Осторожно Читер разослал поддельную рассылку от МХ с вирусом

Вообщем принцип действия следующий:
При заходе на тот адрес в систему устанавливается загрузчик,
который располагается затем здесь:
C:\windows\system32\winupdate.dll
Задача загрузчика каждый раз при запуске системы подкачивать из инета основное ядро, которое лежит (а может лежало и кулхацкер его уже убрал)
где-то здесь:
http://windows.updates-microsoft.com/6248x1-248Q9297/
либо
http://windows.updates-microsoft.com/6248x1-248Q9297/wsp2update.dll

Чтобы выяснить, что делает это ядро, нужно его получить.
С выше приведенных адресов его получить браузером нельзя, потому что скорее всего проверяется запрос. И если запрос идет от загрузчика, то выгружается ядро. Если запрос идет не от загрузчика, то происходит обыкновенный редирект на сайт апдейтов микрософта.

Ядро можно получить двумя вариантами:
1. Сэмулировать запрос по адресу и получить ядро (если автор его не убрал).
2. Поискать файлик в папках винды, либо во временных папках системы с сегодняшней датой создания/изменения. Имя файла предположительно wsp2update.dll

В силу некоторых причин я не могу сейчас сделать первый вариант, ну о втором и говорить нечего. Я юзаю Оперу
Если кто-нибудь сможет получить это ядро, то делитесь, попытаюсь раскопать, что оно делает.

Могу сказать одно: С большей степени вероятности это может быть кейлоггер/сниффилка паролей. Так что чистите истему и потом сразу же меняйте пароли.

Вечером попытаюсь получить ядро.

Skat писал:

*.pwm - расширение от ключей вм

Эта информация откуда? В реестре? В какой ветке?

после клика по ссылке появились ключи
SOFTWARE\Microsoft\Windows NT\CurrentVersion\GreA3752DX
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wscntfy
и файл
winupdate.dll нашел
что еще можно почистить?

to kit: это странно и нелогично делать рассылку чтобы люди скачали вирус, который ничего не делает. может он что-то меняет в виндовых файлах и сделает позже - через windows update закачает дерьмо никем не замеченный

и почему нет никакой инфы на крутопе? напиши туда, а то я параною, что ты не кит, а тот кто вирь впаривает

кто нибудь может подытожить как эта хрень детектиться?

как я понял основной признак - это наличие файлов winupdate.dll и
wsp2update.dll (к счастью у меня пока таких нет - возможно аутпост не дал загрузить)

кто может еще что-либо сказать по данному поводу?

кликнул по ссылке под вин2к ие 5.5
как и у всех браузер вылетел по ошибке
но файл winupdate.dll отсутствует, wsp2update.dll тем более
ntdll.dll имеет старую дату создания
или оно работает только по хр, или одно из двух

Andy писал:

кто нибудь может подытожить как эта хрень детектиться? как я понял основной признак - это наличие файлов winupdate.dll и wsp2update.dll (к счастью у меня пока таких нет - возможно аутпост не дал загрузить)

Именно так и детектится.
Еще по ключам
SOFTWARE\Microsoft\Windows NT\CurrentVersion\GreA3752DX
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wscntfy
в реестре

странности с форумом продолжаются
пост kit-a о том, что все проверили и никуда левых конектов нет (на который я отвечал ) ИСЧЕЗ как и несколько топиков о левой рассылке сегодня утром. Предлагаю переместиться на крутоп, может его еще не хакнули =)

A d u l t писал:

Эта информация откуда? В реестре? В какой ветке

я не посмотрел ветку (сча уже снес все), просто набрал в поиске реестра winupdate.dll там целая папка былы с комплектом упомянутых вышее длл и это расширение

Это не первая атака на адалт-ресурсы. Мы с Китом обсуждаем пионера в асе не первый день. Наш сайт был вскрыт, эксп висел в разделе даунлода и был быстро обнаружен. Мы уже нашли дыру, через которую пионер попал на сайт. Скажу так - работает не лох, и все мессаги здесь он несомненно читает.
Яву мы препарировали. По предварительной НО НЕ ТОЧНОЙ ИНФЕ, код относительно безобиден. Он старался установить в букмарки или в стартовую какие-то линки. Видимо там были трои или ещё что-то.

+++++++++++++++++++
Внимание. Напоминаю, что любая инфа о пионере будет вознаграждена, в случае если она подтвердится. В этом случае могу сказать точно, что тёплое место на долгие годы и отбитые яйца мы ему гарантируем.

