Информация для размышления - вирусы на русских спонах.

Антивирусы и другие программы, обеспечивающие защиту компьютеров от проникновения вредоносного содержимого (вирусы, трояны и т.п.).
Иные способы борьбы с "непрошеными гостями".
Меры борьбы со спамом и атаками на компьютеры и сайты.
Помощь в обнаружении вредоносов и очистке системы.

Модератор: McFlooder

fedor
Специалист
Сообщения: 294
Зарегистрирован: Вт апр 17, 2007 5:35 pm
Контактная информация:

Сообщение fedor » Вт июл 10, 2007 1:51 am

я думаю, будет интересна информация, хотя бы для размышления!
в последнее время переругался со многими админами русских почтовиков....
суть ругани, их полное отсутствие желания думать не о своей прибыли, а и о своем имидже, если можно так назвать.
не буду повторяться про всем известного админа, которого знают как VITAMIN, вот, кое что поновее
1:22:43 Атакующий заблокирован Обнаружено сканирование портов с адреса 216.150.146.101 (порты: TCP (1337, 1328))
0:58:45 Атакующий заблокирован Обнаружено сканирование портов с адреса webspon.ru (порты: TCP (2341, 2331))
0:40:14 Атакующий заблокирован Обнаружено сканирование портов с адреса zcasher.info (порты: TCP (3696, 3695))
0:04:05 Атакующий заблокирован Обнаружено сканирование портов с адреса rasshim.ru (порты: TCP (3199, 3153))
09.07.2007 8:57:26 Атакующий заблокирован Обнаружено сканирование портов с адреса rasshim.ru (порты: TCP (1298, 1203))
08.07.2007 1:53:04 Атакующий заблокирован Обнаружено сканирование портов с адреса makemoneymail.net (порты: TCP (3373, 3360))
06.07.2007 9:57:02 Атакующий заблокирован Обнаружено сканирование портов с адреса rasshim.ru (порты: TCP (1083, 1062))
06.07.2007 0:35:04 Атакующий заблокирован Обнаружено сканирование портов с адреса zcasher.info (порты: TCP (4279, 4211))
как понимаете реакции либо полный ноль, либо ответы типа-ни у кого нет, а у тебя есть!!! :twisted:
короче, люди, работая с ниже приведенными почтовиками, имейте ввиду - не ровен час, и заработки можете потерять и система может рухнуть:
goldmails.info
rasshim.ru
makemoneymail.net
webspon.ru
wmeil.ru
и т.д., но остальные менее опасны....
:cool:

Аватара пользователя
MBell
Директор школы
Сообщения: 13013
Зарегистрирован: Вс апр 01, 2007 2:19 pm
Откуда: Israel
Контактная информация:

Сообщение MBell » Вт июл 10, 2007 2:10 am

Добавлю.
Не только почтовики. На VipIP вчера был вирус.
До этого фаервол выдавал сообщение об атаке с этого узла.
У одной из наших участниц на этом спонсоре были откручены на рекламу все находящиеся на аккаунте деньги. Админ же посоветовал ей проверить свой комп, хотя ее фаервол зафиксировал атаку с VipIP, а мой антивирус 9 раз сигнализировал о вирусе!
К сожалению она не записала полное название сайта, в пользу которого производилась открутка средств!

В самом деле, русские споны становятся небезопасны.
Хотя и на GetpaidForum тоже обнаружила вирус и именно в теме Advertising Offers! И не я одна.
Идет с сайта good-traffic.nk/mail Как название? :twisted:

P.S. Fedor! Где пропал?

afalcon
Сообщения: 1
Зарегистрирован: Ср июн 20, 2007 4:38 pm

Сообщение afalcon » Вт июл 10, 2007 1:35 pm

Да там их тысячи (с) не мой :D

Я думал, что все знают о том, что с русских спонов постоянно лезет всякая гадость! Ну, в принципе не с самих спонов, а с их рекламы, но от этого не легче. У меня доступ к интернету организован следующим образом:

Кабельный модем подключен к компьютеру с 2003-м сервером, на котором стоит керио вин-рут файрвол. С этого компа инет раздается в локалку (на несколько квартир). + на сервере ведутся (и изучаются)логи. На моем компе стоит Касперский и Агнитум оутпост.

