Доброго времени суток!
В локальной сети на разных ПК было появление различных баннеров, которое никак не детектировалось антивирусом (KAV 6.0). У кого был установлен Adobe flash player, тот видел баннер "во всей красе", у остальных - только очертания (прямоугольное окно, разделенное на области). В строке состояния видно, что осуществляется переход по адресу httр://рор.spy4.in/6jvejwr5fdp5e9o8o4c4ycz477muamt. По этому адресу лежит javascript, устанавливающий кукисы на клиенте. Далее, как я смог понять со своим скудным познанием в javascript, идет перенаправление на другую страницу того же домена, где для жертвы формируется баннер, который она далее должна закрыть. При закрытии баннера на самом деле происходило нажатие на рекламную ссылку.
Выход ЛВС осуществляется через два маршрутизатора (cisco). Часть клиентов идет через прокси-сервер(подключен к маршрутизатору №1), а некоторые выходят напрямую через маршрутизатор №2. Проблема наблюдалась в обоих случаях. Пробовал подымать новый прокси-сервер (debian+squid) - не помогло.
Прилагаю результаты анализа AVZ и Hijackthis для виртуальной машины.
Последний раз редактировалось mrak74; 04.12.2012 в 10:15.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) alex_www, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Ответить с цитированием
