Перейти к содержимому


* * * * * 2 Голосов

Актуальные угрозы


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 39

#1 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 26 Январь 2008 - 18:33

В этой теме буду уведомлять (а особо мнительных - пугать) о современных угрозах.

Итак, в связи с участившимися случаями обращения в техподдержку относительно "отваливающегося" интернета через браузер, решил провести собственное расследование. Сегодня была выбрана очередная жертва, от которой исходили дублированные ответы на ICMP запрос с целью проведения исследования ее машины. Симптомы такие:
1. Без подключения VPN с зараженной машины пингуется все, в т.ч. и по доменным именам.
2. После подключения VPN трассировка на доменное имя начинается сразу же со звездочек в отчете...
3. По http через IE при этом что-то может работать, но оооочень медленно и непродолжительное время после загрузки компьютера. После чего происходит стабильное "невозможно отобразить страницу", хотя пинги в инет идут.

Честно говоря, я предполагал, что на такой машине будет что-то невообразимое в отношении руткитов и бэкдоров, в реальности так и оказалось. Вот что думает Антивирус Касперского по поводу закарантиненных там зверей (в карантин попало не все...):

Цитата

обнаружено: вирус Email-Worm.Win32.Mydoom.bj Файл: C:\Users\XL\Desktop\2008-01-26\avz00001.dta//PE_Patch.UPX//UPX
обнаружено: троянская программа Trojan-Downloader.Win32.Agent.feg Файл: C:\Users\XL\Desktop\2008-01-26\avz00002.dta//PE_Patch.UPX//UPX
обнаружено: троянская программа Trojan-Proxy.Win32.Agent.rf Файл: C:\Users\XL\Desktop\2008-01-26\avz00003.dta
обнаружено: троянская программа Backdoor.Win32.Kbot.y Файл: C:\Users\XL\Desktop\2008-01-26\avz00004.dta
обнаружено: вирус Email-Worm.Win32.Agent.l Файл: C:\Users\XL\Desktop\2008-01-26\avz00005.dta
обнаружено: троянская программа Trojan-Downloader.Win32.Agent.hlt Файл: C:\Users\XL\Desktop\2008-01-26\avz00006.dta
обнаружено: троянская программа Rootkit.Win32.Agent.pq Файл: C:\Users\XL\Desktop\2008-01-26\avz00007.dta
обнаружено: троянская программа Rootkit.Win32.Agent.jj Файл: C:\Users\XL\Desktop\2008-01-26\avz00008.dta
обнаружено: троянская программа Rootkit.Win32.Agent.pr Файл: C:\Users\XL\Desktop\2008-01-26\avz00009.dta//PE_Patch
обнаружено: троянская программа Trojan-Downloader.Win32.Agent.ggt Файл: C:\Users\XL\Desktop\2008-01-26\avz00010.dta

Как можно заметить, мы имеем 10 активных троянов, большая часть из которых работает как драйвер ядра операционной системы. Для наглядности тут же прилеплю лог AVZ с зараженной машины (avz_sysinfo) . Согласно логу, в Интернет в тайне от пользователя глядят аж 2 системных процесса:
c:\program files\internet explorer\iexplore.exe
c:\windows\system32\svchost.exe

Причем c:\program files\internet explorer\iexplore.exe это делает аж в 3 потока (!) и не виден в диспетчере задач Windows.
Количетсво руткитов, выполненных  в виде драйвера ядра, тоже занятно:

Цитата

DeleteFile('C:\WINDOWS\Bio41.sys');
DeleteFile('C:\WINDOWS\system32\DefLib.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\protect.sys');
DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Ryf52.sys');
DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ctl_w32.sys');
Когда сразу 9 вражеских драйверов начинает отвечать за работу сети, то ни о каком нормальном Интернете не может быть и речи.

Предохраняйтесь, господа! Для тех, кто не знает как, написан обновленный фак здесь:
http://himki.net/faq/virus/one/

Прикрепленные файлы

  • Прикрепленный файл  avz_sysinfo.htm   114,55К   34 Количество загрузок:


#2 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 15 Февраль 2008 - 19:14

В последнее время в техподдержку Большого Телекома участились жалобы на нестабильно работающий интернет. Как оказалось - всему виной новая версия трояна, подменяющего адреса DNS серверов в реестре Windows. Конкретного гада выловить не удалось, на подопытной машине было некоторое разнообразие, состоящее из старого знакомого, расположенного по адресу:
C:\WINDOWS\system32\ntos.exe
Этот банковский троян стартует при загрузке системы, создает троянские потоки в системных процессах, выгружается из памяти и блокирует доступ к своему файлу на диске.  Убивается тяжело, даже несмотря на свой ярко выраженный юзермодный характер работы. AVZ может убить зверя только через подсистему boot cleaner после выполнения соответсвующего скрипта.
Антивирус Касперского называет этого зверя как: Trojan-Spy.Win32.Zbot.afz. Последние 3 буквы в названии могут варьироваться от версии к версии.

Второй зверь, обнаруженный на этой машине, был расположен в ложном svchost.exe по адресу: C:\WINDOWS\svchost.exe
Антивирус Касперского называет  разновидность как Trojan-Clicker.Win32.Delf.mj

Запускались звери через следующие ключи реестра:

Цитата

C:\WINDOWS\svchost.exe HKEY_CURRENT_USER, Software\Microsoft\Windows NT\CurrentVersion\Windows, Load
C:\WINDOWS\svchost.exe Файл win.ini C:\WINDOWS\win.ini, windows, load
C:\WINDOWS\system32\ntos.exe HKEY_USERS, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run, userinit

Поэтому если Интернет работает нестабильно, то первым делом следует проверить сетевые настройки - вдруг там прописались совсем не адреса БИГ Телеком, а весь Ваш трафик проходит по маршруту, задуманному хитрым дядькой, который на этом еще и зарабатывает.

P.S. проверить настройки скрытых DNS поможет hijack this:
скачать программу

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Цитата

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ya.ru/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft....k/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 84.148.105.208:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IFXSPMGT] C:\Windows\system32\IFXSPMGT.exe /NotifyLogon
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [Ad Muncher] "C:\Program Files\Ad Muncher\AdMunch.exe" /bt
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [USB Safely Remove] C:\Program Files\USB Safely Remove\USBSafelyRemove.exe /startup
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
O4 - Startup: AutorunsDisabled
O4 - Global Startup: AutorunsDisabled
O4 - Global Startup: Bluetooth Manager.lnk = ?
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Block frame with Ad Muncher - http://www.admuncher...d=menu_ie_frame
O8 - Extra context menu item: Block image with Ad Muncher - http://www.admuncher...d=menu_ie_image
O8 - Extra context menu item: Block link with Ad Muncher - http://www.admuncher...id=menu_ie_link
O8 - Extra context menu item: Don't filter page with Ad Muncher - http://www.admuncher...menu_ie_exclude
O8 - Extra context menu item: Report page to the Ad Muncher developers - http://www.admuncher...=menu_ie_report
O9 - Extra button: ASUS Security Protect Manager e-Wallet - {1009C944-97D5-44A9-9E32-DFF54F498968} - c:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\ASWallet.dll
O9 - Extra 'Tools' menuitem: ASUS Security Protect Manager e-&Wallet - {1009C944-97D5-44A9-9E32-DFF54F498968} - c:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\ASWallet.dll
O9 - Extra button: Cтатистика Веб-Антивируса - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{79E95BBA-DBDF-47B4-9936-3642DEA1308E}: NameServer = 192.168.1.1
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1.0\r3hook.dll,C:\PROGRA~1\KASPER~1.0\adialhk.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Security Platform Management Service (IFXSpMgtSrv) - Infineon Technologies AG - C:\Windows\system32\IFXSPMGT.exe
O23 - Service: Trusted Platform Core Service (IFXTCS) - Infineon Technologies AG - C:\Windows\system32\IFXTCS.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: Служба Personal Secure Drive (PersonalSecureDriveService) - Infineon Technologies AG - C:\Windows\system32\IfxPsdSv.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
O23 - Service: @%systemroot%\system32\SearchIndexer.exe,-103 (WSearch) - Корпорация Майкрософт - C:\Windows\system32\SearchIndexer.exe

нужная строчка выделена красным - это адрес моего домашнего роутера, так что здесь все ок. Если же у вас там что-то отличное от 10.10.250.250, 10.10.140.250 или адреса роутера, то стоит настрожиться...