Так, вот за сеанс (6-7 спонов) касп фиксирует от 2-3 до 9-10 вирусов!

Прилагаю вчерашнй протокол (даже часть, так как обнулял его):

обнаружено: троянская программа Trojan-Downloader.VBS.Small.dh Скрипт: http://www.j-profit.info/[1]
удалено: троянская программа Trojan-Downloader.JS.Agent.kd Файл: E:\Documents and Settings\Alex Falcon\Local Settings\Temporary Internet Files\Content.IE5\TNZL20XB\index[2].htm
обнаружено: троянская программа Trojan-Downloader.JS.Agent.kd Скрипт: http://neosap.ru/surf?rnd=165216[1]


А, вот за пару дней собралось в каратнине (перед удалением ;)

Заражен: троянская программа Trojan-Downloader.JS.Agent.kd E:\Documents and Settings\Alex Falcon\Local Settings\Temporary Internet Files\Content.IE5\NA8ZR1O5\index[5].htm 4.1 КБ
Заражен: троянская программа Trojan-Downloader.JS.Psyme.el E:\Documents and Settings\Alex Falcon\Local Settings\Temporary Internet Files\Content.IE5\U10BI5CD\exp[1].htm 4 КБ
Заражен: троянская программа Trojan-Downloader.JS.Agent.jn E:\Documents and Settings\Alex Falcon\Local Settings\Temporary Internet Files\Content.IE5\SZM76PY1\exp[1].htm 10.4 КБ
Заражен: троянская программа Trojan-Downloader.VBS.Psyme.fc E:\Documents and Settings\Alex Falcon\Local Settings\Temporary Internet Files\Content.IE5\YDSTKJWZ\index[7].htm 6 КБ
Заражен: троянская программа Trojan-Downloader.JS.Agent.kd E:\Documents and Settings\Alex Falcon\Local Settings\Temporary Internet Files\Content.IE5\YTL6RADK\index[3].htm 27.0 КБ
Заражен: троянская программа Trojan-Downloader.JS.Agent.kd E:\Documents and Settings\Alex Falcon\Local Settings\Temporary Internet Files\Content.IE5\PD86ZAVM\index[1].htm 27.0 КБ
Заражен: троянская программа Trojan-Downloader.JS.Psyme.hf E:\Documents and Settings\Alex Falcon\Local Settings\Temporary Internet Files\Content.IE5\W1MJ8DIN\index[1].htm 3.1 КБ
Заражен: троянская программа Trojan-Downloader.JS.Psyme.el E:\Documents and Settings\Alex Falcon\Local Settings\Temporary Internet Files\Content.IE5\SZM76PY1\exp[1].htm 4 КБ
Заражен: троянская программа Trojan-Downloader.JS.Psyme.fq E:\Documents and Settings\Alex Falcon\Local Settings\Temporary Internet Files\Content.IE5\4TYJC5U3\exploit5[1].htm 5.0 КБ
Заражен: троянская программа Trojan-Downloader.JS.Agent.jn E:\Documents and Settings\Alex Falcon\Local Settings\Temporary Internet Files\Content.IE5\U38RF050\exp[1].htm 10.4 КБ
Заражен: троянская программа Trojan-Downloader.JS.Psyme.el E:\Documents and Settings\Alex Falcon\Local Settings\Temporary Internet Files\Content.IE5\U38RF050\exp[1].htm 4 КБ
Заражен: троянская программа Rootkit.Win32.Agent.fb C:\sysrazs.exe 7.3 КБ
Заражен: троянская программа Trojan-Downloader.JS.Agent.kd E:\Documents and Settings\Alex Falcon\Local Settings\Temporary Internet Files\Content.IE5\TNZL20XB\index[2].htm 27.0 КБ
Заражен: троянская программа Trojan-Downloader.JS.Psyme.el E:\Documents and Settings\Alex Falcon\Local Settings\Temporary Internet Files\Content.IE5\8Z7ZYKPP\exp[1].htm 4 КБ
