Вирус с сайта

[184]

Преинтересный случай приключился со мной полчаса назад. При выходе с моего компа на сайт Айгюн Кязымовой, AVP порекомендовал мне сканировать диск на наличие вирусов. Результат не заставил себя ждать на первой же минуте в папке system32 обнаружился backdoor. Его я нераздумывая удалил. Следом пошли заражённые файлы, которые лечению не подлежали и пришлось их удалить. Один из заражённых и удалённых файлов назывался explorer.exe. Это системное название Проводника. Набрав название в строке Run я обнаружил, что программа запускается. Перезагрузил комп - всё работает.

Вопрос: так что же всё-таки я удалил?

[Filin]

Ну раз ребутнулся нормально, значит всё в порядке

[184]

Сижу никого не трогаю, вдруг опять AVP проснулся. И backdoor и ещё куча всего и всё тот же самый explorer.exe Снова всё удалил. Короче, фигня какая-то. Кажется придётся делать format C: Благо, файло в хорошие времена на CD скопировал.

[Filin]

Предохраняться надо (!) Файрвол стоит (?)

[184]

Фил, всё стоит, кроме файрвола. Сейчас пошарю на варезниках.

[Немец]

Filin Точно надо ему файрволл поставить .....

184 ГЫ это ребята из FS решили порезвиться .....:-(

У меня такое тоже было где с пол года назад .

Кстати не форматирую установи файрволл и попробуй вычислить IP твогое врага ....

backdoor это если Я не ошибаюсь фишка для remote control-а ...

[184]

Поставил ZoneAlarm Pro. Форматить не охота. Посмотрим что будет

Немец, к тебе тоже с их сайта что-то залетело?

В таком случае, ребятам из FS для развлечения подойдёт бутылка от шампанского для внутреннего применения.

[Немец]

В таком случае, ребятам из FS для развлечения подойдёт бутылка от шампанского для внутреннего применения.

По идеи да ,согласен B)

Но есть там и хорошие

[184]

Немец, речь о плохих

[184]

Кстати, никто не в курсе что за птица NvCplDaemon?

Сидит у меня в Start Up. Filename: RUNDLL32.exe NvQT wk, NvCplDaemon Initialize. Loaded from: HKEY_LM\Run.

Судя по названию - явно не системный файл

[Гость guestguestapo]

AVP иногда поникует впустую. это у них эвристическим методом называется. лучше головой своей подумай, если у тебя все правильно настоено, как может простая загрузка страницы повлечь заражение.

RUNDLL32.exe NvQT wk, NvCplDaemon Initialize

формат команды неверен. судя по положению запятой, NvCplDaemon - это имя исполняемой функции в библиотеке NvQT.wk

Может это и есть твой антивир-сканер?

[Гость 31337]

2 184

Без "стенки" в Сеть лезть, что без "резинки" тра....ся NvCplDaemon грузится, когда драйверы видеокарты NVIDIA производят инициализацию своих настроек...

__________________

хак-группировка "CUrtain of Fire"

[Filin]

Точно NvCplDaemon используется драйверами видеокарт NVIDIA...

[184]

AVP иногда поникует впустую. это у них эвристическим методом называется. лучше головой своей подумай, если у тебя все правильно настоено, как может простая загрузка страницы повлечь заражение.

Не загрузка страницы повлекла заражение, скорее всего оттуда что-то загрузилось. На тот момент, да и за некоторое время до того кроме вышеуказанного сайта не был загружен ни один ресурс и ни одна сетевая программа. АVP же выдавал названия файлов: backdoor, какой-то Clon и кучу заражённых файлов. Т. е. на ложную тревогу не похоже. Тем более, как видишь, мой случай не единственный.

[184]

По поводу explorer.exe кое-что прояснилось. Думаю, для общего кругозора никому не помешает знать Приношу извинения за отсутствие перевода на более доступный для некоторых юзеров язык.