#3 .creo

.creo

    Свой человек

  • Members
  • PipPipPipPipPipPip
  • 786 сообщений
  • Пол:Мужчина
  • Город:DefaultCity
  • Интересы:лучше вам и не знать %)

Отправлено 15 Февраль 2008 - 19:57

Какие то ужасы на ночь рассказываешь.. Я же теперь спать не смогу.. Но однако, спасибо за статейку :rolleyes:

#4 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 23 Февраль 2008 - 14:05

К слову, о более конкретных значениях ложных DNS серверов. Строчки с ними выглядят так:

Цитата

O17 - HKLM\System\CCS\Services\Tcpip\..\{D40D071A-B8C3-4275-8802-1EB8B3AC69E6}: NameServer = 85.255.115.158,85.255.112.104
O17 - HKLM\System\CCS\Services\Tcpip\..\{FDED6A1C-6532-4326-B56F-82271515DC53}: NameServer = 85.255.115.158,85.255.112.104
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.158 85.255.112.104
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.158 85.255.112.104
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.158 85.255.112.104

Цитата

Information related to '85.255.112.0 - 85.255.127.255'

inetnum: 85.255.112.0 - 85.255.127.255
netname: UkrTeleGroup
descr: UkrTeleGroup Ltd.
admin-c: UA481-RIPE
tech-c: UA481-RIPE
country: UA
org: ORG-UL25-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-HM-PI-MNT
mnt-lower: RIPE-NCC-HM-PI-MNT
mnt-by: UKRTELE-MNT
mnt-routes: UKRTELE-MNT
mnt-domains: UKRTELE-MNT
source: RIPE # Filtered

organisation: ORG-UL25-RIPE
org-name: UkrTeleGroup Ltd.
org-type: LIR
address: UkrTeleGroup Ltd.
Mechnikova 58/5
65029 Odessa
Ukraine
phone: +380487311011
fax-no: +380487502499
mnt-ref: UKRTELE-MNT
mnt-ref: RIPE-NCC-HM-MNT
mnt-by: RIPE-NCC-HM-MNT
source: RIPE # Filtered

person: Andrew Sotov
address: Mechnikova 58/5 65029 Odessa
abuse-mailbox: abuse@ukrtelegroup.com.ua
phone: +380631508855
nic-hdl: UA481-RIPE
source: RIPE # Filtered


Кто-нибудь бывал в Одессе? А с местными хакерами знаком?  :D

#5 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 29 Февраль 2008 - 11:05

Критическая уязвимость в ICQ


Цитата

Обнаружена критическая уязвимость в популярном менеджере отправки мгновенных сообщений ICQ 6. Уязвимость существует из-за ошибки при обработке сообщений, содержащих символы форматной строки. Для успешной эксплуатации уязвимости, злоумышленнику требуется всего лишь отправить пользователю специально сформированное сообщение, которое может быть открыто в pop-up окне предварительного просмотра или в основном окне клиента.

Пример сообщения, которое вызывает отказ в обслуживании ICQ клиента:
"%020000000s"

Уязвимости в IM клиентах не являются ни для кого новостью, но в тоже время представляют серьезную угрозу безопасности. В 2007 году было опубликовано 16 уязвимостей в менеджерах отправки мгновенных сообщений, 5 их которых (в Trillian, MSN Messenger, Miranda и Skype) позволяли выполнение произвольного кода.

Способов устранения уязвимости не существует в настоящее время.
SecurityLab рекомендует всем посетителям не пользоваться уязвимой версией ICQ до выхода исправления.

securitylab.ru



#6 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 03 Март 2008 - 15:03

Троян Pandex блокирует работу руткитов


Цитата

Злоумышленники создали вредоносную программу, способную блокировать работу руткитов на ПК, с целью установки своего бэкдора.

Троян Pandex блокирует действия ранее установленных руткитов. А затем устанавливает свой собственный руткит-компонент, детектируемый Trend Micro как Pushu-AC.

Руткиты - это вид вредоносных программ, которые скрывают свое присутствие на зараженных ПК, что делает их еще более опасными, чем типичные вирусы. В системе с традиционными методами сканирования вредоносного ПО руткиты в состоянии выполнять некоторые функции без обнаружения.

Вирусописатели ранее иногда соперничали за контроль над уязвимым ПК. Например, в 2005 г. отдельные группы хакеров выпустили множество червей с целью захватить контроль над Windows ПК посредством уязвимости Windows Plug-and-Play (PnP).

securitylab.ru


Цитата

Trojan.Pandex – Doing More Than Spamming

Trojan.Pandex was first found in early 2007 and is a Trojan that is primarily used to send spam. Obviously the author has more ambition than to stick with simply spamming because we've observed the Trojan enhancing its functions continuously over the past month or so.

Trojan.Pandex first arrives on a victim's computer as a downloader, the function of which is to download the real payload from a remote server. To make its job more effective it also drops two .sys files. One .sys file removes the hooks on SDT and NDIS and the filter drivers on TCPIP and FileSystem, which will disable the some of the firewalls and monitoring programs, such as filemon and tdimon. It will also remove a rootkit installed by another malicious program.

After these preparations the Trojan injects downloading code into an Internet Explorer process. The downloaded code is made up of two parts. One is a dropper, its only task being the drop of yet a third .sys file into the system and to register it as a system service. After that, the dropper is deleted. The other part of the code is the Trojan, which is the real payload. The payload will be injected into a newly created svchost.exe process and it starts sending out spam. The payload is not saved as a file on disk but only exists in memory, so how can it run after the system is restarted? The answer lies with the third .sys file. It contains the downloading code like the original Trojan. Once it is loaded it will inject the code into the svchost process (svchost again!) and download the whole payload—again. This method makes the Trojan very flexible and extensible.

Let’s look at how the Trojan has evolved since last December. In early December the downloaded code only contained the components described above: the dropper, the sys file, and the spamming component. The size is around 87k. Near the end of last year we found that a new payload was added and the downloaded code increased to 103k in size. The new payload is an infostealer and the code looks very similar to Infostealer.Ldpinch. As before, the Infostealer payload is also injected into svchost process.

In the middle of January it was reported that Trojan.Pandex was spammed out again. We observed that after Infostealer.Ldpinch, another new component was added and the size went up to 203k. This new component monitors network traffic and records the “rcpt to” field of an SMTP package in order to collect email addresses.

We have seen a new Trojan.Pandex downloader recently and we're not surprised to see that the downloaded code's size has increased again. It is now 254k with one more component being added. The new component drops an .exe file onto removable drives and creates an autorun.inf file pointing to it. The dropped .exe file is another Trojan.Pandex downloader. So, beyond extending the function of the Trojan, the author is also increasing the ways to spread it. It now has worm ability.

In what seems to be a habit of the author's, all of the payloads including the latest variation of this Trojan are injected into several svchost.exe processes. As the payloads increase this “habit” is causing some side effects. In the test, it made the svchost process crash and the system restarted.

In less than two months the size of the malicious code has increased to three times the original size and the functionality grew from spammer to infostealer to worm. Security Response will continue keeping a close eye on this threat as we’ll undoubtedly see new versions again.

symantec.com


Мой вольный перевод (не судите строго - как смог  :) )

Trojan.Pandex – больше чем просто рассылка спама
Троян  Pandex был впервые обнаружен в начале 2007 и является троянцем, который прежде всего используется, чтобы для рассылки спама. Очевидно, у автора амбиций куда больше, чем простая рассылка спама, потому что мы постоянно наблюдали усиление его функционала в течение прошлого месяца.

Троян Pandex первоначально попадает в компьютер жертвы как downloader, функция которого - загрузка файлов с удаленного сервера. Чтобы сделать свою работу более эффективной, он извлекает из себя два .sys файла. Один .sys файл удаляет перехваты на SDT и NDIS и драйверах фильтра TCP/IP и файловой системы, а также отключает некоторые из брандмауэров и проактивных защитных программ, таких как filemon и tdimon. Он также устраняет влияние rootkit'ов, установленных другими злонамеренными программами.

После этих предварительных действий, троянец внедряет троянский код в процесс Internet Explorer. Загруженный код состоит из двух частей. Одна часть - это дроппер, задача которого подсунуть третий .sys файл в систему и зарегистрировать его как сервис. После этого дроппер самоудаляется. Другая часть кода - троянец, который является реальным полезным элементом. Этот элемент внедряется во вновь созданный процесс svchost.exe и начинает рассылать спам. Данный элемент не существует как файл на диске, а существует лишь в оперативной памяти, возникает вопрос - тогда как же тогда он может выжить после перезагрузки? Ответ находится в третьем .sys файле. Он сожержит в себе загруженный код, такой же как и оригинальный троян. Как только он загружен в процесс svchost, то загружает полезный элемент снова. Этот метод делает троян очень гибким и расширяемым.

Давайте взглянем на то, как троян развивался с прошлого декабря. В начале декабря загруженный код только содержал компоненты, описанные выше: дроппер, .sys файл, и рассылающий спам компонент. Размер трояна на тот момент составлял приблизительно 87 КБ. В конце прошлого года мы заметили, что был добавлен новый функционал и код увеличился до 103 КБ. Новый полезный код служит для похищения паролей и конфиденциальной информации, а также сильно напоминает код Ldpinch. Как прежде, код полезной части троянца внедрялся в процесс svchost.

В середине января сообщалось, что троян Pandex был вновь разослан при помощи спам рассылки. Мы заметили, что после компонента по краже паролей был добавлен другой новый компонент и размер трояна приблизился к 203 КБ. Этот новый компонент контролирует сетевой трафик и делает запись “rcpt to” области пакета SMTP, чтобы собирать адреса электронной почты.

Недавно к нам попал новый образец трояна и мы не удивились, увидев, что размер загруженного кода увеличился снова. Теперь он составляет 254 КБ с еще одним добавленным компонентом. Новый компонент размещает .exe файл на сменных носителях и создает autorun.inf файл, указывающий на созданный там .exe файл. Созданный .exe файл - другой троянский загрузчик. Так, вне расширения троянского функционала, автор добавил возможность по размножению своего детища. Теперь троян обладает способностями к размножению, характерными для вирусов-червей.

Для автора трояна стало обычным делом, что все вариации трояна, включая последнее, внедрялись в несколько процессов svchost.exe. Поскольку функционал трояна расширяется, эта "привычка" вызывает некоторые побочные эффекты. В ходе экспериментов это вызвало крушение процесса svchost и перезапуск системы.

Прогнозируется дальнейшее развитие данного технологичного трояна...

****


От себя добавлю, что на зараженных компьютерах в сети этот pandex самый частый гость. Синьки он вызывает немало и удаляется с трудом. Последнюю машину смог почистить только загрузившись с Live CD. Из системной папки с драйверами было удалено штук 8 малварных .sys файлов...
Кстати, одна из версий pandex'а как раз видна в логе первого сообщения этой темы.

