Опасная инъекция в сайты от mdfc.info - у меня заразились все 30 сайтов!

Разобрался с вирусом:

Троянская программа, которая похищает конфиденциальную информацию пользователя. Является приложением Windows(PE-EXE файл). Размер компонентов троянца варьируется от 39 до 48 КБ.

Инсталляция

При запуске троянец извлекает из своего тела следующий файл:

%System%\msvcrl.dll - имеет размер 39 424 байта, упакован с помощью UPX.

Троянец получает путь к установленному Internet Explorer и изменяет файл iexplore.exe, добавляя в его таблицу импортов импорт из библиотеки

%System%\msvcrl.dll.

После чего троянская библиотека будет загружаться при каждом запуске Microsoft Internet Explorer.

При этом оригинальный файл троянца удаляется.

Деструктивная активность

Троянец похищает пароли на учетные записи из файлов данных следующих клиентов мгновенных сообщений:

QIP2005

Trillian

MSN Messenger

Yahoo Messenger

AOL

Miranda

Также троянец похищает пароли к FTP серверам из файлов конфигурации следующих FTP клиентов:

WS_FTP

Total Commander

CuteFTP

FAR

Похищает пароли к учетным записям электронной почты из файлов настроек следующих почтовых клиентов:

TheBat

Outlook Express

Outlook

Также троянец похищает словарь IE Auto Complete Fields.

Троянец устанавливает перехватчики на API функции для работы с сетью интернет:

InternetReadFile

InternetOpenURL

с помощью которых следит за посещаемыми пользователем Интернет сайтами. Также троян перехватывает отсылаемые Internet Explorer данные из полей ввода на web-формах.

Кроме того при открытии в Internet Explorer адресов, которые попадают в заложенный внутрь троянца список, троян осуществляет перенаправление запросов на сайты злоумышленника.

Собранную на компьютере пользователя информацию троянец отправляет на сайт злоумышленника в параметрах HTTP запроса.

Победил его следующим образом:

Нашел рекомедацию:

Скачайте Haxfix и установите, после запуска из меню выберите 2. Run auto fix

Соответственно, прога выдала, что IE заражен, и указала, где на компе есть старая чистая копия. Зараженную убил, архивную поставил. IE снова работает 🍾

http://www.infortech.ru/products/others/tr/

Полезна при работе с сайтами на html

Не могу найти haxfix.exe для 2003 Server Enterprise Edition 😕

если есть выложите, или скиньте ссылку :)

заранее спасибо :)

Я не очень спец в этом вопросе, но в моем случае "здоровая" копия экплорера IE лежала в защищенной системной папке windows/system32/dllcache/ - от туда я его и взял.

shamkovel, +1 за совет и информацию. Крякнули вчера форум, перерыл логи - ничего не нашел. Потом просто вбил в яндекс mdfc.info и нашел сразу эту темку.

Такой програмкой может быть обыкновенный DreamWaver. Нужно октрыть в нем html или php файлы, вызвать функцию замены (ctrl+F), и в параметрах указать, чтобы правка распространялась на все октрытые документы.

Он на хостинге тоже искать умеет? Надо попробовать ...

Нет, разумеется, на хостинге она работать не будет. А вот на локальной машине очень даже :)

Где-то недели 2 назад поймал вирусок, вылечил авастом, после этого перестал работать IE. А вчера заметил, что на моих сайтах пишется код типа

Все признаки как у топикстартера, надо заново теперь сайты поднимать((((

короче - у меня он 20 сайтов свалил - лечение каспером и меняйте пароли от фтп срочно - он пароли тибрит и к себе на какой то сервер кладет - а потом коннектится периодически и гадит ...