Троян mx.content-type.cn

out063 · 04 июля 2008, 09:59:18

забейте на переустановки ... все равно подхватите .. я тут вчера гуглил .. и переводил китайские сайты .. так вот там пишут что вирус свободно распостраняется по сети и использует какойто баг в arp протоколе ... так же было написанно что нужно искать инфицированную машину в сети ... и отрубать ее нафиг от локалки

Вообщем они дают там ссылку на софт , который мог бы помочь ... я его скачал ... но маленькая проблемка - все на китайском!

я ничего там не понимаю - а там 10 вкладок ...

.

ps: пока ,как писалось выше, выход один в файл /%systemroot/windows/system32/drivers/etc/hosts

занести навсякий пожарный все эти строки :

127.0.0.1 mx.content-type.cn/day js
127.0.0.1 www.mx.content-type.cn
127.0.0.1 mx.content-type.cn

Human-oid · 04 июля 2008, 12:21:33

Цитата: weend от 03 июля 2008, 06:53:21Как минимум, добавляет на произвольные страницы вышеприведенный код, что часто приводит к нарушению html-структуры страницы (читай, страницы выглядят коряво)

во,.. ещо давно каряво както открылась видеобаза (137.4). при этом случилась така ошибка и нод закричал (см верхнюю строку скрина).
[attachment=1]

Цитата: out063 от 04 июля 2008, 08:59:18забейте на переустановки ... все равно подхватите ..

да эт сразу было ясно, не знаю чо вы фигнёй страдали

SteZz- · 04 июля 2008, 15:24:02

на висте все спокойно

zarkon · 04 июля 2008, 17:37:58

Аваст мне удалил эту фигню.

weend · 04 июля 2008, 18:58:57

Цитата: out063 от 04 июля 2008, 09:59:18пока ,как писалось выше, выход один в файл

какой же это выход? троянец-то сидит и добавляет эти строки... пусть и в пустую, но сидит же

и частенько нарушет html-структуру...

Rascal · 04 июля 2008, 21:03:21

Firefox + NoScript и будет вам cчастье

weend · 04 июля 2008, 22:55:26

Цитата: Rascal от 04 июля 2008, 21:03:21Firefox + NoScript и будет вам cчастье

Увы, это не просто троянец, это самый настоящий вирус. Вновь установленная система(из программ только каспер, дотнет и ЮТМ) первый раз зашел на шанхай и тут же вижу, что он начал обращаться к этому китайскому серваку... Т.е. вирус уже в системе, т.е. он заразил дистрибутивы

ска...
Кто мне даст архив(обычный zip, НЕ sfx) с незараженными KIS7, UTM и Flylink, что бы я смог все остальное заново скачать? Именно в архиве, чтоб оно их не заметило и не заразило

P.S. Если, конечно, он действительно распространяется через баг в arp, то это не поможет, но что-то мне подсказывает, что это не так и такой вариант прокатит... В любом случае, надо провести эксперимент

Rascal · 05 июля 2008, 01:04:37

Цитата: weend от 04 июля 2008, 22:55:26Увы, это не просто троянец, это самый настоящий вирус. Вновь установленная система(из программ только каспер, дотнет и ЮТМ) первый раз зашел на шанхай и тут же вижу, что он начал обращаться к этому китайскому серваку... Т.е. вирус уже в системе, т.е. он заразил дистрибутивы ска...
Кто мне даст архив(обычный zip, НЕ sfx) с незараженными KIS7, UTM и Flylink, что бы я смог все остальное заново скачать? Именно в архиве, чтоб оно их не заметило и не заразило

P.S. Если, конечно, он действительно распространяется через баг в arp, то это не поможет, но что-то мне подсказывает, что это не так и такой вариант прокатит... В любом случае, надо провести эксперимент

Не помогут тебе архивы...

Код Выделить

# tail dmesg.today
arp: 192.168.56.43 moved from 00:11:95:b0:f2:08 to 4c:00:10:a3:0b:19 on xl0
arp: 192.168.56.43 moved from 4c:00:10:a3:0b:19 to 00:11:95:b0:f2:08 on xl0
arp: 192.168.56.43 moved from 00:11:95:b0:f2:08 to 4c:00:10:a3:0b:19 on xl0
arp: 192.168.56.43 moved from 4c:00:10:a3:0b:19 to 00:11:95:b0:f2:08 on xl0
arp: 192.168.56.43 moved from 00:11:95:b0:f2:08 to 4c:00:10:a3:0b:19 on xl0
arp: 192.168.56.43 moved from 4c:00:10:a3:0b:19 to 00:11:95:b0:f2:08 on xl0
arp: 192.168.56.43 moved from 00:11:95:b0:f2:08 to 4c:00:10:a3:0b:19 on xl0
arp: 192.168.56.43 moved from 4c:00:10:a3:0b:19 to 00:11:95:b0:f2:08 on xl0
arp: 192.168.56.43 moved from 00:11:95:b0:f2:08 to 4c:00:10:a3:0b:19 on xl0
arp: 192.168.56.43 moved from 4c:00:10:a3:0b:19 to 00:11:95:b0:f2:08 on xl0

Боротся с этим провайдер должен...

weend · 05 июля 2008, 07:52:59

Rascal, объясни чуть подробнее, плиз.
Ты хочешь сказать, что в локалке каждый зараженный ПК, заражает остальных через какой-то arp-баг? Тогда почему страдают не все? Ведь arp-запрос, на сколько я помню, широковещательный... Или вставка ссылки на day.js идет не на моей машине? :wacko2: Что-то я это ни как в голове уложить не могу...

P.S. Намечается резонный повод опробовать новый SuSe...

Rascal · 05 июля 2008, 08:46:39

Цитата: weend от 05 июля 2008, 07:52:59Rascal, объясни чуть подробнее, плиз.
Ты хочешь сказать, что в локалке каждый зараженный ПК, заражает остальных через какой-то arp-баг? Тогда почему страдают не все? Ведь arp-запрос, на сколько я помню, широковещательный... Или вставка ссылки на day.js идет не на моей машине? :wacko2: Что-то я это ни как в голове уложить не могу...

P.S. Намечается резонный повод опробовать новый SuSe...

Вчера я некоторое время наблюдал mx.content-type.cn на:
http://shanghai.samaralan.ru/
http://forum.from63.ru/
http://blog.samaralan.ru/
http://tracker.samaralan.ru/
http://192.168.137.4/
http://helper.samaralan.ru/

Далее эта гадость дружно исчезла со всех страниц одновременно, может конечно и совпадение, но что-то не верится...

Crabbed · 05 июля 2008, 09:47:09

ппц...IT_horror

weend · 05 июля 2008, 12:03:09

Цитата: Rascal от 05 июля 2008, 08:46:39Далее эта гадость дружно исчезла со всех страниц одновременно, может конечно и совпадение, но что-то не верится...

Именно так у нас и происходит...

Интересно еще то, что не на всех страницах он появляется, такое ощущение, что он случайным образом выбирает интервал времени и страницы... Например, на Yandex'e я видел его только один раз, в последние несколько "сеансов" внедрения mx.content* яндекс был чист...

Я вот подумал, а что если сразу после установки(до подключения сети, есс-но) настроить сетевой экран на невидимость для локалки, а в качестве исключений поставить шлюз, биллинг и что там еще нужно для интернета. В локалку выходить через Линукс. Неудобно конечно, но это кое-какой выход. В Линуксе будет и инет и локалка, но без Винды тоже плохо, поэтому будет и винда с инетом, но без локалки.
Я не совсем уверен, что режим невидимости(в экране каспера) отсекает arp-запросы, но т.к. в этом режиме локалка недоступна(не открывает сайты, фтп, на ping не отвечает...), то может и прокатит...

Rascal · 05 июля 2008, 12:43:51

режим невидимости фаеров это не отсылать ответ при приеме пакета на закрытый порт (По-умолчанипю ос при приеме пакета на закрытый порт отсылает ответ что порт закрыт)

Asket · 05 июля 2008, 14:43:31

У меня стояло две винды, на одной был установлен каспер с включенным сетевым экраном (полная невидимость), в локалку вход был невозможен с обоих из установленных виндоус. Т.ч не проканает. Не знаю как дела обстоят с линуксом, но думаю, будет тож самое...

Rascal · 05 июля 2008, 15:46:42

Итак, скрипт с вирусом добавляется в процессе передачи http трафика. Вирус который ее распространяет проводит ARP-spoofing атаку (кто не знает что это http://ru.wikipedia.org/wiki/ARP-spoofing) и подменяет ваш шлюз заражённым компьютером.

Чтобы выявить кто является источником вируса внутри сегмента нужна узнать mac-адреса компьютеров сегмента сети и найти дублирующиеся (а их быть не может если все хорошо).

Код Выделить

 
# arp -a
? (192.168.56.5) at 00:15:f2:40:88:c2 on xl0 [ethernet]
? (192.168.56.9) at 4c:00:10:74:9e:b7 on xl0 [ethernet]
? (192.168.56.10) at 00:17:31:c4:c6:90 on xl0 [ethernet]
? (192.168.56.12) at 00:1a:4d:9d:0e:fc on xl0 [ethernet]
? (192.168.56.15) at 00:1a:4d:94:73:f4 on xl0 [ethernet]
? (192.168.56.18) at 00:1b:fc:1d:4f:a0 on xl0 [ethernet]
? (192.168.56.24) at 00:e0:4d:08:43:14 on xl0 [ethernet]
? (192.168.56.25) at 00:0d:87:86:ae:b2 on xl0 [ethernet]
? (192.168.56.35) at 00:1d:7d:92:93:bb on xl0 [ethernet]
? (192.168.56.43) at 00:0d:87:86:ae:b2 on xl0 [ethernet]

имеем:

(192.168.56.25) at 00:0d:87:86:ae:b2
(192.168.56.43) at 00:0d:87:86:ae:b2

Источник болезни в 56 сегменте человек с адресом 192.168.56.25