Сообщение отредактировал XL: 03 Март 2008 - 17:10


#7 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 24 Апрель 2008 - 11:12

Не перестаю удивляться. Сегодня попалась машинка, на которой "некоторые сайты не открываются". При детальном осмотре в файле hosts были обнаружены следующие записи:

Цитата

Запись файла Hosts

127.0.0.1       localhost
127.0.0.1 babe.the-killer.bz
127.0.0.1 www.babe.the-killer.bz
127.0.0.1 babe.k-lined.com
127.0.0.1 www.babe.k-lined.com
127.0.0.1 did.i-used.cc
127.0.0.1 www.did.i-used.cc
127.0.0.1 coolwwwsearch.com
127.0.0.1 www.coolwwwsearch.com
127.0.0.1 coolwebsearch.com
127.0.0.1 www.coolwebsearch.com
127.0.0.1 hi.studioaperto.net
127.0.0.1 www.hi.studioaperto.net
127.0.0.1 webbrowser.tv
127.0.0.1 www.webbrowser.tv
127.0.0.1 wazzupnet.com
127.0.0.1 www.wazzupnet.com
127.0.0.1 gueb.com
127.0.0.1 www.gueb.com
127.0.0.1 kabex.com
127.0.0.1 www.kabex.com
127.0.0.1 hityou.com
127.0.0.1 www.hityou.com
127.0.0.1 miosearch.com
127.0.0.1 www.miosearch.com
127.0.0.1 213.131.225.2
127.0.0.1 blue-elefant.com
127.0.0.1 www.blue-elefant.com
127.0.0.1 babeweb.de
127.0.0.1 www.babeweb.de
127.0.0.1 start-seite.com
127.0.0.1 www.start-seite.com
127.0.0.1 sexolymp.com
127.0.0.1 www.sexolymp.com
127.0.0.1 toriii.cc
127.0.0.1 www.toriii.cc
127.0.0.1 xtipp.de
127.0.0.1 www.xtipp.de
127.0.0.1 urawa.cool.ne.jp
127.0.0.1 777search.com
127.0.0.1 www.777search.com
127.0.0.1 ace-webmaster.com
127.0.0.1 www.ace-webmaster.com
127.0.0.1 aifind.info
127.0.0.1 www.aifind.info
127.0.0.1 amateurliveshow.com
127.0.0.1 www.amateurliveshow.com
127.0.0.1 anarchylolita.com
127.0.0.1 www.anarchylolita.com
127.0.0.1 anarchyporn.com
127.0.0.1 approvedlinks.com
127.0.0.1 www.approvedlinks.com
127.0.0.1 cantfind.com
127.0.0.1 www.cantfind.com
127.0.0.1 castingsamateur.com
127.0.0.1 www.castingsamateur.com
127.0.0.1 cyberrape.com
127.0.0.1 www.cyberrape.com
127.0.0.1 dialerclub.com
127.0.0.1 www.dialerclub.com
127.0.0.1 megago.com
127.0.0.1 exit.megago.com
127.0.0.1 www.megago.com
127.0.0.1 fastmetasearch.com
127.0.0.1 www.fastmetasearch.com
127.0.0.1 findwhatevernow.com
127.0.0.1 www.findwhatevernow.com
127.0.0.1 globesearch.com
127.0.0.1 www.globesearch.com
127.0.0.1 hotfreebies.com
127.0.0.1 www.hotfreebies.com
127.0.0.1 krankin.com
127.0.0.1 www.krankin.com
127.0.0.1 begin2search.com
127.0.0.1 www.begin2search.com
127.0.0.1 mainstreamdollars.com
127.0.0.1 www.mainstreamdollars.com
127.0.0.1 live.sex-explorer.com
127.0.0.1 www.live.sex-explorer.com
127.0.0.1 loveadot.com
127.0.0.1 www.loveadot.com
127.0.0.1 megaseek.net
127.0.0.1 www.megaseek.net
127.0.0.1 mixsearch.com
127.0.0.1 www.mixsearch.com
127.0.0.1 munky.com
127.0.0.1 www.munky.com
127.0.0.1 newtopsites.com
127.0.0.1 www.newtopsites.com
127.0.0.1 noblindlinks.com
127.0.0.1 www.noblindlinks.com
127.0.0.1 babenet.com
127.0.0.1 r.babenet.com
127.0.0.1 www.babenet.com
127.0.0.1 searchresult.net
127.0.0.1 www.searchresult.net
127.0.0.1 sexarena.org
127.0.0.1 www.sexarena.org
127.0.0.1 skeech.com
127.0.0.1 www.skeech.com
127.0.0.1 by.ru
127.0.0.1 www.by.ru
127.0.0.1 superwp.by.ru
127.0.0.1 sureseeker.com
127.0.0.1 www.sureseeker.com
127.0.0.1 wethere.com
127.0.0.1 www.wethere.com
127.0.0.1 wowsearch.org
127.0.0.1 www.wowsearch.org
127.0.0.1 xxx.com
127.0.0.1 www.xxx.com
127.0.0.1 art-xxx.com
127.0.0.1 websearch.com
127.0.0.1 www.websearch.com
127.0.0.1 firehunt.com
127.0.0.1 www.firehunt.com
127.0.0.1 partner23.firehunt.com
127.0.0.1 screensaver.it
127.0.0.1 www.screensaver.it
127.0.0.1 cliks.org
127.0.0.1 www.cliks.org
127.0.0.1 xads.cliks.org
127.0.0.1 xwebsearch.biz
127.0.0.1 www.xwebsearch.biz
127.0.0.1 znext.com
127.0.0.1 www.znext.com
127.0.0.1 rawtocash.net
127.0.0.1 www.rawtocash.net
127.0.0.1 7search.com
127.0.0.1 www.7search.com
127.0.0.1 zestyfind.com
127.0.0.1 www.zestyfind.com
127.0.0.1 ntcor.com
127.0.0.1 www.ntcor.com
127.0.0.1 dev.ntcor.com
127.0.0.1 xrenoder.com
127.0.0.1 www.xrenoder.com
127.0.0.1 search.xrenoder.com
127.0.0.1 193.125.201.50
127.0.0.1 allcybersearch.com
127.0.0.1 www.allcybersearch.com
127.0.0.1 tinybar.com
127.0.0.1 www.tinybar.com
127.0.0.1 topsite.us
127.0.0.1 www.topsite.us
127.0.0.1 topsites.us
127.0.0.1 www.topsites.us
127.0.0.1 topsitez.us
127.0.0.1 www.topsitez.us
127.0.0.1 true-counter.com
127.0.0.1 www.true-counter.com
127.0.0.1 out.true-counter.com
127.0.0.1 cnetadd.com
127.0.0.1 www.cnetadd.com
127.0.0.1 okmmm.com
127.0.0.1 www.okmmm.com
127.0.0.1 139mm.com
127.0.0.1 www.139mm.com
127.0.0.1 008k.com
127.0.0.1 www.008k.com
127.0.0.1 00hq.com
127.0.0.1 www.00hq.com
127.0.0.1 1-domains-registrations.com
127.0.0.1 www.1-domains-registrations.com
127.0.0.1 100sexlinks.com
127.0.0.1 www.100sexlinks.com
127.0.0.1 157.238.62.14
127.0.0.1 1sexparty.com
127.0.0.1 www.1sexparty.com
127.0.0.1 1stpagehere.com
127.0.0.1 www.1stpagehere.com
127.0.0.1 2020search.com
127.0.0.1 www.2020search.com
127.0.0.1 209.66.114.130
127.0.0.1 24teen.com
127.0.0.1 www.24teen.com
127.0.0.1 36site.com
127.0.0.1 www.36site.com
127.0.0.1 4corn.net
127.0.0.1 www.4corn.net
127.0.0.1 66.117.14.138
127.0.0.1 66.197.100.83
127.0.0.1 66.250.107.99
127.0.0.1 66.250.107.100
127.0.0.1 66.250.107.101
127.0.0.1 66.250.130.194
127.0.0.1 66.250.170.107
127.0.0.1 66.250.57.26
127.0.0.1 66.250.57.27
127.0.0.1 66.250.57.28
127.0.0.1 66.250.74.150
127.0.0.1 777top.com
127.0.0.1 www.777top.com
127.0.0.1 8ad.com
127.0.0.1 www.8ad.com
127.0.0.1 aboutclicker.com
127.0.0.1 www.aboutclicker.com
127.0.0.1 abrp.net
127.0.0.1 www.abrp.net
127.0.0.1 accessthefuture.net
127.0.0.1 www.accessthefuture.net
127.0.0.1 acemedic.com
127.0.0.1 www.acemedic.com
127.0.0.1 actionbreastcancer.org
127.0.0.1 www.actionbreastcancer.org
127.0.0.1 activexupdate.com
127.0.0.1 www.activexupdate.com
127.0.0.1 adamsupportgroup.org
127.0.0.1 www.adamsupportgroup.org
127.0.0.1 adasearch.com
127.0.0.1 www.adasearch.com
127.0.0.1 adipics.com
127.0.0.1 www.adipics.com
127.0.0.1 adspics.com
127.0.0.1 www.adspics.com
127.0.0.1 adult-engine-search.com
127.0.0.1 www.adult-engine-search.com
127.0.0.1 adult-erotic-guide.net
127.0.0.1 www.adult-erotic-guide.net
127.0.0.1 adult-friends-finder.net
127.0.0.1 www.adult-friends-finder.net