There is a known Trojan horse program called DLDer that masquerades as explorer.exe. This Trojan is commonly installed unbeknownst to users as a result of downloading and installing Gnutella file sharing tools such as Grokster or Limeware. The legitimate version of explorer.exe resides in the Windows directory. There are many legitimate reasons for explorer.exe to request network or Internet access though it does not require Internet permissions in order to perform it's designed functions. See the Details tab for additional information.

Вот только никакой Gnutella я не устанавливал себе. Кстати, только что Файрвол оповестил о попытке обращения explorer.exe к сети. Пришлось рубить.

[AteshParast]

В принципе сервер не может засунуть вирус или троян. Но в будущем такие возможности могут и появиться. Были ли у кого такие случаи ? Надо серьёзно над этим подумать. Учитывая широкий диапозон посещаемой публики.

[184]

[Немец]

AVP иногда поникует впустую. это у них эвристическим методом называется. лучше головой своей подумай, если у тебя все правильно настоено, как может простая загрузка страницы повлечь заражение.

RUNDLL32.exe NvQT wk, NvCplDaemon Initialize

формат команды неверен. судя по положению запятой, NvCplDaemon - это имя исполняемой функции в библиотеке NvQT.wk

Может это и есть твой антивир-сканер?

2 guestguestapo

Не смешите мои тапочки ....

Вы хотите сказать что загрузка страницы не может повлечь заражение объектов а ?

Вы заблуждаетесь :rolleyes: Вирус может спокойно грузится в фоновом режиме пока Вы просматриваете страничку :(

Без "стенки" в Сеть лезть, что без "резинки" тра....ся

31337 ПолностьЮ с Вами согласен B)

AteshParast Были такие случаи и не раз .....

Одни мои знакомые в своем нет клубе своим клиентам нерекомендовали летом 2002 просматривать этот сайт ....

Ну я так не поверил ....думаю вроде приличная конторка стороила сайт .......

А оказалось все наоборот ..

[Гость guestguestapo]

немец,

>Вы хотите сказать что загрузка страницы не может повлечь заражение объектов

каких объектов?

>Вирус может спокойно грузится в фоновом режиме пока Вы просматриваете страничку

ну, во-первый, вирус не может грузиться. грузится инфицированный вирусом исполнимый файл или установщик трояна. для заражения мало просто скачать нечто, надо это нечто еще и активизировать, например выполнить программу.

очевидно, мы здесь говорим про отклик на GET запрос HTTP. полученный из сети поток накапливается в памяти или файле. далее мы его интерпретируем как html, gif и тд. тип указан в заголовке. скриптам, в норме, доступ к файловой системе запрещен. ява и флэш аплетам тоже. остаются активХ компоненты. они могут нести в себе потенциальную угрозу, но на установку, опять же в норме, у пользователя запрашивается разрешение. список не исчерпывающий. и все же, раз вы смеетесь, потрудитесь толково объяснить, что именно, после загрузки в фоне, может самопроизвольно активизироваться и нанести ущерб системе.

"плохой" сайт может содержать код, который вешает дырявый браузер или ворует вводимую в другом окне информацию. но инфицировать... чушь

guestapo

[guestapo]

guestguestapo - это был я

[Filin]

Java-скрипт (какой не скажу ) интегрированный в html-код страницы, может запросто инициировать принудительную загрузку исполняемого файла с любого удалённого ресурса (!)

[AteshParast]

Да над такими возможностями ломают головы хакеры вот уже много лет, и если такая возможность появится , то возникнет война в Интернете, учитывая конфликтные очаги в мире. То что осуществимо пока, это глушение сервера или клиента путём DoS атак, зная IP адрес противника. Через JAVA удаётся запустить саморазмножающийся вирус в зоне памяти браузера, что проявлюется самопроизвольным распространением окон браузера и утери контроля над ним. Но вирус не выходит за границы, достаточно принудительно закрыть браузер и удалить его временные файлы.

