• Welcome to Форум сети SamaraLan.

Троян mx.content-type.cn

Автор weend, 02 июля 2008, 11:59:00

0 Пользователи и 1 Гость просматривают эту тему.

Печать
Вниз Страницы1 2 3 ... 6 Все
Действия пользователя

weend

02 июля 2008, 11:59:00
На многих сайтах, в том числе и на моих, а так же на яндексе, гугле и т.п. был внедрен следующий код:
Цитироватьscript language="javascript" SRC="http://mx.content-type.cn:443/day.js"
Каспер воспринимает этот day.js как троянскую программу. И, вообще говоря, я с ним согласен, т.к. на своих сайтах я его не вставлял. На Яндексе, гугле и т.п. крупных сайтах его уже удалили.
Рекомендации для остальный пользователей:
Для XP: найти в папке windows файл hosts и прописать туда
Цитировать127.0.0.1    mx.content-type.cn
P.S. интересно услышат мнение остальных IT-шников :) Может я зря?..

Vader

#1
02 июля 2008, 12:17:22
Учитывая, что зона китайская - стоит задуматься.
Если тебе дано предугадывать ход мыслей человека, случайностей не будет. © Пила

Human-oid

#2
02 июля 2008, 12:26:25
недавно у меня и ещё 2 человек как минимум нод говорил, что заблокирован и удалён данный вирус (писался в папку с оперой).
происходило это при открытии оперы с закладкой данного форума. или при сёрфинге по форуму.

weend

#3
02 июля 2008, 13:07:29
Цитата: Human-oid от 02 июля 2008, 12:26:25данного форума. или при сёрфинге по форуму.
Более того, вот я сейчас пока пишу, заглянул в исходник этой странички, а там первой строчкой этот троян прописан... А ведь несколько минут назад его не было... С моего сайта он периодически исчезает, хотя сейчас есть. На яндексе нет(был, сам видел :) ). А теперь и на сайте касперского))) Жесть.

Послано: 02 Июля 2008, 12:53:19
Собсно моя предыстория:
недавно обратил внимание, что при обращении к некоторым(почти ко всем) сайтам в строке состояния FF и IE6 мелькает какой-то "mx.content...". Проверил системные папки и ФФ каспером - нашел и удалил. После этого вроде все нормально, а через какое-то время опять на mx.content... начал лезть, ска... Зашел на свой сайт через браузер, смотрю html-код, а эта сволочь там первой строкой. Зашел через ftp-клиент (TotalCommander) и заменил копией из архива, проверился каспером опять(ничего не нашел), сменил все пароли.
Т.к. эта шняга с залезанием черт знает куда меня достала - решил переставить винду начисто. Сказано - сделано, ессно, со всеми, возможными сейчас, предосторожностями (типа на время установки кабель отключил, в первую очередь каспера поставил, обновил его сегодняшними базами...). И тут каспер начинает ругаться при заходе на Яндекс, гугль, сайт каспера, на мой сайт и т.д. Решил, что надежнее будет не доверять касперу, а отсекать этот сайт через hosts. Пока возился, его с Яндекса и др. крупных сайтов удалили. Удалили, кстати, и с моего сайта (видать, хостер постарался). Сейчас вот опять...

Я вот думаю, а не может ли какой-нить проксик самаралановский добавлять этот код перед отправкой странички нам? Я уже просто и незнаю, что думать... Или я его как-то умудрился во время перестановки подхватить...

Vader

#4
02 июля 2008, 13:10:31
У меня нет ничего в исходном коде.
Цитата: weend от 02 июля 2008, 13:07:29Более того, вот я сейчас пока пишу, заглянул в исходник этой странички, а там первой строчкой этот троян прописан...
Если тебе дано предугадывать ход мыслей человека, случайностей не будет. © Пила

weend

#5
02 июля 2008, 13:14:56
Ага, понятно. я опять троянчик этот схватил... блять. Знакомого из дом.ру тоже попросил проверить - сайт каспера чист...

