Поймал трояна, кажется, что с ним делать?
Зайди на сайт адобе для начала и проверь версию флеша.
Установи сканер уязвимостей от секунии и узнай много интересного.
UPD. Как раз под рукой работающая машина была с Windows XP на VirtualBox. В ней он запустился и сразу же завершился, ничего нового в автозагрузке не появилось, так что похоже, что он обнаруживает виртуальную среду.
Установи сканер уязвимостей от секунии и узнай много интересного.
UPD. Как раз под рукой работающая машина была с Windows XP на VirtualBox. В ней он запустился и сразу же завершился, ничего нового в автозагрузке не появилось, так что похоже, что он обнаруживает виртуальную среду.
Oh wow.
> проверь версию флеша.
Последняя.
> Установи сканер уязвимостей от секунии и узнай много интересного.
Узнал. Мне надо удалить флеш и дотнет фреймворк. Спасибо, нахуй.
Дальше, всё становится интереснее и интереснее — хуй пойми откуда завёлся и упал с ошибкой (так что я его срочно открыл в вижуалстудии) "C:\Documents and Settings\User\Start Menu\Programs\Startup\syscron.exe", прям пока секуния сканировала.
Что самое интересное — если посмотреть на него процэксплорером, у него в environment есть строчки
USERNAME=TEAM iNFECTED
USERKEY=TEAM iNFECTED
И это начинает вызывать у меня дичайшие подозрения внезапно. Потому что написанный на жаве монитор от моего упса (Mustek скачанный с сайта производителя, с какого-то хуя создавал директорию с такими же словами в имени где-то в аппдате/java_perf_something. Полгода назад. Я подумал, что криворукие индусы совершили какую-то хуйню но поискав в интернетах ключевые слова, решил что это неопасно. Видимо, блядь, зря.
Сейчас поубиваю всё это говно нах и попытаюсь перегрузиться, надеюсь, оно ещё не успело превратить границы между разделами в кашу!
> проверь версию флеша.
Последняя.
> Установи сканер уязвимостей от секунии и узнай много интересного.
Узнал. Мне надо удалить флеш и дотнет фреймворк. Спасибо, нахуй.
Дальше, всё становится интереснее и интереснее — хуй пойми откуда завёлся и упал с ошибкой (так что я его срочно открыл в вижуалстудии) "C:\Documents and Settings\User\Start Menu\Programs\Startup\syscron.exe", прям пока секуния сканировала.
Что самое интересное — если посмотреть на него процэксплорером, у него в environment есть строчки
USERNAME=TEAM iNFECTED
USERKEY=TEAM iNFECTED
И это начинает вызывать у меня дичайшие подозрения внезапно. Потому что написанный на жаве монитор от моего упса (Mustek скачанный с сайта производителя, с какого-то хуя создавал директорию с такими же словами в имени где-то в аппдате/java_perf_something. Полгода назад. Я подумал, что криворукие индусы совершили какую-то хуйню но поискав в интернетах ключевые слова, решил что это неопасно. Видимо, блядь, зря.
Сейчас поубиваю всё это говно нах и попытаюсь перегрузиться, надеюсь, оно ещё не успело превратить границы между разделами в кашу!
Надеемся, что ты вернешься к нам!
Узнал. Мне надо удалить флеш и дотнет фреймворк.Ты уверен, что у тебя последний флеш? Скорее всего, секуния ругается, потому что остались библиотеки прошлых версий. Я просто удалял флеш, а потом ставил заново, но есть и какие-то спецудалялки старых версий от Адоба.
.NET Framework нужно просто накормить обновлениями. Загляни на updates.microsoft.com, увидишь патчи для него, выложенные вне графика обновлений.
UPD. В секунии включи нормальный интерфейс, а не тот, что идет по умолчанию.
ОСТОРОЖНО БЛЯ!Как прикольно сидеть под Линуксом и улыбаться, читая такие предостережения.
По теме: снеси винду нах. Линуксом уже давно можно пользоваться на десктопе. Не нравится? Мак уж точно всем устроит.
Но виндой вообще не понимаю зачем сейчас пользоваться...
а ты её под вайном, под вайном! 
а ты её под вайном, под вайном!Если честно, вайн не стоит, ставить ради какой-то вирусной поделки лень...
сигнатуры такие, значит
Kaspersky: Trojan-Spy.Win32.Zbot.aqmt
Вероятнее всего, пиздит инфу некую (http://www.securelist.com/ru/blog/32169/Zbot_sobiraet_nalogi).
Вот, может, и попытался слить куда надо.
