Кто-нибудь знает подробности?
Интересуют не методы лечения (они довольно просты и предсказуемы), а именно что делает данная зараза. Кто знает?
Спустя 1 час, 37 минут, 51 секунда (8.07.2011 - 22:48) DySprozin написал(а):
Спустя 4 минуты, 16 секунд (8.07.2011 - 22:52) Invis1ble написал(а):
DySprozin
Я не знаю, как ты читал мой первый пост, но по-видимому невнимательно
Я не знаю, как ты читал мой первый пост, но по-видимому невнимательно
Цитата |
Интересуют не методы лечения |
PS. бэкапы я не делаю, за меня их делает bash-скрипт
Проблемы собственно нет, у меня все чисто
Просто интересуюсь, что делает данная хрень (это я про сам троян).
Спустя 1 минута, 28 секунд (8.07.2011 - 22:54) DySprozin написал(а):
;;но по-видимому невнимательно
ага но потом ВНЕЗАПНО увидел, что по ссылке, данной мною, есть ответ на твой вопрос:
ага но потом ВНЕЗАПНО увидел, что по ссылке, данной мною, есть ответ на твой вопрос:
Цитата ( http://www.0xff.su/0x0005 ) |
Вирус заражает PHP скрипты, javascript, html и некоторые шаблоны TPL, дописывая дроппер в конец файла. |
(;
Спустя 3 минуты, 2 секунды (8.07.2011 - 22:57) Invis1ble написал(а):
DySprozin
Я это знаю итак, что он дописывает. Потому как видел не раз в зараженных сорцах
В дописываемом коде идет обращение по url'у вида http://firefoxstabs.com/896988829132108.js (или как-то так), хотя возможно я неправильно понимаю работу данного js, но это не важно, так вот интересует смысл всего этого бреда (с точки зрения злоумышленников)
Другими словами, в чем прикол?
Я это знаю итак, что он дописывает. Потому как видел не раз в зараженных сорцах
В дописываемом коде идет обращение по url'у вида http://firefoxstabs.com/896988829132108.js (или как-то так), хотя возможно я неправильно понимаю работу данного js, но это не важно, так вот интересует смысл всего этого бреда (с точки зрения злоумышленников)
Другими словами, в чем прикол?
Спустя 7 минут, 47 секунд (8.07.2011 - 23:05) DySprozin написал(а):
Invis1ble
смысл дописывания своего js-скрипта и iframe? ну минимум 3 причины:
1) кража кук
2) раскрутка ресурса (чем больше сайтов так заразим, тем большее количество сайтов будет на нас ссылаться, тем больше нас будет любить гугл итд)
3) используя уязвимости в браузере, можно запустит вредоносную программу на компе пользователя (;
по 2,3 например ссылка вот:
http://carderlife.ms/showthread.php?t=160
смысл дописывания своего js-скрипта и iframe? ну минимум 3 причины:
1) кража кук
2) раскрутка ресурса (чем больше сайтов так заразим, тем большее количество сайтов будет на нас ссылаться, тем больше нас будет любить гугл итд)
3) используя уязвимости в браузере, можно запустит вредоносную программу на компе пользователя (;
по 2,3 например ссылка вот:
http://carderlife.ms/showthread.php?t=160
Спустя 10 минут, 58 секунд (8.07.2011 - 23:16) Invis1ble написал(а):
DySprozin
все же не совсем понятно, хотя уже немного проясняется картина.
Где-то читал, что в винде там в хосты че-то пишется вроде как этим зверем...
Может кто-то все-таки в курсе наверняка, что к чему?
все же не совсем понятно, хотя уже немного проясняется картина.
Где-то читал, что в винде там в хосты че-то пишется вроде как этим зверем...
Может кто-то все-таки в курсе наверняка, что к чему?
