Миром правит бардак (grumbler_eburg) wrote in ru_root,
Миром правит бардак
grumbler_eburg
ru_root

Category:

Осторожно, вирус-троян

Последнюю неделю регулярно вижу в логах попытки скачать трояна (NOD32 сообщает "модифицированный Win32/TrojanDownloader.Agent.AEF"). Сайты разные, но везде на сервере есть php. Ссылка везде однотипная: http://{site}/{subdirs}/get.php?file=exe

Коллеги, рекомендую в конфигурации прокси-сервера запретить обращение к URL по regexp http://.+/get\.php\?file=exe

Троян загружается только через internet explorer некоторых версий, используя iframe со свойством style='visibility: hidden;', iframe ссылается на php-скрипт на некоем сайте, который определяет браузер и выдаёт нужную страничку (например, http://agressor.info/exp/index.php и http://www.americaru.com/exp/exp_isra2.php). Строчка кода <iframe... явно добавлена к страничке после взлома сервера (сайта?).

Вот пара взломанных ссайтов: http://tinka.ru http://winhex.org
Subscribe

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 10 comments