Ахтунг! Вылез вирус!

Lion · 30 Янв. 2012 в 10:20

Товарищи, нас похоже ломанули. При входе с мобильника на андройде на форум происходит редирект на левый адрес и автоматом скачивается файл Load.apk. Дальше ничего уже кроме верхней панели не появляется. Доктор веб в смартфоне сразу берет его на мушку и выдает что это смс спамер на короткие номера Android.SmsSend.254

Проверьте, у кого на дройде телефоны. Только христа ради не ставьте этот апкашник, он может автоматом запускаться, но кнопку установить должны тыкнуть именно вы

us__007 · 30 Янв. 2012 в 10:29

Вроде нормально зашлось, ничего не скачалость.

METAL · 30 Янв. 2012 в 10:36

Подтверждаю,только с мобильной версии у меня все норм,а вот через оперу ними рвется зараза,сайт не открылся!

METAL · 30 Янв. 2012 в 10:44

Цитата: METAL от 30 Янв. 2012 в 10:36
Подтверждаю,только с мобильной версии у меня все норм,а вот через оперу ними рвется зараза,сайт не открылся!

сеичас норм зашел.. ничего не всплывало.

Lion · 30 Янв. 2012 в 11:20

У коллег:
LG optimus x2 на работе тоже не открывается, скачивает файл. Браузер дефолтный гугловый
SGS - Опера проходит, стандартный браузер начинает скачку

FAS_r7 · 30 Янв. 2012 в 11:44

у меня нормально всё с ондроеда работает. правда опера-мобиле

andreym · 30 Янв. 2012 в 13:00

У меня с андроеда на опере мини такая же фигня утром произошла, докторвебов правда на моем телефоне не водится, однаком моск в голове водится, потому устанавливать не стал

Vetal · 30 Янв. 2012 в 13:54

Таже хрень. Так как почитать еще не успел написанное, а сразу отписался в другой теме https://electrotransport.ru/index.php/topic,239.msg152543.html . Но это еще вчера, вернее сегодня около двух ночи появилось, а написал уже утром,т.к.то-же повторяться начало.
Видать REM мне сюда ссылку давал, а незалогиненному не разрешило перейти.

Vetal · 30 Янв. 2012 в 14:01

А с компа хоть безопасно заходить? А то с тел.не очень и удобно, правда безопасней как оказывается,тревогу забили как раз телефонщики.

METAL · 30 Янв. 2012 в 14:30

С компа нормально-ничего подобного не заметил.

Да и больше с телефона подобного небыло(один раз,нажал отмену и все).

ArPavel · 30 Янв. 2012 в 18:04

Вчера на компе Хром при входе на сайт предложил загрузить load.jar. Отказался, а потом пожалел, можно было уточнить что это...

av-master · 30 Янв. 2012 в 20:29

просто SMF - 2006 года дырявый насквозь. его надо постоянно обновлять и следить за ним. а делать ИМХО это некому (( актуальная версия 202 а тут внизу написано 1.1.4.
т.е. всего 14 критических обновлений пропущено. я уже молчу о кол-ве альфа бета и релиз кандидатов (((
http://custom.simplemachines.org/upgrades/

a48lock · 30 Янв. 2012 в 21:56

Качает заразу отсюда на андроиде - http://apmob.net/load/1152/load.apk . Добавил строку "127.0.0.1 apmob.net" в файл hosts - теперь нормально открывается.

Vetal · 30 Янв. 2012 в 23:17

А проблема-то прогрессирует, в течении последних 1-1.5часа вобще невозможно было никак зайти на форум даже почитать, и файл все чаще просится на загрузку, кстати его размер изменился чуток с 27.1кб до 27.2кб.
Что сделать то надо, с компа не пробовал - стремновато. И вобще с этим че-то делается или так и останется?

zap · 31 Янв. 2012 в 01:16

Доступа к файлам форума нет ни у кого, кроме Creator'а.

Peoner · 31 Янв. 2012 в 01:40

Тема: Инженерами «ё-АВТО» было принято решение использовать в ё-мобиле операционную систему Android
xxx: у меня мобиль не шьётся из рекавери.. как быть ?!?!?!
yyy: зажмите газ + тормоз + дальний свет, и попробуйте запуск движка. Когда на дисплее появится зеленая надпись AnroYoMobile, сразу жмякайте клаксон, затем можете втыкать флешку с образом. Я уже прошил. Удачи

Цитата: L-I-O-N от 30 Янв. 2012 в 10:20
Товарищи, нас похоже ломанули. При входе с мобильника на андройде на форум происходит редирект на левый адрес и автоматом скачивается файл Load.apk.

хорошо что у меня не ведроид

зашел, почитал, вышел - никаких апк

zap · 31 Янв. 2012 в 02:11

А при чём тут ведройд, остальным лохам он вроде как что-то на Жаве предлагает скачать (какой-то .jar), он по идее с вендой должен быть совместим.
Кстати, в ё-мабиле вроде как не андройд, а просто нечто основанное на ядре Linux.

Просмотрел HTML текст страницы - не вижу никаких Load.apk / Load.jar.

