aintrust
Кстати, Максим, там лежал скрипт, очень похожий (возможно, даже идентичный) на один из тех, что ты мне уже присылал.
Я не удивлюсь, даже если он ставит тоже самое.
-
-
Сообщение от
Maxim
Как-то они дифференцировали то, что я захожу не браузером и давали ерунду (пустая страница, грустный смайл и так далее).
Ну, дифференцировать можно, как минимум, по строке User Agent. У моего даунлоадера я установил User Agent в точности как у Internet Explorer 6-й версии - и именно в таком варианте я и получил трояна с этого сайта.
-
-
Не помогло, я тоже пробовал. А какой у Вас даунлоадер?
-
-
Вчера утром для закачки я использовал FlashGet.
-
-
Junior Member
- Вес репутации
- 62
Похоже, как только ссылки на заразу появились в Гугле, закачку отключили.
Добавлено через 1 минуту
Не, ни фига. Троян по-прежнему закачивается.
Касперский только что ругался снова.
Проблема не решена.
Последний раз редактировалось Jack2; 01.08.2007 в 02:39.
Причина: Добавлено сообщение
-
counter-google.com/stats/index.php
Размещен эксплоит, в случае эксплуатации уязвимости загружает и запускает на исполнение трояна-загрузчика весом 7 кб
Тот в свою очередь загружает еще одного трояна - на этот раз шпиона-банкера. Оба файла при завершении работы удаляют оригинальный файл.
Троян-загрузчик:
http://www.virustotal.com/resultado....cbdd5ae91f0521
При запуске загрузчик внедряется в системный процесс svchost.exe с целью обойти брандмауэр. Отличительныя особенность - обход Касперского 7 автокликом (т.к. Касперский детектирует внедрение в процесс). Так же отмечу, что Касперский может детектировать этого загрузчика эмулятором (при детальном уровне в файловом антивирусе).Скачивает и запускает на исполнение Trojan-Spy.Win32.Bsub или Banker - как уж обзовут весом 105 кб. Не детектируется.
http://www.virustotal.com/resultado....cecd41114baf86
Шпиончик представляет собой библиотеку matahsw.dll (пакованную UPX), зарегистрированную как BHO. Следит за посещением пользователем сайтов банков:
citibank.de
finanzportal.fiducia.de
cortalconsors.de
Плюс крадет пароли (PROTECTED STORAGE) с ПК, создает файлы help.txt,alog.txt,commands.xml,dr.gif,di.gif,tns.d ll в каторых хранит награбленное и передает их сюда:
thekurt.info/oops/upload.php
thekurt.info/oops/command.php
thekurt.info/oops/commandack.php
thekurt.info/oops/newuser.php
thekurt.info/oops/mail.php
Последний раз редактировалось vaber; 01.08.2007 в 06:18.
anti-malware.ru
-
-
Ссылки virustotal.com не открываются...
-
-
Сообщение от
vaber
Размещен эксплоит, в случае эксплуатации уязвимости загружает и запускает...
Хм... О какой уязвимости идет речь?
-
-
Сообщение от
Maxim
Ссылки virustotal.com не открываются...
Быстро устаревают, несколько часов назад еще можно было увидеть.
Опыт — это слово, которым люди называют свои ошибки.
-
-
Сообщение от
SuperBrat
Быстро устаревают, несколько часов назад еще можно было увидеть.
В таких случаях лучше делать скриншоты.
-
-
Сообщение от
aintrust
Хм... О какой уязвимости идет речь?
Уязвимости браузера я так понимаю.
Вы же сами привили начальный текст зашифрованного (xor) эксплоита?
Вероятно там не один эксплоит, а целый набор - mpack.
