Postanowiłem opisać sprawę , wczoraj złapałem trojana, który przechwytuje z total commandera,po czym pakuje sie na ftp wszystkich kont które znalazł.

podczas wchodzenia na stronę strona się zamula ładuje się do 83-95% i stoi, a w tym momencie próbuje się załadować trojanek do naszego pc, jeżeli ktoś ma pożadnego antywira to on go zblokuje co w ekecie da wizaca stronę na tych 85% jeżeli trojanik się załaduje bo np do ochrony uzywamy pandy ;] bo zwierzaki wiedzą tyle o wirusach to pozaładowywaniu trojana strona nam się w mig ładuje do konca ;]

otóż ten kochany trojanek miesza róznież w plikach, jego wczesniejsza wersja motała tylko index.php i index.html, ale nowy heeee, 12 godzin przed kompem żeby go namierzyć wiec opisze co i jak na przykładzie vb, bo tam tem mi wlazł ;] jak ktoś złapie to samo to bez paniki da się wyczyściic ;]

wiec, trojan miesza w plikach w plikach które maja w nazwie:

index, admin, functions, mod, page, config, md5, oraz wszysckich o roższezeniu "js" , od vbseo w includes wszystkie łapie równiez

w pisy w indexach wyglądaja tak że na górze dodaje:

Kod:
Musisz się zalogować, aby zobaczyć zawartość lub kliknij Tutaj aby dokonać rejestracji na forum 
a na koniec :

Kod:
Musisz się zalogować, aby zobaczyć zawartość lub kliknij Tutaj aby dokonać rejestracji na forum 
na końcu czasem jest inny od 1 do 3 iframów ;]


co do plików js to łądnie nam lokuje na samym dole taki kodzik:

Kod:
Musisz się zalogować, aby zobaczyć zawartość lub kliknij Tutaj aby dokonać rejestracji na forum 
to tyle, generalnie pakuje wszedzie gdzie się da, wszystkie puste index.html w kazdym folderku od stylu z grafami np. juz nie jest pusty etc, no przejrzec trzeba wszystko to co podałem wyżej ;]


tak więc jak ktoś złapie syfa - nie panikuj !!!! ;]


Owy wirus polega na doklejeniu do plików na FTP różnych kodów iframe, które sukcesywnie są wykrywane przez antywirusy jako

Kod:
Musisz się zalogować, aby zobaczyć zawartość lub kliknij Tutaj aby dokonać rejestracji na forum 
Przykładem takiego kodu mogą być


Kod:
Musisz się zalogować, aby zobaczyć zawartość lub kliknij Tutaj aby dokonać rejestracji na forum 
W jaki sposób fora są infekowane? Tego dokładnie nie wiem. Wiem natomiast, że wyszukuje on wszystkie pliki z maską


Kod:
Musisz się zalogować, aby zobaczyć zawartość lub kliknij Tutaj aby dokonać rejestracji na forum 
Kod:
Musisz się zalogować, aby zobaczyć zawartość lub kliknij Tutaj aby dokonać rejestracji na forum 
Kod:
Musisz się zalogować, aby zobaczyć zawartość lub kliknij Tutaj aby dokonać rejestracji na forum 
Kod:
Musisz się zalogować, aby zobaczyć zawartość lub kliknij Tutaj aby dokonać rejestracji na forum 
Pliki php infekuje dodając na końcu echo z iframe, natomiast html poprzez dodanie iframe w sekcji body, bądź zamienienie obecnego iframe jeżeli jest już jakiś w pliku. Domyślnie infekuje 36 plików porozrzucanych po katalogach.


Przyczyną tego jest pewien malutki program, zajmujący zaledwie 9KB. Jest niewykrywalny przez antywirusy ! Kradnie on hasła z programu filezila (możliwe, że też z innych - niestety usunąłem go bezpowrotnie i nie jestem w stanie już tego określić) i wysyła je do rosyjskiego serwera (IP niestety nie posiadam, lecz używa portu 2501). Sam wirus znajduje się w katalogu c:\windows\system32 i ma podobną nazwę do tego domyślam się, iż na różnych komputerach ma on inną nazwę, lecz początek
Kod:
Musisz się zalogować, aby zobaczyć zawartość lub kliknij Tutaj aby dokonać rejestracji na forum 
zostaje prawdopodobnie niezmienny. Każdego dnia, o 20 uruchamia się kopiując się do C:\windows\temp, włączając się w dwóch kopiach. Jest on widoczny w managerze zadań, lecz jego zamknięcie powoduje natychmiastowe uruchomienie. Plik źródłowy wirusa nie jest zabezpieczony przed usunięciem (!). Nadal nie rozumiem, w jaki sposób infekuje komputery...


Jak się przed nim uchronić ? Przede wszystkim korzystać z firewalla który domyślnie blokuje połączenia do czasu zaakceptowania ich. Następnym krokiem jest przeszukanie katalogu system32 w poszukiwaniu wirusa - tak jak pisałem, plik można swodobnie usunąć. Nadal nie wiem, w jaki sposób się uruchamia o 20 - coś go musi wywoływać... lecz w jego kodzie widziałem iż robi coś z rejestrem w kluczu Run - lecz nic się w nim nie doszukałem. Może jakiś dispatch, może jakiś inny demon... nieważne. Usunięcie samego pliku skutkuje. Można też rutynowo sprawdzić kilka plików o których wspomniałem, aby mieć pewność czystości forum. I przede wszystkim, należy zachować ostrożność podczas surfowania po internecie i bacznie obserwować ściągane pliki!

A jednak, pliki tego wirusa nadal mam w /temp Pierwszy plik zajmuje 8.5KB, drugi 81.5KB. Lecz tylko ten pierwszy chciał się łączyć ze zdalnym serwerem... Łączy się z następującym IP

Kod:
Musisz się zalogować, aby zobaczyć zawartość lub kliknij Tutaj aby dokonać rejestracji na forum 
serwer zlokalizowany w Rosji.


OPIS KOLEGI @seba

A TO ODEMNIE LOKALIZACJA SERWERA SKĄD POCHODZI WIRUS
% Information related to '89.107.104.0 - 89.107.105.255'
inetnum: 89.107.104.0 - 89.107.105.255
netname: ONIKS-NET
descr: LLC ONIKS
country: RU
admin-c: DT1887-RIPE
tech-c: AM9706-RIPE
status: ASSIGNED PA
mnt-by: WELCOM-MNT
mnt-lower: WELCOM-MNT
mnt-routes: WELCOM-MNT
source: RIPE # Filtered
person: Dmitriy Turin
address: OOO "ONIKS"
address: 3A/3, 3 Lusinovskiy lane
address: Moscow, 117049
address: Russian Federation
phone: + 7 495 2255418
fax-no: + 7 495 2255418
e-mail: dturin@welcometelecom.ru
nic-hdl: DT1887-RIPE
mnt-by: WELCOM-MNT
source: RIPE # Filtered
person: Aleksandr Maslikov
address: OOO "ONIKS"
address: 3A/3, 3 Lusinovskiy lane
address: Moscow, 117049
address: Russian Federation
phone: + 7 495 2255418
fax-no: + 7 495 2255418
e-mail: amas@welcometelecom.ru
nic-hdl: AM9706-RIPE
mnt-by: WELCOM-MNT
source: RIPE # Filtered
% Information related to '89.107.104.0/21AS39818'
route: 89.107.104.0/21
descr: LLC ONIKS
origin: AS39818
mnt-by: WELCOM-MNT
source: RIPE # Filtered