X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

2 страниц V   1 2 >
Открыть тему
Тема закрыта
> Предупреждение на наличие вирусов на сайте
AlexSANdr
AlexSANdr
Topic Starter сообщение 21.7.2008, 7:26; Ответить: AlexSANdr
Сообщение #1


Новичок
*

Группа: User
Сообщений: 39
Регистрация: 2.4.2008
Поблагодарили: 6 раз
Репутация:   0  


При открытии сайта okrk.ru браузером Mozilla Firefox 3.01 выходит предупреждение о наличии в коде сайта троянов.
Как решить данную проблему?
Сайт собран на джумле.
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
filmo
filmo
сообщение 21.7.2008, 7:38; Ответить: filmo
Сообщение #2


Бывалый
****

Группа: User
Сообщений: 279
Регистрация: 27.6.2008
Из: Ярославль
Поблагодарили: 26 раз
Репутация:   4  


вроде как мозилла не антивирус... с чего бы ей выдавать такие песни?
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
AlexSANdr
AlexSANdr
Topic Starter сообщение 21.7.2008, 7:40; Ответить: AlexSANdr
Сообщение #3


Новичок
*

Группа: User
Сообщений: 39
Регистрация: 2.4.2008
Поблагодарили: 6 раз
Репутация:   0  


(filmo @ 21.7.2008, 11:38) *
вроде как мозилла не антивирус... с чего бы ей выдавать такие песни?

Они с гуглом объеденились, тот анализирует код, а мозила не открывает кривые сайты.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
filmo
filmo
сообщение 21.7.2008, 7:44; Ответить: filmo
Сообщение #4


Бывалый
****

Группа: User
Сообщений: 279
Регистрация: 27.6.2008
Из: Ярославль
Поблагодарили: 26 раз
Репутация:   4  


)))) так и гугл не антивирус!!! tongue.gif biggrin.gif но мысль ясна )
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
AlexSANdr
AlexSANdr
Topic Starter сообщение 21.7.2008, 7:46; Ответить: AlexSANdr
Сообщение #5


Новичок
*

Группа: User
Сообщений: 39
Регистрация: 2.4.2008
Поблагодарили: 6 раз
Репутация:   0  


По идее нужно проанализировать код на наличие вредоносных объектов. Но как это делается, я не знаю. Может проги какие либо есть?
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
filmo
filmo
сообщение 21.7.2008, 7:50; Ответить: filmo
Сообщение #6


Бывалый
****

Группа: User
Сообщений: 279
Регистрация: 27.6.2008
Из: Ярославль
Поблагодарили: 26 раз
Репутация:   4  


короче, мозилла сотрудничает с гуглом, гугал с каким-нить касперским и все это друг друга анализирует и фиг куда пустит ))

а по теме - ну, значит, полхой это сайт..
и зы: ходил на твой сайт, включив всю свою защиту...
торчит там троян-даунлоадер версию не помню. так что пиплам без защиты ходить туда не рекомендую wink.gif
зызы - видимо, тандем мозилла-гугаль неплохой получился, ну, как всегда, ГГ рулит!!! biggrin.gif wink.gif

Сообщение отредактировал filmo - 21.7.2008, 7:51
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
AlexSANdr
AlexSANdr
Topic Starter сообщение 21.7.2008, 7:52; Ответить: AlexSANdr
Сообщение #7


Новичок
*

Группа: User
Сообщений: 39
Регистрация: 2.4.2008
Поблагодарили: 6 раз
Репутация:   0  


А как его убрать? найти?
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
filmo
filmo
сообщение 21.7.2008, 7:59; Ответить: filmo
Сообщение #8


Бывалый
****

Группа: User
Сообщений: 279
Регистрация: 27.6.2008
Из: Ярославль
Поблагодарили: 26 раз
Репутация:   4  


http://61.***.*.***/iframe/wp-stats.php заражен вредоносной программой
Trojan-Downloader.HTML.Agent.is

описания в лаборатории касперского нет...
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
zrom
zrom
сообщение 21.7.2008, 8:15; Ответить: zrom
Сообщение #9


Участник
***

Группа: User
Сообщений: 137
Регистрация: 4.4.2008
Из: Украина
Поблагодарили: 4 раза
Репутация:   2  


на других браузках просто антивир ругается на файл выше, смотри че там)

Сообщение отредактировал zrom - 21.7.2008, 8:18


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Tiger
Tiger
сообщение 21.7.2008, 8:30; Ответить: Tiger
Сообщение #10


Новичок
*

Группа: Viewer
Сообщений: 10
Регистрация: 30.4.2008
Из: Spb
Поблагодарили: 4 раза
Репутация:   0  


Avast ругается так smile.gif
http://61.155.8.157/iframe/wp-stats.php
VBS:Malware-gen Вирус/Червь