out063

#6
02 июля 2008, 13:47:56
я два дня с этой заразой борюсь . ужась вообще . мало того что постоянно ошибка вылазиет от обнаружении опасного кода - так он еще и не которые мои сайты отображать нормально не хочет (сам код чистый ) - в опере касяки после этой херни .  Похоже все таки он как то выполнился у меня на машине . ЗА последние два дня появилось -  фоновый процес explore.exe , который пытался закачать с сети файлы 1.gif 2.gif и тд тп . (тоже с китайских айпи и сайтов ) - nod32 кричал что в gifах вредноносный код . Этот через жопу я удалил ( его dll-ки сидели в папке WINDOWS\AppPatch. Не помню название - но их там несколько и если нормальные файлы подписанны (windows dll и тд тп )  - у этих пусто ) . И второе - аутпост постоянно отправляет и принимает пакеты по netbios  - я пробовал отрубать этот протокол вручную а затем и софтом - бесполезно пакеты всеравно идут . Самое странное что никакай антивирь нормально не реагирует .  Что это?  атака китайских братьев ?

ps : гдето на испанском сайте нашел запись про этот mx...  так там пишут срочно ставить sp3 у кого нету . хотя может бред :)
Послано: 02 Июля 2008, 13:32:57
и еще...

поскольку не яндекс не гугли ни касперский не обьявил об вирусе - мое мнение :

вирус запустили в локалку , а он в свою очередь внедряется в браузер и просто в загружаемой страничке у пользователя вписывает javascript . воть .  Тоесть на удаленных серваках его как такогового нету - он живет у пользователя .

Human-oid

#7
02 июля 2008, 15:32:42
если узнаете, как определить имеецо ли этот вирь на компе, - пишите
процесса explore.exe вроде нету

и действенные советы по поводу не поймать вирь вновь - тоже пишите

weend

#8
02 июля 2008, 16:16:30
Цитата: Human-oid от 02 июля 2008, 15:32:42как определить имеецо ли этот вирь на компе
Если в HTML-кодах сайтов типа kaspersky.ru, этот форум, nnm.ru и т.д. есть Первая строчка
Цитироватьscript language="javascript" SRC="http://mx.content-type.cn:443/day.js"
значит вирь есть в системе... Вот только лучше пробежаться по этим сайтам несколько раз с перерывом минут эдак 5, т.к. он с какой-то периодичностью добавляет эту первую строку... :)
P.S. А лечение хз пока))) буду опять форматировать... :((( ток придется сначала все дистры заново скачать с нета... эх...

Human-oid

#9
02 июля 2008, 21:03:16
терь при заходе на http://192.168.137.4/ НОД кричит про этот вирь

DANTE

#10
02 июля 2008, 21:25:40
а че этот вирь делает собстно?

weend

#11
03 июля 2008, 07:53:21
Цитата: DANTE от 02 июля 2008, 21:25:40а че этот вирь делает собстно?
Как минимум, добавляет на произвольные страницы вышеприведенный код, что часто приводит к нарушению html-структуры страницы (читай, страницы выглядят коряво). Как максимум, если антивирь не словит этот day.js, то дальше скорее всего пойдет закачка троянов "по цепочке"... со всеми вытекающими...

DenZ

#12
03 июля 2008, 09:18:24
Цитата: weend от 02 июля 2008, 16:16:30значит вирь есть в системе...
С помощью утилиты AVZ найдите в системе подозрительные файлы и отправьте их на анализ в антивирусные лаборатории, тогда их добавят в базы.

out063

#13
03 июля 2008, 19:22:39
Цитата: DenZ от 03 июля 2008, 09:18:24С помощью утилиты AVZ найдите в системе подозрительные файлы и отправьте их на анализ в антивирусные лаборатории, тогда их добавят в базы.


да нету в системе этих подозрительных файлов ... :)  Я верь реестр перелопатил и ничего. В итоге лишнего намудрил - винда перестала грузится , пришлось переустанавливать  :rofl:. Зато терь все чистенько и хорошо :)
Послано: 03 Июля 2008, 09:58:14
да кстати , я заметил что когда антивирь начанал ругатся , что мол словите сейчас какашку ... был запущен второй процес rundll32.exe и когда его убивал все прекращалось , тока вот беда  - как я не пытался узнать какая dll внедряется в процесс - так и не узнал :)
Послано: 03 Июля 2008, 10:01:00
рано я радовался ... после захода на локальный форум опять появилось сие чудо :)

Asket

#14
03 июля 2008, 20:23:38
Значит вся сеть может радоваться появлению этого чуда?
Печать
Вверх Страницы1 2 3 ... 6 Все
Действия пользователя