Вниманию всех форумчан. Сайт trolleybashi.narod.ru заражён троянской программой, классифицируемой Лабораторией Касперского как Trojan-Downloader.JS.Remora.w

Будьте осторожны.

Если форум читает владелец сайта - убедительная просьба принять меры к искоренению заразы, чтобы люди могли приходить и не бояться подхватить пакость.

Видимо проблемы сейчас не только в Грузии! Я не могу гарантировать всем участникам форума и другим многоуважаемым посетителям безопасность, так как …ну сами понимаете – не все в моих силах!

Заражена страница, при запуске ИЕ, подцепляется файл и начинает творить и сеять ужасное.
Так шты туда лучше вообще не заходить не подготовленным пользователям.



>Видимо проблемы сейчас не только в Грузии!
Ты ещё свали это на проблемы грузинских экстремистов.
> Я не могу гарантировать всем участникам форума и другим многоуважаемым посетителям безопасность, так как …ну сами понимаете – не все в моих силах!
Не можешь, снеси всё это в далёкий нафик ;-)

Не знаю как вы ребят, а я облазил весь сайт и никакого "ужасного" и т.п. не происходит... Т.к. ничего не подцепил.)))))))))

Предохраняйтесь!!!

ИМХО, ключевые слова при запуске ИЕ. Пользуйтесь безопасными браузерами, это поможет на многих сайтах! Вроде, как я понял, этот троян только крадет пароли к FTP, деструктивных действий не производит.

А вот позиция Константина Климова (автора сайта) меня удивляет. Там всего-то вроде надо убрать в конце страничек дописавшийся к ним вредоносный java-скрипт. Не проще ли совсем снести тогда сайт, если ухаживать за ним не хочется, чем создавать опасность для людей?

Кстати, когда был замечен троян? Я был на сайте в начале октября, был ли он уже тогда? Или тогда троян еще никем не определялся?

Big Al писал(а):
-------------------------------------------------------
> Вниманию всех форумчан. Сайт trolleybashi.narod.ru
> заражён троянской программой, классифицируемой
> Лабораторией Касперского как
> Trojan-Downloader.JS.Remora.w
>
> Будьте осторожны.

Ватсон писал(а):
-------------------------------------------------------
> ИМХО, ключевые слова при запуске ИЕ. Пользуйтесь
> безопасными браузерами, это поможет на многих
> сайтах! Вроде, как я понял, этот троян только
> крадет пароли к FTP, деструктивных действий не
> производит.

Вот именно, дорогой друг Ватсон! Причину описал ниже. Более того, техподдержка доктора веба мне открыто сказала, что блокируйте нафик интернет эксплорер и работы значительно уменьшится. Я бы с радостью, но пользователи у нас настолько тупые, что компьютер кнопкой монитора перегружают. А уж подружиться с оперой ...

>
> А вот позиция Константина Климова (автора сайта)
> меня удивляет. Там всего-то вроде надо убрать в
> конце страничек дописавшийся к ним вредоносный
> java-скрипт. Не проще ли совсем снести тогда сайт,
> если ухаживать за ним не хочется, чем создавать
> опасность для людей?

Мистер Климов(зма)(нужное подчеркнуть) сам код то в глаза ни когда не видел, а вредоносную от не вредоносной строчки ни в жисть не отличит. Сайт создал для своего имиджу, а сам обновить, просит кого то, вот и получает. Я знаю трояны, которые заражают html страницы на ВСЁМ компе, этот я думаю не исключение.
>
> Кстати, когда был замечен троян? Я был на сайте в
> начале октября, был ли он уже тогда? Или тогда
> троян еще никем не определялся?

Тут совсем недавно про это писали и правильно сделали, что вынесли в отдельную тему. Ибо ещё и цепная реакция может начаться.

Dozent писал(а):
-------------------------------------------------------
> Не знаю как вы ребят, а я облазил весь сайт и
> никакого "ужасного" и т.п. не происходит... Т.к.
> ничего не подцепил.)))))))))
>

Вот в том вся и прелесть вируса. Он ведёт свою подрывную деятельность, а ты радуешься жизни и стряпаешь очередной документ в ворде. А после того, как к тебе приходят злые дяди из АСУ и начинают чистить комп, или увеличивается трафик, юзер удивляется откуда это я столько всего подцепил? Ведь ничего же не происходило!
Абысняю популярно, да и рекомендую по названию виря посмотреть чем он занимается:
Перестаёт работать огненный лис, или ослик ИE, на комп инсталируется всяка хадость, причём без твоего ведома. Хотя часто достаточно посмотреть в корень рабочего диска, там появляются непонятные экзешники или tmp файлы. К тебе пришли гости. Далее может заблокироваться интернет, пропасть пароль аськи, пароли к веб мани, пароли к почте. Сам вирус замучаешься вылавливать, реестр и папка виндоус твои вечные друзья. В качестве эксперимента просто зашёл на своём домашнем компе на этот троллейбаши, после чего начались генерится непонятные куки и прочее. Успел вовремя заглушить. Опера, как многие замечали, иногда некорректно отображает некоторые навороченные страницы, но в том её и плюс, что она не дружит со скриптами, на которые радостно ведётся ИЕ.