Загрузчик
Код:
Antivirus Version Last Update Result
AhnLab-V3 2007.7.31.1 2007.07.31 -
AntiVir 7.4.0.54 2007.07.31 -
Authentium 4.93.8 2007.07.31 -
Avast 4.7.1029.0 2007.07.31 -
AVG 7.5.0.476 2007.07.31 -
BitDefender 7.2 2007.08.01 -
CAT-QuickHeal 9.00 2007.07.31 -
ClamAV 0.91 2007.08.01 -
DrWeb 4.33 2007.07.31 -
eSafe 7.0.15.0 2007.07.31 -
eTrust-Vet 31.1.5021 2007.08.01 Win32/Chepvil!generic
Ewido 4.0 2007.07.31 -
FileAdvisor 1 2007.08.01 -
Fortinet 2.91.0.0 2007.08.01 -
F-Prot 4.3.2.48 2007.07.31 -
F-Secure 6.70.13030.0 2007.07.31 -
Ikarus T3.1.1.8 2007.07.31 -
Kaspersky 4.0.2.24 2007.08.01 -
McAfee 5087 2007.07.31 -
Microsoft 1.2704 2007.08.01 -
NOD32v2 2430 2007.07.31 -
Norman 5.80.02 2007.07.31 -
Panda 9.0.0.4 2007.08.01 -
Rising 19.34.20.00 2007.08.01 -
Sophos 4.19.0 2007.08.01 -
Sunbelt 2.2.907.0 2007.07.31 -
Symantec 10 2007.08.01 -
TheHacker 6.1.7.159 2007.07.31 -
VBA32 3.12.2.2 2007.07.31 -
VirusBuster 4.3.26:9 2007.07.31 -
Webwasher-Gateway 6.0.1 2007.08.01 -
Additional information
File size: 7253 bytes
MD5: 229db5a21f3aab1288a13106aaa1eacc
банкер
Код:
Antivirus Version Last Update Result
AhnLab-V3 2007.7.31.1 2007.07.31 -
AntiVir 7.4.0.54 2007.07.31 -
Authentium 4.93.8 2007.07.31 -
Avast 4.7.1029.0 2007.07.31 -
AVG 7.5.0.476 2007.07.31 -
BitDefender 7.2 2007.08.01 -
CAT-QuickHeal 9.00 2007.07.31 -
ClamAV 0.91 2007.08.01 -
DrWeb 4.33 2007.07.31 -
eSafe 7.0.15.0 2007.07.31 -
eTrust-Vet 31.1.5021 2007.08.01 -
Ewido 4.0 2007.07.31 -
FileAdvisor 1 2007.08.01 -
Fortinet 2.91.0.0 2007.08.01 -
F-Prot 4.3.2.48 2007.07.31 -
F-Secure 6.70.13030.0 2007.07.31 -
Ikarus T3.1.1.8 2007.07.31 -
Kaspersky 4.0.2.24 2007.08.01 -
McAfee 5087 2007.07.31 -
Microsoft 1.2704 2007.08.01 -
NOD32v2 2430 2007.07.31 -
Norman 5.80.02 2007.07.31 -
Panda 9.0.0.4 2007.08.01 Suspicious file
Prevx1 V2 2007.08.01 -
Rising 19.34.12.00 2007.07.31 -
Sophos 4.19.0 2007.08.01 Mal/Behav-112
Sunbelt 2.2.907.0 2007.07.31 -
Symantec 10 2007.08.01 -
TheHacker 6.1.7.159 2007.07.31 -
VBA32 3.12.2.2 2007.07.31 -
VirusBuster 4.3.26:9 2007.07.31 -
Webwasher-Gateway 6.0.1 2007.08.01 -
Additional information
File size: 105472 bytes
MD5: 8522406dc796fbe4fe06ef591ae0e676
SHA1: 99a7c8906a1a002d8690195675fdff611c2e01f9
-
-
Сообщение от
vaber
Уязвимости браузера я так понимаю.
Понятно. Просто я думал, что вы имеете ввиду что-то конкретное...
PS. Кстати, там уже лежит несколько другой эксплойт (другой исходник на JavaScript) - отличный от того, что я скачал в понедельник утром. Впрочем, очень может быть, что механизм заражения, тем не менее, остался прежним.
-
-
гм...
а полученный грустный смайлик может подтвердить что троян закачан не был?
At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)
-
-
Сообщение от
ScratchyClaws
гм...
а полученный грустный смайлик может подтвердить что троян закачан не был?
А вот и не надо было пробовать! =)
Ну, а если серьезно, то скорее всего - да.
-
-
Сообщение от
ScratchyClaws
а полученный грустный смайлик может подтвердить что троян закачан не был?
Да, не был. Вас добавили в базу "неподдающихся", о чем они и сожалеют. С вашего ip-адреса (если он не динамический) можно уже не пробовать заходить. Не "пустят".
Сообщение от
Maxim
В таких случаях лучше делать скриншоты.
Мне понравилась новая кнопочка "compact". Она позволяет сгруппировать и оформить результат в удобном для вас виде. Рекомендую для темы "Исследование антивирусов". А скриншоты в новой версии Virustotal делать неудобно (слишком удлинен список).
Опыт — это слово, которым люди называют свои ошибки.
-
-
Сообщение от
SuperBrat
Да, не был. Вас добавили в базу "неподдающихся", о чем они и сожалеют.
С вашего ip-адреса (если он не динамический) можно уже не пробовать заходить. Не "пустят".
ip у меня постоянный... зато теперь можно быть спокойной что если кто-то дома откроет этот сайт ничего не установится... (тута инет через роутер, его ещё 2 человека используют)
ИМХО креведко и правда самый безопасный браузер
At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)
-
-
Сообщение от
ScratchyClaws
ИМХО креведко и правда самый безопасный браузер
Какой какой браузер?
-
-
Сообщение от
Maxim
Какой какой браузер?
SeaMonkey на самом деле не морская обезьяна, а маленький краб artemia salina , который в сушеном виде используют для кормления аквариумных рыбок.
-
-
ладно... убедили... просто браузер часто креветкой зовут вот и привязалось...
At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)
-