127.0.0.1 adulthyperlinks.com
127.0.0.1 www.adulthyperlinks.com
127.0.0.1 adulttds.com
127.0.0.1 www.adulttds.com
127.0.0.1 exaccess.ru
127.0.0.1 www.exaccess.ru
127.0.0.1 advert.exaccess.ru
127.0.0.1 agentstudio.com
127.0.0.1 africaspromise.org
127.0.0.1 akril.com
127.0.0.1 alcatel.ws
127.0.0.1 alfa-search.com
127.0.0.1 all-inet.com
127.0.0.1 allabtcars.com
127.0.0.1 allabtjeeps.com
127.0.0.1 allhyperlinks.com
127.0.0.1 allinternetbusiness.com
127.0.0.1 almarvideos.com
127.0.0.1 amandamountains.com
127.0.0.1 amigeek.com
127.0.0.1 amisbusiness.com
127.0.0.1 analmovi.com
127.0.0.1 anin.org
127.0.0.1 annaromeo.com
127.0.0.1 antrocity.com
127.0.0.1 anything4health.com
127.0.0.1 apsua.com
127.0.0.1 aregay.com
127.0.0.1 arheo.com
127.0.0.1 arizonaweb.org
127.0.0.1 armitageinn.com
127.0.0.1 art-func.com
127.0.0.1 artachnid.com
127.0.0.1 asiankingkong.com
127.0.0.1 ass-gals.com
127.0.0.1 athenrye.com
127.0.0.1 avian-ads.com
127.0.0.1 ayakawamura.com
127.0.0.1 ayumitaniguchi.com
127.0.0.1 bannedhost.net
127.0.0.1 barbudafarms.com
127.0.0.1 barnandfence.com
127.0.0.1 batsearch.com
127.0.0.1 baygraphicsllc.com
127.0.0.1 bb-search.com
127.0.0.1 bbbsearch.com
127.0.0.1 bedhome.com
127.0.0.1 bediadance.com
127.0.0.1 bellabasketsfl.com
127.0.0.1 bernaolatwin.com
127.0.0.1 best-counter.com
127.0.0.1 best-hardpics.com
127.0.0.1 best-winning-casino.com
127.0.0.1 bestcrawler.com
127.0.0.1 bestfor.ru
127.0.0.1 bestporngate.com
127.0.0.1 bestxporno.com
127.0.0.1 blackjack-free.net
127.0.0.1 blender.xu.pl
127.0.0.1 bodaciousbabette.com
127.0.0.1 boobdoll.com
127.0.0.1 boobsandtits.com
127.0.0.1 boobsclub.com
127.0.0.1 boredlife.com
127.0.0.1 bowlofogumbo.com
127.0.0.1 bradcoem.org
127.0.0.1 brandiyoung.com
127.0.0.1 brookeburn.com
127.0.0.1 bucps.com
127.0.0.1 burgerkingbigscreen.com
127.0.0.1 buscards.net
127.0.0.1 bustyrussell.com
127.0.0.1 buttejazz.org
127.0.0.1 buyselldomain.net
127.0.0.1 calcioturris.com
127.0.0.1 canberracricketcoaching.com
127.0.0.1 candycantaloupes.com
127.0.0.1 careers.dulcineasystems.net
127.0.0.1 carsands.com
127.0.0.1 carsrentals.net
127.0.0.1 casino-gambling-1.net
127.0.0.1 casino-gambling-2.net
127.0.0.1 casino-onlines.net
127.0.0.1 casino.com.free.game.pogo.gratisdownloads.nl
127.0.0.1 casino2win.net
127.0.0.1 casinomidas.net
127.0.0.1 casinonline.net
127.0.0.1 catallogue.com
127.0.0.1 catsss.da.ru
127.0.0.1 caxa.ru
127.0.0.1 cclebali.org
127.0.0.1 ceewawires.org
127.0.0.1 certumgroup.com
127.0.0.1 chelancatering.com
127.0.0.1 childrenvilla.com
127.0.0.1 chips-4-free.com
127.0.0.1 chrisswasey.com
127.0.0.1 chriswallace.net
127.0.0.1 ckick4thumbs.com
127.0.0.1 clackamasliteraryreview.com
127.0.0.1 clearsearch.cc
127.0.0.1 clearsearch.net
127.0.0.1 clickaire.com
127.0.0.1 clickyestoenter.net
127.0.0.1 clrsch.com
127.0.0.1 cmtapestry.com
127.0.0.1 cool-homepage.co
127.0.0.1 cool-homepage.com
127.0.0.1 cool-search.net
127.0.0.1 cool-search.netfartpost.com
127.0.0.1 cool-web-search.com
127.0.0.1 coolfetishsite.com
127.0.0.1 coolfreehost.com
127.0.0.1 coolfreepage.com
127.0.0.1 coolfreepages.com
127.0.0.1 coolmoneysearch.com
127.0.0.1 coolpornsearch.com
127.0.0.1 coolsearcher.info
127.0.0.1 coolwebsearsh.com
127.0.0.1 copmtraine.com
127.0.0.1 couldnotfind.com
127.0.0.1 count-all.com
127.0.0.1 cracks.me.uk
127.0.0.1 creamedcutties.com
127.0.0.1 creditsearchonline.com
127.0.0.1 crestring.com
127.0.0.1 crooder.com
127.0.0.1 curvedspaces.com
127.0.0.1 cvs.jps.ru
127.0.0.1 cvsymphony.com
127.0.0.1 cydom.com
127.0.0.1 daily-gals.com
127.0.0.1 dancingbabycd.com
127.0.0.1 datanotary.com
127.0.0.1 datareco.com
127.0.0.1 davemarshall.org
127.0.0.1 dcfitusa.com
127.0.0.1 defaultsearch.net
127.0.0.1 desarrollocreativo.com
127.0.0.1 develip.com
127.0.0.1 dewis.spb.ru
127.0.0.1 dewis.us
127.0.0.1 df809jow4wj2304lfd0sf9fsd0a2t4ldf809jow4wj2304lfd0sf9fsd0a2t4ld.biz
127.0.0.1 dietpills4free.com
127.0.0.1 dietpussy.com
127.0.0.1 digistreamsa.com
127.0.0.1 dionforvalleycouncil.org
127.0.0.1 doctorwaldron.com
127.0.0.1 document-not-found.pornpic.org
127.0.0.1 doggyaction.com
127.0.0.1 domain-your-registration.com
127.0.0.1 domains-for-you-online.com
127.0.0.1 domains2003.net
127.0.0.1 domkrat.com
127.0.0.1 dp-host.com
127.0.0.1 dragqueen.gay-clan.com
127.0.0.1 drug-sources-exposed.com
127.0.0.1 drvvv.com
127.0.0.1 dutch-sex.com
127.0.0.1 dvdbank.org
127.0.0.1 e-localad.com
127.0.0.1 e-plus.cc
127.0.0.1 e-websitesolutions.com
127.0.0.1 eases.net
127.0.0.1 easy-search.net
127.0.0.1 easycategories.com
127.0.0.1 ecosrioplatenses.org
127.0.0.1 ecstasyporn.net
127.0.0.1 eikokoike.com
127.0.0.1 epornsex.com
127.0.0.1 euuu.com
127.0.0.1 evidence-detector.biz
127.0.0.1 evilspidercomics.com
127.0.0.1 ewebsearch.net
127.0.0.1 findloss.com
127.0.0.1 excellentsckin.com
127.0.0.1 extremeseek.net
127.0.0.1 f*ckdenniss.com
127.0.0.1 f*cknicepics.com
127.0.0.1 faithstevens.com
127.0.0.1 fantasiewelten.com
127.0.0.1 farmsteadbandb.com
127.0.0.1 fartpost.com
127.0.0.1 fastwebfinder.com
127.0.0.1 faxporn.com
127.0.0.1 fickenisgeil.de
127.0.0.1 finance-loans.com
127.0.0.1 find-itnow.com
127.0.0.1 find-uk-health.co.uk
127.0.0.1 find4u.net
127.0.0.1 findit-now.com
127.0.0.1 findthesite.com
127.0.0.1 findthewebsiteyouneed.com
127.0.0.1 www.findthewebsiteyouneed.com
127.0.0.1 fionasteel.com
127.0.0.1 firstbookmark.net
127.0.0.1 fitness-free.com
127.0.0.1 foodvacations.net
127.0.0.1 forex.jps.ru
127.0.0.1 forexcredit.com
127.0.0.1 forexcredit.ru
127.0.0.1 formingfusions.com
127.0.0.1 forsythfire.net
127.0.0.1 forthline.com
127.0.0.1 free-chipes.com
127.0.0.1 free-f*cking-video.com
127.0.0.1 free-hit.com
127.0.0.1 free-pics-and-movies.com
127.0.0.1 free-sex-movie-clips.net
127.0.0.1 free4porno.net
127.0.0.1 free64all.com
127.0.0.1 freebookmark.net
127.0.0.1 freebookmarks.net
127.0.0.1 freecategories.com
127.0.0.1 freecoolhost.com
127.0.0.1 freerbhost.com
127.0.0.1 freeshemalepics.net
127.0.0.1 freeyaho.com
127.0.0.1 freshseek.com
127.0.0.1 freshteensite.com
127.0.0.1 gabrielscott.com
127.0.0.1 galpostgirls.com
127.0.0.1 gals-for-free.com
127.0.0.1 gambling-online4you.com
127.0.0.1 gameterror.net
127.0.0.1 gay50.com
127.0.0.1 generalsmeltingofcanada.com
