[jinnmin]

Сделал вчера гостевой вход на cgm с другого компа, где как и у меня стоит KIS2010. Открыл пару страниц. Результаты:
12.09.2010 19:48:36 Обнаружено: HEUR:Trojan.Script.Iframer http://forum.cgm.ru/clientscript/vbu.../vbulletin_md5 Internet Explorer
12.09.2010 19:48:36 Запрещено: HEUR:Trojan.Script.Iframer http://forum.cgm.ru/clientscript/vbu.../vbulletin_md5 Internet Explorer
12.09.2010 19:49:11 Обнаружено: HEUR:Trojan.Script.Iframer http://forum.cgm.ru/clientscript/vbu.../vbulletin_md5 Internet Explorer
12.09.2010 19:49:12 Запрещено: HEUR:Trojan.Script.Iframer http://forum.cgm.ru/clientscript/vbu.../vbulletin_md5 Internet Explorer
12.09.2010 19:49:47 Обнаружено: HEUR:Trojan.Script.Iframer http://forum.cgm.ru/clientscript/vbu.../vbulletin_md5 Internet Explorer
12.09.2010 19:49:47 Запрещено: HEUR:Trojan.Script.Iframer http://forum.cgm.ru/clientscript/vbu.../vbulletin_md5 Internet Explorer
12.09.2010 19:50:22 Обнаружено: HEUR:Trojan.Script.Iframer http://forum.cgm.ru/clientscript/vbu.../vbulletin_md5 Internet Explorer
12.09.2010 19:50:22 Запрещено: HEUR:Trojan.Script.Iframer http://forum.cgm.ru/clientscript/vbu.../vbulletin_md5 Internet Explorer
12.09.2010 19:53:48 Обнаружено: HEUR:Trojan.Script.Iframer http://forum.cgm.ru/clientscript/vbu.../vbulletin_md5 Internet Explorer
12.09.2010 19:53:48 Запрещено: HEUR:Trojan.Script.Iframer http://forum.cgm.ru/clientscript/vbu.../vbulletin_md5 Internet Explorer
12.09.2010 19:56:39 Обнаружено: HEUR:Trojan.Script.Iframer http://forum.cgm.ru/clientscript/vbu.../vbulletin_md5 Internet Explorer
12.09.2010 19:56:39 Запрещено: HEUR:Trojan.Script.Iframer http://forum.cgm.ru/clientscript/vbu.../vbulletin_md5 Internet Explorer

На моем компе каспер молчит. Немного погуглил, вот результаты:

"HEUR - значит, что троян точно не определился, он он похож на программу, совершающую зловрендные действия. Какие именно? отправьте ссылку заражённую страничку в вирусную лабораторию - newvirus - собачка - kaspersky.com, они скажут вам, правда ли это троян, как его зовут. Насчёт того, что он делает, это они не скажут, но в любом случае, антивирус заблокировал его попадание на ваш компьютер, следовательно бояться нечего smile.gif И в слдеующий раз воздержитесь, пожалуйста, от публикования ссылок на заражённые страницы."

"12.02.2009 благодаря Доник Роме с его девятым Касперским на Кармане был зафиксирован вирус "HEUR:Trojan.Script.Iframer".
Мой доктор вэб молчал. Аваст тоже отдыхал. антивирус зайцева тоже спит. Стал исследовать сего друга. Обнаружилось постоянное соединение через ФТП и молниеносная замена index.php, auth.php, .htaccess файлов и прочих на некоторых сайтах сервера. Суммарно заменилось штук 450 файлов. В каждом файле был дописан сверху или снизу джаваскриптовый троян примерно такого вида:
Что менялось в .htaccess, я так и не догнал. Но что-то менялось, так как файл отличался и датой и размером. Ок. Меняю на всё, что только можно, пароли. Захожу Тотал Командорсом на некоторый и проверяю файлы. Потом проверил по логам. Руками менять так можно было целый год. Хорошо, что есть свежий утренний бэкап. Подняли из него. Счастье наступило. На следующий день вечером Дима и Рома практически одновременно обнаружили опять этого зверя. Думаю, ну дела. Вчера только пароли поменял. Захожу в логи и вижу, что новый друг коннектится к тем сайтам, на которые я буквально только вчера заходил через Тотал. Проблема локализована. Что интересно, доступ проводился к ФТП со вчерашнего АйПишника. Опять вирусняк на еще большем количестве сайтов. Опять подъем из бэкапа, опять поменял везде пароли. Написал в техподдержку доктор вэба. Посоветовали обновить версию ПО до пятой. Обновил. Запустил сканер всего компа. Тишина. Зайцев тоже молчит. Прислал логи техподдержке. Как что-то интересное скажет, дам знать"

"По моим сайтам: Сидит, пытаются чистить успехов пока нет. Основная проблема в том, что его проблемно"поймать". Тоесть, пример: DLE: Авторизируюсь на сайте, как админу открываютса дополнительные меню: Статистика, Модерация, Вход в Админ-панел. Клик по ссылке на админку. Ввожу ник и пароль админки- Касперский 7 орет благим матом Вирус. В то-же время, про вводе прямой ссылки на админ-панель сайта- просит ввести Ник и пароль в Админку. Ввожу и без проблем вхожу. Ворд-Прес, блоги: То-же самое + при переходе с страниц второго уровня на третий- Вирус. При вводе Урла той-же страницы в строку браузера- все нормально. Такое впечатление, что он цепляется "по дороге" при определенных условиях, а не на конкретной странице. На Аккаунте хостинга 35ть сайтов. ВСЕ ОНИ были инициированы (судя по дате модификации файлов с кодом вируса) в ОДНО И ТО-ЖЕ ВРЕМЯ, с точностью до секунды. Как оказалось позже, когда был установлен Касперский, на моем копе так-же он сидел
А теперь- самое главное: В то-же время, в ту-же секунду был и НЕСАНКЦИОНИРОВАНЫЙ перевод всех денег с моего ВМИДа, на кошелек созданный за 6ть!!!!! секунд до этого"

Хочется увидеть официальное мнение cgm по этому вопросу.

[Prolim]

эммммм.....чё-то как-то...

[futualien]

Проблема была решена еще вчера.