ЛК:Worm.VBS.Newley,AhnLab-V3:VBS/Newley,AntiVir:Worm/Newley.A,Authentium:VBS/Newley.A,
Avast:VBS:Malware-gen,BitDefender:VBS.Newley.A,DrWeb:SCRIPT.Virus,eTrust-Vet:VBS/Newly,
Ewido:Worm.Newley.a,Fortinet:VBS/Newley.A!worm,F-Prot:VBS/Newley.A,McAfee:VBS/Psyme,
Ikarus:Worm.VBS.Newley.A,Norman:VBS/Worm.gen,Panda:VBS/SlowDeath.A,TheHacker:VBS/Psyme,
Rising:Worm.VB.Newley.a,Sophos:VBS/Newley-A,VBA32:Worm.VBS.Newley.a,
VirusBuster:VBS.Ovbius.A,Webwasher-Gateway:Worm.Newley.A.
________________________________________________________________________________


Технические детали
________________________________________________________________________________
Сетевой червь выполняющий деструктивные действия на заражённом компьютере.
Написан на Visual Basic Script , размер заражённой программы 3641 байт
В процессе своей работы на заражённый компьютер загружает различное вредоносное ПО
________________________________________________________________________________

Деструктивная активность
________________________________________________________________________________
1)_При открытии копируется в
"C:\WinNT.Dat"
"C:\Windows\System32\CompuSpeed.vbs"
"C:\Winnt\System32\CompuSpeed.vbs"
2)_Добавляет себя в новую группу с полномочиями администратора (user:geo,password:geo)
3)_Противодействует антивирусу Sophos
4)_Создаёт ключи в автозапуске системного реестра
"HKLM\Software\Microsoft\Windows\Currentversion\run\Geography TX 1.0 NT", "C:\Winnt\System32\CompuSpeed.vbs"
"HKLM\Software\Microsoft\Windows\Currentversion\run\Geography TX 1.0 XP", "C:\Windows\System32\CompuSpeed.vbs"
"HKLM\Software\Microsoft\Windows\Currentversion\uninstall\CompuSpeed\DisplayName","Geography TX-A"
"HKLM\Software\Microsoft\Windows\Currentversion\uninstall\CompuSpeed\UninstallString","taskkill /f /im svchost.exe"
5)_Запускает Telnet с учётной записи созданного виросом пользователя "geo"
6)_Скачивает с http://www.meer.net/*****/nc.exe (nc.exe - not-a-virus:RemoteAdmin.Win32.NetCat)
_Загруженный файл сохраняется
C:\winnt\system32\winntsrv.exe
C:\windows\system32\winntsrv.exe
7)_ После того как файл загружен червь прекращяет свою работу на 100 секунд, зделано так по простой причине - vbs скрипты
слишком "медленны" + не известно за какое время будет загружен файл
8)_Для только что загруженного бэкдора создаётся ключ в автозапуске системного реестра (см.ниже)
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NC1565", "winntsrv -l -p10001 -d -e cmd.exe -L"
9)_После всез выше описанных операций на заражённом хосте открывается 10001, к данному порту будет канектится злоумышленник
10)_Червь копирует своё тело "C:\WinNT.dat" по всем сетевым дискам с DISK:\CompuSpeed.vbs
________________________________________________________________________________
Рекомендации по удалению
________________________________________________________________________________
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления
необходимо выполнить следующие действия:
Удалить следущие ключи реестра(см.ниже)
HKLM\Software\Microsoft\Windows\Currentversion\run\Geography TX 1.0 XP
HKLM\Software\Microsoft\Windows\Currentversion\run\Geography TX 1.0 NT
HKLM\Software\Microsoft\Windows\Currentversion\uninstall\CompuSpeed\DisplayName
HKLM\Software\Microsoft\Windows\Currentversion\uninstall\CompuSpeed\UninstallString
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NC1565
Необходимо удалить созданные червём файлы
C:\WinNT.Dat
C:\Windows\System32\CompuSpeed.vbs
C:\Winnt\System32\CompuSpeed.vbs
C:\winnt\system32\winntsrv.exe
C:\windows\system32\winntsrv.exe
А также на всех дисках DISK_NAME:\CompuSpeed.vbs
Удалите созданную червём учётную запись User:Geo, Password:geo
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
2 страниц V   1 2 >
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) SimplePay: Прием платежей на сайте для юридических и физических лиц
4 kuprum 487 Сегодня, 14:07
автор: kuprum
Горячая тема (нет новых ответов) Рекомендую: размещение статьи на сайте, ТИЦ 325, PR 6, траст XT 8
44 rumblade 10667 Вчера, 15:45
автор: rumblade
Открытая тема (нет новых ответов) 17 вещей на вашем сайте, которые ненавидят
Один из постулатов маркетинга — не раздражать людей
25 PostBrigada 3617 12.12.2017, 21:44
автор: alexandrrr
Открытая тема (нет новых ответов) Тема имеет прикрепленные файлыПрибыль с видео на сайте и в соц сетях
Как получить доп доход с нативного контента
14 maxim_krasovskiy 2829 12.12.2017, 12:05
автор: maxim_krasovskiy
Открытая тема (нет новых ответов) ALFAcoins.com - Приём криптовалюты на вашем сайте
17 ALFAcoins 3692 11.12.2017, 23:07
автор: ALFAcoins


 



RSS Текстовая версия Сейчас: 15.12.2017, 19:59
Дизайн