вроде как мозилла не антивирус... с чего бы ей выдавать такие песни?

Они с гуглом объеденились, тот анализирует код, а мозила не открывает кривые сайты.

)))) так и гугл не антивирус!!! но мысль ясна )

По идее нужно проанализировать код на наличие вредоносных объектов. Но как это делается, я не знаю. Может проги какие либо есть?

короче, мозилла сотрудничает с гуглом, гугал с каким-нить касперским и все это друг друга анализирует и фиг куда пустит ))

а по теме - ну, значит, полхой это сайт..
и зы: ходил на твой сайт, включив всю свою защиту...
торчит там троян-даунлоадер версию не помню. так что пиплам без защиты ходить туда не рекомендую
зызы - видимо, тандем мозилла-гугаль неплохой получился, ну, как всегда, ГГ рулит!!!

Сообщение отредактировал filmo - 21.7.2008, 7:51

А как его убрать? найти?

http://61.***.*.***/iframe/wp-stats.php заражен вредоносной программой
Trojan-Downloader.HTML.Agent.is

описания в лаборатории касперского нет...

на других браузках просто антивир ругается на файл выше, смотри че там)

Сообщение отредактировал zrom - 21.7.2008, 8:18

Avast ругается так
http://61.155.8.157/iframe/wp-stats.php
VBS:Malware-gen Вирус/Червь

ЛК:Worm.VBS.Newley,AhnLab-V3:VBS/Newley,AntiVir:Worm/Newley.A,Authentium:VBS/Newley.A,
Avast:VBS:Malware-gen,BitDefender:VBS.Newley.A,DrWeb:SCRIPT.Virus,eTrust-Vet:VBS/Newly,
Ewido:Worm.Newley.a,Fortinet:VBS/Newley.A!worm,F-Prot:VBS/Newley.A,McAfee:VBS/Psyme,
Ikarus:Worm.VBS.Newley.A,Norman:VBS/Worm.gen,Panda:VBS/SlowDeath.A,TheHacker:VBS/Psyme,
Rising:Worm.VB.Newley.a,Sophos:VBS/Newley-A,VBA32:Worm.VBS.Newley.a,
VirusBuster:VBS.Ovbius.A,Webwasher-Gateway:Worm.Newley.A.
________________________________________________________________________________


Технические детали
________________________________________________________________________________
Сетевой червь выполняющий деструктивные действия на заражённом компьютере.
Написан на Visual Basic Script , размер заражённой программы 3641 байт
В процессе своей работы на заражённый компьютер загружает различное вредоносное ПО
________________________________________________________________________________

Деструктивная активность
________________________________________________________________________________
1)_При открытии копируется в
"C:\WinNT.Dat"
"C:\Windows\System32\CompuSpeed.vbs"
"C:\Winnt\System32\CompuSpeed.vbs"
2)_Добавляет себя в новую группу с полномочиями администратора (user:geo,password:geo)
3)_Противодействует антивирусу Sophos
4)_Создаёт ключи в автозапуске системного реестра
"HKLM\Software\Microsoft\Windows\Currentversion\run\Geography TX 1.0 NT", "C:\Winnt\System32\CompuSpeed.vbs"
"HKLM\Software\Microsoft\Windows\Currentversion\run\Geography TX 1.0 XP", "C:\Windows\System32\CompuSpeed.vbs"
"HKLM\Software\Microsoft\Windows\Currentversion\uninstall\CompuSpeed\DisplayName","Geography TX-A"
"HKLM\Software\Microsoft\Windows\Currentversion\uninstall\CompuSpeed\UninstallString","taskkill /f /im svchost.exe"
5)_Запускает Telnet с учётной записи созданного виросом пользователя "geo"
6)_Скачивает с http://www.meer.net/*****/nc.exe (nc.exe - not-a-virus:RemoteAdmin.Win32.NetCat)
_Загруженный файл сохраняется
C:\winnt\system32\winntsrv.exe
C:\windows\system32\winntsrv.exe
7)_ После того как файл загружен червь прекращяет свою работу на 100 секунд, зделано так по простой причине - vbs скрипты
слишком "медленны" + не известно за какое время будет загружен файл
8)_Для только что загруженного бэкдора создаётся ключ в автозапуске системного реестра (см.ниже)
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NC1565", "winntsrv -l -p10001 -d -e cmd.exe -L"
9)_После всез выше описанных операций на заражённом хосте открывается 10001, к данному порту будет канектится злоумышленник
10)_Червь копирует своё тело "C:\WinNT.dat" по всем сетевым дискам с DISK:\CompuSpeed.vbs
________________________________________________________________________________
Рекомендации по удалению
________________________________________________________________________________
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления
необходимо выполнить следующие действия:
Удалить следущие ключи реестра(см.ниже)
HKLM\Software\Microsoft\Windows\Currentversion\run\Geography TX 1.0 XP
HKLM\Software\Microsoft\Windows\Currentversion\run\Geography TX 1.0 NT
HKLM\Software\Microsoft\Windows\Currentversion\uninstall\CompuSpeed\DisplayName
HKLM\Software\Microsoft\Windows\Currentversion\uninstall\CompuSpeed\UninstallString
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NC1565
Необходимо удалить созданные червём файлы
C:\WinNT.Dat
C:\Windows\System32\CompuSpeed.vbs
C:\Winnt\System32\CompuSpeed.vbs
C:\winnt\system32\winntsrv.exe
C:\windows\system32\winntsrv.exe
А также на всех дисках DISK_NAME:\CompuSpeed.vbs
Удалите созданную червём учётную запись User:Geo, Password:geo