Размещено 27.04.2010 03:06:59
"Какую-то инфекцию сейчас я проглотил" (с)
Проявление:
1) блокировала запуск разнообразных антируткитов и антивирусов (avz, malvarebytes' и т.п.)
2) блокировала обновление антивирусов nod32 и drweb (каспера не проверял)
обновлялка дрвеба просто не стартовала, а nod32 не просто показывал ошибку обновления, типа "нет связи"
3) блокировала доступ к части антивирусных сайтов (например drweb.com у меня загружался, но без картинок и стилей, eset.eu не грузился вообще - 501 ошибка, а esetnod32.ru загружался корректно весь)
4) почти наверняка: крала ftp-пароли с компа либо способствовала моментальному (через пару часов после использования нового пароля!) их утеканию
Не обнаружилось решительно ничем. В заражённой системе антивирусы практически не работали (дрвеба удалось "обновить" вручную, скачать новые базы с их ftp), при загрузке со всяких LiveCD и тому подобных _свежих_ сборок антивирусной направленности никакие тесты никакой заразы не обнаруживали.
Извините, но долго плясать с бубном мне было некогда, работа горела, и я без долгих умствований переставил винду. Пока все хорошо.
Но очень любопытно что же это могло быть.
Привязаться можно только к одному:
На всех ftp, куда я лазил, были отсканированы, слиты, пропатчены и залиты обратно все или почти все файлы .php, .html, .js, .inc. (один комплект я сохранил)
Во все .php вставлена в начало файла закладка
eval(base64_decode('aWYoIWZ1bmN0aW9uX2V4 ............
Я глянул -- там какой-то запутанный кусок похапе, да еще с синтасической ошибкой.
В хтмл отправился
script src=http://тут были разные адреса.php ></script>, причем почему-то между /head и body
В .js пошло то же самое, в виде document.write('<sc ript ...
Я постучался тулзой по этим адресам - ответ 0 байт. Уже прикрыли, быть может?
И что очень интересно - ftp не зафиксировал попыток обращения с неправильным паролем, хотя я их (пароли) пару раз поменял
Кому-нибудь из спецов эта штука знакома?
Проявление:
1) блокировала запуск разнообразных антируткитов и антивирусов (avz, malvarebytes' и т.п.)
2) блокировала обновление антивирусов nod32 и drweb (каспера не проверял)
обновлялка дрвеба просто не стартовала, а nod32 не просто показывал ошибку обновления, типа "нет связи"
3) блокировала доступ к части антивирусных сайтов (например drweb.com у меня загружался, но без картинок и стилей, eset.eu не грузился вообще - 501 ошибка, а esetnod32.ru загружался корректно весь)
4) почти наверняка: крала ftp-пароли с компа либо способствовала моментальному (через пару часов после использования нового пароля!) их утеканию
Не обнаружилось решительно ничем. В заражённой системе антивирусы практически не работали (дрвеба удалось "обновить" вручную, скачать новые базы с их ftp), при загрузке со всяких LiveCD и тому подобных _свежих_ сборок антивирусной направленности никакие тесты никакой заразы не обнаруживали.
Извините, но долго плясать с бубном мне было некогда, работа горела, и я без долгих умствований переставил винду. Пока все хорошо.
Но очень любопытно что же это могло быть.
Привязаться можно только к одному:
На всех ftp, куда я лазил, были отсканированы, слиты, пропатчены и залиты обратно все или почти все файлы .php, .html, .js, .inc. (один комплект я сохранил)
Во все .php вставлена в начало файла закладка
eval(base64_decode('aWYoIWZ1bmN0aW9uX2V4 ............
Я глянул -- там какой-то запутанный кусок похапе, да еще с синтасической ошибкой.
В хтмл отправился
script src=http://тут были разные адреса.php ></script>, причем почему-то между /head и body
В .js пошло то же самое, в виде document.write('<sc ript ...
Я постучался тулзой по этим адресам - ответ 0 байт. Уже прикрыли, быть может?
И что очень интересно - ftp не зафиксировал попыток обращения с неправильным паролем, хотя я их (пароли) пару раз поменял
Кому-нибудь из спецов эта штука знакома?
