Вчера обнаружил, что, оказывается, симантек пару месяцев не обновлял базы, гад. В отпуск сходил, называется. После обновления показал, что около трети сети подцепили троянов, даунлоадеров и инфостиллеров.
Особенно отмечаю, что не было такого никогда. Однозначно всплеск. Пока не понятно, каким способом подцепили. Нат закрыт, все ходят через сквид. Почта? Какая-нибудь общая страница в интернете? Из зараженных машин только на избранных есть аська и мейл.ру агент.
У старшего админа в головном офисе похожая ситуация.
Yialqm32d.dll
Tuhixw32v.dll
Ovzdg32j.dll
Nipxcc32f.dll
koos.exe
KB98692774.exe
KB85596307.exe
1.exe
lt85.exe
A0000317.exe
и т.д. и т.п.
Пользователи мои не первый день в инет ходят. Ну не было такого раньше. Чезанах???

Кто-нибудь увольнялся за последнее время?

Navern
Не та организация. Здесь средний возраст за 40.
Добавлено спустя 4 минуты
У некоторых есть общий файл index[2].htm
Страница - даунлоадер - троян. Откуда страница???

знакомо...

этого хватает, чтобы с таких машин по всей сетке расползлось..
аська случаем не рамблеровская?

ставь им русскую мозиллу - будет ШАСТЕ...
Добавлено спустя 3 минуты, 57 секунд

не поверишь, из интернета!!!
на самом деле частенько это палево проявляется именно при IE, с мозиллой намного лучше...

Дыра, да? В понедельник надо будет заменить на квип.
Добавлено спустя 5 минут, 38 секунд

Да понятно, что из интернета. У народа между собой мало чего общего, ходят в инет сами по себе, даже ссылками не меняются. Похоже на большой общий ресурс типа мейла или яндекса.

Каким образом? Это же не черви. Или уже умеют? Тогда почему остальные машины чистые? Я с сассером сталкивался, видел, как он распространяется.

"труба архангела гавриила" (с) анекдот


как у вас организованы расшаренные ресурсы?

см выше, как расскажешь про шары - тогда будет ясно..

и пара вопросов - тачки без инета заражены?, есть тачки с нетом, не зараженные?
и еще раз повторюсь - ставь мозиллу файрфокс или оперу..

в обязательном порядке, чем быстрее, тем лучше.

На самбе база 1С и доки.

Нет, да.
Сильно смахивает на общий интернет-ресурс.
Добавлено спустя 15 минут, 26 секунд
Есть чистая машина с рамблер-аськой и зараженная с квипом

Я совершенно недавно убил аську как раз по этой причине. Дырявая как решето.

значит не через квип, но аську все равно убей.
да, ты так не ответил насчет браузеров - у тебя IE?
какой-нибудь "рамблер-знакомство" или какой-еще ресурс про пеканье... юзера любят подобную ересь..

Час назад, при загрузке страницы форума, 5 раз срабатывал симантековский фаер- троян дип троат... Ипть...
Добавлено спустя 2 минуты, 22 секунды
опера 9.23

это настораживает.
если не впадлу - снеси на время 7го, и поставь последний NOD32 или DrWeb и почеши ими винч, это так, интересу ради...

было недавно. сцуко сыпал бсодами в сторону оперы и проца, мол все хана им, но ощущение такое что бсоды в пайинте нарисованы. замоскировался под файл хелп и тварил свои дела. блин я уже изучаю файлы и папки в папке виндоус наизусть гыыыы

IliaKompGS

У меня стояла раньше связка NOD32 + Outpost лицензии, молчали практически постоянно, в тихую все творили

IliaKompGS у меня нод тоже ругаеццо на твой сайт...

зы: у меня тут похуже ситуевина. админ, который был до меня кроме башорга и линейки ниче не админил. итог - троян на контроллере домена. контроллер, етественно единственный.

причем троян, перехватывает апи вызовы, маскирует свои файлы и процессы, открывает бэкдоры и пр...
каспером не сносится (прячеццо гад.)
сноситя только AVZ, но боязно трогать контроллер. он же почтовик он же файлопомойка.
ща буду ставить второй контроллер, передавать роли, переносить почту...

Мде . Сайт грязноватый. NOD аж захлебнулся весь.

Можешь сцылки на грязные страшицы дать? Хочу проверить каспера

В конце страницы:



Пишем в адресной строке браузера:


без энтеров, естественно.

И видим раскодированный ХТМЛ... То, что я увидел, меня совсем не удивило.

А именно:


Вот так действуют некоторые уроды.

З.Ы. на всякий случай включил пока в проксомитроне "Kill Dynamic HTML JavaScripts". Мало ли...


З.З.Ы.
По адресу http://www.tinka.ru/doc/555/new/ima/ нас ждет ошибка 404, то есть страничку админ удалил... Похоже.

Вывод:
Ничего опасного в данный момент на странице нет, а антивирь просто ругается на фрейм...
Но таким способом действительно можно в фоне подгрузить злую страничку.


А вообще, сносим ишака, ставим браузер(а не обозреватель ).. Веб-фильтр... И все.
Те же Proxomitron и Proximodo можно использовать в связке со сквидНТ для раздачи инета. И фильтровать весь веб-траффик таким образом... Заодно баннеры порежет.

Через инет прошла какая-то волна. Мне все по фиг, а родителей, весьма умеренно использующих инет (и только инет), два раза чистить приходилось (поставил им avg). В основном трояны, какой-то Agent-E был, другие не помню.

+1 МакАфи и его сайтадвизор молчат, как утопленники.

ЩАС! Смотреть надо, что запускаешь, тогда и ишаки раздражать не будут.