127.0.0.1 geteens.com
127.0.0.1 getpicshere.com
127.0.0.1 gimmezamore.com
127.0.0.1 gimnasiaer.com
127.0.0.1 girls-porn-life.com
127.0.0.1 glbdf.org
127.0.0.1 global-finder.com
127.0.0.1 globe-finder.cc
127.0.0.1 globe-finder.com
127.0.0.1 gocybersearch.com
127.0.0.1 golftennis.net
127.0.0.1 good-mortgages-calculator.com
127.0.0.1 good-mortgages.net
127.0.0.1 goodsexs.com
127.0.0.1 googlebar.jps.ru
127.0.0.1 googlf.com
127.0.0.1 gradforum.org
127.0.0.1 gratis-porn-movie.com
127.0.0.1 gratis-pornopics.com
127.0.0.1 guzzycats.com
127.0.0.1 gzphoenix.com
127.0.0.1 hallnetaccolade.com
127.0.0.1 hand-book.com
127.0.0.1 happyanal.com
127.0.0.1 hard-gals.com
127.0.0.1 hardbodytgp.com
127.0.0.1 hardcoreover.com
127.0.0.1 hardloved.com
127.0.0.1 hardwareseek.net
127.0.0.1 harukaigawa.com
127.0.0.1 hccsolanonapa.org
127.0.0.1 health-protein.com
127.0.0.1 hentai4u.net
127.0.0.1 here4search.com
127.0.0.1 heyrichy.com
127.0.0.1 hi-search.com
127.0.0.1 hiddenguides.com
127.0.0.1 hitlistlyrics.com
127.0.0.1 holidayautostr.com
127.0.0.1 homemortage.ws
127.0.0.1 hostssp.com
127.0.0.1 hot-cartoon-sex.anime.american-teens.net
127.0.0.1 hotbookmark.com
127.0.0.1 hotels-list.net
127.0.0.1 hotelxxxcams.com
127.0.0.1 hotpopup.com
127.0.0.1 hotsearchbox.com
127.0.0.1 hotsex-series.com
127.0.0.1 hotstartpage.com
127.0.0.1 hqsex.biz
127.0.0.1 hugeporn4u.net
127.0.0.1 hunacsa.com
127.0.0.1 hupacasath.com
127.0.0.1 hzsx.com
127.0.0.1 icansearch.net
127.0.0.1 idgsearch.com
127.0.0.1 ie-search.com
127.0.0.1 incestporngate.com
127.0.0.1 infodigger.net
127.0.0.1 infoglobus.com
127.0.0.1 inherhole.com
127.0.0.1 insertthiscock.com
127.0.0.1 insurance-flood.net
127.0.0.1 insuranceall.net
127.0.0.1 internetsearch.ru
127.0.0.1 ionichost.com
127.0.0.1 ionomist.com
127.0.0.1 ipsex.net
127.0.0.1 itsanal.com
127.0.0.1 itseasy.us
127.0.0.1 iweb-commerce.com
127.0.0.1 iwebland.com
127.0.0.1 jeannineoldfield.com
127.0.0.1 jethomepage.com
127.0.0.1 jetseeker.com
127.0.0.1 jmhgallery.org
127.0.0.1 joannelatham.com
127.0.0.1 judin.ru
127.0.0.1 junkysex.com
127.0.0.1 karleyt.narod.ru
127.0.0.1 kathisomers.com
127.0.0.1 kazaa-lite.ws
127.0.0.1 keithgreenpro.com
127.0.0.1 kenmccaul.com
127.0.0.1 kilosex.com
127.0.0.1 kimhines.com
127.0.0.1 kinoru.com
127.0.0.1 ksdspups.org
127.0.0.1 landrape.com
127.0.0.1 lauraroebuck.com
127.0.0.1 leannalovelace.com
127.0.0.1 lesobank.ru
127.0.0.1 libertyonlinehosting.com
127.0.0.1 lingerie-mania.com
127.0.0.1 lisamatthew.com
127.0.0.1 liveholio.com
127.0.0.1 livenewspaper.com
127.0.0.1 louiseleeds.com
127.0.0.1 love-pix.com
127.0.0.1 lovelas.com
127.0.0.1 lovelysearch.com
127.0.0.1 low-taxes.com
127.0.0.1 luckysearch.net
127.0.0.1 lunitaweb.net
127.0.0.1 lustful-porno.com
127.0.0.1 mackinnonsbrook.org
127.0.0.1 madfinder.com
127.0.0.1 madisonmoons.com
127.0.0.1 madisonoilco.com
127.0.0.1 madonalive.com
127.0.0.1 majuozawa.com
127.0.0.1 makin-do.com
127.0.0.1 male4free.com
127.0.0.1 map-quest.org
127.0.0.1 marilynchamber.com
127.0.0.1 martfinder.com
127.0.0.1 massearch.com
127.0.0.1 matetrava.com
127.0.0.1 mature50.com
127.0.0.1 matureporngate.com
127.0.0.1 maxdzines.com
127.0.0.1 mcgeeforlabor.com
127.0.0.1 mdstunisie.org
127.0.0.1 medicare-insurance.net
127.0.0.1 medicare-supplemental.com
127.0.0.1 mega-dating-tips.com
127.0.0.1 megumikanzaki.com
127.0.0.1 meshalynn.com
127.0.0.1 meta-adult.com
127.0.0.1 meta-casino.com
127.0.0.1 meta-mobile.com
127.0.0.1 meta-porn.com
127.0.0.1 metafora.ru
127.0.0.1 metapoisk.ru
127.0.0.1 michiyonakajima.com
127.0.0.1 miconsultamedica.com
127.0.0.1 mikasakamoto.com
127.0.0.1 mikoni.com
127.0.0.1 militarygods.porn4porn.net
127.0.0.1 millennialpeople.org
127.0.0.1 mipham.org
127.0.0.1 missingcommand.com
127.0.0.1 mommykiss.com
127.0.0.1 moneyhunters.com
127.0.0.1 montgomeryhospitalanesthesia.com
127.0.0.1 morflot.com
127.0.0.1 mortgage-debt.net
127.0.0.1 mortismaximus.com
127.0.0.1 moscowwhores.com
127.0.0.1 moviecategories.com
127.0.0.1 mp3-pix.com
127.0.0.1 mrtg.jps.ru
127.0.0.1 msn-info.net
127.0.0.1 multipussy.com
127.0.0.1 mundopolar.com
127.0.0.1 mustv.com
127.0.0.1 mywebsearch.net
127.0.0.1 nativehardcore.com
127.0.0.1 naturalspy.com
127.0.0.1 nbasportsbook.net
127.0.0.1 needf*cknow.com
127.0.0.1 nellyslyrics.com
127.0.0.1 nepgyan.com
127.0.0.1 nesrecords.com
127.0.0.1 netshastra.net
127.0.0.1 nettime.ru
127.0.0.1 nettracker.jps.ru
127.0.0.1 netyellowpages.info
127.0.0.1 new-incest.com
127.0.0.1 newcategories.com
127.0.0.1 newcracks.com
127.0.0.1 newcracks.net
127.0.0.1 newlife-lajolla.com
127.0.0.1 newsexgate.com
127.0.0.1 newtonsracks.com
127.0.0.1 newxpics.com
127.0.0.1 nhlsportsbook.net
127.0.0.1 niagaracapital.com
127.0.0.1 niche-tv.com
127.0.0.1 nmrba.com
127.0.0.1 nocalories.net
127.0.0.1 nocensor.com
127.0.0.1 ormandcompany.com
127.0.0.1 nsbabes.com
127.0.0.1 nuclearwitness.org
127.0.0.1 nursemania.com
127.0.0.1 nvntour.com
127.0.0.1 nvphall.org
127.0.0.1 oborot.com
127.0.0.1 ocalalivestockmarket.com
127.0.0.1 ocsff.com
127.0.0.1 oeatlanta.com
127.0.0.1 oharrowsearch.com
127.0.0.1 ok-search.com
127.0.0.1 okulta.com
127.0.0.1 omegabrains.net
127.0.0.1 online-casino-1.net
127.0.0.1 online-casino-bonus.info
127.0.0.1 online-casinos-x.com
127.0.0.1 online-winning.net
127.0.0.1 onlineserverz.com
127.0.0.1 onlinetradings.net
127.0.0.1 onlycunt.com
127.0.0.1 onlyinsured.com
127.0.0.1 operanabuco.com
127.0.0.1 opsex.com
127.0.0.1 oregoncharters.org
127.0.0.1 otrlives.com
127.0.0.1 ozawamadoka.com
127.0.0.1 paigesummer.com
127.0.0.1 pamelacollections.com
127.0.0.1 panamcup.com
127.0.0.1 pantygirls4u.com
127.0.0.1 pantyhoserealm.com
127.0.0.1 pantyplace.com
127.0.0.1 pastubes.com
127.0.0.1 paulapage.com
127.0.0.1 paulhoover.com
127.0.0.1 payfortraffic.net
127.0.0.1 pedo.ws
127.0.0.1 people.1gb.ru
127.0.0.1 pervertbot.com
127.0.0.1 pharma-diet-pills.com
127.0.0.1 pharmacy2003.com
127.0.0.1 pharmalocator.com
127.0.0.1 phendimetrazine-tenuate-adipex.com
127.0.0.1 pics-videos.com
127.0.0.1 picsdir.com
127.0.0.1 picsforbucks.com
127.0.0.1 picsofseductiveladies.com
127.0.0.1 pills-birth-control.com
127.0.0.1 pillsmall.com
127.0.0.1 pilotronix.com
127.0.0.1 pixpox.com
127.0.0.1 planemusic.com
