Новая тема   Ответить

 kit
Все нормально. Без паники. Уже в курсе - хулиганили пионеры. Контроль полностью восстановлен.

Не плодите лишние топики. Дайте немного времени разобраться в ситуации. Все подробности будут здесь чуть позже.

Последний раз редактировалось: kit (07/10/06 в 17:20), всего редактировалось 4 раз(а)

 infest
имена для публичного порицания будут?

 damad
Немного поковырялся... Короче это эксплоит... Тут его описание: http://www.exploit.in/modules.php?name=News&file=view&news_id=1221

А вот его конечный код для выполнения (из мыла):

Код:

Может это поможет чем нибудь... надеюсь...

Последний раз редактировалось: damad (06/10/06 в 11:37), всего редактировалось 1 раз

 Еugene
Microsoft Internet Explorer WebViewFolderIcon (setSlice) Exploit (0day)
Works on all Windows XP versions including SP2

 Gonja
А чем он собственно грозит? Что конкретно делал эксп?
Там в примере он просто убил мне ИЕ. Не ради этого же "умельцы" парились...

 Rpk
Ждём результатов раследованья.
У меня так же умер экплорер при открытии урла
но 2 РР в линке заметил только после

 vxod
kit, a ты кит или злой хакер, пишуший под ником кита?
чем докажешь?

нафига поудаляли топики про рассылку? создайте топик-предупреждение и прикрепите его, чтоб народ знал

 rst
Беспокоится есть о чем.
эксплоит работает подWinXPSP2 и от него нет защиты. А это значит, что все, кто кликнул по линке подверглись опасности.

 Rpk
Вот вопрос и состоит в том, какой именно опасности...

 case
rst писал:

а те кто откат сделали в восстановлении системы в безопасности или все же надо топором пройтись и отфарматировать все ? и в чем суть уязвимости ?

Последний раз редактировалось: case (06/10/06 в 10:28), всего редактировалось 1 раз

 kodek
Откат системы помогает в таких случаях?

 infest
кстати очень интересно, кит это кит, или хакер-пионер?

 Еugene
суть не в уязвимости, а в том, как ее использовали
кейлоггер, пароли из аутлука, мозиллы, аськи, фтп-менеждеров, вм-кипера, ключи фета... все что угодно.

 A d u l t
Вообщем вот код в более читаемом виде:
насколько я понял, выполнение вредоносного кода производится путем срыва стека.
в строке var var2 = var1( "...." ); Как раз и есть тот самый вредоносный код. Что он делает - это надо брать дизассемблер и смотреть. Здесь я уже не силен...


Код:

Последний раз редактировалось: A d u l t (06/10/06 в 11:19), всего редактировалось 1 раз

 dzu
Не понятно, что за истерики в топике?

Переставлять систему
Форматировать винт

Лучше тогда сразу взять новый комп для надежности
Ну упал IE, подумаешь? Он и без этого по несколько раз сам по себе вис и че - систему переставлять?

Антивирусы молчат, кто страдает паранойей - прогоните их по диску и спите спокойно.

я это не писала, кто бы это был?

Последний раз редактировалось: dzu (12/02/08 в 07:26), всего редактировалось 1 раз

 kodek
lol

 A d u l t
dzu писал:
Гыы... Хочешь я тебе пришлю программку, на которую ни один антивирус даже в самом параноидальном режиме не ругнется, но эта программа выудит у тебя все пароли из системы, повесит тебе кейлоггер и по прошествии месяца вообще занулит систему.

PS: Антивирусы хороши от распространненых зараз. От индивидуально написанной заразы ничего не спасет.

 vxod
dzu писал:

молчи, женщина ;)

 Nikola
слушайте, а под оперой же эта хрень не должна стартануть?

 benzole
слава яйцам - открыл в файрфоксе с отключённым яваскрипт

 Piligrim
---

Последний раз редактировалось: Piligrim (07/10/06 в 15:18), всего редактировалось 1 раз

 A d u l t
Еще раз для всех:
Уязвим Internet Explorer 5, 6 версии и возможно 7
Для остальных браузеров угрозы нет.
Суть уязвимости в том, что путем срыва стека выполняется произвольный код, записанный в експлоите.
Тоесть у человека, зашедшего на страничку, выполнился под
правами этого человека некоторый код. Что в данном конкретном
случае делает этот - я не знаю. Нужен человек, который хорошо
разбирается в ассемблере. Код, который выполнялся в данном случае,
приведен несколькими постами выше.

 Еugene
ну файрволы тоже не без багов и известны случаи обхода некоторых файрволов (их отключение, заделывание под софт, которому разрешены исходящие соединения [браузер, почтовик и тп])...
есть еще такая хрень как "эвристический анализатор", но софт может месяцами ждать момента, что бы начать работать, так что это тоже не панацея.

 SemenSemenich
удалил

Последний раз редактировалось: SemenSemenich (06/10/06 в 17:55), всего редактировалось 2 раз(а)

 idk2045
Вот бля, имхо стоит поволноваться теперь...
Диснусь-ка я с инета, мож вирусня еще ниче не стырила у меня на компе