Ну и публичное обращение к пионеру: если ты, осёл не понимаешь, что так много денег тебе не наловить, то можешь хулиганить дальше. Но рано или поздно ты накосячишь где-то и не спасут тебя потом даже китайские серваки и цепи впнов. И вот тогда мы будем крепко держать тебя за яйца и снимать в гейском р_эй_пе.
Подумай своей башкой, проявись. Заработать ты сможешь гораздо больше, работая консультантом по безопасности, админом итд. Домашний адрес у тебя при этом никто не спросит.
И ещё помни, что ты нарушил главную заповедь: "своих не хачат".

+++++++++++++++++++++
зы: по последним данным, паретто лоджик трой видит.

vxod писал:

странности с форумом продолжаются пост kit-a о том, что все проверили и никуда левых конектов нет (на который я отвечал ) ИСЧЕЗ как и несколько топиков о левой рассылке сегодня утром. Предлагаю переместиться на крутоп, может его еще не хакнули =)

Я нашел два возможных левых коннекта на
http://windows.updates-microsoft.com/6248x1-248Q9297/
либо
http://windows.updates-microsoft.com/6248x1-248Q9297/wsp2update.dll
Овнер домена тотже, что и у masster-x.com

PS: На крутоп не поеду

во короче нашел где были эти файлы

\Software\Microsoft\Search Assistant\ACMru\5603

DNK писал:

И ещё помни, что ты нарушил главную заповедь: "своих не хачат".

Эта... А я и не знал, что на Мастере хакеры - это "свои"...

Skat писал:

во короче нашел где были эти файлы \Software\Microsoft\Search Assistant\ACMru\5603

Бро, это Search Assistant.
Видимо ты его когда-то ставил, а может и сейчас стоит.
И когда искал файлы ключей, и сам этот файл трояненый - у тебя записи об этих поисках записались в реестр.

PS: ACMru - это Auto Complete Most Recently Used. Тобишь Автозаполнялка.

Петр Кроликов писал:

Эта... А я и не знал, что на Мастере хакеры - это "свои"...

Своих - это русские русских.

PS: Ну пипец этот нахеренок кармы себе попортил. Скоро небось или раком заболеет, или язва откроется.

народ, кому не прибить - пробуйте http://www.sysinternals.com/Utilities/ProcessExplorer.html

короче хз, что это за борода, но я все форматирую

Skat писал:

я не посмотрел ветку (сча уже снес все), просто набрал в поиске реестра winupdate.dll там целая папка былы с комплектом упомянутых вышее длл и это расширение

Не паникуй, это не вирь, я у себя тоже эту ветку нашел, хотя все переустановил из образа.

повёлся и открыл.
изменённых файлов за прошедшие сутки почти нет.
указанных файлов нет.
делаю откат до прошлого запуска

Хорошо, что я асю первым делом чекаю, когда встаю.

Спасибо Норману и Казантипмену за предупреждение!

Тем, кто пострадал, желаю поскорее разобраться с минимальными потерями.

Расслабтесь и поменьше тыкайте всякие ссылки в почте. От якобы пейпала через день письма ходят. Я вообще рассылок не читаю, сразу в корзину. Юзайте лису или оперу + gmail.
Я думаю что это письмо только начало, дальше от спонов ждите

хы... а я не читал =) рука машинально удалила, седня вот открыл письмо. посмотрел, но на линк не тыкал =) там же в урле подставу видно ))

Письмо получил еще утром, как обычно не удалял, что бы потом почитать.
подозрение закрались сразу после того как увидел объяву - не в стиль, ну а потом линки увидел....

Думаю правильно будет перенести в треп.... так как вероятно не только я один в начале в треп полез, потом в читеры, ну и только потом сюда попал.

Если НИЧЕГО из вышеприведенного у меня нету (что странно... антивирь был выключен. правда, ОС обновленная), то могу ли я спать спокойно?
переустанавливать ос, менять пароли ооочень лень. лучше рискну и не буду этого делать

Сформатирую ка я на всякий случай Матрицу. Если потом окажется, что кого-то не будет - не обижайтесь.... Вы ведь все - только процессы...

The Админ.

я никогда рассылки не читаю, сроазу удаляю. а тут прежде, чем нажать делит увидел что какой-то там проект подготовили... и нажал на линк, мля