autor |
treść |
![](zdjecia/gwiazdka_d.gif) ![](zdjecia/gwiazdka.gif) ![](zdjecia/gwiazdka.gif)
wypowiedzi: 260
wątków: 6 |
UWAGA ATAK!
07.06.2009 (Nd) 14.14 (5519 dni temu)
W dniu wczorajszym, około godziny 13:00 pliki serwisu Farmersi.pl; zostały zaatakowane przez wirusa (Trojan-Downloader.)o nazwie:
Exploit.SWF.Agent.az (Trojan-Downloader SWF.Agent.az)
Pierwsze wzmianki na ten temat, można znaleźć tutaj:
http://www.viruslist.pl/weblog.html?weblogid=502
Ja, postaram się opracować jakieś wzkazówki - rodzaj instrukcji - jak zdentyfikować zagrożenie na komputerach użytkowników i skutecznie się go pozbyć.
Wstęni udało m się ustalić, iż nasz serwis został zaatakowany poprzez Exploit.SWF.Agent.az; załadowanym z serwera: http://globalnameshop.cn; port 8080, poprzez plik index.php
Wstępnie zalecam przeskanowanie komputerów skanerami sieciowymi; pod kątem zawartości trojanów, ataków typu "exploit" oraz istniejących luk "backdoor"...
Wicej szczegółów w krótce... |
|
![](zdjecia/gwiazdka_d.gif) ![](zdjecia/gwiazdka.gif) ![](zdjecia/gwiazdka.gif)
wypowiedzi: 260
wątków: 6
|
Ciąg dalszy...
07.06.2009 (Nd) 15.36 (5519 dni temu)
Atak rozpoczął się dokładnie w okolicach 11:30, a nie 13:00; jak wcześniej pisałem...
Pierwotny plik ataku nosił nazwę:
Exploit.Win32.Pidief.axw; a w ślad po nim Exploit.SWF.Agent.ay.
oba załadowane z serwera: < http://findabigrig.cn
Do ich załadowania wykorzystano aplikacjię Macromedia Flash Player - zainfekowany bądź podmieniony plik, prawdopodobnie nosił nazwę: Swf2Swc.
Nie znam jeszcze lokacji, do jakiej ładuje się agent, ale na pewno tworzy on kopię rezydentną w cache'u przeglądarki internetowej użytkownika - sfabrykowany plik readme.pdf.
Dlatego też należy wyczyścić cache przeglądarki internetowej!
SZERYFIE: Bezwzględnie należy zwrócić się do interii, z wnioskiem o zablokowanie dostępu do następujących stron internetowych (bazę będę na bieżąco aktualizował):
http://findabigrig.cn globalnameshop.cn
oraz (info ze źródeł zewnętrznych)
armsart.com acglgoa.com idea21.org yrwap.cn s4d.in dbios.org
DO skutecznej walki ze szkodnikiem, zalecam narzędzie "Combofix". Jednak, jeśli ktoś nie ma pojęcia o informatyce, wykraczającego poza to, czego uczą w szkołach o profilu nie zbliżonym do informatycznego, to NALEŻY POŚWIĘCIĆ TROCHĘ CZASU NA ZAPOZNANIE SIĘ Z PODSTWOWYMI PRAWAMI, JAKIE PANUJĄ W KOMPUTERZE. PONADTO BEZWZGLĘDNIE NALEŻY WYKONAĆ KOPIĘ BEZPIECZEŃSTWA SYSTEMU!
UWAGA! Bardzo istotną informacją jest to, że jeśli użytkownik posiada nielegalną kopię oprogramowania zabezpieczającego (antywirus lub pakiet) NOD32, to informuję, iż ta aplikacja - nielegalna - mimo powiadomienia o wykryciu zagrożenia nie jest na nie odporna (mowa o wersjach od 3.0.669.0 wzwyż) - jest to kwestią "crackera" o nazwie "fix", w którym celowo pozostawiono lukę. |
|
![](zdjecia/gwiazdka_d.gif) ![](zdjecia/gwiazdka.gif) ![](zdjecia/gwiazdka.gif)
wypowiedzi: 260
wątków: 6
|
Następny adres do zablokowania:
07.06.2009 (Nd) 16.06 (5519 dni temu)
http://theonlinesecurity.com |
|
![](zdjecia/gwiazdka_d.gif) ![](zdjecia/gwiazdka_d.gif)
wypowiedzi: 2960
wątków: 471
|
re: atak
07.06.2009 (Nd) 17.46 (5519 dni temu)
dzieki tylcia za te informacje. zbadamy dokładnie temat. ja tez mialem u siebie wirusa. po wielu próbach udało mi się w koncu wyeliminować go 'spyware doctorem' - do pobrania za darmo ze strony http://pack.google.com/polecam coś takiego sobie zainstalować. |
|
![](zdjecia/gwiazdka_d.gif) ![](zdjecia/gwiazdka.gif) ![](zdjecia/gwiazdka.gif)
wypowiedzi: 260
wątków: 6
|
Nie ma za co...
