Archdevil - 2006-12-27, 16:08 Temat postu: Nowy trojan na Gadu-Gadu Dostajesz dziwne linki podobne do
Trzymaj się od nich z dala! Zainstalują one na Twoim komputerze trojana identyfikowanego jako Trojan-Downloader.JS.Agent.ab. Szkodliwe działanie robaka nie jest znane, wiadomo jednak że po wejściu na złośliwą stronę trojan rozsyła się do znajomych z listy. Problem dotyczy użytkowników przeglądarki Internet Explorer, jak również użytkowników przeglądarki Firefox z włączoną wtyczką Windows Media Player! Użytkownicy Firefoksa mogą uchronić się przed zgubnym działaniem tego i innych robaków poprzez wyłączenie wtyczki WMP. Można to zrobić wpisując w pasek adresu about:config. Odnajdujemy klucz plugin.scan.WindowsMediaPlayer i ustalamy jego wartość na 12.0. źródło: gg.wiadomosc.info Po raz kolejny napad linków rozsyłających się po listach znajomych, tym razem nieco bardziej chamska forma  Uważajcie.
Ferbik - 2006-12-27, 16:10 Archdevil, od Ciebie też dostałem tego linka  I od paru osób ale nie otwieram
Marta - 2006-12-27, 16:10 Niestety, dałam się nabrać. Zmyliła mnie końcówka .jpg 
Czas na pożądnego skana. Archdevil - 2006-12-27, 16:10
Nie dostałeś, nie tykałem tego ;> Ferbik - 2006-12-27, 16:11 Marta, od Ciebie też dostałem
Marta - 2006-12-27, 16:13
Domyślam się, ale fajnie, że chociaż ty nie robiłeś mi wyrzutów co ja takiego wysyłam  Jakby to było zależne ode mnie .. 
Dominika - 2006-12-27, 17:25 ja dostalam to od Marty na razie komp dziala....
majk-el - 2006-12-27, 17:27 mi również dziś znajomej gg wysłało - kliknąłem bo to "zaufana" koleżanka Komp śmiga ale pewnie będzie rozsyłał.
Ferbik - 2006-12-27, 17:34 Sprobójcie przeskanować sobie kompa darmowym oprogramowaniem do usuwania trojanów i szpiegowskiego oprogramowania - tego trojana nie znajduje większość antywirusów. Programik można ściągnąć tutaj: ftp://ftp.download.com/pu...wsepersonal.exe Archdevil - 2006-12-27, 18:06 Osobiście radzę dorzucić l2mfix: http://archdevil.cba.pl/l2mfix.exe bo w jednym przypadku już okazało się, że zmienia także stronę startową
Gregg Sparrow - 2006-12-27, 19:17 Kiepsko czytacie forum (coponiektórzy) 
Opisywałem ten sposób ataku już w tym wątku: http://wielun.biz/viewtop...ighlight=#32471 Już ponad tydzień mija jak dostałem tego linka od mojego kuzyna. Dziwi mni tylko to że ta strona była już usunięta. Jak się kliło na linka to pokazywała się jakas witryna do wykupienia więc ktoś już uwolnił ja od wirusa. Teraz znowu zaatakował 
Archdevil - 2006-12-27, 19:20 Myślałem, że w tamtym poście chodziło ci o link, który wyłącznie rozsyłał się po liście gg, nie instalując żadnego trojana w kompie, który rozpowszechnił się jakoś w drugiej połowie października. Marta - 2006-12-27, 19:42
Przepraszam Dominiko, przecież wiesz, że nie zrobiłam tego specjalnie ..  Kurde ale porażka
Mi tez komputer działa a norton nie odnalazl żadnego virusaa. Tylko jakaś nowa ikonka na pulpicie mi się pojawiła.. tokar1991 - 2006-12-27, 20:42 Mnie też .jpg zmylił;/ Póki co nic się nie dzieje, ale na wszelki wypadek muszę czymś przeskanować... Gregg Sparrow - 2006-12-27, 21:45
OCzywiście że link sam się rozsyłał. Dopiero jego otwarcie powodowało że na kompie instalowało się jakieś badziewie. U mnie były to ikonki na pulpicie, a sam trojan zaczął cos do sieci wysyłać... sam do końca nie wiem co. Dopiero całkowite odpięcie (z kabla) sieci i zainstalowanie Kaspersky'ego pozwoliło na pozbycie się wira. Sprawdźcie porządnie kompy. Dominika - 2006-12-27, 21:50
spoko Marta nie nerwuj sie. komp na razie hula, zainstalowalam pierwszy link podany przez Ferbika, i faktycznie zostala zmieniona strona startowa, probuje od Archa teraz 
Kruk - 2006-12-27, 22:02 wniosek? Trzeba używać opery
majk-el - 2006-12-27, 22:09
firefoks nie chciał otworzyć stronki. Lesiu - 2006-12-27, 23:38 uważajcie bo ja dostałem linka, który nie miał koncówki jpg tylko info www.mgxvhniobnla.info, jak napisałem do kumpla co mi wysyła to napisał mi ze nic nie wysyłał. yampress - 2006-12-28, 10:53 Trojan rozpowszechnia się przez sieć Gadu-Gadu 2006-12-28 00:53:44 Security, autor: Rafał Pawlak, We wtorek wieczorem wielu użytkowników komunikatora Gadu-Gadu otrzymało pojedyncze wiadomości, w których znajdował się jedynie link do strony internetowej. Wiadomość możemy dostać nawet od nieznajomego, wystarczy, że on ma nas na swojej liście kontaktów. Rozsyłane są wiadomości:
Fakt, że link przychodzi jako pojedyncza wiadomość, każe przypuszczać, że do użytkowników GG trafia jako zagnieżdżony w rozmowie obrazek. Ludzie, którzy rozsyłają linki, nie mają pojęcia, o co chodzi, bo – jak twierdzą - nic nie wysyłali. Użytkownik Smalu deobfuskował kod strony (wysyłany jest tylko do użytkowników IE), wygląda na to, że do wstrzyknięcia używa techniki Trojan-Downloader.JS.Agent.ab, dalej nie wiadomo, co (oprócz rozsyłania linka dalej) robi sam trojan. Problem dotyczy również użytkowników przeglądarki Mozilla Firefox z aktywną wtyczką Windows Media Player, przez którą uruchamiany jest kod robaka. Można się przed tym uchronić poprzez wyłączenie wtyczki WMP. Można to zrobić wpisując w pasek adresu about:config. Odnajdujemy klucz plugin.scan.WindowsMediaPlayer i ustalamy jego wartość na 12.0. Po uruchomieniu robak skanuje dysk w poszukiwaniu plików profilu Gadu-Gadu - gromadzi hasła do kont oraz kontakty. Dane te są następnie wykorzystywane do rozesłania złośliwych linków. Takie działanie może powoduje złudną obsługę komunikatorów innych niż Gadu-Gadu, gdyż wielu z ich użytkowników posiada na swoich dyskach profile programu Gadu-Gadu. Warto wspomnieć że sposób rozprzestrzeniania się robaka sam w sobie zawiera mechanizm automatycznej aktualizacji - każda z ofiar pobiera na swój dysk najbardziej aktualną wersję. Nie jest znane szkodliwe działanie (poza rozprzestrzenianiem się) obecnych wersji, lecz kolejne wersje robaka mogą zawierać kod którego szkodliwość będzie dużo wyższa. W kodzie robaka znaleziono tagi kilkunastu emotikon, co wskazuje na to że wiadomości mogą znacznie różnić się od wymienionych wyżej schematów (chociaż nie jest to potwierdzone). Robak krążył po Internecie już od początku listopada, ten atak to jego nieco bardziej rozwinięta wersja, której pierwsze symptomy (jak atak na Firefoksa) pojawiły się około miesiąca temu. Masowe wysyłanie wiadomości do użytkowników z listy kontaktów komunikatora powoduje także, że działanie zaczyna filtr antyspamowy serwerów Gadu-Gadu i wiadomości wychodzące i przychodzące do konta zarażonego zostają zablokowane na jakiś czas. Exploit jest, przynajmniej na ten moment, ściągany zawsze z tego samego adresu. Wystarczy więc na firewallu wyciąć adresy zamieszane w aferę (64.202.189.170 - strona do której prowadzi pierwszy link, 66.185.126.34 - ostateczny kod robaka), by zaznać chwilowego przynajmniej spokoju. Dokonano już tego w wielu sieciach osiedlowych. Źródło: Wikinews Dominika - 2006-12-28, 22:00 i pozamiatane,komp szaleje, a raczej outlook, mam pytanko, zy u kogos kto dostal link tez outlook robi dziwne rzeczy?
Gregg Sparrow - 2006-12-28, 22:08 Dominika, różne cuda sie mogą dziać, bo do końca nikt nie wie jak to badziewie działa i co w systemie zaatakuje. Kupiłem gazetę PC World Komputer i tam była 30 dniowa wersja antywira Kaspersky'ego . Wyciągnąłem kabel sieciowy z gniazdka i zainstalowałem program... dalej juz poszło łatwo. Program znalazł różne zarażone pliki w zupełnie przypadkowych miejscach więc być może wir u Ciebie zaatakował outlooka. Marta - 2006-12-28, 22:13
Dominiko, zrób "to coś" z tego linka co podał Ferbik. U mnie jest wszystko ok
kdawka - 2006-12-28, 22:13
Mozesz przyblizyc jak sie te dziwne rzeczy objawiaja? Przede wszystkim polecam zainstalowanie darmowego Firefoxa 2.0 z wtyczka Adblock i Thunderbirda 1.5 zamiast Outlooka. yampress - 2006-12-28, 22:14 ja tam nie mam problemu z badziewiem typu wirus
Dominika - 2006-12-29, 18:28
outlook wysylal jakas wiadomosc caly czas mimo ze nie chcialam nic wysylac:P, co najlepsze nic nie wyslal, bo za chwilke wyskakiwal blad. Teraz zmienilam otoczenie na "łódzkie" i wszystko gra i buczy! Dzieki za rady
tokar1991 - 2006-12-29, 19:01 Dzisiaj znowu dostałem taki link:
Jaro - 2007-01-03, 21:02 Dostajesz dziwne linki podobne do
Trzymaj się od nich z dala! Zainstalują one na Twoim komputerze trojana identyfikowanego jako Trojan-Downloader.JS.Agent.ab. Szkodliwe działanie robaka nie jest znane, wiadomo jednak że po wejściu na złośliwą stronę trojan rozsyła się do znajomych z listy. Problem dotyczy użytkowników przeglądarki Internet Explorer, jak również użytkowników przeglądarki Firefox z włączoną wtyczką Windows Media Player! Użytkownicy Firefoksa mogą uchronić się przed zgubnym działaniem tego i innych robaków poprzez wyłączenie wtyczki WMP. Można to zrobić wpisując w pasek adresu about:config. Odnajdujemy klucz plugin.scan.WindowsMediaPlayer i ustalamy jego wartość na 12.0. Aktualizacja: Udało się ustalić że robak wykrada hasła. Osoby które kliknęły w groźnie wyglądające linki powinny bezzwłocznie zmienić hasło dostępowe do konta! Źródło: http://gg.wiadomosc.info/...d=arts&rid=4299 |