Очень вероятно, что не один у тебя там. Кто-то же его дропнул.
Решение минимум: загрузиться с лайв-сиди того же Касперского, ну или кого другого, и просканить.
Максимум: собрать необходимую инфу (http://virusinfo.info/pravila.html в первую очередь отчет avz, и переслать в тот форум.
В приниципе, и я смогу помочь попробовать найти, что там не так, но со сроками не гарантирую.
Ну и, наконец, стоит задуматься об антивирусе
Вероятнее всего, пиздит инфу некую (http://www.securelist.com/ru/blog/32169/Zbot_sobiraet_nalogi).
Вот, может, и попытался слить куда надо.
Очень вероятно, что не один у тебя там. Кто-то же его дропнул.
Решение минимум: загрузиться с лайв-сиди того же Касперского, ну или кого другого, и просканить.
Максимум: собрать необходимую инфу (http://virusinfo.info/pravila.html в первую очередь отчет avz, и переслать в тот форум.
В приниципе, и я смогу помочь попробовать найти, что там не так, но со сроками не гарантирую.
Ну и, наконец, стоит задуматься об антивирусе
Но виндой вообще не понимаю зачем сейчас пользоватьсяFj деньги под виндой зарабатывает.
Fj деньги под виндой зарабатывает.Казалось бы можно сидеть на линуксе, а для каждой рабочей сессии стартовать VMWare с чистым образом (только винда + установленные программы типа Visual Studio)
Но вообще, конечно, все равно костыли.
Спасибо, поставил Kaspersky Virus Removal Tool, во всём разобрался. Клёвая штука, кстати, бесплатная, но делает всё, что мне нужно. Правда, очень долго сканит хтмлки в мсднах например, десять часов ушло на полное сканирование системного диска =/
Вектором оказалась дырявая жава, сквозь которую через браузеры (и Оперу, и Хром — у них в кэшах нашлись копии всей пакости) пролез апплет "Trojan-Downloader.Java.Agent.af", ну и понакачал всякого. Потому что я где-то год назад отключил автообновлялку жавы, потому что она кажется предложила поставить айтюнс или ещё какую-то херню в таком духе.
Если кому интересно:
Дизассемблированный код: http://pastebin.com/zrWTEPLu
По поводу чего вопрос, кстати: это что за пиздец вообще? То есть апдейты — апдейтами, но это нормально вообще, что жава 1.6.0_13 (когда текущая версия — 1.6.0_21) тупо разрешает делать такое? Не повод ли это потерять доверие к криворуким индусам навсегда? Или там на самом деле какая-нибудь нетривиальная чорная магия в байткоде, сводящая с ума верифаер но в дизассемблированом коде незаметная?
----------
Пианисту и сочувствующим: нет, зарабатываю деньги я как раз даже не под линуксом, а под юниксом как бы. Посредством путти и GVim over XMing =)
Видите ли, ваши предпочтения определённым и очень важным образом отличаются от моих, но вы этого не знаете. Вам _нравится_ поковыряться в софте порой, особенно если это не беспомощный перебор комбинаций настроек, а активное занятие включающее в себя патченье и перекомпиляцию кода, например. В этом самом по себе ничего плохого нет — ну вот я приду порой домой, заскучаю да и решу какую-нибудь задачку из Project Euler. И очень рад если вдруг по работе приходится какой-нибудь не вполне тривиальный алгоритм забабахать. А вы приходите домой и решаете попробовать новый WM; и совершенно не расстраиваетесь, когда после апдейта внезапно отваливается звук, типа, развлечение же.
Проблема в том, что вы совершенно не можете представить, как это так может быть когда человек не хочет ковыряться в системе вообще, совершенно, когда нет такого уровня внимания к ней сверх которого, понятно, неприятно, но если меньше — то развлечение и повод посмотреть, как там на самом деле всё устроено, интересно же! Поэтому рассуждения про "давно допиленную убунту" для меня например звучат в точности как если бы какой-нибудь умудрённый гей снисходительно жаловался что дескать люди не в теме судят о гомосексуализме по страшилкам десятилетней давности, тогда как in this day and age никто не будет вас трахать шипастым полуметровым страпоном в грязном подвале (если сами не попросите вокруг полно нежных, ласковых, ухоженных мужчин.
Вектором оказалась дырявая жава, сквозь которую через браузеры (и Оперу, и Хром — у них в кэшах нашлись копии всей пакости) пролез апплет "Trojan-Downloader.Java.Agent.af", ну и понакачал всякого. Потому что я где-то год назад отключил автообновлялку жавы, потому что она кажется предложила поставить айтюнс или ещё какую-то херню в таком духе.
Если кому интересно:
Дизассемблированный код: http://pastebin.com/zrWTEPLu
По поводу чего вопрос, кстати: это что за пиздец вообще? То есть апдейты — апдейтами, но это нормально вообще, что жава 1.6.0_13 (когда текущая версия — 1.6.0_21) тупо разрешает делать такое? Не повод ли это потерять доверие к криворуким индусам навсегда? Или там на самом деле какая-нибудь нетривиальная чорная магия в байткоде, сводящая с ума верифаер но в дизассемблированом коде незаметная?
----------
Пианисту и сочувствующим: нет, зарабатываю деньги я как раз даже не под линуксом, а под юниксом как бы. Посредством путти и GVim over XMing =)
Видите ли, ваши предпочтения определённым и очень важным образом отличаются от моих, но вы этого не знаете. Вам _нравится_ поковыряться в софте порой, особенно если это не беспомощный перебор комбинаций настроек, а активное занятие включающее в себя патченье и перекомпиляцию кода, например. В этом самом по себе ничего плохого нет — ну вот я приду порой домой, заскучаю да и решу какую-нибудь задачку из Project Euler. И очень рад если вдруг по работе приходится какой-нибудь не вполне тривиальный алгоритм забабахать. А вы приходите домой и решаете попробовать новый WM; и совершенно не расстраиваетесь, когда после апдейта внезапно отваливается звук, типа, развлечение же.
Проблема в том, что вы совершенно не можете представить, как это так может быть когда человек не хочет ковыряться в системе вообще, совершенно, когда нет такого уровня внимания к ней сверх которого, понятно, неприятно, но если меньше — то развлечение и повод посмотреть, как там на самом деле всё устроено, интересно же! Поэтому рассуждения про "давно допиленную убунту" для меня например звучат в точности как если бы какой-нибудь умудрённый гей снисходительно жаловался что дескать люди не в теме судят о гомосексуализме по страшилкам десятилетней давности, тогда как in this day and age никто не будет вас трахать шипастым полуметровым страпоном в грязном подвале (если сами не попросите вокруг полно нежных, ласковых, ухоженных мужчин.
Но ведь ты только что потратил уйму времени на то, чтобы разобраться с трояном, вроде бы!
Но ведь это первый раз за пять лет наверное! Алсо, жава же виновата! Алсо, есть принципиальная разница между редко и случайно случающейся необходимостью поковыряться (например, если вдруг сдохнет винт, придётся переставить винду и потратить полчаса на просмотр всех administrative templates) и как бы заложенной в конструкцию!
@lost: ну вот я объяснил — непатченная жава + интернет = автоматически появляющиеся в персональном компьютере вирусы, без какого-либо участия со стороны пользователя.
@lost: ну вот я объяснил — непатченная жава + интернет = автоматически появляющиеся в персональном компьютере вирусы, без какого-либо участия со стороны пользователя.
о, ты как никак в теме? Я и таких слов то не знаю
in this day and age никто не будет вас трахать шипастым полуметровым страпоном в грязном подвале (если сами не попросите вокруг полно нежных, ласковых, ухоженных мужчин
// о, ты как никак в теме? Я и таких слов то не знаю
Как говорится, [старательно конспектирует].
Как говорится, [старательно конспектирует].
Интересно стало, а бесплатный антивирус Microsoft Security Essentials кто-нибудь использует кроме меня? Или я один такой лох?
Проблема в том, что вы совершенно не можете представить, как это так может быть когда человек не хочет ковыряться в системе вообще, совершенно, когда нет такого уровня внимания к ней сверх которого, понятно, неприятно, но если меньше — то развлечение и повод посмотреть, как там на самом деле всё устроено, интересно же! Поэтому рассуждения про "давно допиленную убунту" для меня например звучат в точности как если бы какой-нибудь умудрённый гей снисходительно жаловался что дескать люди не в теме судят о гомосексуализме по страшилкам десятилетней давности, тогда как in this day and age никто не будет вас трахать шипастым полуметровым страпоном в грязном подвале (если сами не попросите вокруг полно нежных, ласковых, ухоженных мужчин.неплохой вброс, респект
Компания «Доктор Веб» сообщает о выпуске обновленной 6ой версии Антивируса Dr.Web для Linux.
В продукт были добавлены новые возможности и внесены важные изменения.