> Предохраняйтесь!!!
Спаси и предохрани! Но не все антивири ловят это ;-) Симантек и нод32 в упор не видят, что index.html заражён. Кашпировский и доктор Пауков моментально сносят из кеша страничку и пресекают дальнейшие действия с ней.

Ватсон писал(а):
-------------------------------------------------------
> Кстати, когда был замечен троян? Я был на сайте в
> начале октября, был ли он уже тогда? Или тогда
> троян еще никем не определялся?

Отвечаю сам себе - проверил - у меня в кэше уже зараженный сайт. Но поскольку пользуюсь Opera - думаю, что все в порядке, тем более, что красть пароли у меня нечего, да и файрвол стоит.

грохотайло писал(а):
-------------------------------------------------------
> Сам вирус замучаешься вылавливать, реестр и папка
> виндоус твои вечные друзья. В качестве
> эксперимента просто зашёл на своём домашнем компе
> на этот троллейбаши, после чего начались генерится
> непонятные куки и прочее. Успел вовремя заглушить.

Это зашли осликом IE или Opera?

Кстати, МакАфи и Авира тоже не видят зверя. :( Похоже, из распространенных видят только Кашперский и Пауков. Вечером еще БитДефендер попробую.



Редактировано 2 раз(а). Последний раз 12.11.07 16:49 пользователем Ватсон.

>Это зашли осликом IE или Opera?
Два раза заходил ИЕ. Что творится с оперой, чесно говоря не наблюдал.

Ребят, а это Вы серьезно, что NOD32 не видит? Другие то Трояны ловит. Я глубокое сканирование сделал, говорит вирусов нет.

Дибуны писал(а):
-------------------------------------------------------
> Ребят, а это Вы серьезно, что NOD32 не видит?
> Другие то Трояны ловит. Я глубокое сканирование
> сделал, говорит вирусов нет.

Серьёзнее некуда. Если в папке инфектед сохранилась страница, могу выслать тебе на почту.

грохотайло писал

> Серьёзнее некуда. Если в папке инфектед
> сохранилась страница, могу выслать тебе на почту.

Спасибо большое, я в принципе очень давно на тот сайт не заходил, но чего то здорово испугался. Я в компах полный ноль, через пару часов придет жена, она сюда напишет и если можно, то вышли ей что надо. Заранее спасибо.

Дибуны писал(а):
-------------------------------------------------------
> грохотайло писал
>
> > Серьёзнее некуда. Если в папке инфектед
> > сохранилась страница, могу выслать тебе на
> почту.
>
> Спасибо большое, я в принципе очень давно на тот
> сайт не заходил, но чего то здорово испугался. Я в
> компах полный ноль, через пару часов придет жена,
> она сюда напишет и если можно, то вышли ей что
> надо. Заранее спасибо.

Зайди на www.drweb.ru
там есть бесплатная лечебная утилита cureIT
Лечит не хуже платной программы.

А туда можно просто для профилактики зайти? Я ведь не знаю есть,что плохое у меня или нет.

Разве народ.ру поддерживает скрипты? Может там перенапрвка на другую страницу срабатывает?

грохотайло писал(а):
> Мистер Климов(зма)(нужное подчеркнуть)

VAT
Возможно, там есть баннеры (а скорее всего, они есть), в их ссылках и может прятаться скрипт.

На народе недоступны серверные скрипты, клиентские работают все возможные... впрочем как оно и должно быть т.к. клиентские не зависят от сервера))) Яваскрипт например... народу.ру глубоко на него наплевать т.к. выполняеться он не у них на серваке, а у загрузившего страничку юзверя)))

Модератор писал(а):
-------------------------------------------------------
> грохотайло писал(а):
> > Мистер Климов(зма)(нужное подчеркнуть)
Грохотайло нельзя наказывать! Это продукт времени или просто - поколение ПЕПСИ :-)

Причём довольно оригинальным образом. До сих пор живот от смеха болит.

>Грохотайло нельзя наказывать!

Человек тут распинался, консультации оказывал. А вы его так.