Uwaga na złośliwy kod

[milkus]

U siebie mam tylko oryginalne oprogramowanie i na pewno nikt mnie nie zachęci do korzystania z linuxa, bo nie po to 8 stów na windę wydawałem (2 licencje) i 2 stówki na MS Office (w promocji).

Lekarstwa idealnego nie ma, gdyż antywirusy są tylko profilaktyką. Twórcy wirów, zawsze są o krok przed twórcami antywirusów.

Dotychczas też myślałem, że problem z kradzieżą haseł mnie nie dotyczy, do momentu aż załapałem to wyjątkowo oporne świństwo. Z tego co zauważyłem, ta mutacja nie tylko potrafi wykradać zapisanych haseł, ale także te które wpisujemy ręcznie do klientów FTP. Nawet AVAST Nas tu nie obroni, gdyż to coś potrafi go wyłączać i dopiero infekować.

Jeśli ktoś już coś takiego załapie, to należy wykonać następujące kroki :

- usunąć ramki ze stron

- pozmieniać hasła do paneli i FTP i nie logować się na nie

- format i ponowna instalacja windy

- instalacja, aktualizacja i pełne skanowanie kasperskym lub nortonem

- używanie innego menagera niż TC

- przed wejściem na wcześniej zainfekowaną stronę, sprawdźmy jeszcze 2 razy, czy rzeczywiście wszystko usunęliśmy. W przeciwnym wypadku, będziemy musieli wykonać powyższe czynności od początku.

Mogę powiedzieć, że jeszcze nigdy tak pomysłowego szkodnika nie widziałem, a widziałem ich już wiele.

[zakręcony]

...A jak wygląda czasowo instalacja XP vs wyszukiwanie robali? Po czterech latach to musi nieźle zamulać?

Czasowo to bym pewnie w 2-3h załatwił całość, czyli format i instalacja niezbędnego oprogramowania by ruszuć dalej

co do zamulania, to nie zauwazyłem by pracowało mi sie wolniej

co do niewyłapywania wirusów, że samo nic nie wejdzie itp itd... no pewnie racja, ktoś musi wejść na stronę z wirolami

ja ten syf (z tego tematu) wyłapałem sprawdzając jeden z katalogow z USA, dodalem strony i sprawdzałem po 2 tygodniach czy wpisy sie pojawiły, wczesniej nigdy nie przytrafił mi się wirolek, ktory by wszedł do systemu, nodzik pracował znakomicie, aż do tego razu :]

formatu nie robiłem, ale:

- poczyściłem pliki, zmieniłem hasła do ftp i do kont

- porobiłem logi i poprosiłem na innym forum by je sprawdzono

- zastosowałem sie do wskazowek co i czym wyciąć, co zaktualizować itd

- znowu zrobiłem logi, sprawdzono je i teraz mam czysty system, do czasu oczywiście aż znowu trafię na stronę z badziewiem, ktore przejdzie antywira i inne zabezpieczenia :]

[yavaho]

Mogę powiedzieć, że jeszcze nigdy tak pomysłowego szkodnika nie widziałem, a widziałem ich już wiele.

A mnie dziwi dlaczego ten szkodnik robi tak niewielkie szkody? Wkleja tylko kawałek kodu html aby przekierować trafik na inną stronę.

A mógłby usunąć wszystkie pliki z serwera, wykasować bazę danych, lub szukac w bazach danych i pobierać z nich o wiele ciekawsze informacje niż jakieś hasełko do TC.

...A jak wygląda czasowo instalacja XP vs wyszukiwanie robali? Po czterech latach to musi nieźle zamulać?

Po prawie 10 latach trzyma się nadal nieźle Przetrwał wiele transformacji sprzętu i przesiadki na następne dyski. Ja wole raz na pare lat stracić 1 dzień na przezucenie systemu na inny dysk niz instalowanie nowego i potem przez tydzień czy dwa przywracanie poprzednich moich konfiguracji, ustawnień itp rzeczy ktore miałem wcześniej.

[milkus]

A mnie dziwi dlaczego ten szkodnik robi tak niewielkie szkody? Wkleja tylko kawałek kodu html aby przekierować trafik na inną stronę.

Ten szkodnik nie przekierowuje, lecz infekuje kolejne kompy, których użytkownicy odwiedzą zainfekowaną stronę. Gdzieś wyliczano, że jest nim zarażone ponad 3000 stron i liczba ta stale się zwiększa.

wykasować bazę danych, lub szukac w bazach danych i pobierać z nich o wiele ciekawsze informacje

Musiałby kraść hasła do bazy, a tak kradnie tylko do FTP. Ten wir robi dużo szkód, gdyż w przypadku plików .php, błędnie wstawia ramkę, niszcząc część kodu .php.

[SirZooro]

Mogę powiedzieć, że jeszcze nigdy tak pomysłowego szkodnika nie widziałem, a widziałem ich już wiele.

A mnie dziwi dlaczego ten szkodnik robi tak niewielkie szkody? Wkleja tylko kawałek kodu html aby przekierować trafik na inną stronę.

A mógłby usunąć wszystkie pliki z serwera, wykasować bazę danych, lub szukac w bazach danych i pobierać z nich o wiele ciekawsze informacje niż jakieś hasełko do TC.

Wirusy formatujące dyski istniały jakieś -naście lat temu, i pisane były głównie przez młodych ludzi którzy chcieli w ten sposób zabłysnąć przed znajomymi. Teraz oni dorośli, i zamiast sławy interesuje ich kasa. Dlatego zamiast kasowania wszystkiego jak leci wolą zrobić coś z czego będą mieć kasę.

[yavaho]

Ten szkodnik nie przekierowuje, lecz infekuje kolejne kompy, których użytkownicy odwiedzą zainfekowaną stronę. Gdzieś wyliczano, że jest nim zarażone ponad 3000 stron i liczba ta stale się zwiększa.

A więc nadal nie poznałeś kolejności tych działań i w jakim celu jest to zrobione. Jest to głownie skierowanie trafiku na pewną stronę, a korzyści jakie z tego czerpią opisał własnie SirZooro.

Musiałby kraść hasła do bazy, a tak kradnie tylko do FTP. Ten wir robi dużo szkód, gdyż w przypadku plików .php, błędnie wstawia ramkę, niszcząc część kodu .php.

Po co mu hasła do bazy jeżeli może bezpośrednio korzystać z funkcji wykonującej zapytania do bazy. Uzyskując pełny dostęp do FTP naprawde robi zadziwiająco małe tam szkody. Ale faktycznie - po co zabijać kurę znoszącą złote jajka?

[s4lc]

w moim przypadku dostałem wira z keylogerem :/

wir ten potrafił wyciągnąć hasło do ftp nawet z outlooka - jeśli było takie samo na poczte i na ftp

o dziwo nie trzeba mieć zainstalowanego klienta ftp żeby skojarzył hasło do maila z hasłem do ftp

pomaga Combofix tylko...

norton, nod, kaspersky, mks, awast nic u mnie nie znajdywały

[zakręcony]

combofix to dobre narzędzie, ale zanim się je zastosuje warto dac logi komus do sprawdzenia, bo można sobie samemu narobić wiekszych szkod i bez formata się wtedy nie obejdzie