Czarodziej Opublikowano 23 Lutego 2013 Zgłoś Udostępnij Opublikowano 23 Lutego 2013 Hobbistycznie piszę strony. Na dwóch projektach nad którymi aktualnie pracuje pojawił się wirus.Wpis z eseta: Ochrona protokołu HTTP archiwum hxxp://www.borgias.czarodziej.xxx.xx/ JS/Iframe.EG koń trojański połączenie zostało zakończone - poddany kwarantannie Doklejał on pod koniec pliku index.php spreparowany kod. Te dwa projekty znajdują się na 2 różnych hostingach, łączy je tylko mój komputer. Do przesyłania plików na host’a wyżywałem TOTAL COMMANDERA: połączeniem zwykłym ftp ! Przyznaję sięteż bez bicia że miałem zapamiętane hasła w programie. Aktualnie zmieniłem program na WinSCP. Moim problemem nie jest sam wirus, tylko jak on się tam znalazł ? Jest możliwy taki scenariusz : Jak tworzyłem strony często przeglądałem strony ludzi w temacie (manualne, strony odnośnie javaScript),przy aktywnym połączeniu FTP. Któraś ze stron nasłuchiwała port 20/21 i wykryła połączenie a, że nie było one szyfrowane tylko zwykłe ftp uzyskał hasło. Albo ktoś po prostu nasłuchiwał (przypadkiem/fartem) moje porty: słowa Aux w jednym z tutejszych tematów: Powiedzieć trzeba jeszcze, że każdy! Komputer na świecie skanowany jest lub przynajmniej próbowany jest być zeskanowanym kilkadziesiąt jeśli nie kilkaset razy na godzinę! Scenariusz dobry ale na film science fiction, nie możliwy. Musisz mieć coś złośliwego na komputerze dlatego dołącz logi OTL.Txt Extras.Txt defogger_disable.txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 23 Lutego 2013 Zgłoś Udostępnij Opublikowano 23 Lutego 2013 Po stronie systemu: Nie widzę oznak czynnej infekcji. Doczyść sobie tylko szczątki infekcji Weelsof (fałszywy plik lsass.exe + dsgsdgdsgdsgw.pad), adware i wpisy puste. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\ProgramData\lsass.exe C:\ProgramData\dsgsdgdsgdsgw.pad C:\Users\Piotrek\AppData\Roaming\Babylon C:\Users\Piotrek\AppData\Local\setup.exe C:\Users\Piotrek\AppData\Local\promo.exe :OTL IE - HKU\S-1-5-21-1931743945-3691308913-3571775229-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=119998&babsrc=SP_ss&mntrId=b4fcf6d60000000000000019d1901c7c" IE - HKU\S-1-5-21-1931743945-3691308913-3571775229-1000\..\SearchScopes\{60B8D6F4-CD6D-4559-B38D-166F2EE59930}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=kw&q={searchTerms}&locale=&apn_ptnrs=PV&apn_dtid=YYYYYYYYPL&apn_uid=CE42E28B-BDA9-4B83-B806-54DDF6DEE867&apn_sauid=D144DF67-1B81-42BE-B5F3-663B2EAB768A" IE - HKU\S-1-5-21-1931743945-3691308913-3571775229-1001\..\SearchScopes\{60B8D6F4-CD6D-4559-B38D-166F2EE59930}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=kw&q={searchTerms}&locale=&apn_ptnrs=PV&apn_dtid=YYYYYYYYPL&apn_uid=CE42E28B-BDA9-4B83-B806-54DDF6DEE867&apn_sauid=D144DF67-1B81-42BE-B5F3-663B2EAB768A" O4 - HKU\S-1-5-21-1931743945-3691308913-3571775229-1000..\Run: [] File not found O4 - HKU\S-1-5-21-1931743945-3691308913-3571775229-1001..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" File not found :Reg [HKEY_USERS\S-1-5-21-1931743945-3691308913-3571775229-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Po restarcie zastosuj Sprzątanie. Strony: Te dwa projekty znajdują się na 2 różnych hostingach, łączy je tylko mój komputer.(...) Do przesyłania plików na host’a wyżywałem TOTAL COMMANDERA: połączeniem zwykłym ftp ! Przyznaję sięteż bez bicia że miałem zapamiętane hasła w programie. Aktualnie zmieniłem program na WinSCP. Trudno tu wykonać "inżynierię wsteczną" źródła infekcji, mało danych. Tu masz ogólny dokument PDF opisujący metodologię infekcji iframe: KLIK. Zwróć też uwagę na końcowy fragment: "Attention! The virus may be listening in (eavesdropping) on bypassing network traffic originating from other computers on the local network (packet sniffing) to steal FTP passwords! This means that you can clean up your PC but if another PC is infected located in the same network segment, the virus can still intercept the passwords you have entered on the clean PC! Also, be careful with FTP passwords you have saved in the past. The virus may have the potential to extract those saved passwords. Considering the dangers involved it is advisable to login to your FTP server using the SSH over FTP protocol. Source: KLIK." + Cytat z linka: "As it turned out, the malware steals FTP passwords with network sniffing a.k.a. promiscuous mode (at least among other ways, because I heard it can also read the stored passwords of well-know FTP clients). This means, it even steals the FTP user names and passwords that were used from a clean computer, if that computer was in the same Ethernet collision domain as the infected computer, and the password was actually used (i.e. the user has logged in to an FTP account) when the infected computer was on (and hence eavesdropping). In general, if you have some Ethernet hubs as opposed to Ethernet switches in your LAN, then depending on the exact network topology, possibly not only the infected computer is affected. Needless to say, the infected computer itself is always in its own collision domain, so even if you don't store the passwords in your FTP client (and you shouldn't), the malware still steals the password when you log in. The infected computer sends the stolen FTP credentials (and who knows what else it captured) to its masters, so the computer that will update the index.html-s via FTP (maybe hours, maybe days later) will be some random computer from around the world." Problemem może być więc sieć, w której działa Twój komputer, a nie Twój komputer per se. Ale to spekulacje. . Odnośnik do komentarza
Czarodziej Opublikowano 23 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 23 Lutego 2013 Zrobione. Wszystko ok ładnie pięknie. Raportu nie będę wklejał. Jak można wyczuć z pierwszego postu, byłem przekonany (miałem przeczucie), że mój komputer nie jest problemem. Twoje spekulacje na 90% są faktami. Aktualnie nie mam możliwości sprawdzenia 2 komputera, nie ma podstaw aby ciągnąć temat. Chciałem nabrać pewności co do mojej wersji wydarzeń. PS. Twój 2 link (drugi KLIK) jest niepoprawny. Brakuje tam "-’ w adresie. Znalazłem sobie dobry (prowadzący to tej samej strony) w pdf który zaklinowałaś w 1 KLIKU. Przypuszczam, że kopiowałaś. Dziękuje Odnośnik do komentarza
picasso Opublikowano 24 Lutego 2013 Zgłoś Udostępnij Opublikowano 24 Lutego 2013 Link poprawiony (tak, kopiowałam z PDF). Temat zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi