Форум ''Интернет и Право''
29 Марта 2024, 03:51:33 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Новости: Форум "Интернет и Право" прекратил свою работу с 01 января 2013 г.
 
   Начало   Помощь Поиск Войти Регистрация  
В закладки:
Страниц: 1 2 [3] 4 5 ... 7   Вниз
  Печать  
Автор Тема: Вирус на сайте  (Прочитано 21692 раз)
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #20 : 21 Августа 2008, 05:17:07 »

Выносите постановление, назначайте меня экспертом - и я вам напишу соответствующее заключение.

1.У нас на форуме уже есть одна девушка которая требует деньги с форумчан за свои консультации. Прекращайте эту порочную практику.
2.Николай Николаевич, Вы ведь прекрасно знаете, что никакое постановление, я, по роду своей деятельности, вынести не могу.
Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
Uzver
Посетитель
*
Офлайн Офлайн

Пол: Мужской
Сообщений: 25


В поисках истины...


« Ответ #21 : 21 Августа 2008, 10:32:18 »

Я вот о другом подумкал, а зачем автору топика такая информация? Может это  он закинул трояна на какой-нить сайт и теперь хочет создать проблемм для владельца сайта? Это тоже самое, что подбросить кому-нить пистолет, с которого предварительно кого-нить застрелили.

А Вы, может быть, являетесь владельцам сайта, на котором лежит троян. И сейчас боитесь, что найдут законный способ Вас наказать...
Давайте не будем здесь углубляться в предположения по поводу мотивов, побудивших меня начать эту тему форума.

В любом случае "топором" можно и дров нарубить, и старуху-проценщицу по голове тюкнуть. Что из этого выбрать, каждый решает для себя сам.
Записан
Carolus
Участник
**
Офлайн Офлайн

Сообщений: 371


Нечем защищаться - бей кодексом!


E-mail
« Ответ #22 : 21 Августа 2008, 10:50:50 »

Николай Николаевич! И что Вы докажете тем, что загрузчик трояна - вредоносная программа? Если из квартиры гражданина ведётся огонь по прохожим, это ещё не значит, что стреляет именно этот гражданин. Сайт - он, по определению, "открытая квартира". Более того, если Вам как эксперту задать вопрос: может ли загрузчик быть установлен на сайт не владельцем сайта, Вы вынуждены будете ответить: да, такое возможно.
Записан
Dimon
Участник
**
Офлайн Офлайн

Сообщений: 802


No comments


« Ответ #23 : 21 Августа 2008, 12:55:22 »

Кроме прямого умысла есть еще косвенный - при наличии доказательств о том что владелец сайта знал что у него рассадник.
Простите, по вашему мнению, владелец сайта знал что у него рассадник чего? Скриптов? Любой современный сайт написан на скриптах. Никто статистические страницы в html  не пишет.

Большинство пишет на скриптах с использованием БД, имхо (если речь идет о профессиональных сайтах, а не баловстве на народе). Но я лично юзая html по совокупности различных факторов. Естественно, для форумов и прочего интерактива используются скрипты. Но там, где они не нужны, чистый HTML.
Записан
Dimon
Участник
**
Офлайн Офлайн

Сообщений: 802


No comments


« Ответ #24 : 21 Августа 2008, 12:57:58 »

Меня интересуют законные варианты потребовать от лица, ответственного за информацию на сайте (вне зависимости от того размещало оно вирус или нет) убрать его с сайта.
Draft дал вполне законный вариант. Я бы еще абуз хостеру кинул - во вменяемых конторах на них реагируют адекватно и могут прикрыть сайт пока его не вылечат.
На сколько я понимаю для указанной Вами статьи УК необходимо, чтобы распространение было совершено с прямым умыслом. А если этого умысла нет? Как быть? Ведь люди могут заразить свои компы...
Неважно есть прямой умысел или нет, есть 273 статья. Хотите бюрократии - идите в местный отдел милиции и пишите бумажку о том, что с сайта pupkind.ru распространяются вредоносные программы.
Потом не забудьте здесь выложить, что вам на это скажут местные стражи правопорядка Улыбающийся

Антон прав, только идти лучше сразу в Управление "К".
Записан
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #25 : 21 Августа 2008, 16:51:29 »

Всем кто считает, что загрузчик трояна на сайте является вредоносной программой вопрос - Файл autorun.inf является вредоносной программой или нет?
Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
Carolus
Участник
**
Офлайн Офлайн

Сообщений: 371


Нечем защищаться - бей кодексом!


