Перейти к содержанию
Alex_Goodwin

Сайт Димы Билана был заражен вирусом

Recommended Posts

Alex_Goodwin

Новость на ленте http://lenta.ru/articles/2008/05/25/eurovision/

В самом низу ссылка на "сайт Билана" _http://ww.bilandima.ru/ - там троян-кликер, загружает с известного китайского сайта..

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
radioelectron

Учитывая, что большинство любит попсу и Интернет Эксплорер... :-) Да еще теперь после Евровидения на сайт потянутся не только из России, а со всего мира.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

http://www.virustotal.com/ru/analisis/7247...87675cae6ab6cbe

Пользователи Касперского могу спать спокойно - поймает и кликер и сплоит и эвристиком на лоадер заругается..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

интересно а почему ссылка битая без одной w

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
radioelectron

Симантек и Доктор в пролете. :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Пользователи Касперского могу спать спокойно - поймает и кликер и сплоит и эвристиком на лоадер заругается..

ну да, пора ЛК пресуху писать - "Пользователям Касперского не страшен Кликер-Билан, он плющит Билана проактивно" :D

бедные поклонницы Билана, сколько интересно их залетело

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
radioelectron
ну да, пора ЛК пресуху писать - "Пользователям Касперского не страшен Кликер-Билан"

Только не надо по-докторовски про каждый задетектированный вирь пресс-релизы делать. :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

:P

интересно а почему ссылка битая без одной w

Кстати, да. Редакторы ленты не спят :)

Сначала была нормальная ссылка. Я потом им через форму про опечатки написал..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Только не надо по-докторовски про каждый задетектированный вирь пресс-релизы делать. :-)

а ля герр комм а ля герр

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

А вот некоторым пользователям не повезет:

Find Window - Class Name (OutpostMainWindowClass) Window Name ()

Find Window - Class Name () Window Name (Outpost Firewall Pro)

Find Window - Class Name () Window Name (&Yes)

Find Window - Class Name () Window Name (&Äà)

Enum Windows

Симантек и Доктор в пролете. :-)

Ну сима частично отловит..

%Temp%\clear.exe 34 816 bytes 0xBA9EC112A28FDF22AB66CF5CA94A5C04 Packed.Generic.110 [symantec]

%Temp%\winlogon.exe 41 472 bytes 0xE9D0BF5AAB013EF5470BDAE386D435A2 Packed.Generic.110 [symantec]

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Целый набор - пинч и спамбот с руткитесам :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Сначала была нормальная ссылка. Я потом им через форму про опечатки написал..

а сюда не писали еще http://www.bilandima.ru/html/contacts.shtml :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

А вот тут, кстати, пока сохранилась "нормальная" ссылка http://lenta.ru/news/2008/03/10/bilan/

а сюда не писали еще http://www.bilandima.ru/html/contacts.shtml :)

Иван, вы, как поклонник творчества Димы Билана, можете сделать это первым :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Иван, вы, как поклонник творчества Димы Билана, можете сделать это первым :)

можно это буду не я - у меня от него рвотные позывы

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2600

Херня какая то - и где тут load.exe нихера не вижу??????????? Уже всему сайту скрипты разрешил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Херня какая то - и где тут load.exe нихера не вижу??????????? Уже всему сайту скрипты разрешил.

ну карачун значит вам

билан.png

и это не фолс :rolleyes:

post-10-1211720719_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2600

Никаких следов заражения.Правда я через мозиллу сижу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Antal

Avira antivir premium тоже срабатывает на сайт Димы Баклана:

Предупреждение: в данных (HTTP) был обнаружен вирус или вредоносная программа.

Запрошенный URL: _http://www.bilandima.ru/

Информация: Contains suspicious code HEUR/HTML.Malware

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2600

Переколбасил весь комп на созданные сегодня файлы *.exe *.com и т.д. ничего.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
radioelectron

Трояну-то уже два месяца, как минимум — http://www.kaspersky.ru/viruswatchlite?sea...amp;x=0&y=0 Странно, что некоторые антивири его до сих пор не видят. :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Переколбасил весь комп на созданные сегодня файлы *.exe *.com и т.д. ничего.

под IE c включенным ActiveX попробуйте :D

поздно - почистили уже

мда а самого кликера действительно мало кто видит http://www.virustotal.com/ru/analisis/c91f...c4380e9fb976607

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2600

под IE не интересно :) Тем более что я удалил вполностью IE

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Dima2_90
      На мой взгляд то, что Process Hacker выгружает антивирусы - явление нормальное, потому что Process Hacker - легитимная программа (по мнению некоторых вендоров -  потенциально опасная), а не троянская, и  команду на выгрузку антивируса даёт сам пользователь ( выбрав процесс в списке и нажимая "Terminate"), то есть это действие (завершение процесса, отвечающего за работу антивируса) санкционировано самим пользователем.
    • rownong
      Здравствуйте. Есть следующая инфраструктура (VPS куплены у хостинг-провайдера).  VPS сервер 1.
      На нем:
      - Несколько баз данных MySQL 
      - Папки (с сайтами, веб-приложениями, скриптами)
      - Установленные программы
      > Панель управления Vesta
      > MySQL-сервер
      > PhpMyAdmin
      > FTP-сервер
      - Задачи крона VPS сервер 2.
      На нем:
      - Asterisk (с конфигурациями) В перспективе VPS сервер 3.
      На нем будет располагаться ERP организации (база данных, бекенд Laravel, фронтенд Vue.js).  Нужно обеспечить безопасность данной IT инфраструктуры, закрыть максимум уязвимостей.
      Чтобы злоумышленники не могли, просмотреть / украсть: пароли в конфигах PHP скриптов, данные БД Таблиц MySQL, не имели доступ к  Asterisk, данным ERP, защита от sql инъекций, DDoS-атак и т.д. Вопросы: 1. В представленной инфраструктуре, каких технические специалисты должны делать аудит ? PHP-программист, системный администратор, или есть отдельные специалисты которые занимаются безопастностью в IT? 2. Я правильно понимаю, что выполнение задачи будет разбито на 2 этапа:
      - аудит (когда будут выписаны замечания)
      - реализация мер по устранению замечаний
      ?? 3. Как выбрать аудиторов?
      Достаточно фрилансеров или нужно обращаться в организацию? 4. Как определить компетенции аудиторов в обеспечении безопасности в IT? 5. Имеет смысл  нанимать сразу 2-х аудиторов?
      Потом реализовывать замечания обоих аудитов? 6. В какой формате проводятся аудиты по безопасности?
      Нужно будет прислать специалистам доступы ко всем системам? 7. Целесообразно делать аудит VPS без аудита офисного железа (компьютеры, роутеры, файловый сервак)?
      Теоретически на компьютерах могут быть уязвимости к вирусам которые доступы крадут от VPS, но проверять еще компы всей организации, сильно увеличит время на аудит.  
    • Draft
      К Сереге лысому, моему другу, приходят и жалуются, мол разводят их как лохов
    • Quincy
      К тебе именно приходит и на сайт жалуется?)))) 
    • PR55.RP55
      https://github.com/dragokas/hijackthis/blob/devel/src/_ChangeLog_ru.txt Стоит прочесть и найти полезное. Типа: Добавлена зачистка зависимостей легитимных служб от удаляемой службы.
      Добавлен запрет программе на перезагрузку серверных ОС с запросом к пользователю сделать это вручную.
      Добавлена проверка типа виртуализации ключей реестра.
×