Сайт Гаранта WMB взломан и загружает троянов!

anser06
На сайте с 11.03.2006
Offline
276
3087

Сайт Гаранта белорусских Вебманей http://www.wmtransfer.by/ взломан, загружает на комп пользователя трояна Trojan-Downloader.HTML.Agent.ij. Трояна находит Каспер с 12-часовыми базами (не старше).

Обнаружил около 3 часов назад. 2 почтовых ящика www.wmtransfer.by (technobank и support) не работают (550 Mailbox quota exceeded).

Позвонил 2 часа назад в Технобанк, ответили, что до меня уже звонили. На момент написания топика троян не удален! Осторожно.

Уточнение. Троян вроде бы за декабрь 2007, но точно такой же Каспер еще одного форумчанина, как у меня, смог увидеть вирус только после обновления баз (до этого базы обновлялись сутки назад).

J
На сайте с 05.04.2007
Offline
48
#1

Не подскажете, случайно, что делает этот троян и как обнаружить его присутствие (кроме Касперского)? Просто недавно был на этом сайте, теперь беспокоюсь.

Квартиры в Теплице (Чехия) за 10.000 евро! (http://reality.balticflora.ru)
anser06
На сайте с 11.03.2006
Offline
276
#2
jamais:
Не подскажете, случайно, что делает этот троян и как обнаружить его присутствие (кроме Касперского)?

Насколько я знаю, троян был на этом сайте 14 марта в первой половине дня. В интернете вирусов такого типа не мало.

Троянские программы этого класса предназначены для загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки «троянцев» или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются «троянцем» на автозагрузку в соответствии с возможностями операционной системы. Данные действия при этом происходят без ведома пользователя.

Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно с веб-страницы).

источник

J
На сайте с 05.04.2007
Offline
48
#3
anser06:
Насколько я знаю, троян был на этом сайте 14 марта в первой половине дня.

Черт, а вот на Хабре написано (со ссылкой на вас) , что дело было в воскресенье, т.е. 16-го.

Цитата, которую вы приводите про Trojan-Downloader'ы слишком общая, интересно было бы узнать про конкретно этот вирус, чтоб убедиться, что у меня его нет. В Гугле полезной инфы оказалось довольно мало, я только понял, что он умеет красть пароль от FTP из FAR.

anser06
На сайте с 11.03.2006
Offline
276
#4
jamais:
Черт, а вот на Хабре написано (со ссылкой на вас) , что дело было в воскресенье, т.е. 16-го.

Хабра вроде WMB не юзает :)

Я разместил свой пост в тот же день, как выявил трояна, и то лишь через 3 часа. Если форум SE не обманывает насчет даты, то это было именно 14 марта. А вообще у Технобанка год назад была офисная эпидемия куда ужаснее... Выводов не сделали. 😡

Light Phantom
На сайте с 17.03.2007
Offline
188
#5

Жесть просто. Банк, а защита, как неизвестно где. Я когда узнал про то, что "Нешта" тогда им всю систему положил, так чуть не офигел. Это вирус по-моему все антивирусники ловили и ловят спокойно, а они умудрились его пропустить. А сейчас еще и сайт хакнули... Интересно, а если бы этот вирус стал причиной того, что у кого-то деньги умыкнули бы, кто был бы виноват - банк, который пропустил вирус на свой оф. сайт или юзер, который не уследил за безопасностью. Что-то мне подсказывает, что второй вариант

Ukrainer
На сайте с 09.11.2004
Offline
107
#6
jamais:
Черт, а вот на Хабре написано (со ссылкой на вас) , что дело было в воскресенье, т.е. 16-го.

Цитата, которую вы приводите про Trojan-Downloader'ы слишком общая, интересно было бы узнать про конкретно этот вирус, чтоб убедиться, что у меня его нет. В Гугле полезной инфы оказалось довольно мало, я только понял, что он умеет красть пароль от FTP из FAR.

это достаточно понятный троян

тут сайт никто не ломал

это webmaster сайта ЛОХ. А точнее тот у кого фтп доступы есть к сайту. Так как он распространяется имено через фтп доступы которые находятся на зараженой машине.

Webmaster подхватил какую то заразу которая попала через фтп на все index страницы сайта

-> юзеры цепляют этот троян который распространяется дальше по фтп доступам юзеров -> и так дальше по цепочке

Обмен валют (http://www.ermoney.com) /// платежная система ecoin.cc обналичиваем чеки и ваеры (http://ecoin.cc/)
WU
На сайте с 07.10.2007
Offline
151
#7
Ukrainer:
это достаточно понятный троян

тут сайт никто не ломал
это webmaster сайта ЛОХ. А точнее тот у кого фтп доступы есть к сайту. Т

+1. Администратора пора на пенсию отправлять

S
На сайте с 09.10.2007
Offline
186
#8
Ukrainer:
это достаточно понятный троян

тут сайт никто не ломал
это webmaster сайта ЛОХ. А точнее тот у кого фтп доступы есть к сайту. Так как он распространяется имено через фтп доступы которые находятся на зараженой машине.

Webmaster подхватил какую то заразу которая попала через фтп на все index страницы сайта
-> юзеры цепляют этот троян который распространяется дальше по фтп доступам юзеров -> и так дальше по цепочке

Виновата контора. а не админ. то что админ неадекватный - они должны были проверить при приеме на работу.

Удобная панель для доменных имен (http://panel.started.ru/) с массовыми операциями. Индивидуальные цены по запросу.
Lupus
На сайте с 02.11.2002
Offline
241
#9
simka:
Виновата контора. а не админ. то что админ неадекватный - они должны были проверить при приеме на работу.

Знали бы вы, сколько платят системщикам в белорусских банках, не удивлялись бы, почему им трудно найти спецов.

Банк и рад бы платить больше, но набегут проверяющие и устроят головную боль.

There are two types of people in this world: 1. Those who can extrapolate from incomplete data.

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий