Metropolis как он есть => Тема начата: СтелС_нАлЕвО от 04 Июль 2007, 14:36 Metropolis как он есть => Тема начата: СтелС_нАлЕвО от 04 Июль 2007, 14:36|
Название: Троян на Метрополисе..! Отправлено: СтелС_нАлЕвО от 04 Июль 2007, 14:36 Как только захожу на Метрополис, выскакивает плашечка от родного NOD32, что на обожаемом форуме троян. Признаться, очень не нравится... :-\
Название: Re: Троян на Метрополисе..! Отправлено: s0k от 04 Июль 2007, 14:49 аналогично модифицированный троян...
Название: Re: Троян на Метрополисе..! Отправлено: Snaker от 04 Июль 2007, 15:27 :-k
Название: Re: Троян на Метрополисе..! Отправлено: admin от 04 Июль 2007, 15:29 Сдается мне, это приблуды NOD'a
В атаче файл со строкой на которую он ругается. Кто скажет мне в чем проблема, получит конфетку :) Название: Re: Троян на Метрополисе..! Отправлено: K i r i L L от 04 Июль 2007, 15:48 Trojan.VBS.StartPage :-k
Цитата: Viruslist.com Троянец, написанный на языке Visual Basic Script (VBS). При запуске изменяет в системном реестре Windows адрес стартовой страницы MS Explorer. Название: Re: Троян на Метрополисе..! Отправлено: admin от 04 Июль 2007, 15:54 ты файл открывал, видел что там просто много ссылок?
Название: Re: Троян на Метрополисе..! Отправлено: Vopros от 04 Июль 2007, 18:23 В атаче файл со строкой на которую он ругается. Файл рассмотрен, ничего криминального не обнаружено, там нет даже скриптов... просто очередное коленце NOD32 о котором частенько пишут разные анекдоты... можно не обращать внимания на такие сообщения...Название: Re: Троян на Метрополисе..! Отправлено: DeMoNoID от 04 Июль 2007, 23:10 оффтоп: У меня другая проблема . Нод трояна НЕ видет :D кто знает как помочь?
Название: Re: Троян на Метрополисе..! Отправлено: leschka от 05 Июль 2007, 00:21 а у меня dr web не видет ни хрена троянов ;D
Название: Re: Троян на Метрополисе..! Отправлено: Kollega от 05 Июль 2007, 00:26 Поизучал я этот архивчик... Значит, вирус антивирусы находят в следующем фрагменте:
Цитировать u=2206" title="15:23">deBugErr</a>, <a href="http://metropolis.anthill.ru/forum/index.php?action=profile Как я понимаю, в том файле находится содержимое графы главной страницы форума под названием "Посетителей сегодня". Добавление, замена(кроме смены регистра) или удаление хоть одного символа к выше процитированному фрагменту и никакого вируса НОД не находит... Проблема тут в комбинации символов... А если конкретнее, то deBugErr`у нельзя появляться на форуме в 15:23, раньше или позже, пожалуйста, но нельзя чтобы временем его последнего визита значилось 15:23, иначе весь оставшийся день или до его следующего визита на форум у всех будут антивирусы ругаться... Для решения проблемы я бы предложил сменить ему ник, но смена регистра символов не поможет, надо заменить, добавить или убрать хотя бы один символ или сменить ему идентификатор, который сейчас 2206. DeMoNoID, leschka всё нормально, сообщения о вирусе выдаются только до 00:00 или до очередного визита deBugErr`а после вышеобозначенного времени... Название: Re: Троян на Метрополисе..! Отправлено: swein от 05 Июль 2007, 00:26 :lol: ню видимо хеш у них совпал с базой
p.s. надо не отлаживать а грамотно тестить, и не отстаивать а делать бранчи и код фриз Название: Re: Троян на Метрополисе..! Отправлено: imperfect от 05 Июль 2007, 00:44 :lol: :lol:
Весело на нашем форуме живется! Думаю, приемлемее всего будет поменять уин. Все-таки это не пользователь виноват, почему же он должен менять ник? Или не заходить на форум в районе полчетвертого? :lol: Название: Re: Троян на Метрополисе..! Отправлено: Kollega от 05 Июль 2007, 00:50 :lol: ню видимо хеш у них совпал с базой Если я правильно понимаю работу антивируса, то вирус обнаруживается не в самом html-коде, а при обработке его браузером, поэтому при просмотре этой страницы антивирусы и не ругаются, так как html-тэги в сообщениях не обрабатываются... Название: Re: Троян на Метрополисе..! Отправлено: imperfect от 05 Июль 2007, 01:09 2 Kollega: Просто хтмл в постах представлен не совсем тегами, а то бы он сразу же обработался бы браузером. ;D
Код: <div class="quoteheader">Цитировать</div><div class="quote">u=2206" title="15:23">deBugErr</a>, <a href="<a href="http://metropolis.anthill.ru/forum/index.php?action=profile" target="_blank">http://metropolis.anthill.ru/forum/index.php?action=profile</a></div> Название: Re: Троян на Метрополисе..! Отправлено: Kollega от 05 Июль 2007, 01:15 2 Kollega: Просто хтмл в постах представлен не совсем тегами, а то бы он сразу же обработался бы браузером. ;D Немного подзабыл, что они шифруются комбинациями символов вида: "& #1077;"... Название: Re: Троян на Метрополисе..! Отправлено: imperfect от 05 Июль 2007, 01:38 Ага, типа коды символов! :)
А хеш считается посимвольно, т.е. эти коды рассматриваются как самостоятельные символы. И НОД, туды его растуды, молчит... Отправлено: 05 Июля 2007, 02:35 Предлагаю для проверки антивирусов скопировать "заразный" текст в новый файл, сохранить с любым расширением и просканить его (или посмотреть, что скажет резидент). McAfee молчит 8) Название: Re: Троян на Метрополисе..! Отправлено: Kollega от 05 Июль 2007, 02:22 Вообще, конечно, некоторые странные вещи по поводу узнавания вируса есть... Например, если добавлять пробелы к уже стоящему в строке или изменять регистр букв на противоположный, вирус так же успешно будет распознаваться... Если бы по хэшу строчка походила на вирус, то сомневаюсь, что такие существенные её изменения никак не повлияли бы...
Погонял файлики с разными разширениями, со следующими вирус опознался: .htm, .html, .asp, .css, .js, .vbs, .php, .cgi. Короче, в большинстве типов файлов так или иначе связанных с интернет браузерами... Название: Re: Троян на Метрополисе..! Отправлено: gopig от 27 Сентябрь 2007, 15:39 Здесь что вот так просто вирусы по сети бегают? А общую систему защиты не пробовали ставить, скажем на уровне маршрутизаторов, что бы их отслеживать и блокировать зараженных пользователей или потоки с вирусами. У нормальные провайдеры уже давно себе такое оборудование заимели.
|