Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Jak ten wirus się tam znalazł?

Czarodziej

Przez Czarodziej
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Czarodziej

Czarodziej

Opublikowano
Opublikowano

Hobbistycznie piszę strony. Na dwóch projektach nad którymi aktualnie pracuje pojawił się wirus.Wpis z eseta:

Ochrona protokołu HTTP archiwum hxxp://www.borgias.czarodziej.xxx.xx/ JS/Iframe.EG koń trojański połączenie zostało zakończone - poddany kwarantannie

Doklejał on pod koniec pliku index.php spreparowany kod. Te dwa projekty znajdują się na 2 różnych hostingach, łączy je tylko mój komputer.

 

Do przesyłania plików na host’a wyżywałem TOTAL COMMANDERA: połączeniem zwykłym ftp ! Przyznaję sięteż bez bicia że miałem zapamiętane hasła w programie. Aktualnie zmieniłem program na WinSCP.

 

Moim problemem nie jest sam wirus, tylko jak on się tam znalazł ? Jest możliwy taki scenariusz :

Jak tworzyłem strony często przeglądałem strony ludzi w temacie (manualne, strony odnośnie javaScript),przy aktywnym połączeniu FTP. Któraś ze stron nasłuchiwała port 20/21 i wykryła połączenie a, że nie było one szyfrowane tylko zwykłe ftp uzyskał hasło. Albo ktoś po prostu nasłuchiwał (przypadkiem/fartem) moje porty: słowa Aux w jednym z tutejszych tematów:

Powiedzieć trzeba jeszcze, że każdy! Komputer na świecie skanowany jest lub przynajmniej próbowany jest być zeskanowanym kilkadziesiąt jeśli nie kilkaset razy na godzinę!

 

Scenariusz dobry ale na film science fiction, nie możliwy. Musisz mieć coś złośliwego na komputerze dlatego dołącz logi :D

OTL.Txt

Extras.Txt

defogger_disable.txt

GMER.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Po stronie systemu:

 

Nie widzę oznak czynnej infekcji. Doczyść sobie tylko szczątki infekcji Weelsof (fałszywy plik lsass.exe + dsgsdgdsgdsgw.pad), adware i wpisy puste. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\ProgramData\lsass.exe
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\Users\Piotrek\AppData\Roaming\Babylon
C:\Users\Piotrek\AppData\Local\setup.exe
C:\Users\Piotrek\AppData\Local\promo.exe
 
:OTL
IE - HKU\S-1-5-21-1931743945-3691308913-3571775229-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=119998&babsrc=SP_ss&mntrId=b4fcf6d60000000000000019d1901c7c"
IE - HKU\S-1-5-21-1931743945-3691308913-3571775229-1000\..\SearchScopes\{60B8D6F4-CD6D-4559-B38D-166F2EE59930}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=kw&q={searchTerms}&locale=&apn_ptnrs=PV&apn_dtid=YYYYYYYYPL&apn_uid=CE42E28B-BDA9-4B83-B806-54DDF6DEE867&apn_sauid=D144DF67-1B81-42BE-B5F3-663B2EAB768A"
IE - HKU\S-1-5-21-1931743945-3691308913-3571775229-1001\..\SearchScopes\{60B8D6F4-CD6D-4559-B38D-166F2EE59930}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=kw&q={searchTerms}&locale=&apn_ptnrs=PV&apn_dtid=YYYYYYYYPL&apn_uid=CE42E28B-BDA9-4B83-B806-54DDF6DEE867&apn_sauid=D144DF67-1B81-42BE-B5F3-663B2EAB768A"
O4 - HKU\S-1-5-21-1931743945-3691308913-3571775229-1000..\Run: []  File not found
O4 - HKU\S-1-5-21-1931743945-3691308913-3571775229-1001..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" File not found
 
:Reg
[HKEY_USERS\S-1-5-21-1931743945-3691308913-3571775229-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Po restarcie zastosuj Sprzątanie.

 

 

Strony:

 

Te dwa projekty znajdują się na 2 różnych hostingach, łączy je tylko mój komputer.

(...)

Do przesyłania plików na host’a wyżywałem TOTAL COMMANDERA: połączeniem zwykłym ftp ! Przyznaję sięteż bez bicia że miałem zapamiętane hasła w programie. Aktualnie zmieniłem program na WinSCP.

 

Trudno tu wykonać "inżynierię wsteczną" źródła infekcji, mało danych. Tu masz ogólny dokument PDF opisujący metodologię infekcji iframe: KLIK. Zwróć też uwagę na końcowy fragment:

 

"Attention! The virus may be listening in (eavesdropping) on bypassing network traffic originating from other computers on the local network (packet sniffing) to steal FTP passwords! This means that you can clean up your PC but if another PC is infected located in the same network segment, the virus can still intercept the passwords you have entered on the clean PC!

Also, be careful with FTP passwords you have saved in the past. The virus may have the potential to extract those saved passwords. Considering the dangers involved it is advisable to login to your FTP server using the SSH over FTP protocol.

Source: KLIK."

 

+

 

Cytat z linka:

 

"As it turned out, the malware steals FTP passwords with network sniffing a.k.a. promiscuous mode (at least among other ways, because I heard it can also read the stored passwords of well-know FTP clients). This means, it even steals the FTP user names and passwords that were used from a clean computer, if that computer was in the same Ethernet collision domain as the infected computer, and the password was actually used (i.e. the user has logged in to an FTP account) when the infected computer was on (and hence eavesdropping). In general, if you have some Ethernet hubs as opposed to Ethernet switches in your LAN, then depending on the exact network topology, possibly not only the infected computer is affected. Needless to say, the infected computer itself is always in its own collision domain, so even if you don't store the passwords in your FTP client (and you shouldn't), the malware still steals the password when you log in. The infected computer sends the stolen FTP credentials (and who knows what else it captured) to its masters, so the computer that will update the index.html-s via FTP (maybe hours, maybe days later) will be some random computer from around the world."

 

Problemem może być więc sieć, w której działa Twój komputer, a nie Twój komputer per se. Ale to spekulacje.

 

 

.

Odnośnik do komentarza
Czarodziej

Czarodziej

Opublikowano
  • Autor
Opublikowano

Zrobione. Wszystko ok ładnie pięknie. Raportu nie będę wklejał.

 

Jak można wyczuć z pierwszego postu, byłem przekonany (miałem przeczucie), że mój komputer nie jest problemem. Twoje spekulacje na 90% są faktami.

Aktualnie nie mam możliwości sprawdzenia 2 komputera, nie ma podstaw aby ciągnąć temat. Chciałem nabrać pewności co do mojej wersji wydarzeń.

 

PS. Twój 2 link (drugi KLIK) jest niepoprawny. Brakuje tam "-’ w adresie. Znalazłem sobie dobry (prowadzący to tej samej strony) w pdf który zaklinowałaś w 1 KLIKU. Przypuszczam, że kopiowałaś.

 

Dziękuje

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...