Сайт Димы Билана был заражен вирусом - Общий форум по информационной безопасности - Форумы Anti-Malware.ru Перейти к содержанию
Alex_Goodwin

Сайт Димы Билана был заражен вирусом

Recommended Posts

Alex_Goodwin

Новость на ленте http://lenta.ru/articles/2008/05/25/eurovision/

В самом низу ссылка на "сайт Билана" _http://ww.bilandima.ru/ - там троян-кликер, загружает с известного китайского сайта..

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
radioelectron

Учитывая, что большинство любит попсу и Интернет Эксплорер... :-) Да еще теперь после Евровидения на сайт потянутся не только из России, а со всего мира.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

http://www.virustotal.com/ru/analisis/7247...87675cae6ab6cbe

Пользователи Касперского могу спать спокойно - поймает и кликер и сплоит и эвристиком на лоадер заругается..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

интересно а почему ссылка битая без одной w

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
radioelectron

Симантек и Доктор в пролете. :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Пользователи Касперского могу спать спокойно - поймает и кликер и сплоит и эвристиком на лоадер заругается..

ну да, пора ЛК пресуху писать - "Пользователям Касперского не страшен Кликер-Билан, он плющит Билана проактивно" :D

бедные поклонницы Билана, сколько интересно их залетело

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
radioelectron
ну да, пора ЛК пресуху писать - "Пользователям Касперского не страшен Кликер-Билан"

Только не надо по-докторовски про каждый задетектированный вирь пресс-релизы делать. :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

:P

интересно а почему ссылка битая без одной w

Кстати, да. Редакторы ленты не спят :)

Сначала была нормальная ссылка. Я потом им через форму про опечатки написал..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Только не надо по-докторовски про каждый задетектированный вирь пресс-релизы делать. :-)

а ля герр комм а ля герр

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

А вот некоторым пользователям не повезет:

Find Window - Class Name (OutpostMainWindowClass) Window Name ()

Find Window - Class Name () Window Name (Outpost Firewall Pro)

Find Window - Class Name () Window Name (&Yes)

Find Window - Class Name () Window Name (&Äà)

Enum Windows

Симантек и Доктор в пролете. :-)

Ну сима частично отловит..

%Temp%\clear.exe 34 816 bytes 0xBA9EC112A28FDF22AB66CF5CA94A5C04 Packed.Generic.110 [symantec]

%Temp%\winlogon.exe 41 472 bytes 0xE9D0BF5AAB013EF5470BDAE386D435A2 Packed.Generic.110 [symantec]

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Целый набор - пинч и спамбот с руткитесам :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Сначала была нормальная ссылка. Я потом им через форму про опечатки написал..

а сюда не писали еще http://www.bilandima.ru/html/contacts.shtml :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

А вот тут, кстати, пока сохранилась "нормальная" ссылка http://lenta.ru/news/2008/03/10/bilan/

а сюда не писали еще http://www.bilandima.ru/html/contacts.shtml :)

Иван, вы, как поклонник творчества Димы Билана, можете сделать это первым :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Иван, вы, как поклонник творчества Димы Билана, можете сделать это первым :)

можно это буду не я - у меня от него рвотные позывы

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2600

Херня какая то - и где тут load.exe нихера не вижу??????????? Уже всему сайту скрипты разрешил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Херня какая то - и где тут load.exe нихера не вижу??????????? Уже всему сайту скрипты разрешил.

ну карачун значит вам

билан.png

и это не фолс :rolleyes:

post-10-1211720719_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2600

Никаких следов заражения.Правда я через мозиллу сижу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Antal

Avira antivir premium тоже срабатывает на сайт Димы Баклана:

Предупреждение: в данных (HTTP) был обнаружен вирус или вредоносная программа.

Запрошенный URL: _http://www.bilandima.ru/

Информация: Contains suspicious code HEUR/HTML.Malware

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2600

Переколбасил весь комп на созданные сегодня файлы *.exe *.com и т.д. ничего.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
radioelectron

Трояну-то уже два месяца, как минимум — http://www.kaspersky.ru/viruswatchlite?sea...amp;x=0&y=0 Странно, что некоторые антивири его до сих пор не видят. :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Переколбасил весь комп на созданные сегодня файлы *.exe *.com и т.д. ничего.

под IE c включенным ActiveX попробуйте :D

поздно - почистили уже

мда а самого кликера действительно мало кто видит http://www.virustotal.com/ru/analisis/c91f...c4380e9fb976607

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2600

под IE не интересно :) Тем более что я удалил вполностью IE

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      ESET Cyber Security 9.0.4300  (macOS 11/12/13/14/15/26)
                                                                                  ●
              Руководство пользователя ESET Cyber Security 9  (PDF-файл)
                                                           
      Полезные ссылки:
      Технологии ESET
      Удаление антивирусов других компаний
      Как удалить ESET Cyber Security?
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 18.2.18.
    • demkd
      Появился очередной случай неадекватного поведения антивируса, в это раз отличился касперский, при попытке восстановить реестр процесс был прерван антивирусом, что привело к проблемам с загрузкой системы.
      ВСЕГДА выключайте антивирус перед запуском uVS и восстановлением реестра из бэкапа.
      Пожалуй это надо вынести в заголовок стартового окна большими буквами.
    • demkd
      эти функции небезопасные, лучше их оставить в ручном режиме.
    • demkd
      ---------------------------------------------------------
       5.0.1
      ---------------------------------------------------------
       o Исправлена ошибка из-за которой могло неправильно отображаться имя родителя процесса в информации о файле.

       o В список для проверки добавлен ключ реестра используемый зловредами для неявного запуска программ с обходом UAC с помощью системных утилит.
         (для текущей версии Win11 24H2 проблема актуальна)
         В случае обнаружении исполняемого файла он будет добавлен в подозрительные.
         Автоматический сброс статуса этого файла по хэшу/эцп будет заблокирован.
         FRST пока эту дыру в безопасности не видит.

       o В список теперь может быть добавлено подозрительное значение ключа реестра.
         Это значение после его проверки можно удалить из реестра через контекстное меню с помощью пункта "Удаление всех ссылок на объект".
         (!) Если значение это пустая строка то такие значения рекомендуются всегда удалять.

       o Обновлен модуль rest до v1.21.
       
×