127.0.0.1 poiska.net
127.0.0.1 poker-casino-free.com
127.0.0.1 poker-games-free.net
127.0.0.1 polradiologia.com
127.0.0.1 pooi.net
127.0.0.1 porn-teacher.com
127.0.0.1 porncamz.com
127.0.0.1 pornfree.info
127.0.0.1 pornnightdreams.com
127.0.0.1 pornokopec.com
127.0.0.1 porntetris.com
127.0.0.1 porntwist.com
127.0.0.1 powerwebsearch.com
127.0.0.1 prblitz.com
127.0.0.1 pretypics.com
127.0.0.1 pribalt.com
127.0.0.1 privacy-support.biz
127.0.0.1 privateporn.net
127.0.0.1 prostactive.com
127.0.0.1 prostol.com
127.0.0.1 protect-yourself.biz
127.0.0.1 prsainlandempire.org
127.0.0.1 put-your-link-here.com
127.0.0.1 pyrocorp.com
127.0.0.1 quick-search.ws
127.0.0.1 quiksearchgenealogy.com
127.0.0.1 radfrall.org
127.0.0.1 ramgo.com
127.0.0.1 ranafrog.ne
127.0.0.1 rapegate.com
127.0.0.1 redbudbmx.com
127.0.0.1 refinance-help.com
127.0.0.1 removeearthkeepers.org
127.0.0.1 rightfinder.net
127.0.0.1 robbsproshop.com
127.0.0.1 robertferencz.com
127.0.0.1 rotocasters.com
127.0.0.1 royalsearch.net
127.0.0.1 runsearch.com
127.0.0.1 russiansponsor.com
127.0.0.1 russogay.com
127.0.0.1 s2.exocrew.com
127.0.0.1 sacitylife.com
127.0.0.1 samplegals.com
127.0.0.1 satisf*cktion.net
127.0.0.1 sbssurvivor.com
127.0.0.1 scarypix.com
127.0.0.1 sccdnet.com
127.0.0.1 schoolforest.com
127.0.0.1 search-1.net
127.0.0.1 search-2003.com
127.0.0.1 search-about.net
127.0.0.1 search-hawk.com
127.0.0.1 search-log.com
127.0.0.1 search-meta.com
127.0.0.1 search-safe.com
127.0.0.1 search.psn.cn
127.0.0.1 searchadultweb.com
127.0.0.1 searchbutler.com
127.0.0.1 searchbuttler.com
127.0.0.1 searchbutler.org
127.0.0.1 searchcomplete.com
127.0.0.1 searchdesire.com
127.0.0.1 searchdot.net
127.0.0.1 searchexpander.com
127.0.0.1 searchfastnet.com
127.0.0.1 searchforge.com
127.0.0.1 searching-the-net.com
127.0.0.1 searchmeta.md
127.0.0.1 searchmeta.net
127.0.0.1 searchmeta.ru
127.0.0.1 searchmeta.webhost.ru
127.0.0.1 searchnow.ws
127.0.0.1 searchonfly.com
127.0.0.1 searchv.com
127.0.0.1 searchxl.com
127.0.0.1 searchxp.com
127.0.0.1 sebot.com
127.0.0.1 securenp.org
127.0.0.1 security-warning.biz
127.0.0.1 seehardcore.com
127.0.0.1 seekwell.net
127.0.0.1 selfbookmark.com
127.0.0.1 selfbookmark.info
127.0.0.1 selfbookmark.net
127.0.0.1 sex.free4porno.net
127.0.0.1 sex-coach.com
127.0.0.1 sex-festival.com
127.0.0.1 sex-video-galleries.com
127.0.0.1 sexgalleries4all.com
127.0.0.1 sexmoviesnet.com
127.0.0.1 sexpatriot.net
127.0.0.1 sexy18.cc
127.0.0.1 sexycat.adult-host.org
127.0.0.1 sfbayfolkboats.com
127.0.0.1 sgirls.net
127.0.0.1 sharempeg.com
127.0.0.1 shopcards.net
127.0.0.1 shopknights.com
127.0.0.1 sic02.com
127.0.0.1 sintrader.com
127.0.0.1 site1.ru
127.0.0.1 sites-in-web.com
127.0.0.1 sitevictoria.com
127.0.0.1 sixroads.com
127.0.0.1 skakalka.ru
127.0.0.1 slawsearch.com
127.0.0.1 slotch.com
127.0.0.1 slotchbar.com
127.0.0.1 smartsumo.com
127.0.0.1 smutarchive.net
127.0.0.1 solongas.com
127.0.0.1 sonomaevents.com
127.0.0.1 spermatrix.com
127.0.0.1 sportbooks-free4you.com
127.0.0.1 spros.com
127.0.0.1 spyass.com
127.0.0.1 spyorgy.net
127.0.0.1 staceyowens.com
127.0.0.1 stacistaxx.com
127.0.0.1 stacystaxx.com
127.0.0.1 start-space.com
127.0.0.1 steamycock.com
127.0.0.1 sterva.com
127.0.0.1 stevecashdollar.com
127.0.0.1 stop-tracking.biz
127.0.0.1 stopvotefraud.com
127.0.0.1 stopxxxpics.com
127.0.0.1 strekoza.com
127.0.0.1 stuffstore.com
127.0.0.1 styleclickink.com
127.0.0.1 summercollins.com
127.0.0.1 summitcross.com
127.0.0.1 super-spider.com
127.0.0.1 super-websearch.com
127.0.0.1 supersexmachine.com
127.0.0.1 superwebsearch.com
127.0.0.1 supret.com
127.0.0.1 suzannebrecht.com
127.0.0.1 sweeteenz.com
127.0.0.1 tacil.org
127.0.0.1 tangounion.com
127.0.0.1 tastethemusic.com
127.0.0.1 tax-refund4you.com
127.0.0.1 tech-jobs.ws
127.0.0.1 technology-related.com
127.0.0.1 teen-biz.com
127.0.0.1 teen-pic-post.com
127.0.0.1 teenpornosex.com
127.0.0.1 teens4free.net
127.0.0.1 teensact.com
127.0.0.1 teensgate.com
127.0.0.1 teensguru.com
127.0.0.1 teenswamp.com
127.0.0.1 testosterone-birth-control.com
127.0.0.1 the-exit.com
127.0.0.1 the-huns-yellow-pages.com
127.0.0.1 thefakejournal.com
127.0.0.1 thehuy.net
127.0.0.1 theproxy.org
127.0.0.1 therealsearch.com
127.0.0.1 thesten.com
127.0.0.1 thornleygroup.com
127.0.0.1 tings.org
127.0.0.1 tit-x.com
127.0.0.1 titanvision.com
127.0.0.1 titsianna.com
127.0.0.1 toddhayes.com
127.0.0.1 toon-comics.com
127.0.0.1 tooncomics.com
127.0.0.1 topsearcher.com
127.0.0.1 trafficback.com
127.0.0.1 trafficswitcher.com
127.0.0.1 travel.picture-posters.com
127.0.0.1 true-portal.com
127.0.0.1 trytechnical.com
127.0.0.1 ufindall.click-now.net
127.0.0.1 umaxsearch.com
127.0.0.1 une-autre-france.com
127.0.0.1 unigays.com
127.0.0.1 unipages.cc
127.0.0.1 up2you.ru
127.0.0.1 urlstat.com
127.0.0.1 urlstat.ru
127.0.0.1 uralitel.ru
127.0.0.1 ursie.net
127.0.0.1 utahsweet.com
127.0.0.1 utopicportal.com
127.0.0.1 uusocialjustice.org
127.0.0.1 v61.com
127.0.0.1 vaginpics.com
127.0.0.1 valmyers.com
127.0.0.1 vegas-free.com
127.0.0.1 vegbuy.com
127.0.0.1 veloventures.com
127.0.0.1 verzila.com
127.0.0.1 victoriaadam.com
127.0.0.1 videocategories.com
127.0.0.1 vitamins-for-each.com
127.0.0.1 votehowe.org
127.0.0.1 vxebony.com
127.0.0.1 wakeupdick.com
127.0.0.1 warnomore.org
127.0.0.1 watersport-specialties.com
127.0.0.1 web-homepage.net
127.0.0.1 web-search.tk
127.0.0.1 webcoolsearch.com
127.0.0.1 websearchdot.com
127.0.0.1 weekend-movies.com
127.0.0.1 wetpornostars.com
127.0.0.1 whatsyoursearch.com
127.0.0.1 white-pages.ws
127.0.0.1 whittierblvd.com
127.0.0.1 win-in-casino.com
127.0.0.1 wiresearch.com
127.0.0.1 wolfpacracing.com
127.0.0.1 wordlist.jps.ru
127.0.0.1 wpc2001.org
127.0.0.1 wspzone.sexpornonline.com
127.0.0.1 wwwbet.net
127.0.0.1 wwwbetting.net
127.0.0.1 wwwpokergames.com
127.0.0.1 wwwpokerplayers.com
127.0.0.1 wwwroulette.net
127.0.0.1 x-library.com
127.0.0.1 x-webdesign.com
127.0.0.1 xcomics4u.com
127.0.0.1 xic-bs.com
127.0.0.1 xldr.com
127.0.0.1 xp18.com
127.0.0.1 xrenosearch.com
127.0.0.1 xtragay.com
127.0.0.1 xu.xu.pl
127.0.0.1 xxxcategories.com
127.0.0.1 xxxemailxxx.com
127.0.0.1 y-e-l-l-o-w.com
127.0.0.1 yellow500.com
127.0.0.1 yezol.com
127.0.0.1 you-search.com