Возьмём чеченский сайт: если бы его можно было заинфицировать, то это было бы сделано давно, в России есть немало первоклассных программистов, могут даже попросить Касперского. Как пишут у них в энциклопедической рубрике, в последнее время в некоторых странах власти обратились к некоторым антивирусным компаниям с просьбой помочь им заразить некоторые "вредные" сайты. Не все компании отказались. И касперская компания предсказывает дальнейшее развитие сетевых вирусов, и существует опасность что этим могут заняться профессионалы.

Вы представляете что может получиться ? Напримерю на бакилилар сайте можно написать скрипт который будет заражать армянских посетителей, на ереванских сайтах тоже придумают подарок для бакинцев, арабкие сайты для израильских посетителей, и т.д. и т.п.

Возьмём войну в Югославии: то что могли достичь сербские хакеры во время бомбардировок - это заблокировать некоторые mail account путём spamming

[guestapo]

Filin,

не спорю, такие скрипты были, есть и будут, но это уже ошибки конкретной скрипт-машины. дыры быстро латаются и скрипт, про который стало известно, возможно, уже не причинит никому вреда. у нас тут спор скорее теоретический, чем практический (и тем более не политический). скритпам интернет-зоны вход в локальную файловую систему должен быть строго заказан. в крайнем случае можно отключить интерпретацию скриптов вовсе. то же самое касается и аплетов. у меня IE6 SP1 + декабрьское обновление q328970. пока не подводил. конечно от ошибок никто и ничто не застраховано, тем более такая навороченная система. к этому я отношусь с пониманием

если говорить строго, java и vb скрипты в винде ваще не имеют встроенных средств доступа к файлам и делают они это посредством активХ компонентов. так что, дыры наверняка имеются.

если интересно, залей куда-нить свой скрипт и дай мне ссылку. обязуюсь честно загрузить это на свой комп. о результатах расскажу здесь (коли жив буду

AteshParast,

>Через JAVA удаётся запустить саморазмножающийся вирус в зоне памяти браузера, что проявлюется самопроизвольным распространением окон браузера и утери контроля над ним

очень специфическое толкование понятия "компьютерный вирус". спорим, это у тебя на порносайте случилось ;)

184,

вероятно, ты эту гадость где-то раньше подцепил. инфицированные эксешники ни чем не отличаются от здоровых (разве только контрольной суммой), а плодиться они начинают только в подходящих условиях. "правильный" полиморфный вирус не обнаруживается при сканировании и прячится в межсекционных пустотах PE-файла. речь, конечно, идет о винде.

[Filin]

guestapo, это весьма грозное оружие, работающее в фоновом режиме... Если я дам линк, то тем самым открою сорц (т.к. фактор неожиданности уже не работает и достаточно правого клика, чтобы тайное стало явным)... А это не есть гуд (!)

[184]

184,

вероятно, ты эту гадость где-то раньше подцепил. инфицированные эксешники ни чем не отличаются от здоровых (разве только контрольной суммой), а плодиться они начинают только в подходящих условиях. "правильный" полиморфный вирус не обнаруживается при сканировании и прячится в межсекционных пустотах PE-файла.  речь, конечно, идет о винде.

Его не сканер обнаружил, а антивирусный монитор.

[Пацан]

Ничего не понимаю в этой теме, но уверен, что смогу забанить (сломать, заразить и т.д.) любой сайт. Достаточно только заплатить немного хакерам.

[AteshParast]

Пацану:

Продемонстрируй своё умение на этом сайте, или взломай мой почтовый ящик. Толъко без спама и без DoS, никакое умение там не нужно.

[Пацан]

Пацану:

Продемонстрируй своё умение на этом сайте, или взломай мой почтовый ящик. Толъко без спама и без DoS, никакое умение там не нужно.

AteshParast, это стоит денег. Надеюсь, ты это понимаешь. Этот сайт мне ничего плохого не сделал и ты тоже, кстати, но в своих возможностях я нисколько не сомневаюсь.

