Wirus w Total Commander!

[zwiastun]

W Sieci rozpowszechnia się wirus groźny dla używających Total Commander do obsługi FTP.
Pokrótce:
- Robak typu Malware.
- Pochodzi z zarażonego komputera użytkownika, który łączy się z FTP danego serwisu
- Pobiera ustawienia FTP (loginy, hasla), po czym lączy się z serwisami, atakuje pliki index* oraz login* nadpisujac zakodowanym hashem javascryptu, który po zdekodowaniu tworzy ukryty iframe, w rezultacie uzyskujac dostep do wszystkich zasobów serwisu z poziomu www

Najlepiej przeskanować swój komputer programami Trojan Remover + nod32

Więcej na stronie:
http://www.cert.pl/news/tag/wirus

[faramka]

Dzięki.

Czy problem dotyczy tylko Total Commandera czy również innych klientów FTP?

[El capitán]

Dla mnie za późno, pozmieniał wszystkie pliki index.php i mam nadzieję że tylko to...Zmieniłem hasło do ftp i 2 dzień spokój. A Kaspersky na kompie nic nie wykrył..., ale na stronie że jest wirus to już potrafił

[miniol]

Mam pytanie. Czy ten wirus infekuje tylko serwer z którym się połączyłem? Na kompie mam zapisane dane do serwera kilku firm. Łączyłem się tylko z jednym serwerem (który jest zainfekowany). Reszta serwerów wygląda, że są zdrowe. Ale chciałbym się upewnić.

Dziwi mnie też, że NOD32 nie zareagował. Mam wykupioną licencję, a tu takie problemy. Nie po to wywalałem tyle kasy na takiego antyvira, żeby teraz problemy mieć.

edit: już wiem, że zaatakowało wszystkie serwery. Masakra.

Zastanawia mnie tylko, dlaczego nie edytowano wszystkich indexów. Tylko niektóre zostały zainfekowane. Mianowicie portale oparte na joomla! i phpbb by przemo. Mam również stronkę (z treścią stałą) i ten plik nie został zainfekowany. Natomiast inny serwis (również niejest damiczny) został zainfekowany.
Chciałbym też wiedzieć, czy edycja plików wyleczy serwery. Oczywiście komputery mam już wyczyszczone a TC wymieniłem na Filezille. Chodzi mi o to czy jedyna pamiątka która jest na serwerze to właśnie te przemienione pliki, czy coś jeszcze jest tam dogrywane?

[nikos]

Mnie też dopadł ten wirus najpierw antywir znalazł na kompie kikla infekcji zobaczyłem, że dziwne procesy są uruchomione, przywróciłem xp z kopi zapasowej niestety prawdopodobnie był gdzies indziej jeszcze na dyskach, i co
Zainfekowany został serwer dla którego login i hasło było zapisane w Total Commander. Wniosek z tego taki nie zapisuj hasła w TC lepiej zapamietaj i wpisuj za każdym razem.

Na szczęście mój serwer ma co drugi dzień kopie zapasową problem zotał rozwiązany przy konsultacji z adminem który w parę minut przywrócił tę kopie.

Należy też zmienić hasła do serwera ftp, hasła do admina joomla. I jeśli kotś używa tego samego loginu i hasła gdzie indziej to też radzę zmienić.

Acha infekuje też strony xhtml/html tylko one działają, po zajrzeniu w kod widać że infekcja miała miejsce.

[faramka]

Acha infekuje też strony xhtml/html tylko one działają, po zajrzeniu w kod widać że infekcja miała miejsce.

I wywala iframe'y oraz targety do nich (np. strony z menu otwierają się w nowym oknie).

[miniol]

Wniosek z tego taki nie zapisuj hasła w TC

zły wniosek. W ogóle nigdy w niczym nie zapamiętuj haseł! Dzisiaj TC jutro FileZilla a po jutrze cała przeglądarka razem z nr kont bankowych. Mnie ta historia nauczyła tego, że 10 kliknięć w klawiaturę za każdym razem przy wpisywaniu hasła jest lepsze niż borykanie się z takim ustrojstwem. Szczególnie w firmie gdzie przechowuję hasła kilkunastu innych przedsiębiorstw. Potem pisanie im, że z powodu mojej głupoty muszą zmienić sobie wszystkie hasła jest dość upokażajkące ;-)

[stasio]

ktoś może polecić jakiś program do skanowania komputera? ??

[yanek]

oprócz dobrego antywirusa np. Kaspersky czy NOD warto skorzystać z programów z podanych linków:
PL http://www.malwarebytes.org/mbam.php - Anti-Malware
PL http://www.safer-networking.org/pl/index.html - Spybot-S&D
EN http://www.lavasoft.com/single/trialpay.php - Ad-Aware
PL http://ccollomb.free.fr/unlocker/ - Unlocker
EN http://www.hijackthis.de/en - HijackThis
http://hijackthis2.clickhereformoreinfo.com - HijackThis 2
EN http://www.pchell.com/winsockxpfix/index.shtml - WinsockxpFix

[xtech]

Bez problemu tego wirusa wykrył darmowy Avast i płatny NOD - nie wykrył Norton Antyvirus ani 2008 ani 2009 ...