127.0.0.1 you-search.com.ru
127.0.0.1 youfindall.com
127.0.0.1 youfindall.net
127.0.0.1 your-prescriptions.net
127.0.0.1 yourbookmarks.info
127.0.0.1 yourbookmarks.ws
127.0.0.1 ypir.com
127.0.0.1 ysa-info.net
127.0.0.1 yukohamano.com
127.0.0.1 ywebsearch.info
127.0.0.1 zapros.com
127.0.0.1 zesearch.com
127.0.0.1 ziportal.com
127.0.0.1 zipportal.com
127.0.0.1 zoneoffreeporn.com
127.0.0.1 zoomegasite.com
127.0.0.1 zvimigdal.com
127.0.0.1 zyban-zocor-levitra.com
127.0.0.1 t.rack.cc
127.0.0.1 omega-search.com
127.0.0.1 cool-xxx.net
127.0.0.1 revolto3.da.ru
127.0.0.1 dating-search.net
127.0.0.1 linksummary.com
127.0.0.1 duolaimi.net
127.0.0.1 ez-searching.com
127.0.0.1 freehqmovies.com
127.0.0.1 xzoomy.com
127.0.0.1 freescratchandwin.com
127.0.0.1 globalwebsearch.com
127.0.0.1 www.gocybersearch.com
127.0.0.1 mayancasino.com
127.0.0.1 www.hastalavista.com
127.0.0.1 www.free-popup-killer.com
127.0.0.1 www.digitalfan.com
127.0.0.1 google123.web1000.com
127.0.0.1 search.ieplugin.com
127.0.0.1 i-lookup.com
127.0.0.1 spidersearch.com
127.0.0.1 istarthere.com
127.0.0.1 xxxtoolbar.com
127.0.0.1 www.seekporn.org
127.0.0.1 17-plus.com
127.0.0.1 lolita4all1.xrensmagpost.com
127.0.0.1 mafiapics.com
127.0.0.1 www.teenmonster.com
127.0.0.1 ie.marketdart.com
127.0.0.1 masterbar.com
127.0.0.1 search.netzany.co
127.0.0.1 only-virgins.com
127.0.0.1 passthison.com
127.0.0.1 blondetgp.com
127.0.0.1 prolivation.com
127.0.0.1 server-au.imrworldwide.com
127.0.0.1 rocketsearch.com
127.0.0.1 .roar.com
127.0.0.1 searchaccurate.com
127.0.0.1 searchalot.com
127.0.0.1 searchandbrowse.com
127.0.0.1 gtawarehouse.com
127.0.0.1 startium.com
127.0.0.1 searchandclick.com
127.0.0.1 searchby.net
127.0.0.1 searchdot.com
127.0.0.1 search-exe.com
127.0.0.1 secret-crush.com
127.0.0.1 seekseek.com
127.0.0.1 sexarena.com
127.0.0.1 sexocean.play-lolita.com
127.0.0.1 startsurfing.com
127.0.0.1 66.197.138.235
127.0.0.1 srng.net
127.0.0.1 apps.webservicehost.com
127.0.0.1 search.shopnav.com
127.0.0.1 wish7.com
127.0.0.1 216.65.3.68
127.0.0.1 www.supersexpass.com
127.0.0.1 surferbar.com
127.0.0.1 xlola.underagehost.com
127.0.0.1 hotlolitas.underagehost.com
127.0.0.1 loading-lolita.com
127.0.0.1 www.xupiter.com
127.0.0.1 xjupiter.com
127.0.0.1 www.xjupiter.com
127.0.0.1 www.browserwise.com
127.0.0.1 sqwire.com
127.0.0.1 orbitexplorer.com
127.0.0.1 searchcentrix.com
127.0.0.1 categories.mygeek.com
127.0.0.1 web-entrance.co
127.0.0.1 whazit.com
127.0.0.1 windowenhancer.com
127.0.0.1 buz.ru
127.0.0.1 iwon.com
127.0.0.1 www.bonzi.com
127.0.0.1 featured-results.com
127.0.0.1 searchmadesafe.net
127.0.0.1 quicklaunch.com
127.0.0.1 www.cashsurfers.com
127.0.0.1 .lop.com
127.0.0.1 .tjdo.com
127.0.0.1 /tjdo.com
127.0.0.1 .ebav.com
127.0.0.1 /ebav.com
127.0.0.1 .ebgo.com
127.0.0.1 /ebgo.com
127.0.0.1 .ebaw.com
127.0.0.1 /ebaw.com
127.0.0.1 .ebkb.com
127.0.0.1 /ebkb.com
127.0.0.1 .ebmu.com
127.0.0.1 /ebmu.com
127.0.0.1 .ecmp.com
127.0.0.1 /ecmp.com
127.0.0.1 .edhq.com
127.0.0.1 /edhq.com
127.0.0.1 .edty.com
127.0.0.1 /edty.com
127.0.0.1 .sbee.com
127.0.0.1 /sbee.com
127.0.0.1 .aavc.com
127.0.0.1 /aavc.com
127.0.0.1 .acjp.com
127.0.0.1 /acjp.com
127.0.0.1 .ecmh.com
127.0.0.1 /ecmh.com
127.0.0.1 .emch.com
127.0.0.1 /emch.com
127.0.0.1 .ecpm.com
127.0.0.1 /ecpm.com
127.0.0.1 .wabu.com
127.0.0.1 /wabu.com
127.0.0.1 .wabq.com
127.0.0.1 /wabq.com
127.0.0.1 .ebch.com
127.0.0.1 /ebch.com
127.0.0.1 .ebdv.com
127.0.0.1 /ebdv.com
127.0.0.1 .ebdw.com
127.0.0.1 /ebdw.com
127.0.0.1 .ebjp.com
127.0.0.1 /ebjp.com
127.0.0.1 .ebkn.com
127.0.0.1 /ebkn.com
127.0.0.1 .ebky.com
127.0.0.1 /ebky.com
127.0.0.1 .eblv.com
127.0.0.1 /eblv.com
127.0.0.1 .wbkb.com
127.0.0.1 /wbkb.com
127.0.0.1 .ebvr.com
127.0.0.1 /ebvr.com
127.0.0.1 .ecwz.com
127.0.0.1 /ecwz.com
127.0.0.1 .ecyb.com
127.0.0.1 /ecyb.com
127.0.0.1 .eduy.com
127.0.0.1 /eduy.com
127.0.0.1 .eeev.com
127.0.0.1 /eeev.com
127.0.0.1 .farse.com
127.0.0.1 /farse.com
127.0.0.1 .ibmx.com
127.0.0.1 /ibmx.com
127.0.0.1 .icwb.com
127.0.0.1 /icwb.com
127.0.0.1 .icwo.com
127.0.0.1 /icwo.com
127.0.0.1 .icwp.com
127.0.0.1 /icwp.com
127.0.0.1 .iddh.com
127.0.0.1 /iddh.com
127.0.0.1 .idhh.com
127.0.0.1 /idhh.com
127.0.0.1 .ifiz.com
127.0.0.1 /ifiz.com
127.0.0.1 .iguu.com
127.0.0.1 /iguu.com
127.0.0.1 .samz.com
127.0.0.1 /samz.com
127.0.0.1 .saoe.com
127.0.0.1 /saoe.com
127.0.0.1 .sbjr.com
127.0.0.1 /sbjr.com
127.0.0.1 .sbnl.com
127.0.0.1 /sbnl.com
127.0.0.1 .sbnt.com
127.0.0.1 /sbnt.com
127.0.0.1 .sbvr.com
127.0.0.1 /sbvr.com
127.0.0.1 .scbm.com
127.0.0.1 /scbm.com
127.0.0.1 .sckr.com
127.0.0.1 /sckr.com
127.0.0.1 .scrk.com
127.0.0.1 /scrk.com
127.0.0.1 .sdry.com
127.0.0.1 /sdry.com
127.0.0.1 .seld.com
127.0.0.1 /seld.com
127.0.0.1 .sfux.com
127.0.0.1 /sfux.com
127.0.0.1 .sheat.com
127.0.0.1 /sheat.com
127.0.0.1 .sipo.com
127.0.0.1 /sipo.com
127.0.0.1 .smds.com
127.0.0.1 /smds.com
127.0.0.1 .srib.com
127.0.0.1 /srib.com
127.0.0.1 .srox.com
127.0.0.1 /srox.com
127.0.0.1 .srsf.com
127.0.0.1 /srsf.com
127.0.0.1 .ssaw.com
127.0.0.1 /ssaw.com
127.0.0.1 .ssby.com
127.0.0.1 /ssby.com
127.0.0.1 .surj.com
127.0.0.1 /surj.com
127.0.0.1 .tbvg.com
127.0.0.1 /tbvg.com
127.0.0.1 .tdak.com
127.0.0.1 /tdak.com
127.0.0.1 .tdmy.com
127.0.0.1 /tdmy.com
127.0.0.1 .tefs.com
127.0.0.1 /tefs.com
127.0.0.1 .tfil.com
127.0.0.1 /tfil.com
127.0.0.1 .tjar.com
127.0.0.1 /tjar.com
127.0.0.1 .tjaw.com
127.0.0.1 /tjaw.com
127.0.0.1 .tjgo.com
127.0.0.1 /tjgo.com
127.0.0.1 .tjem.com
127.0.0.1 /tjem.com
127.0.0.1 .torc.com
127.0.0.1 /torc.com
127.0.0.1 .wfix.com
127.0.0.1 /wfix.com
127.0.0.1 .wflu.com
127.0.0.1 /wflu.com
127.0.0.1 .tdko.com
127.0.0.1 /tdko.com
127.0.0.1 .thko.com
127.0.0.1 /thko.com
127.0.0.1 H24413.tfil.com
127.0.0.1 germany.rub.to
127.0.0.1 search.rub.to
127.0.0.1 unitedstates.rub.to
127.0.0.1 www.commonname.com
127.0.0.1 www.ezcybersearch.com
127.0.0.1 www.jethomepage.com
127.0.0.1 www.gohip.com
127.0.0.1 hotbar.com
127.0.0.1 www.huntbar.com
127.0.0.1 search.imiserver.com
127.0.0.1 infospace.com/blsrch.dp.toolbar
127.0.0.1 searchenhancement.com
127.0.0.1 newtonknows.com
127.0.0.1 search-explorer.net
127.0.0.1 searchsquire.com
127.0.0.1 secondpower.com
127.0.0.1 2ndpower.com