[-=\*/=-]

Filin,

не спорю, такие скрипты были, есть и будут, но это уже ошибки конкретной скрипт-машины. дыры быстро латаются и скрипт, про который стало известно, возможно, уже не причинит никому вреда. у нас тут спор скорее теоретический, чем практический (и тем более не политический). скритпам интернет-зоны вход в локальную файловую систему должен быть строго заказан. в крайнем случае можно отключить интерпретацию скриптов вовсе. то же самое касается и аплетов. у меня IE6 SP1 + декабрьское обновление q328970. пока не подводил. конечно от ошибок никто и ничто не застраховано, тем более такая навороченная система. к этому я отношусь с пониманием

И ты думаешь все - так исправно как ты следят за баг-трак ?

И ставят вовремя обновления и патчи :luv:

[guestapo]

Filin,

как там в песне поется: "у нас есть такие приборы, но мы вам о них не расскажем"

есть только две причины скрывать какие-либо знания:

1) знания представляют собой гос. тайну

2) обладатель таким образов заявляет - я самый умный, куда вам до меня

подобные сведения широко освещены в интернете и делать из этого тайну и "грозное оружие" - ребячество. кроме того, как я уже писал, они быстро устаревают. имеющий уши да услышит. про голову даже и не говорю. я же просил всего лишь доказать.

если кто-нить изучал электродинамику, то скорее всего сталкивался с мурой под названием теория векторного поля. так вот, иногда встречаются люди, которые говорят тебя: "ты это не понимаешь, я тебя сейчас все объясню. для начала оставим только два измерения и возьмем бумагу и карандаш. ну и кто сказал что это сложно." большинство же действует по правилу номер 2: "я это знаю, но вам не скажу" :-Р

конкретно, ты заявляешь:

>Java-скрипт (какой не скажу ) интегрированный в html-код страницы, может запросто инициировать принудительную загрузку исполняемого файла с любого удалённого ресурса (!)

как я тебя понял, чудо-скрипт позволяет скопировать файл в исполняемом формате на хард (этого недостаточно) и скрытно (без всякого участия со стороны пользователя) инициировать создание локального процесса на его основе, скажем при помощи CreateProcess. Но это означает, что твой скрипт добрался не только до файловой системы, но и до API. нет, я конечно могу отключить защиту и ты без всякого труда, посредством объектов WScript и FileSystemObject сделаешь все, что душе угодно. у кого-то, возможно, по недоумию так оно и есть.

[-=\*/=-]

Да че спорить - думаю достаточно почитать это

Как говорится все налицо

И исполнение произвольного кода и что душе угодно

http://securitylab.ru/?ID=1671&Search_Stri...ternet+Explorer

Изменено 9 января, 2003 пользователем -=\*/=-

[Filin]

-=\*/=-, сэнкс за инфу... Остальным:

Всё, о чём я хотел сказать, я сказал и не надо за меня домысливать (!) Это не хак-фаг, а форум по проблемам информационных технологий и я не вижу необходимости выходить за рамки основной тематики. И ещё одно - если кто-либо станет вывешивать посты, содержащие сорцы злонамеренных кодов, эксплоитов или линки на потенциально-опасные ресурсы, то такие посты будут сразу же удаляться (!)

[guestapo]

остальные: низяяяяя... очень опасно недооценивать врага, но и переоценивать тоже негоже

filin, поверь мне, мы не вышли за тематику ни капельки. не обижайся, это всего лишь добрый спор, а не пьяная драка. в споре, как известно, рождается истина.

[AteshParast]

Филину: вы озвучили английское faq как фаг, потому что перепутали английское q с азербайджанским q, а значит вы - азер-ц. А возможно вы так написали чтобы не перепутать его с ругательским английским омонимом, но это менее вероятно..

[Filin]

Вы угадали - я азербайджанец