E-mail
« Ответ #26 : 21 Августа 2008, 17:23:41 »

Всем кто считает, что загрузчик трояна на сайте является вредоносной программой вопрос - Файл autorun.inf является вредоносной программой или нет?
Файл autorun.inf является частью дисковой оболочки, т.е. прогораммы, обслуживающей дисковое меню. Если в ОС стоит опция автоплей, то пользователь, который её установил, знает о том, что вставка диска запустит дисковую оболочку. Если эта опция ставится в винде по умолчанию, то сама винда является вредоносной программой.
Записан
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #27 : 21 Августа 2008, 17:39:50 »

autorun.inf например, запускает вредоносные программы - дисковых червей.
« Последнее редактирование: 21 Августа 2008, 17:40:59 от Igor Michailov » Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
Carolus
Участник
**
Офлайн Офлайн

Сообщений: 371


Нечем защищаться - бей кодексом!


E-mail
« Ответ #28 : 21 Августа 2008, 17:49:22 »

autorun.inf например, запускает вредоносные программы - дисковых червей.
Ага, а Аутглюк - почтовых червей когда-то запускал. Уязвимость была связана тоже с каким-то автоматическим запуском. Т.е. штатным элементом программы. Корпорация Майкрософт создаёт и распространяет вредоносные программы?
Записан
Carolus
Участник
**
Офлайн Офлайн

Сообщений: 371


Нечем защищаться - бей кодексом!


E-mail
« Ответ #29 : 21 Августа 2008, 17:56:13 »

http://www.nhtcu.ru/stat/stat006.html

Название: Дисковые черви - новое поколение компьютерных вирусов
Автор: Юрин Игорь Юрьевич

Если бы всего год назад меня спросили о том, какой тип компьютерных вирусов сейчас наиболее распространен, опасен и актуален, я бы без раздумий назвал сетевых червей. Все прекрасно помнят большие и малые эпидемии, вызывавшиеся почтовыми червями.

Однако к 2007 году ситуация изменилась коренным образом. Почтовые черви стали встречаться все реже, а их место заняли другие вирусы - распространяющиеся на сменных носителях. Для их именования я предлагаю использовать термин "дисковый червь" (Disk-Worm), поскольку, во-первых, они не заражают существующие файлы, а создают свои собственные, во-вторых, объектами их интересов являются дисковые накопители.

Дисковые черви работают по следующему алгоритму. Впервые запустившись на заражаемом компьютере, они стремятся прочно обосноваться на нем. Для того, чтобы обеспечить себе постоянное присутствие в системе, они копируют себя на всех имеющихся в системе дисках либо в корень диска, либо в папку со стандартным именем, создают в корне диска файл autorun.inf, чтобы обеспечить автозапуск вируса при открытии этого диска средствами "Проводника" ОС Windows. В некоторых случаях вирусы могут прописываться в папки автозапуска или в соответствующие ветки реестра, чтобы получать управление при старте операционной системы, не дожидаясь открытия дисков пользователем.

Все большее количество устройств снабжаются флэш-памятью. Помимо обычных флэш-накопителей, это мобильные телефоны, цифровые фотоаппараты, MP3-плееры, цифровые диктофоны. Все эти устройства подключаются к компьютеру, при этом в системе появляется новый сменный диск. Если компьютер заражен активным дисковым червем, на этот сменный носитель сразу же копируются файлы червя. При подключении зараженного диска к компьютеру, на котором не отключен автозапуск сменных дисковых накопителей, дисковый червь запускается и заражает компьютер.

В настоящее время в России идет настоящая эпидемия дисковых червей. Список лидеров выглядит следующим образом: Trojan.Win32.VB.aqt, Virus.Win32.Perlovga.a, Email-Worm.Win32.VB.cs, Worm.Win32.VB.dz, Virus.VBS.Small.a (имена даны по классификации "Антивируса Касперского").


Trojan.Win32.VB.aqt

Другие названия - TROJ_VB.BDN (Panda Antivirus), Trojan.Recycle (Doctor Web), FakeRecycled (McAfee).

