Přihlásit
Základní informace | Služby | Hardware a teorie | Návody | Fotogalerie | Mapa | Odkazy & download | Fórum | Dlužníci | Monitor sítě |
Vyhledat
Vyhledat
Změna fóra | Přehled témat | Nový příspěvek | Zobrazit jednotlivě

TrojanClicker.Iframe.GT.gen 1159,,
Autor: dudy
Datum: 06.06.2009, 12:13:33

26.5.2009 12:09:51 HTTP filter soubor http://www.chvalsiny.net/ HTML/TrojanClicker.Iframe.GT.gen trojský kůň přerušeno spojení - uložen do karantény DUDY-A8CB5400E9\dudy Infiltrace byla zachycena při přístupu na web aplikací: C:\Program Files\Mozilla Firefox\firefox.exe.
.)))


SPONZOROVANÉ ODKAZY / ADVERTISING

Re: TrojanClicker.Iframe.GT.gen 1160,0,0
Autor: Čížek Milan
Datum: 06.06.2009, 19:52:07

Ahoj,
díky, už je pryč. Inu TotalCommander a jeho slabě chráněná hesla pro FTP. :-( Doporučuji všem používat poslední betu, která konečně hesla chrání AES šifrou.

Milan


Re: TrojanClicker.Iframe.GT.gen 1161,0,0
Autor: Kopriva
Datum: 07.06.2009, 08:05:52

Obrana proti vykradani hesel z TC to uz je, ale neresi to problem, jak se vlastne vir do PC dostava.
Muj nazor je ten, ze v poslednich mesicich je hromadne zneuzivana zranitelnost Adobe Acrobat Readeru ( http://secunia.com/advisories/34924/ ). Vetsina uzivatelu pouziva zastarale verze, jelikoz u adobe jaksi opomneli automaticke aktualizace. Verze 9.x uz je sice maji, ale ani tato verze neni bez chyby.
Na uplne obycejnych strankach (nemusi to byt ani porno ani warez) je podvrzen javascript, ktery Vam na pozadi v PC pusti deravy Adobe Reader, pres ktery je do PC nahran skodlivy exe soubor. Samozrejme nic neni videt, ale obvykle se tyto infekce usazuji ve Windows\temp nebo v profilu uzivatele v Local Settings.
V soucasne dobe tedy nedoporucuji Adobe Acrobat pouzivat, jako alternativu lze naistalovat Foxit Reader.
Dalsi doporucenim pro zdatnejsi uzivatele je blokovani javascriptu ( napr. https://addons.mozilla.org/cs/firefox/addon/722). O antiviru a firewallu nemluve.
Kopriva


Re: TrojanClicker.Iframe.GT.gen 1162,0,0
Autor: Čížek Milan
Datum: 07.06.2009, 12:50:14

Ahoj,
prokazatelně musel být zneužit přímo můj login, soudě podle infikovaných cílových webů. Nicméně jak doma (Nod32 v3) tak v práci (Avast) jsem provedl kompletní scan a žádná nákaza odhalena nebyla. Bohužel mi logy už dávno odrotovali pryč, takže nevím, z jaké IP se na FTP připojovalo. Ještě by byl možný nějaký exploit v FTP serveru, po tom jsem už ale nepátral a automaticky udělal upgrade na poslední dostupnou verzi (a změnil hesla). :-) Ono najít infikované stránky je věcí několika sekud - minut, není to tedy až takový problém vyčistit. Např.

# find /www/data -exec grep "=(String.fromCharCode" '{}' /dev/null \; -print > /iframe.txt

Mimochodem ta chyba v Adobe Acrobatu existuje vážně dost dlouho a oprava žádná. :-( Šifrování hesel v TC je až v posledních beta verzích, konkrétně od 7.50 beta 1 (zabezpečení master heslem a AES šifrování).

Milan






TOPlist