Навигация > Главная страница /

Взлом сайтов

Опубликовано в рубрике: Безопасность

вирус

Интересно прочесть: Функциональные комментарии WordPress — эта статья (с подробными примерами и заметками) о том, как сделать дискусию в блогах более удобной.


Предыстория.
Буквально на днях была следующая ситуация: на одном из моих компов, Windows вот-вот должна была «склеить лапки». Поэтому, я её с удовольствием «снёс» и с помощью бэкапа установил новую, а заодно решил опробовать Outpost Security Suite PRO 2009.
Установил (заранее скаченную 30-ти дневную версию) PRO 2009, прошёлся по настройкам, полез в интернет. …Первый вылет из Windows я получил буквально через несколько секунд пребывания в сети. Произошло это, когда Outpost создавал правило для Оперы.
В общем, за двое суток нашей «дружбы» с PRO 2009, я получил таких вылетов около 15-ти. Как правило, они происходили в тот момент, когда программа создавала правило для какого либо приложения, которое просилось в Интернет. Самое интересное, что фаервол выдал такой «подарок» после всех браузеров, пейджера, качальщика файлов, но зато переключатель раскладки клавиатуры беспрепятственно, без моего ведома, вышел в сеть, и радостно сообщил мне о выходе новой версии. Эта же ситуация повторилась и с видео проигрывателем. Можно только догадываться, какие ещё приложения, и куда, лазили без моего ведома.)

Не выдержав издевательств, Windows стала хромать на всё, что только можно.) Поэтому было принято решение умертвить несчастную, путем форматирования, с последующим воскрешением через бэкап.
…Здесь начинается самое интересное: после того, как был дан старт, и Windows пошла на свою последнюю перезагрузку, от фаервола выскочило сообщение — winlogon.exe запрашивает доступ на адрес prevedvsem123.cn…!

Я записал этот адрес, и со второго компьютера начал поиски по Интернету — что это за таке? Оказалось, что это троян (Trojan-Spy.Win32.Goldun.bdu), ворующий пароли, регистрационные данные и другую конфиденциальную информацию. При этом если среди украденных данных были пароли от ваших сайтов или от их FTP, то после этого, злоумышленники внедряют к Вам на сайт фреймы.

С помощью этой заразы, в период с16 по 18 октября было взломано очень много сайтов.

Вот этот скрипт подгружал фрейм с сайта prevedvsem123.сn,  в результате чего, посетители заражённых сайтов получали в подарок троянца (под видом PDF). Как можно увидеть из названия домена, то потрудились наши медведы.)

Признаки заражения компьютера:

  • различными антивирусами может, определятся как: Trojan-Spy.Goldun! Sd6, Trojan-Spy.Win32.Goldun.bdp, Backdoor:Win32/Haxdoor, Generic PWS.y, Infostealer, Trojan Horse, Mal/TinyDL-T.
  • вирус помещается в C:\Windows\System32 (Windows XP),
  • в реестре создаются новые ключи, поэтому нужно искать:
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\acpiz

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache]
    Persistent = 0x00000000
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\acpiz]
    DllName = 61 63 70 69 7A 2E 64 6C 6C 00 00 00
    Startup = «acpiz»
    Impersonate = 0x00000001
    Asynchronous = 0x00000001
    MaxWait = 0x00000001
    adr97 = «[CA24A356577DF03D1]»

  • в систему устанавливается библиотека acpiz.dll.
  • [Далее →]

    Получай удовольствие от чтения - пользуйся RSS.
    Страница 1 из 11