Сайт Гаранта WMB взломан и загружает троянов!

[anser06]

Сайт Гаранта белорусских Вебманей http://www.wmtransfer.by/ взломан, загружает на комп пользователя трояна Trojan-Downloader.HTML.Agent.ij. Трояна находит Каспер с 12-часовыми базами (не старше).
Обнаружил около 3 часов назад. 2 почтовых ящика www.wmtransfer.by (technobank и support) не работают (550 Mailbox quota exceeded).

Позвонил 2 часа назад в Технобанк, ответили, что до меня уже звонили. На момент написания топика троян не удален! Осторожно.

Уточнение. Троян вроде бы за декабрь 2007, но точно такой же Каспер еще одного форумчанина, как у меня, смог увидеть вирус только после обновления баз (до этого базы обновлялись сутки назад).

[jamais]

Не подскажете, случайно, что делает этот троян и как обнаружить его присутствие (кроме Касперского)? Просто недавно был на этом сайте, теперь беспокоюсь.

[MrTwoSticks]

что делает сказать не могу, скорее всего вм ворует,
касперским тоже наврядли обнаружите его если он сразу не спалился, вариантов 3,
1 ждать пока обновятся базы касперского
2 попробовать другими антивирусами поискать, например нод32, антивир...
3 скачать avz, провести исследование системы, и потом любой подозрительный файл искать в гугле, большинство новых вирусов или хорошо спрятанных старых находятся таким способом

для меня третий вариант был бы оптимальным, скачать avz можно тут http://www.z-oleg.com/

[anser06]

Цитата:

Сообщение от jamais

Не подскажете, случайно, что делает этот троян и как обнаружить его присутствие (кроме Касперского)?

Насколько я знаю, троян был на этом сайте 14 марта в первой половине дня. В интернете вирусов такого типа не мало.

Цитата:

Троянские программы этого класса предназначены для загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки «троянцев» или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются «троянцем» на автозагрузку в соответствии с возможностями операционной системы. Данные действия при этом происходят без ведома пользователя.

Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно с веб-страницы).

источник

[jamais]

Цитата:

Сообщение от anser06

Насколько я знаю, троян был на этом сайте 14 марта в первой половине дня.

Черт, а вот на Хабре написано (со ссылкой на вас) , что дело было в воскресенье, т.е. 16-го.

Цитата, которую вы приводите про Trojan-Downloader'ы слишком общая, интересно было бы узнать про конкретно этот вирус, чтоб убедиться, что у меня его нет. В Гугле полезной инфы оказалось довольно мало, я только понял, что он умеет красть пароль от FTP из FAR.

[anser06]

Цитата:

Сообщение от jamais

Черт, а вот на Хабре написано (со ссылкой на вас) , что дело было в воскресенье, т.е. 16-го.

Хабра вроде WMB не юзает

Я разместил свой пост в тот же день, как выявил трояна, и то лишь через 3 часа. Если форум SE не обманывает насчет даты, то это было именно 14 марта. А вообще у Технобанка год назад была офисная эпидемия куда ужаснее... Выводов не сделали.

[Light Phantom]

Жесть просто. Банк, а защита, как неизвестно где. Я когда узнал про то, что "Нешта" тогда им всю систему положил, так чуть не офигел. Это вирус по-моему все антивирусники ловили и ловят спокойно, а они умудрились его пропустить. А сейчас еще и сайт хакнули... Интересно, а если бы этот вирус стал причиной того, что у кого-то деньги умыкнули бы, кто был бы виноват - банк, который пропустил вирус на свой оф. сайт или юзер, который не уследил за безопасностью. Что-то мне подсказывает, что второй вариант

[Ukrainer]

Цитата:

Сообщение от jamais

Черт, а вот на Хабре написано (со ссылкой на вас) , что дело было в воскресенье, т.е. 16-го.

Цитата, которую вы приводите про Trojan-Downloader'ы слишком общая, интересно было бы узнать про конкретно этот вирус, чтоб убедиться, что у меня его нет. В Гугле полезной инфы оказалось довольно мало, я только понял, что он умеет красть пароль от FTP из FAR.

это достаточно понятный троян

тут сайт никто не ломал
это webmaster сайта ЛОХ. А точнее тот у кого фтп доступы есть к сайту. Так как он распространяется имено через фтп доступы которые находятся на зараженой машине.

Webmaster подхватил какую то заразу которая попала через фтп на все index страницы сайта
-> юзеры цепляют этот троян который распространяется дальше по фтп доступам юзеров -> и так дальше по цепочке

[WSGU]

Цитата:

Сообщение от Ukrainer

это достаточно понятный троян

тут сайт никто не ломал
это webmaster сайта ЛОХ. А точнее тот у кого фтп доступы есть к сайту. Т

+1. Администратора пора на пенсию отправлять

[simka]

Цитата:

Сообщение от Ukrainer

это достаточно понятный троян

тут сайт никто не ломал
это webmaster сайта ЛОХ. А точнее тот у кого фтп доступы есть к сайту. Так как он распространяется имено через фтп доступы которые находятся на зараженой машине.

Webmaster подхватил какую то заразу которая попала через фтп на все index страницы сайта
-> юзеры цепляют этот троян который распространяется дальше по фтп доступам юзеров -> и так дальше по цепочке

Виновата контора. а не админ. то что админ неадекватный - они должны были проверить при приеме на работу.