Заражен: троянская программа Trojan-Downloader.JS.Psyme.fq E:\Documents and Settings\Alex Falcon\Local Settings\Temporary Internet Files\Content.IE5\I5F0TSJE\exploit5[1].htm 5.0 КБ
Заражен: троянская программа Trojan-Downloader.JS.Psyme.im E:\Documents and Settings\Alex Falcon\Local Settings\Temporary Internet Files\Content.IE5\4TYJC5U3\sploit[1].htm 3.3 КБ
Заражен: троянская программа Trojan-Downloader.JS.Agent.jn E:\Documents and Settings\Alex Falcon\Local Settings\Temporary Internet Files\Content.IE5\8Z7ZYKPP\exp[1].htm 10.4 КБ
Заражен: троянская программа Trojan-Downloader.JS.Psyme.fq E:\Documents and Settings\Alex Falcon\Local Settings\Temporary Internet Files\Content.IE5\5UFTATFF\index[1].htm 7.5 КБ
Заражен: троянская программа Trojan-Downloader.JS.Agent.jn E:\Documents and Settings\Alex Falcon\Local Settings\Temporary Internet Files\Content.IE5\UHG3EPCP\clinica7[1].htm 52 КБ
Заражен: троянская программа Trojan-Downloader.JS.Agent.jn E:\Documents and Settings\Alex Falcon\Local Settings\Temporary Internet Files\Content.IE5\U10BI5CD\exp[1].htm 10.4 КБ
Заражен: троянская программа Trojan-Downloader.JS.Agent.kd E:\Documents and Settings\Alex Falcon\Local Settings\Temporary Internet Files\Content.IE5\ODOG0JT3\index[2].htm 12.7 КБ
Заражен: троянская программа Trojan-Downloader.JS.Psyme.el E:\Documents and Settings\Alex Falcon\Local Settings\Temporary Internet Files\Content.IE5\4TYJC5U3\exp[1].htm 3.7 КБ
Заражен: троянская программа Trojan-Downloader.JS.Agent.kd E:\Documents and Settings\Alex Falcon\Local Settings\Temporary Internet Files\Content.IE5\ODOG0JT3\index[2].htm 27.0 КБ
Заражен: троянская программа Trojan-Downloader.JS.Agent.kd E:\Documents and Settings\Alex Falcon\Local Settings\Temporary Internet Files\Content.IE5\NA8ZR1O5\index[5].htm 27 КБ
Заражен: троянская программа Trojan-Downloader.JS.Psyme.ea E:\Documents and Settings\Alex Falcon\Local Settings\Temporary Internet Files\Content.IE5\H4WNLPO5\index[1].htm 21.3 КБ
Заражен: троянская программа Trojan-Downloader.JS.Agent.jn E:\Documents and Settings\Alex Falcon\Local Settings\Temporary Internet Files\Content.IE5\4TYJC5U3\exp[1].htm 10.4 КБ

Зеринец просто ;)))

Поэтому у меня установлена "специальная" винда для серфинга, которая легко восстанавливается из бэкапа (нортон гост).

Меня неделю, наверно, сканировал 83.97.109.11

Ну, в общем с русскими понятно ;))) А вот с зарубежкой намного поспокойней. За неделю только один раз побеспокоили!

Удачи всем и осторожности.

Лучше перебдеть, чем недобдеть (с) не мой ;)

fedor
Специалист
Сообщения: 294
Зарегистрирован: Вт апр 17, 2007 5:35 pm
Контактная информация:

Сообщение fedor » Пт июл 13, 2007 12:13 am

ну я вообще молчу, про такие атаки!
я их даже в расчет не брал! их блокирует файрвол и все. то что я описал, блокируется файрволом более серьезно: блокирует по маске сети на 5 минут (пользовательская функция). это говорит только о том, что это более серьезные атаки!!!

