Разобрался с вирусом:
Троянская программа, которая похищает конфиденциальную информацию пользователя. Является приложением Windows(PE-EXE файл). Размер компонентов троянца варьируется от 39 до 48 КБ.
Инсталляция
При запуске троянец извлекает из своего тела следующий файл:
%System%\msvcrl.dll - имеет размер 39 424 байта, упакован с помощью UPX.
Троянец получает путь к установленному Internet Explorer и изменяет файл iexplore.exe, добавляя в его таблицу импортов импорт из библиотеки
%System%\msvcrl.dll.
После чего троянская библиотека будет загружаться при каждом запуске Microsoft Internet Explorer.
При этом оригинальный файл троянца удаляется.
Деструктивная активность
Троянец похищает пароли на учетные записи из файлов данных следующих клиентов мгновенных сообщений:
QIP2005
Trillian
MSN Messenger
Yahoo Messenger
AOL
Miranda
Также троянец похищает пароли к FTP серверам из файлов конфигурации следующих FTP клиентов:
WS_FTP
Total Commander
CuteFTP
FAR
Похищает пароли к учетным записям электронной почты из файлов настроек следующих почтовых клиентов:
TheBat
Outlook Express
Outlook
Также троянец похищает словарь IE Auto Complete Fields.
Троянец устанавливает перехватчики на API функции для работы с сетью интернет:
InternetReadFile
InternetOpenURL
с помощью которых следит за посещаемыми пользователем Интернет сайтами. Также троян перехватывает отсылаемые Internet Explorer данные из полей ввода на web-формах.
Кроме того при открытии в Internet Explorer адресов, которые попадают в заложенный внутрь троянца список, троян осуществляет перенаправление запросов на сайты злоумышленника.
Собранную на компьютере пользователя информацию троянец отправляет на сайт злоумышленника в параметрах HTTP запроса.
Победил его следующим образом:
Нашел рекомедацию:
Скачайте Haxfix и установите, после запуска из меню выберите 2. Run auto fix
Соответственно, прога выдала, что IE заражен, и указала, где на компе есть старая чистая копия. Зараженную убил, архивную поставил. IE снова работает 🍾
Так так, по подробнее, что за програмка?
И сможет ли она работать на хостинге?
Вот-вот - этот вирус прописался в dll экспловера, а без него работать естественно не будет.
Кстати, может кто скажет - где 6 IE скачать можно (чтобы смотреть как себя дизайн ведет), ну или этот dll ...
Вот картинка: http://shamkovel.ru/files/1.jpg
К своему стыду, ничего не понял ... Скрин чего выложить?
:) Значит мне повезло во время эксперимента. Но результат на сайтах уже больше года держится, конечно они счас поменялись, но тенденция осталась.
поддомен 1 ИЦ10
поддомен 2 ИЦ20
поддомен 3 ИЦ60
домен беков 39 сайтов ИЦ140
Пока Я не решит, что поддомены совсем другие сайты, нежели родительский, ИЦ для родителей будет складываться из всех УНИКАЛЬНЫХ ссылок на поддомены и сам домен. Если домен хостниговый, то ИЦ не передастся. Наверное есть и другие варианты.
Проводил эксперимент: 3 поддомена с непересекающимися ссылками и ИЦ 40 давали ИЦ120 домену, на который небыло ни одной ссылки.
Найден по ссылке - значит самого запроса на странице нет. А то, что пустота - видать глюк (как было предположенно выше).
Быстроробот бегал 8-12 по сайтам? Беки есть?
Кажется началось! У меня на новом сайте сотня страниц проиндексировалась 🍾
