Интересно прочесть: Функциональные комментарии WordPress — эта статья (с подробными примерами и заметками) о том, как сделать дискусию в блогах более удобной.
Предыстория.
Буквально на днях была следующая ситуация: на одном из моих компов, Windows вот-вот должна была «склеить лапки». Поэтому, я её с удовольствием «снёс» и с помощью бэкапа установил новую, а заодно решил опробовать Outpost Security Suite PRO 2009.
Установил (заранее скаченную 30-ти дневную версию) PRO 2009, прошёлся по настройкам, полез в интернет. …Первый вылет из Windows я получил буквально через несколько секунд пребывания в сети. Произошло это, когда Outpost создавал правило для Оперы.
В общем, за двое суток нашей «дружбы» с PRO 2009, я получил таких вылетов около 15-ти. Как правило, они происходили в тот момент, когда программа создавала правило для какого либо приложения, которое просилось в Интернет. Самое интересное, что фаервол выдал такой «подарок» после всех браузеров, пейджера, качальщика файлов, но зато переключатель раскладки клавиатуры беспрепятственно, без моего ведома, вышел в сеть, и радостно сообщил мне о выходе новой версии. Эта же ситуация повторилась и с видео проигрывателем. Можно только догадываться, какие ещё приложения, и куда, лазили без моего ведома.)
Не выдержав издевательств, Windows стала хромать на всё, что только можно.) Поэтому было принято решение умертвить несчастную, путем форматирования, с последующим воскрешением через бэкап.
…Здесь начинается самое интересное: после того, как был дан старт, и Windows пошла на свою последнюю перезагрузку, от фаервола выскочило сообщение — winlogon.exe запрашивает доступ на адрес prevedvsem123.cn…!
Я записал этот адрес, и со второго компьютера начал поиски по Интернету — что это за таке? Оказалось, что это троян (Trojan-Spy.Win32.Goldun.bdu), ворующий пароли, регистрационные данные и другую конфиденциальную информацию. При этом если среди украденных данных были пароли от ваших сайтов или от их FTP, то после этого, злоумышленники внедряют к Вам на сайт фреймы.
С помощью этой заразы, в период с16 по 18 октября было взломано очень много сайтов.
Вот этот скрипт подгружал фрейм с сайта prevedvsem123.сn, в результате чего, посетители заражённых сайтов получали в подарок троянца (под видом PDF). Как можно увидеть из названия домена, то потрудились наши медведы.)
Признаки заражения компьютера:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\acpiz
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache]
Persistent = 0x00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\acpiz]
DllName = 61 63 70 69 7A 2E 64 6C 6C 00 00 00
Startup = «acpiz»
Impersonate = 0x00000001
Asynchronous = 0x00000001
MaxWait = 0x00000001
adr97 = «[CA24A356577DF03D1]»
Признаки заражения сайта:
Внимание! Скрипт может быть прописан в одну строчку и со значительным смещением вправо. Это для того, что бы код не бросался в глаза.
Свой блог проверил, ничего подозрительного не нашёл. Скорее всего, подхватил трояна незадолго до переустановки винды, и поэтому он ещё не успел напакастить.
Да, если кому интересно, версия файла Оутпоста — 2358,316,607,315.
P.S.
Как, владельцы сайтов, должны подготовится к таким ситуациям? Об этом поговорим в следующий раз.
Эксклюзивный материал об особенностях отдыха, достопримечательностях острова Бали. Отдых на Бали — это загадочная атмосфера острова, белоснежные пляжи, разнообразие фруктов, таинственные мангровые заросли.
Специальное предложение — создать сайт бесплатно.
FreeBSD, Internet, Programming, Security на blog. mult edition.
(3 Голосов. Средний балл: 4,33 из 5)
Loading...