Кто-нибудь дайте адрес страницы, где вылезал вирус. Есть вероятность, что это просто какой-то спаммер себе в аватарку/подпись/ещё куда-то засунул ссылку.

P.S. На моей Nokia N900 (линупс, бровзер основанный на файрфоксе) - ничо не вылезает.

Peoner · 31 Янв. 2012 в 03:25

Цитата: zap от 31 Янв. 2012 в 02:11
Кстати, в ё-мабиле вроде как не андройд, а просто нечто основанное на ядре Linux.

а андроид значит не на линуксе основан?! Забавно... :au:

Vetal · 31 Янв. 2012 в 03:49

Вот скриншоты телефона
http://s015.radikal.ru/i331/1201/61/d1e6a7936e63.jpg

http://s40.radikal.ru/i088/1201/21/c0d330f03f5c.jpg
Караул такие адреса набирать вручную.
Адрес на второй картинке. Так вот когда сделать обновить страницу или в меню нажать "начало"(на тот же адресс переход) часто предлагает загрузить файл. Во время этих предложений загрузки я не залогинен был(может важно). Иногда загрузка предлагалась и при переходе на какое нить новое сообщение. Причем заметил что при смене ip(он у меня автоматом меняется при новом инет подключении) эта вероятность предложения загрузки выростает(хотя может и не так, но для того чтобы сфоткать пример я просто переподключился и с первой попытки попал).
Ах да, операционка Симбиан.

a48lock · 31 Янв. 2012 в 08:32

У меня зараза лезла с главной страници http://electrotransport.ru/ussr . Подцепить можно только на моб. устройствах, на ПК не вылазит. На андроид устройствах больше не вылазит, убрали наверное.

Vetal · 31 Янв. 2012 в 09:07

Блин еле зашел сейчас из за этой заразы.
Если это, как говорилось вначале, смс спамер на короткие номера, то с компа тоже может вылезти,если используется мобильный инет(главное чтобы услуга связи позволяла отсылку смс). У кого инет по сетке, тот скорей и не заметит. А с мобильных счетов могут все деньги за эти смс посниматься. С компа позволяет через мобилу отослать смс или звонок сделать (через юсб модем по моему тоже, симка то услугу поддерживает, а это все АТ-командами модему передается).
Я когда-то сидел в инете на компе через тел.и вдруг увидел телефон засветился и идет набор номера, причем зарубежного, я отбил побыриньку,не успело соединиться. Позвонил оператору,сказали что с инетом нефиг делать такое может быть,с компа можно управлять тел.,предложили запретить в настройках тел. международные вызовы. Но тогда еще не было такой массовости с дорогими смс номерами. А смс-ку отправить так пользователь и не заметит этого процесса. А у меня то как раз инет на компе через мобильник,поэтому с компа стремно пытаться.

PS: Кстати после входа не выскакивает загрузка вроде,полазил. Наверно при каждом входе нового пользователя (с другим ip в моем случае,и без логина уже) оно пытается загрузиться. С каждого по разу денег снять, типа не заметят. Хотя перед входом подряд много раз вылазило окно загрузки(с одного ip,но не залогинен был).

av-master · 31 Янв. 2012 в 12:32

Скорее всего взломано само ядро форума. там где генерятся страницы, там и идет запрос какая операционка разрешение экрана браузер и т.д... вот там и происходит выбор куда направить и что сгенерить )))
Еще могут внешние модули типа Яндекс денег или какихнить счетчиков подсовывать лажу. Гугл аналитик и т.д... их какбы невидно но они то есть...

Slider · 31 Янв. 2012 в 16:22

Вот достаточно свежие примеры взломов с хабра:
http://habrahabr.ru/blogs/infosecurity/136771/
http://habrahabr.ru/blogs/infosecurity/134150/
Может у вас что-то похожее?

jeka · 31 Янв. 2012 в 22:22

Эм. Я бы очень рекомендовал обновиться. Для SMF 1.1.4 эксплоитов судя по тому что гугл выдает, уже полно, тем более версия внизу светится - как раз под автоматизированный взлом.

Creator · 02 Фев. 2012 в 00:15

проблема в работе

redimer · 02 Фев. 2012 в 21:46

Вчера при входе с мобильника Symbian на форум. (Браузер опера)
Меня перекинуло на сайт обновления оперы. Страница обновлений очень натурально и реалистично сделана. Сразу выскочило системное окошко оперы установить критическое обновление.
Жму установить и получаю моментально -188 рублей баланса. Звоню в мегафон узнать какого черта меня загнали в минус. говорят я отправил СМС на короткий номер 2858 стоимость 200 рублей. на мои возражения что у меня на счету было недостаточно средств, говорят какую-то невнятную ересь. Короче есть место мошенничества и пособничество в мошенничестве.

сайт мошейника http://u-moby.ru/ короткий номер 2858. По владельцу этих сервисов давно плачет тюрьма и специальный отдел ФСБ.

Пополнять отрицательный баланс я конечно же не буду (считай платить мошенникам). Если оператор мегафон не отменит транзакцию, эти расходы останутся за ними.
Я конечно пойду в главный офис выяснять отношения. и если потребуется откажусь от услуг ООО "Мегафон" из принципиальных соображений.