Спустя 2 минуты (8.07.2011 - 23:18) DySprozin написал(а):
Invis1ble
;;все же не совсем понятно
что именно? (;
;;все же не совсем понятно
что именно? (;
Спустя 1 минута, 8 секунд (8.07.2011 - 23:19) Invis1ble написал(а):
DySprozin
Цитата |
;;все же не совсем понятно что именно? (; |
что конкретно происходит с жертвой
Проверить не предлагать
Спустя 7 минут, 52 секунды (8.07.2011 - 23:27) DySprozin написал(а):
Invis1ble
;;Где-то читал, что в винде там в хосты че-то пишется вроде как этим зверем...
это возможно...
смотри, в браузере находят уязвимость. например в любимом одним из наших Экспертов IE. Эта уязвимость проявляется, если выполнить определенный javascript или iframe. Последствия могут быть самыми разными - от возможности записи в .hosts до полного доступа к атакованной машинке (про порнобаннеры слышал? ага!)
И вот сижу я себе спокойно под IE (необновленным - зачем? и так хорошо!) Захожу на твой сайт (которому я так доверял, потому на нем у меня и js-скрипты включены и даже flash)... а он заражен... И хватаю я с твоего сайта вирус... и полночки занимаюсь сексом... с порнобаннером... вотЪ
;;Где-то читал, что в винде там в хосты че-то пишется вроде как этим зверем...
это возможно...
смотри, в браузере находят уязвимость. например в любимом одним из наших Экспертов IE. Эта уязвимость проявляется, если выполнить определенный javascript или iframe. Последствия могут быть самыми разными - от возможности записи в .hosts до полного доступа к атакованной машинке (про порнобаннеры слышал? ага!)
И вот сижу я себе спокойно под IE (необновленным - зачем? и так хорошо!) Захожу на твой сайт (которому я так доверял, потому на нем у меня и js-скрипты включены и даже flash)... а он заражен... И хватаю я с твоего сайта вирус... и полночки занимаюсь сексом... с порнобаннером... вотЪ
Спустя 6 секунд (8.07.2011 - 23:27) alex12060 написал(а):
Invis1ble
Это ломают серваки эксплоитом, он ищет папки сайтов, вписывает свой код ЖС.
А он тупо не загружается, из-за этого, виснет таба (сайт весь).
Далее, он еще вредить может скриптам, хтмлкам, шаблонам, жс, дописывая ненужные строки или символы в код.
Ну, а о последствиях можно подумать)
Это ломают серваки эксплоитом, он ищет папки сайтов, вписывает свой код ЖС.
А он тупо не загружается, из-за этого, виснет таба (сайт весь).
Далее, он еще вредить может скриптам, хтмлкам, шаблонам, жс, дописывая ненужные строки или символы в код.
Ну, а о последствиях можно подумать)
- Нестабильная работа
- Отток посетителей
- Нерабочие коды
- Время, нервы, мануалы
Спустя 1 минута, 34 секунды (8.07.2011 - 23:28) DySprozin написал(а):
ну или вред непосредственно тебе, как указал alex12060, хотя это реже - если только конкуренты на тебя зуб заточили (;
Спустя 22 минуты, 45 секунд (8.07.2011 - 23:51) Invis1ble написал(а):
Цитата |
любимом одним из наших Экспертов IE |
хе-хе
Ладно, это все догадки, посмотрим, может кто-то знает точно....
to be continued... (?)
Спустя 3 минуты, 37 секунд (8.07.2011 - 23:55) DySprozin написал(а):
;;это все догадки
а тебе эксплоит подавай?
был пример хороший... на WHB... но сайтец прикрыли );
Спустя 38 минут, 21 секунда DySprozin написал(а):
Invis1ble
ну а конкретно по твоему вопросу сказать что-то уже вряд ли можно - домен прикрыли (;
а тебе эксплоит подавай?