Написан на языке Visial Basic. Известны две версии, имеющие одинаковый размер в 20480 байт, не упакованы. Распространяется с лета 2006 года. Несмотря на префикс названия "Trojan" (по классификации "Антивируса Касперского"), распространяется как вирус. На зараженных компьютерах присутствует в файле с именем "ctfmon.exe" - одноименным с системным файлом ОС Windows, имеющим такую же иконку. При заражении дисков размещает себя в папке "Recycled" с атрибутом "скрытая" (т.е. маскируется под "Корзину"), а в корне диска создает файл "Autorun.inf" (размер 103 или 121 байт). На системном диске файл вируса располагается по адресу "Recycled\Recycled\ctfmon.exe", на других дисках - по адресу "Recycled\ctfmon.exe". В папке "Recycled" также создаются файлы "desktop.ini" (содержит классовый идентификатор, также предназначенный для маскировки под "Корзину") и "INFO2". В файле "Autorun.inf", создаваемом на системном диске, допущена ошибка. Дополнительно файл копируется в папки автозапуска в профилях пользователей. Также запуск вирусного файла осуществляется при обращении к расшаренному зараженному диску по сети. Визуально присутствие вируса определяется по невозможности открыть из "Проводника" диски (выдается сообщение "отказано в доступе"), в контекстном меню дисков появляется пункт "Open(0)", который установлен как действие по умолчанию при двойном щелчке мышью на диске.


Virus.Win32.Perlovga.a

Имеет размер 1211 байт, упакован MEW. Распространяется с весны 2006 года. На зараженных компьютерах присутствует в файле с именем "copy.exe" в корне диска, там же создает файл autorun.inf. Другие создаваемые файлы: host.exe (Trojan-Dropper.Win32.Small.apl) в корне диска, svchost.exe (Trojan-Dropper.Win32.Small.apl) и xcopy.exe (Virus.Win32.Perlovga.a) в папке ОС Windows, temp1.exe (Virus.Win32.Perlovga.b) и temp2.exe (Backdoor.Win32.Small.lo) в папке system32 в папке ОС Windows.

Trojan-Dropper.Win32.Small.apl имеет размер 70207 байт, внутри содержит два файла, детектирующиеся как Virus.Win32.Perlovga.b (имеет размер 35350 байт, упакован MEW) и Backdoor.Win32.Small.lo (имеет размер 2085 байт, не упакован, содержит внутри адрес "hnmy.3322.org", при компиляции на компьютере автора троянской программы располагался в папке F:\ftp и имел первоначальное название ftp.exe).

Визуально присутствие вируса определяется по тому, что в контекстном меню дисков появляется пункт "Autoplay", который установлен как действие по умолчанию при двойном щелчке мышью на диске.


Email-Worm.Win32.VB.cs

Написан на Visual Basic, упакован UPX 1.93, имеет размер 19456 байт. На момент составления описания не детектировался антивирусами, с конца марта 2007 года начал детектироваться "Антивирусом Касперского". Помимо функций дискового червя размножается как обычный компаньон-вирус. Несмотря на префикс названия "Email-Worm" (по классификации "Антивируса Касперского"), по электронной почте рассылает только ссылку на файл в сети Интернет.

Содержит текстовые строки:
This code by =M.Schmitt= i.BooM \ Version ED \
http://upload.caxapa.ru/archive.zip
http://Sitelong.narod.ru/archive.zip
D:\документы\26.04.2006\BAd Proj\SCHM\SCHM.e_\Project1.vbp
ot02_88@mail.ru

Деструктивные проявления:

В файлы doc, xls, rtf - записывает текст " ICQ: 409348016 Email: valeriys85@rambler.ru ", тем самым уничтожая документы.

В файлы jpg выборочно записывает bmp-картинку, представляющую собой белый квадрат размером 11x11 точек (содержит ее в собственном теле).

В файлы htm, html добавляет текст "A href="http://upload.caxapa.ru/archive.zip"> Посмотреть фото презентацию молодой девушки (+18)".

Записывает себя вместо exe-файлов, исходные файлы переименовывает в .dll с атрибутами Hidden. Не заражает файлы в папках "Program Files\Common Files", "WINDOWS", "WINNT".

Свое тело хранит в файлах:
С:\Media.scr (аналогично - в корне других дисков)
С:\Flashfoto.pif (аналогично - в корне других дисков)
С:\WINDOWS\system32\Windrv16\services.exe
C:\WINDOWS\system32\spool\svсhоst.exe (с и о - русские буквы)
C:\WINDOWS\system32\config\smss.exe (атрибут файла - Hidden)
C:\WINDOWS\system32\сtfmоn.exe (с и о - русские буквы, атрибут файла - Hidden, дата файла - 11.11.2003)
C:\WINDOWS\system32\SYSТЕM15.exe (Т и Е - русские буквы, дата файла - 04.08.2003)
Создает в корне дисков файл CDburn.exe и autorun.inf, в последний прописывает в секцию [autorun] строчку "open=CDburn.exe".