Slider · 02 Фев. 2012 в 22:02

Самый действенный метод - включить запрет смс на короткие номера. У мегафона это точно как-то можно, у меня сестра так сделала.

Lion · 04 Фев. 2012 в 21:58

Только я решил, что каку извели - ща в ванной получил редирект на тот же адрес, только имя файла теперь any_name. С пятой попытки пробился чтоб написать

METAL · 04 Фев. 2012 в 23:07

опера мини. зашел со второго раза. выкинул из браузера а потом написал:

рахмер 28,4к время 5сек тип application/java-arhive

METAL · 04 Фев. 2012 в 23:08

опера мини. зашел со второго раза. выкинул из браузера а потом написал:

рахмер 28,4к время 5сек тип application/java-arhive

Vetal · 05 Фев. 2012 в 02:38

А я думал, что только я с этой проблемой сталкиваюсь, причем все это время, с начала темы. Кстати, размер файла,предлагаемого к загрузке, меняется: 27.1, 27.2, 28.9, 28.4 кб,
Вобщем вирус скоро соберет все наши пароли и забанит всех.

redimer · 06 Фев. 2012 в 23:47

Не только мобильный вирус, у меня и комп начал ругаться на форум.

redimer · 14 Фев. 2012 в 11:14

вирус все еще тут. Только что с телефон пытался установить скрипт

Merakules · 14 Фев. 2012 в 12:53

блин вот нас прорыли то

FAS_r7 · 14 Фев. 2012 в 14:07

кстати да, на той неделе на КПКондроеде тоже вылезло что-то там такое скачать при очередном посещении форума - просто вежливо отказался, и всё продолжило работу вроде как в штатном режиме.

us__007 · 14 Фев. 2012 в 14:40

У меня на планшетке с ондроедом 3 ничего не вылезало, ни разу, антивируса нет.
Может быть еще от версии ос зависит.

Merakules · 14 Фев. 2012 в 14:45

так ребят лезит только с корня
так что будем бить врага спасибо коллегам которые подсказали где лезит тварь

Merakules · 14 Фев. 2012 в 14:52

Вот эта дрянь в лицо (из переписки с коллегой, который помог вычислить)
вирус (броузер Dolphin для Андроида).
При наборе адреса http://electrotransport.ru идет перенаправление на адрес ******asmob.net/load/1152/any_name.apk - это приложение для мобильных устройств с вирусом, после установки которого с телефона сразу начинается массовая рассылка СМС Но не со всякого мобильного броузера вирус подхватывается. Со встроенного броузера HTC вирусяга не подхватывается.

redimer · 14 Фев. 2012 в 22:31

у меня выскакивало, не только с корня, и у меня не андроид а симбиан смартфон.
JAR скрипт может начать рассылку практически с любого телефона.

zap · 15 Фев. 2012 в 18:12

Нучо, поймали жывотное?
Я могу помочь, был бы доступ к файлам.

P.S. Посмотрел код заглавной страницы.
Вижу одно тонкое место:

Код Выделить

<script src="http://odnaknopka.ru/ok1.js" type="text/javascript"></script>
Если кто-то хакнет сайт однойкнопки и вставит в ok1.js злобный код, то автоматически под раздачу попадут все посетители нашего сайта.
Решение - скачать ok1.js на electrotransport.ru, и заменить его адрес в шаблоне.

Ещё есть ссылка на Яндексовский скрипт, но к Яндексу всё-таки больше доверия, чем к какой-то левой однойкнопке.

a48lock · 17 Фев. 2012 в 01:17

А вирус буйствует, на андроиде закачивается файл any_name.apk с unae.net

Creator · 17 Фев. 2012 в 02:08

ну не знаю я что с ним .... .... ещё .... делать.... ....
хостингёр вчера тоже отказался.

а делать надо

zap · 17 Фев. 2012 в 23:23

Таак, интуиция меня не подвела.

Это однакнопка и есть.

Читать тута: http://www.kvv-studio.com/forum/index.php?topic=443.0

zap · 18 Фев. 2012 в 00:05

Вирус капут.

Если у кого-то опять вылезет - сразу свистите.
Для верности можно мне в личку.

Slider · 21 Фев. 2012 в 10:25

У пользователя форума venom777 картинка в подписи диагностируется Avast как вредоносная ссылка.

ЦитироватьДетали заражения
URL: http://webthing.org/BB0777MO.png
Процесс: file://C:\Program Files\Internet Explore...
Инфекция: url:Mal

zap · 21 Фев. 2012 в 20:19

Спасибо за бдительность

В интернетах вот что пишут:

ЦитироватьURL: mal - не вирус! Это сообщение антивируса, что данный веб-адрес (URL) заблокирован, потому что числится в его базе данных как вредоносный (malicious).

То есть, по сути, антивирусу не нравится сам сайт webthing.org (попробуйте туда просто зайти бровзером - по идее антивирус возбудится и начнёт бегать по стенам).

Посмотрел картинку - картинка как картинка, ничего особенного, структура цела, содержимое выглядит безобидно.

Ахтунг! Вылез вирус!

av-master

av-master