Справка - Поиск - Участники - Войти - Регистрация
Полная версия: На сайте очередной вирус/троян
Частный клуб Алекса Экслера > Cайт Экслер.Ру
alibek
23 января 2012, 10:47
Словил в субботу троян Carberp (ворует банковские данные).
Обитал где-то в блоге, активировался при открытии не то этой, не то этой записи; запускался какой-то Java-аплет, затем пытался запуститься Windows Media Player с каким-то aspx-файлом.
Поскольку работаю не под админом, вирус до конца не установился и при перезагрузке пытается доустановиться.
Симптомы — в корне диска папка со случайным именем, в которой файл klpclst.dat. Также имеются исполняемые файлы в папке "Автозагрузка" стартового меню.
По всей видимости, это какая-то модификация Carberp, т.к. при запуске AVZ он куда-то выгружается (и AVZ его не находит) и восстанавливается после закрытия AVZ. Обычные removal-утилиты популярных антивирусов его также не находят.
alibek
23 января 2012, 16:19
Дополнения: троян устанавливается, используя свежие уязвимости в Flash и Java. Помимо Carberp обнаружились следы зомбо-сети Bredolab (которая видимо и распространяла троян) и несколько явовских эксплойтов (Agent.a, CVE-2010-????).
Панда
23 января 2012, 18:31
У меня антивирус по этим ссылкам сразу сообщает, что заблокировал зловредный адрес, начинающийся с "openstat.net"

Vasly
23 января 2012, 19:24

Панда написал: У меня антивирус по этим ссылкам сразу сообщает, что заблокировал зловредный адрес, начинающийся с "openstat.net"

Это статистика посещения, справо внизу - следующий счетчик после RAX
Dmitry_Gergel
26 января 2012, 20:33
Мужики, знает кто сайт лежит отчего?
A не, отпустило...
HappY
27 января 2012, 10:17
Опять касперский ругается,
27.01.2012 10:16:52 URL-адрес: http://liveformail.is-very-evil.org/main.p...3784aae890797ae База подозрительных веб-адресов: доступ заблокирован
Ферзь
27 января 2012, 10:32

HappY написал: Опять касперский ругается

Есть такое.
При заходе на главную страницу.
Alex Exler
27 января 2012, 13:52

HappY написал: Опять касперский ругается,
27.01.2012 10:16:52 URL-адрес: http://liveformail.is-very-evil.org/main.p...3784aae890797ae База подозрительных веб-адресов: доступ заблокирован

Опять пролез в тот же рекламный скрипт. Все, мы этот скрипт убрали, больше ставить не будем ни под каким видом.
basen
27 января 2012, 15:03

Alex Exler написал: Все, мы этот скрипт убрали

Может, еще где-то? У меня реклама режется, и когда был вирус в рекламе, мой КИС не ругался. А когда в счетчике вирус появился - ругаться начал. И вот сегодня заругался утром и даже сейчас продолжает ругаться при заходе на главную. Теми же словами, что говорила HappY выше.
Alex Exler
27 января 2012, 17:13

basen написал:
Может, еще где-то? У меня реклама режется, и когда был вирус в рекламе, мой КИС не ругался. А когда в счетчике вирус появился - ругаться начал. И вот сегодня заругался утром и даже сейчас продолжает ругаться при заходе на главную. Теми же словами, что говорила HappY выше.

У меня тоже KIS 2012. С утра ругался, когда стоял рекламный скрипт. Скрипт убрали - больше ни разу не ругался.

Сейчас ругается? На что конкретно? Я поищу в коде.
basen
27 января 2012, 20:19

Alex Exler написал: Сейчас ругается? На что конкретно? Я поищу в коде.

Нет, сейчас не ругается. Похоже где-то в кэше что-то застревало. Перезагрузка помогла.
alibek
15 мая 2012, 18:15
Топик-ап.
Снова откуда-то вылез троян.
Откуда именно пока не вычислил, но с большой долей вероятности, что с сайта exler.ru (не с форума).
Троян пытается провести XSS-атаку, создает исполняемые файлы размером 61304 байта и почему-то иногда на полсекунды сбивает кодировку в процессе загрузки страницы сайта.
Alex Exler
15 мая 2012, 20:25

alibek написал: Топик-ап.
Снова откуда-то вылез троян.
Откуда именно пока не вычислил, но с большой долей вероятности, что с сайта exler.ru (не с форума).
Троян пытается провести XSS-атаку, создает исполняемые файлы размером 61304 байта и почему-то иногда на полсекунды сбивает кодировку в процессе загрузки страницы сайта.

Никто не жаловался ни разу. И я не вижу. Так что просьба показать скриншот со всеми данными.
Irenka
22 мая 2012, 17:21
Алекс, не подскажешь, что ЭТО? Вылезает только на форуме пару раз в неделю. Спросила в теме про вирусы, но там тишина... frown.gif
Irenka
22 мая 2012, 20:18

Irenka написала: Спросила в теме про вирусы, но там тишина...

Отбой, уже ответили. wink.gif
basen
28 мая 2012, 17:05
Опять ругается Касперский при входе на главную страницу и через IE и через FF. Очистка истории, временных файлов и куков не помогла.
basen
28 мая 2012, 17:11
Упс. Только написал - всё прекратилось.
Alex Exler
28 мая 2012, 17:20

basen написал: Опять ругается Касперский при входе на главную страницу и через IE и через FF. Очистка истории, временных файлов и куков не помогла.

Почему-то Каспер стал ругаться на код счетчика OpenStat. Пока отрубил этот код до выяснения.
Ферзь
29 мая 2012, 19:18
Каспер все еще ругается при заходе на сайт.
1
Ферзь
29 мая 2012, 19:19
2
Дн
30 мая 2012, 00:35
Я бы рекомендовал отправить это в Лабораторию Касперского, и они устранят ложное срабатывание. smile.gif
Alex Exler
30 мая 2012, 10:28

Дн написал: Я бы рекомендовал отправить это в Лабораторию Касперского, и они устранят ложное срабатывание. smile.gif

Я в Openstat написал, они с ними связались.
Alex Exler
30 мая 2012, 10:29

Ферзь написал: 2

А можно полноразмерный скриншот, а то на этом ничего не видно?
Alex Exler
30 мая 2012, 10:30

Ферзь написал: 2

Насколько я сумел разглядеть, там указан урл гугловской баннерокрутилки, через которую у меня крутится верхний баннер. У меня на него Каспер не ругается, что интересно wink.gif
Ферзь
30 мая 2012, 20:25

Alex Exler написал: А можно полноразмерный скриншот, а то на этом ничего не видно?

Возможности форума не позволили - пришлось уменьшить. smile.gif
Но у меня уже вчера Каспер ругаться сам перестал.
Эта версия форума - с пониженной функциональностью. Для просмотра полной версии со всеми функциями, форматированием, картинками и т. п. нажмите сюда.
Invision Power Board © 2001-2017 Invision Power Services, Inc.
модификация - Яро & Серёга
Хостинг от «Зенон»Сервера компании «ETegro»