Основным нововведением стала возможность выбора прокси-сервера для модуля обновления. Это позволяет получать обновления вирусных баз для Антивируса Dr.Web для Linux на компьютерах, не имеющих прямого доступа к серверам «Доктор Веб».
ООО«Доктор Веб»
Адрес: 125124, Россия, Москва,
3-я улица Ямского поля, вл.2, корп.12А
В продукт были добавлены новые возможности и внесены важные изменения.
Основным нововведением стала возможность выбора прокси-сервера для модуля обновления. Это позволяет получать обновления вирусных баз для Антивируса Dr.Web для Linux на компьютерах, не имеющих прямого доступа к серверам «Доктор Веб».
ООО«Доктор Веб»
Адрес: 125124, Россия, Москва,
3-я улица Ямского поля, вл.2, корп.12А
вот так малварь на линукс и попадает, через левые проприетарные бинарники, которые требует себе привилегий рута.
Интересно стало, а бесплатный антивирус Microsoft Security Essentials кто-нибудь использует кроме меня? Или я один такой лох?Я использую. Не жалуюсь. Он, конечно, бесплатный, да только винду лицензионную хочет. С некоторой вероятностью перейду на Касперский в ближайшее время.
отлови и заспиртуй
Уязвимость не в java, уязвимость в Java Web Start, который позволял выставлять командую строку для java, а через нее ставить агент для отладки и профилирования java-программ, в котором можно было прописать любой код.
То есть вот этот апплет ставился как такой отладчик?
за всю жизнь в этот раздел заходил ну раза три наверное.
а оказывается тут так интересно :-)
с интересом прочитал весь тред.
Fj молодец.
Жуниту - у меня тоже тот бесплатный антивирус.
а оказывается тут так интересно :-)
с интересом прочитал весь тред.
Fj молодец.
Жуниту - у меня тоже тот бесплатный антивирус.
Оставить комментарий
bleyman
Спрашиваю здесь, а не в H&S, потому что я как-то местному контингенту больше доверяю, ну и вообще, вопрос наверное довольно адвансед.Короче, сижу, никого не трогаю, тут вдруг выскакивает окошко от виндовс фаервола что Касперски Антивирус хочет в интернеты. Я немножко удивляюсь, потому что сроду его у меня не стояло, посылаю нах конечно же, запускаю сисинтерналовский ProcExplorer, а он тут же шатдаунится! Правда, я успеваю увидеть незнакомый процесс, потом запускаю обычный таск менеджер и действительно, есть какая-то левая шняга leab.exe (скорее всего рандомное имя). Оттуда я его спокойно убиваю (прозреваю, в силу 64битности венды потом нахожу образ — "Documents and Settings/User/Application Data/Vakuop/leab.exe" (тоже наверняка рандомное имя) и таки да, оно делает вид, что подписано Касперским, хотя сертификат невалиден.
То есть это практически наверняка что-то вредоносное, кто ещё попытается подписаться невалидным сертификатом на имя Касперского и убить процэксплорер?
Причём понятия не имею откуда оно могло взяться: из программ в последнее время ставил только официальный даунлоадер для Мехварриора4 (http://mektek.net/, он бесплатный кстати стал! но это было вчера, так оно появилось когда смотрел какую-то фигню на ustream. Ещё пару дней назад ставил VRay plugin чтобы посмотреть финалы WCG. Не знаю, очень странно, либо какая-то дыра в хроме/опере/флеше и каком-нибудь сайте, либо в винде (у меня белый айпишник либо эта хуйня зачем-то очень долго выжидала!
Сам файлик: , если кому интересно посмотреть внутрь или пофтыкать дизассемблером. Оно очевидно упаковано чем-то. ОСТОРОЖНО БЛЯ!
Что в таких случаях вообще принято делать?
Я вычистил его из стартапа при помощи сисинтерналовских же autoruns и переименовал его директорию на всякий случай, рестартиться как-то сцыкотно немножко, и влом. Вроде, ничего другого подозрительного autoruns больше не показывает.
Я отослал его на вирустотал, всё чисто, только Panda сказала, что файл подозрительный (ну, упакованый потому что видимо).
Так что с ним делать-то? Писать письма производителям антивирусов? Каких тогда? И как писать, чтобы они меня послушали?
Смотреть на него самому дизассемблером? Ммм, какие нынче модные дизассемблеры и какие презервативы надлежит на него натягивать чтобы посмотреть ин экшен — запускать в вирчуалбоксе достаточно?
И блин, у меня какая-то нарастающая паранойа по поводу того, как оно ко мне попало, сижу с запущенными таскменеджером и процэксплорером и смотрю в них постоянно...