Адрес для входа в РФ: exler.world
Интересный спамерский вирус
04.03.2007 15:30
6685
Комментарии (27)
У одной из участниц моего форума завелся интересный вирус: в каждое ее сообщение на форум он вставляет текстовую строчку со спамом (на английском) и несколькими гиперссылками. Первый раз такое вижу. Продемонстрировать, как это выглядит, я не могу - сдуру удалил заспамленные сообщения, а доступ на форум этой участнице временно закрыл, но факт налицо - есть такая интересная зараза.
Никто с чем-то подобным не сталкивался? Мне интересен механизм действия.
Войдите, чтобы оставить комментарий.
Это скорее всего прокси-троян rsvp32_2.dll. Меня доставал этот вирус на прошлой неделе. Вот ссылка, как лечится:
forum.votkinsk.net
forum.votkinsk.net
Toshka: Это скорее всего прокси-троян rsvp32_2.dll. Меня доставал этот вирус на прошлой неделе
Ребята!
Не запускайте всякую фигню, и ради бога, отнимите у ваших членов семьи (в том числе у себя) админские привилегии! Administrator - только для администрирования, не для работы! Тогда вам никакой антивирус будет не нужен.
Когда-то один мой клиент редактировал свой сайт через CMS и во все страницы на сайте куда он заходил добавлялось что-то подобное. Потом выяснилось, что это toolbar HotBox (или типа того) в каждую textarea на странице пихал свой спам.
Смешно стало. Вспомнил, как давно кто-то на моей бывшей работе подшутил над соседним отделом. Написали макрос под ворд, который при отправке на печать в конце каждого абзаца добавлял маленькое незаметное "бля". При print view можно было заметить, но при работе с текстом этого не было видно...
webwarper.net
Вот одна ссылка с ее сообщения.
Вот одна ссылка с ее сообщения.
А это меня заставило расплакаться:
Получите HTML-код #1 и вставьте на вашу HTML-страницу между тэгами и .
Этот HTML-код отключает рекламу WebWarper.
Затем получите HTML-код #2 и вставьте в подходящее место на вашей странице.
Этот HTML-код предлагает вашим посетителям ссылку, позволяющую просматривать ваш сайт либо с WebWarper, либо без него, а также небольшое описание "Безопасно-экономного режима просмотра".
Если вашим пользователям такой режим не понравится, они всегда могут просматривать сайт обычным способом.
Вы можете изменить текст и дизайн ссылки и описания на ваше усмотрение.
Этот HTML-код отключает рекламу WebWarper.
Затем получите HTML-код #2 и вставьте в подходящее место на вашей странице.
Этот HTML-код предлагает вашим посетителям ссылку, позволяющую просматривать ваш сайт либо с WebWarper, либо без него, а также небольшое описание "Безопасно-экономного режима просмотра".
Если вашим пользователям такой режим не понравится, они всегда могут просматривать сайт обычным способом.
Вы можете изменить текст и дизайн ссылки и описания на ваше усмотрение.
Сейчас я выругаюсь матом:
Вы мне уже верите?
Мы предлагаем вам:
сократить в 1,5-3 раза трафик посетителей вашего сайта;
защитить посетителей вашего сайта от вирусов;
обеспечить анонимность для посетителей вашего сайта;
ускорить доступ к вашему сайту для некоторых посетителей.
Посетители, которые покидают ваш сайт по ссылкам, опубликованным на ваших страницах, продолжают использовать WebWarper. Это значит: если сайты, на которые вы ссылаетесь, содержат вирусы, ваши пользователи останутся защищенными. Также они продолжат пользоваться экономией трафика и анонимностью.
Наконец, каждый оптимизированный сайт бесплатно получает бонус:
до 10 000 новых уникальных посетителей.
сократить в 1,5-3 раза трафик посетителей вашего сайта;
защитить посетителей вашего сайта от вирусов;
обеспечить анонимность для посетителей вашего сайта;
ускорить доступ к вашему сайту для некоторых посетителей.
Посетители, которые покидают ваш сайт по ссылкам, опубликованным на ваших страницах, продолжают использовать WebWarper. Это значит: если сайты, на которые вы ссылаетесь, содержат вирусы, ваши пользователи останутся защищенными. Также они продолжат пользоваться экономией трафика и анонимностью.
Наконец, каждый оптимизированный сайт бесплатно получает бонус:
до 10 000 новых уникальных посетителей.
Вы мне уже верите?
Разбираться можно тут: www.800hosting.com
Это сервак, стоящий на коло, там еще куча проксей (на нем же) банить, однозначно банить.
Предлагаю пропатчить исходники форума. В форме поста во все поля формы добавить какой-нибудь суффикс "_1"...
Отправил 😄
Alvajaro: Отправил
Спасибо, получил.
Алекс, баньте нафиг диапазон на уровне доступа к серверу 69.41.160.0 - 69.41.191.255
Alvajaro: Отправил
Нажав на ссылку, которую мне любезно предоставили, сразу получил "просьбу" загрузить файл, размером 36килобайт. 😄 Мне продолжать?
У меня тут в Клиенте остался один её пост со спамом... могу показать 😄
Alvajaro: У меня тут в Клиенте остался один её пост со спамом... могу показать
Можно в личку?
Кстати, по ссылкам, которые эта пакость вставляла, вполне может сидеть эксплойт, впихивающий эту спамерскую заразу зашедшим, поэтому хочется увидеть эти ссылки. Может, удастся таким макаром вычислить заразу, чтобы антивирусникам отправить.
ilya_ya: поэтому хочется увидеть эти ссылки. Может, удастся таким макаром вычислить заразу, чтобы антивирусникам отправить.
Именно... Еще хочется понять как от этого защититься, пока "антивирусники" не готовы. Например, забанить этот сервер в принципе.
Alex Exler: Продемонстрировать, как это выглядит, я не могу - сдуру удалил заспамленные сообщения, а доступ на форум этой участнице временно закрыл, но факт налицо - есть такая интересная зараза.
Алекс, создайте группу пользователей "Заспамленные", дайте юзеру только туда доступ, остальным "только читать" и покажите... 😄
Буду посмотреть(с)
Alex E Leonov: сдуру удалил заспамленные сообщения,
Или дайте мне временный доступ к форуму "для удаленных сообщений", я подумал, меня это сильно напугало... 😒
