Перейти к содержанию
Lemmit

Чудеса alatus.ru

Автор Lemmit, в Общий форум по информационной безопасности

Recommended Posts

Lemmit    31

Lemmit
Опубликовано

В разделе "услуги" anti-malware.ru указано на партнерство с alatus.ru, перейдя на сайт которого я получил следующее сообщение от КIS 6:

"Обнаружено: вредоносная программа DoS.JS.Dframe.a

URL:

http://www.alatus.ru.f90c106b0d307d873de0e...ems.info/html/"

Повторно зайдя на alatus.ru уже подобного чуда не наблюдал.

Такие дела...

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

ВодкуГлыть    0

ВодкуГлыть
Опубликовано

Он и сейчас там...

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Lemmit    31

Lemmit
Опубликовано
Он и сейчас там...

Враг лезет, если перейти указанной мной выше по ссылке.

А если захожу на главную страницу сайта, уже все спокойно.

Поискал информацию по названию вируса в Яндексе.

Как понял из нее, скорее всего это результат взлома сайта,

были подобные случаи на других ресурсах: на главной странице скрипт определяет по cookie, был ли данный пользователь на зараженной ссылке, если нет - перенаправляет на нее.

Хотя я в этом - не особый спец.

Досадно, что такие чудеса случаются с сайтами, которые по определению должны быть оплотом безопасности.

Если так пойдет, то на сайте Касперского без отключения скриптов будет небезопасно.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Николай Терещенко    0

Николай Терещенко
Опубликовано
В разделе "услуги" anti-malware.ru указано на партнерство с alatus.ru, перейдя на сайт которого я получил следующее сообщение от КIS 6:

"Обнаружено: вредоносная программа DoS.JS.Dframe.a

URL:

http://www.alatus.ru.f90c106b0d307d873de0e...ems.info/html/"

Повторно зайдя на alatus.ru уже подобного чуда не наблюдал.

Такие дела...

А откуда такую ссылку взяли-то?

В услугах вроде все ссылки прямые стоят...

Фактически вы идете не на сайт алатуса, а на сайт - rollsystems.info

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Lemmit    31

Lemmit
Опубликовано
А откуда такую ссылку взяли-то?

Зашел по прямой ссылке, www.altus.ru, конечно, а тот адрес, что я указал - из отчета Kaspersky Internet Security 6.

Фактически вы идете не на сайт алатуса, а на сайт - rollsystems.info

Вот именно туда меня и перенаправил скрипт с www.altus.ru.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Николай Терещенко    0

Николай Терещенко
Опубликовано
Досадно, что такие чудеса случаются с сайтами, которые по определению должны быть оплотом безопасности.

Причем тут anti-malware.ru и alatus.ru???

Я могу так же создать домен левый, например:

http://www.kaspersky.ru.xxxxxxxxxxxx.narod.ru

Разместить на этом сайте могу что угодно, но при этом сайт каспера к моему домену никакого отношения иметь не будет.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Сергей Ильин    1537

Сергей Ильин
Опубликовано

Lemmit, все таки по какой ссылке с сайта Алатуса ты попал на зарпаженную страницу?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

TiX    0

TiX
Опубликовано

Я вчера от туда (w))ww.altrus.ru!) заразился Ж)

Pinch, 2 trojan+downloadera, trojan proxy, rootkit

Еще 5 файлов было отловленно вручную - ждем ответа КЛ

Добавлено спустя 1 минуту 33 секунды:

удалено: троянская программа Trojan.Win32.Agent.aky Файл: C:WINDOWSsystem32avsx15.exe

удалено: троянская программа Trojan.Win32.Agent.aky Файл: C:WINDOWSsystem32asvchost.exe

удалено: троянская программа Trojan.Win32.Agent.aky Файл: C:WINDOWSsystem32aiexplore.exe

удалено: троянская программа Trojan-Proxy.Win32.Small.du Файл: C:WINDOWSsystem32awinlogon.exe

удалено: троянская программа Trojan.Win32.Agent.aky Файл: C:WINDOWSsystem32aadtool.dll

Вот то что вчера не ловилось.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Николай Головко    70

Николай Головко
Опубликовано

Lemmit, все таки по какой ссылке с сайта Алатуса ты попал на зарпаженную страницу?

Он зашел на их главную по ссылке с нашего сайта, и вредоносный iframe перекинул его на названную выше зараженную страницу.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Alex_Goodwin    81

Alex_Goodwin
Опубликовано

сейчас вроде чисто. неуспел я :(

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Lemmit    31

Lemmit
Опубликовано
Я могу так же создать домен левый, например:

http://www.kaspersky.ru.xxxxxxxxxxxx.narod.ru

Разместить на этом сайте могу что угодно, но при этом сайт каспера к моему домену никакого отношения иметь не будет.

Во-первых, если вы это сделаете, это будет нехорошо :wink: а во-вторых в подтексте вашего сообщения читается подозрение, что я сам эту заварушку устроил, чтобы опорочить alatus, что тоже нехорошо и не соответствует действительности.

Надеюсь, вы этого совсем не имели в виду.

сейчас вроде чисто. неуспел я

Похоже alatus достаточно оперативно исправил досадный эпизод. Только до этого момента компьютеры многих посетителей сайта могли стать "зомби" для DOS-атак...

Я вчера от туда (w))ww.altrus.ru!) заразился

...

удалено: троянская программа Trojan.Win32.Agent.aky Файл: C:WINDOWSsystem32avsx15.exe ...

... а также набраться всякой другой малвары

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

SuperBrat    6

SuperBrat
Опубликовано
Похоже alatus достаточно оперативно исправил досадный эпизод. Только до этого момента компьютеры многих посетителей сайта могли стать "зомби" для DOS-атак...

Не переживайте, я отправил вендорам образец заразы. Многие уже добавили, если не знали.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Николай Терещенко    0

Николай Терещенко
Опубликовано

Lemmit Никакого подтекста в моем сообщении не было.

Просто я заходил и до вашего сообщения и после, ничего не было.

Странная ситуация...

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Lemmit    31

Lemmit
Опубликовано
Lemmit Никакого подтекста в моем сообщении не было.

Просто я заходил и до вашего сообщения и после, ничего не было.

Ок.

Странная ситуация...

Значит, Вам не повезло зайти "вовремя". Или, наоборот, повезло! :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Общий форум по информационной безопасности

  • Сообщения

    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      В меню: Скрипт добавить проверку скрипта находящегося в буфере обмена. Это нужно при работе на форумах.    
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      причем хорошая такая защита, тут скорее всего только виртуализацией его выковыривать, если защиты и то нее нет, заморозка только на потоки в uVS работает, да и я не факт что именно поток защищает процесс.
    • santy
      uVS - Тестирование

      От santy · Опубликовано

      похоже впервые по данному типу майнера используются потоки для защиты от удаления файлов. по крайней мере, в октябрьском варианте по этому распространенному на нек форумах майнеру нет потоков. C:\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE. может заморозку потоков делать перед  созданием образа автозапуска? по кройней мере в том случае, если они обнаружены  
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      потому что файлы защищены: (!) Невозможно открыть процесс: dllhost.exe [6856]
      (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE [7424], tid=7428
      Не удалось открыть файл: C:\PROGRAMDATA\REALTEKHD\TASKHOST.EXE
      Не удалось открыть файл: C:\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      C:\PROGRAMDATA\REALTEKHD\TASKHOST.EXE C:\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE Хэш файла не найден http://www.tehnari.ru/f35/t270519/
×