кстати MBell, я так думаю, а не пора ли на этом форуме сделать отдельный раздел, типа "не объяснимо, но факт!!"

к чему это я: мы долго можем рассуждать каким браузером пользоваться и т.д. т.п., но вот то, что у меня постоянно включен оуго, позволяет очень часто замечать вирусные или потенциально опасные узлы:-) смотрим сюда и делаем выводы!!!
что пытался загрузить этот почтовый спонсор на мой компьютер, без моего согласия!? уж не троянчика ли мне прикрепить?
а ведь если бы я залес на этот сайт с мозиллы или оперы (любого браузера не на движке IE) с вероятностью в 100 % эта гадость бы без проблем сохранилась бы на компе :!: :!: :!:
может кто хочет проверить? minimuma.net ласково просимо:-) все последствия на вас :twisted:

Аватара пользователя
MBell
Директор школы
Сообщения: 13013
Зарегистрирован: Вс апр 01, 2007 2:19 pm
Откуда: Israel
Контактная информация:

Сообщение MBell » Ср авг 01, 2007 6:14 pm

Необъяснимо, но факт?
Вот и пример. Были жалобы на троян при серфинге в Русип. Называли то один сайт, то другой. Сам вирус подсажен на адрес soso32.org/500/Xp/gt.php (Exploit. Multi.Qtp.BTrojan)
До этого был какой то bobo32.
Напрашивется вопрос: Не с самого ли с Русипа он загружается, причем как говорят, именно в начале серфа, а не с какого-то определенного сайта.

Еще этот же троян идет под адресом zloy-host.biz/ice/exe.php?=1 (как имечко?)
И тоже при серфинге в каком-то русского споне. И тоже зафиксирован неоднократно!
Так или не так- проверяйте.

igneus
Студент
Сообщения: 32
Зарегистрирован: Пт апр 20, 2007 11:06 am
Контактная информация:

Сообщение igneus » Чт авг 23, 2007 5:56 pm

отписал свое мнение по поводу zcasher:
viewtopic.php?t=358

Аватара пользователя
Audioman
Завхоз школы
Сообщения: 700
Зарегистрирован: Вс апр 01, 2007 2:31 pm

Сообщение Audioman » Пт авг 24, 2007 8:52 am

fedor писал(а):смотрим 87_min.jpg и делаем выводы!!!
что пытался загрузить этот почтовый спонсор на мой компьютер, без моего согласия!? уж не троянчика ли мне прикрепить?
а ведь если бы я залес на этот сайт с мозиллы или оперы (любого браузера не на движке IE) с вероятностью в 100 % эта гадость бы без проблем сохранилась бы на компе :!: :!: :!:
может кто хочет проверить? minimuma.net ласково просимо:-) все последствия на вас :twisted:
Он пытается згрузить сертификат вебмани, это из html кода minimuma.net:

Код: Выделить всё

<a href="https://passport.webmoney.ru/asp/certview.asp?wmid=254567893043" target=_blank><IMG SRC="https://passport.webmoney.ru/images/atstimg/attestated3.gif"></a>

igneus
Студент
Сообщения: 32
Зарегистрирован: Пт апр 20, 2007 11:06 am
Контактная информация:

Сообщение igneus » Пт авг 24, 2007 1:04 pm

Audioman писал(а):Он пытается згрузить сертификат вебмани
как-то не сходится, сертификат ведь с сервера вебмани грузится, а не с сайта

Аватара пользователя
Audioman
Завхоз школы
Сообщения: 700
Зарегистрирован: Вс апр 01, 2007 2:31 pm

Сообщение Audioman » Пт авг 24, 2007 1:44 pm

Да. не сертификат, а картинку. а она с https

igneus
Студент
Сообщения: 32
Зарегистрирован: Пт апр 20, 2007 11:06 am
Контактная информация:

Сообщение igneus » Пт авг 24, 2007 1:55 pm

Audioman писал(а):Да. не сертификат, а картинку. а она с https
ну все равно:
1. ip был бы сервера вебмани
2. не думаю, что протокол https подразумевает сканирование портов

Ответить