Вопрос вирусологам

Спасибо всем за помощь! Вчера поставил вирус на колени и зверско поимел :)

Кто участвовал в этой теме, напишите мне в личку что вам надо. У меня более 50 различных скриптов.

Каким антивирусом пользовался?

Из total_comander файл wcx_ftp.ini они там защифрованные, но никакого труда расшифровать не стоит. Причём, путь к этому файлу находит в реестре, так что если его спрятать хрен знает куда всё равно найдёт.

Касперыч в этом плане хорош, правда только лицензионный, который заходи на сервак за новыми обновлениями.

Странно... вредоносного кода уже нет, а антивир пищит! :( От чего это может быть?

Это ифрейм код в котором грузится сплоит который в свою очередъ вбивает вам на комп вредноносный exe!

Под вредноносным ехе можно подразумивать что угодно. Чаще всего там находится лоадер который в свою очередъ загружает вам всё что захочет хозяин этой системы.

Простой скрытый ифрейм можно порезать любым фаером. А вот для того чтоб фаер не блокировал его кидируют явой.

Master812, DyaDya, radist, кто-нибудь из вас знает из какой программы (ftp-клиента) такие вирусы таскают пароли?

Например самый распространённый из этой серии так называемый "ПИНЧ"

Pinch тащит пароли от:

- ICQ

- Miranda ICQ

- Trillian ICQ&AIM

- &RQ

- QIP

- Gaim

- MSN Messenger

- Агент@Mail.ru

- Mozilla

- Firefox

- Opera

- E-Dialer

- V-Dialer

- Becky

- Mozilla Thunderbird

- The Bat!, The Bat! 2 (почта)

- Outlook/Outlook Express (pop3/imap)

- IE автозаполнение & защищённые сайты (Protected Storage) & ftp (поддерживаются 9x/Me/2k/xp)

- FAR Manager (ftp)

- Win/Total Commander (ftp)

- CuteFTP

- WS_FTP

- SmartFTP

- CoffeeCup Direct FTP

- FileZilla

- PuntoSwitcher

- FlashFXP

- Downloaders

- Regedit

- Удаленный Рабочий стол (RDP)

- Интернет (поддерживаются 9x/Me/2k/xp)

Собирает системную информацию: OS, memory, CPU, hard drives, logged user, host name, IP.

Короче говоря все пароли которые сохранены на компе....

Этот зверь выдерает в основном пароли которые сохранены на компе.

Но есть ещё ряд различных сниферов которые перехватуют подключения фтп smtp. и тд. и выбирают пароли от туда.

Не какой антивирус не даст 100% защиты от этого... До того времини пока сигнатура троя не попадёт в базы а трояны всегда идут на шаг впереди...

Поэтому как вариант узайте FireFox на нём пробив сплоитов очень очень мизерный...

Или уровень безопасности "ВЫСОКИЙ" в интернет эксплорере...

info-1, и как теперь убрать его с сервера? Всё стереть и поновый закачать?

Если на страницах вашего сайта появляются подобные коды то необходимо тут же сменить пароль на FTP. И проверить все index.* файлы на хостинге обычно по таким таким критериям проходит растановка вредносного кода.

Это происходит "роботом" поэтому обычно код вставляется в начало/конец документа или после тега BODY.

Если смена пароля не помогает код всё равно появляется на страницах значит где-то в папках спрятан шел и на файлы проставлены права на запись... этот скрипт сам постоянно добовляет коды в страницы.

Если вы попали на заражонную страницу и на ваших глазаех падает броузер не раздумуя отправляйте комп ребут кнопкой "RESET" пока вредноносный софт не успел закачатся на комп и производите востановление системы на вчера.

ищите код ифрейма.. ничего сложного в этом нет. ненадо все перезаливать. возможно он будет закодирован, но это сразу бросается в глаза. так что если вы видите чужероный код у себя на страничке - тут же перезаливайте этот файл.

з.ы. кроме пинча есть еще огромное кол-во грабберов.

з.з.ы. для того чтобы не попасться, устанавливайте кроме антивируса еще и фаервол.. и обновляйте базы постоянно.

☝ а например KIS и OutPost так просто не поставятся на один комп :)

А нахрена KIS и Outpost на одном компе? Вместо KIS поставьте просто антивирус касперского и Outpost, или просто один KIS