Новая тема   Ответить

 SashiKK
Блин, сцукохакер, зацепило индексы фрихов на этих доменах:
_1stpornportal.com
_brutal-femdom.com

Хоть на фрихи уже забил, но все равно жаль трудов

И посносило индексы еще на некоторых доменах. Ща перезаливаю.

 Sergeyka
по последним данным
трой сидит в корне дика с
и тут
System Volume Information

смотрите

 USAma
судя по топику я был из первых зараженных
снес весь хард, хистори аськи не осталось, всем кто стучал посл. 2-3 дня, просьба стукнуть еще раз!
спасибо!
ps. всем советую скачать софтину - http://z-oleg.com/secur/

 pierx
А чем она лучше-хуже?

Старое-то снес - а если опять нарвешься?

 bivin
Sergeyka писал:
А как называется файл?

 Skat
FKJGHT.exe этот походу

 ritor
Имена разные бывают. 24605 размер обычно

 sexogen
Skat писал:

там при загрузке он сохраняется с произвольным набором буков, я два раза загружал фришник и 2 раза он сохранялся с разными именами. так что надо искать по размеру , но он сохраняется в корне c:// , там сразу будет его видно. и сразу после попадания на комп он начинает конектится... если не заблокировать конект хер его знает что там загрузится еще и где его дальше искать

ЗЫ точно ясно одно, те кто работал с фтп через тотал командер все пасы ушли. юзайте фиревол только не оутпуст

 ritor
Не только Тотал, но и flashXP и CuteFTP, насколько мне известно.

 pierx
sexogen писал: Какие предложения?

 Xvost
Я читаю эту тему третий день и так и не понял, что за трой, откуда, при чем тут блоги, dr.Web с сегодняшними базами эту жуть обнаруживает?

 pierx
Analgetic писал: Вчера не обнаруживал еще, хотя лично им файл отправил

 RavE
На сиджах вроде этот же код нашел!!!
Один из трэйдеров стукнулся и сказал, что у меня троян...
Попытался грузануть свой сидж, а он только до первого топлиста загрузился...
Захожу в админку АТ3, перехожу к топлистам, а там этот сука код после кода топлиста...
Проверяйте...
ЗЫ: Что то очень много случаев в последнюю неделю...не каникулы случаем?

 morex
pierx писал:
я тоже чуть не захавал етого трояна, убил конект касперским антихакером и все

 sexogen
pierx писал:

не включать компьютер )))


http://www.securitylab.ru/virus/287933.php
короче скорее всего это и есть этот зверь, вес его сдесь больше, наверно проупдейден на pinch3.net
само интересно что трой стоит 30 уев, может заплатить больше и позволить автору написать автоинстал этой программы или эфетиквную защиту? ))

 pierx
Похож Цитата: Вот за что я люблю &RQ, FireFox и TotalCommander - что их можно не устанавливать, скопировал куда-нить позаковыристей, и работай себе - нету записей в реестре.
Приучить бы последних двух еще файлы нужные в другое место ложить - и нп

 Heavy
sexogen писал:
мне вот, чисто технически, интересно - как он умудряется в защищенную ветку реестра запись добавить... у меня под виндой, если не я запускаю программу, обязательно или касперский или сама винда переспросят - что за нах туда и зачем пишется...

по теме. да - видов угона основных вроде два - посадить троя и смотреть набор базовых мест хранения фтп-акков (типа тотала, кьюта и т.д.), и второй - хакнуть хостера и получить акаунтов пачку (чаще случается с мелкими и фришными хостингами), хотя у меня есть подозрения, что это и админы недобросовестные иногда так подрабатывают дополнительно...
как уберечься хз - от взлома хостинга - только сменой пароля периодически, что не удобно. если есть возможность - то желательно задать маску подсетки с которой возможен вход.
троев постоянно модифицируют и естественно не все предохранялки успевают их отследить, даже могут не отследить момент отправки паролей на сервер похитителя (если верить приведенной выше статье).
наверное самое лучшее решение, но к сожалению совершенно не удобное - "уйти из масс" - т.к. трои расчитаны в основном на IE и Win, то присмотреть альтернативу оным ;)
и еще хорошо, если после взлома, ваш сайт останется более менее работоспособным... добавляет записи "тупой скрипт" - и ему как правило пох куда что писать, т.е. если при добавлении в ваш код редиректа, ифрейма или еще какой гадости он не найдет места "пароквки" или найдет его не правильно, то всунет как может. в итоге часто ломаются php,asp и прочие скрипты, т.к. становятся невалидными из-за этого мусора. страдать в основном будут индексные страницы и страницы, которые у вас топовые в поисковиках.

 Heavy
pierx писал:
а вот хз... некоторые программы в таком случе всетаки далают запись в реестр заново, практически идентичную, что и при установки... так что посмотри для начала ;) -- отсутствие ветки в uninstall еще не показатель...

 dos622
Чьи фрихи вылетели из листинга на моем ЛЛ прозьба одеть презервативы.