был пример хороший... на WHB... но сайтец прикрыли );
Спустя 38 минут, 21 секунда DySprozin написал(а):
Invis1ble
ну а конкретно по твоему вопросу сказать что-то уже вряд ли можно - домен прикрыли (;
Спустя 46 минут, 19 секунд (9.07.2011 - 00:41) inpost написал(а):
Invis1ble
Скорее всего и есть дыра уязвимости браузера, потому что именно вирус работал при ФФ, значит уязвимость какой-то версии из ФФ, а значит доступ к данным данного браузера. В браузере хранятся в первую очередь введённые пароли, так что этот скрипт воровал пароли из ФФ и отправлял злоумышленникам, так как этот скрипт разработали настоящие профессионалы, ведь заражение этого вируса было через хостинг-провайдеры, а не через посетителей.
Как я понял, в интернете нет данных об этом вирусе лишь потому, что ни чей комп он не заражал из обычных пользователей. Живёт от на сайтах, кто зашел - у того украли данные, закрыл сайт - всё спокойно.
Если я понял, то ты говоришь об этом вирусе: троянская программа Trojan-Downloader.JS.Agent.fzn
Вот офф.ссылка: http://www.securelist.com/ru/search?VN=Tro...fzn&referer=wks
п.с. за это я и люблю Касперского
Скорее всего и есть дыра уязвимости браузера, потому что именно вирус работал при ФФ, значит уязвимость какой-то версии из ФФ, а значит доступ к данным данного браузера. В браузере хранятся в первую очередь введённые пароли, так что этот скрипт воровал пароли из ФФ и отправлял злоумышленникам, так как этот скрипт разработали настоящие профессионалы, ведь заражение этого вируса было через хостинг-провайдеры, а не через посетителей.
Как я понял, в интернете нет данных об этом вирусе лишь потому, что ни чей комп он не заражал из обычных пользователей. Живёт от на сайтах, кто зашел - у того украли данные, закрыл сайт - всё спокойно.
Если я понял, то ты говоришь об этом вирусе: троянская программа Trojan-Downloader.JS.Agent.fzn
Вот офф.ссылка: http://www.securelist.com/ru/search?VN=Tro...fzn&referer=wks
п.с. за это я и люблю Касперского
Спустя 7 минут, 1 секунда (9.07.2011 - 00:48) Invis1ble написал(а):
inpost
с чего ты взял, что
с чего ты взял, что
Цитата |
именно вирус работал при ФФ |
?
Спустя 5 минут, 53 секунды (9.07.2011 - 00:54) inpost написал(а):
Потому что я запускал его через ИЕ7, выдавало ошибку в JS, тоже самое и с Оперой. В версии 3.4ххх (такая была версия ФФ), он у меня начинал запускаться, но касперский тут же хрюкал как сумашедший и блокировал его.
Я не утверждаю, что это было только в ФФ, просто сделал предположение. Если вдруг это не уязвимость конкретной версии ФФ, тогда что-то из того, что написано про этого троянца по ссылке.
Да и имя как бы намекает
Я не утверждаю, что это было только в ФФ, просто сделал предположение. Если вдруг это не уязвимость конкретной версии ФФ, тогда что-то из того, что написано про этого троянца по ссылке.
Да и имя как бы намекает
Спустя 9 минут, 16 секунд (9.07.2011 - 01:03) DySprozin написал(а):
;;вирус работал при ФФ, значит уязвимость какой-то версии из ФФ,
;;а значит доступ к данным данного браузера.
необязательно (; доступ может быть к чему угодно - зависит от уязвимости. Вплоть до получения через Фокс админских прав на твоем компе (;
;;а значит доступ к данным данного браузера.
необязательно (; доступ может быть к чему угодно - зависит от уязвимости. Вплоть до получения через Фокс админских прав на твоем компе (;
Цитата |
Вот офф.ссылка: http://www.securelist.com/ru/search?VN=Tro...fzn&referer=wks |
по ссылке: "У этого детектируемого объекта пока нет описания"
Спустя 3 минуты, 54 секунды (9.07.2011 - 01:07) inpost написал(а):
DySprozin
справа описание данного направления.
справа описание данного направления.
_____________
Профессиональная разработка на заказ
Я на GitHub | второй профиль