07.06.2009 (Nd) 17.56 (5519 dni temu)
Po prostu użytkownicy coś zauważyli, a ja trochę przeanalizowałem... Niech interia zbada problem - potwierdzi bądź zaprzeczy... Ale... Zważywszy na wybory, może mamy do czynienia z kolejnym "Wielkim chińskim atakiem" Zasadniczo chodzi o te dwa adresy: http://findabigrig.cn globalnameshop.cn; i te szkodniki: Exploit.Win32.Pidief.axw Exploit.SWF.Agent.ay Exploit.SWF.Agent.az niech też zwrócą uwagę na plik o nazwie: Swf2Swc. |
|
![](zdjecia/gwiazdka_d.gif) ![](zdjecia/gwiazdka.gif) ![](zdjecia/gwiazdka.gif)
wypowiedzi: 260
wątków: 6
|
Problem występuje nadal!
08.06.2009 (Pn) 14.59 (5518 dni temu)
W dalszym ciągu w serwisie Farmersi.pl występuje wyżej opisane zagrożenie...
Machanizm i pliki te same...
Pojawiły się jedynie nowe adresy - każdorazowo do zablokowania - oto one:
findabigrig.cn bestfindaloan.cn: bigskytopguide.cn:
Można wiedzieć, co na to interia...? Zamierzają coś z tym zrobić?!
Chcę zwtócić uwagę, że wielu użytkowników serwisu Farmersi.pl może nie posiadać skutecznych zabezpieczeń przed tym zagrożeniam (wczorajszą ofiarą padł gracz kraft); w związku z czym są oni narażeni na związane z tym problemy i nieprzyjemne sytuacje.
PS. W przeprowadzonych od wczoraj testach (we własnym zakresie) - biorąc w nich pod uwagę stosunek wydajności (obciążenie komputera i przeglądarki internetowej) do skuteczności (całkowita blokada ataków) - najlepiej wypada aplikacja z pakietów Kaspersky'ego (w wersji 7.0 i wyższej). Polecany przez Szeryfa program "Spyware doctor" jest dobrym i prostym narzędziem do walki z infekcją, która już nastąpiła... Jednak nie zalecam go do ochrony rezydentnej; z powodu generowania zbyt dużego obciążenia dla przeglądarki internetowej. Dlatego też po wykorzystaniu aplikacji, zalecam jej odinstalowanie. |
|
![](zdjecia/gwiazdka_d.gif) ![](zdjecia/gwiazdka.gif) ![](zdjecia/gwiazdka.gif) ![](zdjecia/gwiazdka.gif)
wypowiedzi: 85
wątków: 23
|
Mnie też
08.06.2009 (Pn) 15.25 (5518 dni temu)
Potwierdzam mnie też dzisiaj robactwo ze strony farmersów atakowało |
|
![](zdjecia/gwiazdka_d.gif) ![](zdjecia/gwiazdka.gif) ![](zdjecia/gwiazdka.gif)
wypowiedzi: 260
wątków: 6
|
Prawdopodobne...
08.06.2009 (Pn) 17.42 (5518 dni temu)
Infekcja może być ukryta w zaimplantowanym na stronie player'rze... - taką informację można przekazać interii (niech zweryfikują). Autorami są (jeśli są - wszystko jednak na to wskazuje) Rosjania, a nie Chińczycy, jak wstępnie myślałem... |
|
![](zdjecia/gwiazdka_d.gif) ![](zdjecia/gwiazdka.gif) ![](zdjecia/gwiazdka.gif)
wypowiedzi: 260
wątków: 6
|
Zasada działania...