Использует файлы:
C:\WINDOWS\system32\sysrotdmo.sys (дата файла - 19.03.2000)
C:\WINDOWS\system32\msador15.dll (атрибут файла - Hidden, дата файла - 11.02.2000, содержит список почтовых адресов для рассылки спама)
msagor15.sys
Setup.scr

Изменяет ветки реестра:
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer

Рассылает себя по электронной почте пользователям mail.ru, inbox.ru, bk.ru, list.ru.
Темы и тексты писем (вместо @ стоит ссылка на archive.zip):
отчеты
вот, нашёл @ тут все отчёты, когда сможешь позванить?
для рассылки
Вот ссылка @ , незнаю видимо не туда послалась:))) приятного пользования.
ссылка
Игорёха, вот @ ссылка)) ..регистрационный ключ программы: 538DE-GT16K-510BC-337HD как приедешь в питер позвани...и ещё тебе привет от Машки.
документы
а что он просил? тут все отчёты, описания, документы вот @ ссылка, только описания без рисунков..если нужны эскизы напиши
тёлки
лёха посмотри презентацию..как тебе тёлочки??? отпишись когда домой собираешься. @ презентация
Саньку
Евгений идиот))
санёк, посмотри программку как тебя тёлочки?? @ ссылка )))))) позвани как сможешь. Привет от Насти
Re:Re: ZIP архив
не посылается по мылу, даю тебе ссылкой @ ссылка
люблю тебя)) скучаю очень
надеюсь понравится. даша
антохе
Здарова антоха, как и обещал даю ссылку на Вещь Подмигивающий @
Анютке
вот сонц ))) @
вот
Жека посмотри тока не говари что это не она.. @ archive.zip ...позвани когда приедешь в Москву Улыбающийся

На адрес ot02_88@mail.ru отправляет письмо, содержащее следующие строки:
Зомби машина
Имя компьютера:
Имя пользователя:
\ED\

Противодействует запущенным программам NOD32, Kaspersky (AVP), Outpost, Regedit.


Worm.Win32.VB.dz (дополнение от 10.05.2007)

Написан на Visual Basic, упакован UPX 2.01, имеет размер 10240 байт. На зараженных компьютерах присутствует в файле с именем "desktop.exe" (имеет атрибуты - Hidden, System, оригинальное имя афйла - "USB.exe") в корне диска. Также носит с собой файл "folder.exe" (имеет атрибуты - Hidden, System, размер 124688 байт), который является переименованным файлов Microsoft Winsock OCX. В корне диска создает файл "Autorun.inf" вида:

[AutoRun]
shell=verb1
shell\verb1\command=desktop.exe
shell\verb1=??(&O)
shell=Auto
Создает файлы boothide.reg вида:
REGEDIT4
[HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:0
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:2
"SuperHidden"=dword:1
"ShowSuperHidden"=dword:0
и bootrun.reg вида:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="userinit.exe,имя червя
и вносит их содержимое в реестр при помощи стандартной программы regedit.exe.
Также использует в своей работе файлы desktop2.exe, USB2.exe, svchost\svchost.exe, svchost.ini, wuauserv.exe.

Известны и другие версии этого червя, например использующие имя файла "Flash.exe" и "Thumbs.dn\1.{3aea-1069-a2de-08002b30309d}\Thumbs.bat".


Virus.VBS.Small.a (дополнение от 10.05.2007)

Написан на скриптовых языках, состоит из нескольких файлов, имеющих атрибуты System Hidden.
Файл autorun.bat вносит в реестр записи из файла autorun.reg при помощи стандартной программы regedit.exe, благодаря которым обеспечивает себе автозапуск из ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, а также блокирует показ скрытых файлов в свойствах Проводника. Запускает файлы с именем autorun.vbs из текущей папки и папки system32 операционной системы. Также использует файлы с именами autorun.bin и c:\autorun.txt.
Файлы autorun.inf и autorun.wsh обеспечивают запуск файла autorun.vbs при открытии диска.


Что делать?

Заражение дисковыми червями гораздо проще предотвратить, чем лечить. Для профилактики необходимо отключить автозапуск сменных дисковых накопителей. С этой целью можно удалить раздел реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 например с помощью команды
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 /f

[23.04.2007, дополнение от 10.05.2007]

Записан
Страниц: 1 2 [3] 4 5 ... 7   Вверх
  Печать  
 
Перейти в:  

Яндекс цитирования © Антон Серго, 1998-2012. Правовая информация.
Карта сайта "Интернет и Право" (internet-law.ru).

На правах рекламы:

Произвольная ссылка:







Powered by SMF 1.1.21 | SMF © 2011, Simple Machines