08.06.2009 (Pn) 18.58 (5518 dni temu)
http://www.viruslist.pl/weblog.html?weblogid=474
Pod powyższym adresem znajduje się dokładny opis zasady działania zagrożena, z którym mamy tu do czynienia - może komuś się przyda... |
|
![](zdjecia/gwiazdka.gif) ![](zdjecia/gwiazdka.gif)
wypowiedzi: 213
wątków: 14
|
Może...
09.06.2009 (Wt) 12.55 (5517 dni temu)
heh, też bym chciał tak badać czy nie mam jakiegoś wirusa w komputerze... tak czy siak, dziękuję ci za to wszystko tylcia, przyda mi się to do mojej książki...
edit: wiesz może tylcia, jak wykryć kogoś wewnętrzne ip? |
|
![](zdjecia/gwiazdka_d.gif) ![](zdjecia/gwiazdka.gif) ![](zdjecia/gwiazdka.gif)
wypowiedzi: 260
wątków: 6
|
Hmm...
09.06.2009 (Wt) 14.05 (5517 dni temu)
Jak na książkę, to zdecydowanie za mało - ledwie epizod z życia jednego robaczka Co do IP, to sposobów jest masa. Tu polecam lekturę pt. "Twój przyjaciel Google" Pozdrawiam... i uszy do góry |
|
![](zdjecia/gwiazdka_d.gif) ![](zdjecia/gwiazdka_d.gif)
wypowiedzi: 182
wątków: 4
|
Kolejny atak - tylcia mozesz to sprawdzić?
10.06.2009 (Śr) 08.47 (5517 dni temu)
tym razem z adresu
http:// madiahousenamebuyvideo.cn:8080/cache/readme.pdf ładuje się trojan: Exploit.Pidief.OOK
Szeryfie - czas najwyższy coś z tym zrobić. Za dużo tych ataków ostatnio. Praktycznie nie ma dnia, żeby coś sie nie przypałętało. |
|
![](zdjecia/gwiazdka_d.gif) ![](zdjecia/gwiazdka_d.gif)
wypowiedzi: 2960
wątków: 471
|
taa...
10.06.2009 (Śr) 10.44 (5517 dni temu)
walczymy z tym badziewiem. pare razy zmienialismy haslo na ftp, kompa przeskanowałem chyba wszystkim czym sie dało... a to cos ciagle się odradza.
ale w koncu wyplenimy go. |
|
![](zdjecia/gwiazdka_d.gif) ![](zdjecia/gwiazdka.gif) ![](zdjecia/gwiazdka.gif)
wypowiedzi: 260
wątków: 6
|
Walka trwa!
11.06.2009 (Cz) 02.28 (5516 dni temu)
pixi...
Adres w pełni zgodny. Ale za to ja nie wykryłem żadnych mutacji - nadal .azc Skąd masz info - jaki soft Ci to wykrył...? Bo może jest tylko różnica w definicjach.
To dość ważne.
Ktoś jeszcze zauważył jakieś różnice w porównaniu do poprzednich ataków (nazwy, rozszerzenia itp.)? |
|
![](zdjecia/gwiazdka_d.gif) ![](zdjecia/gwiazdka_d.gif)
wypowiedzi: 182
wątków: 4
|
Wyłapał
11.06.2009 (Cz) 10.05 (5516 dni temu)
mi to NOD. Zresztą osobiście widziałem jak się ładowało przy otwarciu Framersów. Wszystko przebiegało dokładnie jak do tej pory. |
|
wypowiedzi: 55
wątków: 16
|
...
16.06.2009 (Wt) 10.25 (5511 dni temu)
ataki jeszcze nie ustały. ktoś się tym zajmuje czy nie? |
|
![](zdjecia/gwiazdka_d.gif) ![](zdjecia/gwiazdka_d.gif)
wypowiedzi: 2960
wątków: 471
|
zabezpieczenia wprowadzone
16.06.2009 (Wt) 13.10 (5510 dni temu)
wprowadzone zostały pewne zabezpieczenia, które powinny uniemożliwić pojawianie się tego problemu. sytuację oczywiście monitorujemy i jak tylko cos sie złośliwego pojawia, to szybko usuwamy. |
|
![](zdjecia/gwiazdka_d.gif) ![](zdjecia/gwiazdka.gif) ![](zdjecia/gwiazdka.gif)
wypowiedzi: 260
wątków: 6
|
Uwaga na nowe zagrożenia!
30.06.2009 (Wt) 18.54 (5496 dni temu)
|
|