127.0.0.1 searchgateway.net
127.0.0.1 worldusa.com
127.0.0.1 www.topsearcher.com
127.0.0.1 smutserver.com
127.0.0.1 searchmeup.com
127.0.0.1 cameup.com
127.0.0.1 kliksearch.com
127.0.0.1 realphx.com
127.0.0.1 blazefind.com
127.0.0.1 66.40.16.198
127.0.0.1 zoofil.com
127.0.0.1 terafinder.com
127.0.0.1 008i.com
127.0.0.1 171203.com
127.0.0.1 39-93.com
127.0.0.1 adult-personal.us
127.0.0.1 cashsearch.biz
127.0.0.1 cl55.biz
127.0.0.1 dailyteenspic.com
127.0.0.1 dialer2004.com
127.0.0.1 digital-pornography.com
127.0.0.1 eager-sex.com
127.0.0.1 ergosites.com
127.0.0.1 freecj.com
127.0.0.1 greg-search.com
127.0.0.1 incest-host.com
127.0.0.1 ironcarteam.com
127.0.0.1 is-best.com
127.0.0.1 killerpornstars.com
127.0.0.1 lollitop.com
127.0.0.1 love-host.com
127.0.0.1 myexexex.com
127.0.0.1 my-finder.com
127.0.0.1 onlineclick.net
127.0.0.1 onlysex.ws
127.0.0.1 regfreeze.com
127.0.0.1 ruworld.com
127.0.0.1 selltraffic.biz
127.0.0.1 sexunique.net
127.0.0.1 sinpussy.com
127.0.0.1 teenhost.net
127.0.0.1 ultraload.net
127.0.0.1 vse-moe.biz
127.0.0.1 xsex.ws
127.0.0.1 .75tz.com
127.0.0.1 /75tz.com
127.0.0.1 .iefeadsl.com
127.0.0.1 /iefeadsl.com
127.0.0.1 /rf104.com
127.0.0.1 .rf104.com
127.0.0.1 www.v61.com
127.0.0.1 ads.centralmedia.ws
127.0.0.1 c.centralmedia.ws
127.0.0.1 .count.cc
127.0.0.1 /count.cc
127.0.0.1 .topx.cc
127.0.0.1 /topx.cc
127.0.0.1 sidefind.com
127.0.0.1 thenewsearch.com
127.0.0.1 new-search.net
127.0.0.1 x-google.net
127.0.0.1 adultgambling.org
127.0.0.1 bitchesonline.net
127.0.0.1 girls4rent.net
127.0.0.1 usefullsoft.net
127.0.0.1 livegambling.com
127.0.0.1 adultsgames.net
127.0.0.1 easyantispy.com
127.0.0.1 spybotremover.net
127.0.0.1 winprotect.net
127.0.0.1 funny-girls.com
127.0.0.1 winmsn.com
127.0.0.1 oneclicksearches.com
127.0.0.1 bestweblinks.com
127.0.0.1 iqsearch.net
127.0.0.1 dumpserv.com
127.0.0.1 helpyoursearch.com
127.0.0.1 sgrunt.biz
127.0.0.1 yeak.net
127.0.0.1 u45.cx
127.0.0.1 u46.cx
127.0.0.1 u47.cc
127.0.0.1 u48.cc
127.0.0.1 sfonditalia.biz
127.0.0.1 realarea.biz
127.0.0.1 archiviosex.net
127.0.0.1 agava.com
127.0.0.1 agava.ru
127.0.0.1 hut1.ru
127.0.0.1 hu15.ru
127.0.0.1 winfixer.com
127.0.0.1 3721.com
127.0.0.1 easysearchingtips.com
127.0.0.1 fine-search.net
127.0.0.1 noproblemsurf.com
127.0.0.1 pcspyremover.com
127.0.0.1 search-motor.com
127.0.0.1 searchwhatuwant.com
127.0.0.1 ad25.com
127.0.0.1 ad45.com
127.0.0.1 ad77.com
127.0.0.1 ad86.com
127.0.0.1 full-search.net
127.0.0.1 go2-search.com
127.0.0.1 onemoresearch.net
127.0.0.1 search-777.com
127.0.0.1 search-to-find.com
127.0.0.1 search-what.net
127.0.0.1 winshow.biz
127.0.0.1 lookfor.cc
127.0.0.1 looking-for.cc
127.0.0.1 tgp-4-you.com
127.0.0.1 veryeasysearch.com
127.0.0.1 010402.com
127.0.0.1 20x2p.com
127.0.0.1 db105.com
127.0.0.1 ga31.com
127.0.0.1 mpeg-look.com
127.0.0.1 n-udd.com
127.0.0.1 p-uud.com
127.0.0.1 porn-screen.com
127.0.0.1 rb37.com
127.0.0.1 t058.com
127.0.0.1 u-239.com
127.0.0.1 v-224.com
127.0.0.1 trackhits.cc
127.0.0.1 tracktraff.cc
127.0.0.1 power-cleaner.com
127.0.0.1 yoursitebar.com
127.0.0.1 ysbweb.com
127.0.0.1 www.ysbweb.com
127.0.0.1 installcash.com
127.0.0.1 toolbarcash.com
127.0.0.1 enjoywebsurf.com
127.0.0.1 msnguard.cc
127.0.0.1 searchclick.cc
127.0.0.1 havy.biz
127.0.0.1 ewizard.cc
127.0.0.1 4klm.com
127.0.0.1 camup.net
127.0.0.1 bdsmlibrary.net
127.0.0.1 n-glx.s-redirect.com
127.0.0.1 aaasexypics.com
127.0.0.1 allforadult.com
127.0.0.1 autoescrowpay.com
127.0.0.1 awmcash.biz
127.0.0.1 awmdabest.com
127.0.0.1 buldog-stats.com
127.0.0.1 counter.sexmaniack.com
127.0.0.1 fregat.drocherway.com
127.0.0.1 greg-tut.com
127.0.0.1 iframe.biz
127.0.0.1 megapornix.com
127.0.0.1 newiframe.biz
127.0.0.1 nylonsexy.com
127.0.0.1 pizdato.biz
127.0.0.1 sexfiles.nu
127.0.0.1 slutmania.biz
127.0.0.1 sp2fucked.biz
127.0.0.1 toolbarpartner.com
127.0.0.1 vesbiz.biz
127.0.0.1 virgin-tgp.net
127.0.0.1 vparivalka.com
127.0.0.1 x.full-tgp.net
127.0.0.1 toolbar.cc
127.0.0.1 himen.biz
127.0.0.1 msupdater.net
127.0.0.1 www.msupdater.net
127.0.0.1 1800searchonline.com
127.0.0.1 www.1800searchonline.com
127.0.0.1 1stsearchportal.com
127.0.0.1 www.1stsearchportal.com
127.0.0.1 24-7searching-and-more.com
127.0.0.1 www.24-7searching-and-more.com
127.0.0.1 971searchbox.com
127.0.0.1 www.971searchbox.com
127.0.0.1 aaawebfinder.com
127.0.0.1 www.aaawebfinder.com
127.0.0.1 ampmsearch.com
127.0.0.1 www.ampmsearch.com
127.0.0.1 clickhere4search.com
127.0.0.1 www.clickhere4search.com
127.0.0.1 clicktomakeasearch.com
127.0.0.1 www.clicktomakeasearch.com
127.0.0.1 directsearchzone.com
127.0.0.1 www.directsearchzone.com
127.0.0.1 easysearch4you.com
127.0.0.1 www.easysearch4you.com
127.0.0.1 enterthesearch.com
127.0.0.1 www.enterthesearch.com
127.0.0.1 esearch2005.com
127.0.0.1 www.esearch2005.com
127.0.0.1 eza1netsearch.com
127.0.0.1 www.eza1netsearch.com
127.0.0.1 ezwebsearching.com
127.0.0.1 www.ezwebsearching.com
127.0.0.1 globalefinder.com
127.0.0.1 www.globalefinder.com
127.0.0.1 go2realsearch.com
127.0.0.1 www.go2realsearch.com
127.0.0.1 myseachexplorer.com
127.0.0.1 www.myseachexplorer.com
127.0.0.1 quicksearch360.com
127.0.0.1 www.quicksearch360.com
127.0.0.1 s1s1s1search.com
127.0.0.1 www.s1s1s1search.com
127.0.0.1 search101online.com
127.0.0.1 www.search101online.com
127.0.0.1 search123forme.com
127.0.0.1 www.search123forme.com
127.0.0.1 search345quest.com
127.0.0.1 www.search345quest.com
127.0.0.1 searchmiracle.com
127.0.0.1 www.searchmiracle.com
127.0.0.1 searchtheworld4you.com
127.0.0.1 www.searchtheworld4you.com
127.0.0.1 searchwebzone.com
127.0.0.1 www.searchwebzone.com
127.0.0.1 seektheglobe.com
127.0.0.1 www.seektheglobe.com
127.0.0.1 sitesearchcentral.com
127.0.0.1 www.sitesearchcentral.com
127.0.0.1 the818search-co.com
127.0.0.1 www.the818search-co.com
127.0.0.1 type2find.com
127.0.0.1 www.type2find.com
127.0.0.1 xosearchox.com
127.0.0.1 www.xosearchox.com
127.0.0.1 yoursearchspace.com
127.0.0.1 www.yoursearchspace.com
127.0.0.1 httpwwwads.com
127.0.0.1 www.httpwwwads.com
127.0.0.1 adshttp.com
127.0.0.1 www.adshttp.com
127.0.0.1 adsonwww.com
127.0.0.1 www.adsonwww.com
127.0.0.1 216.152.240.14
127.0.0.1 216.152.240.13
127.0.0.1 216.152.240.10
127.0.0.1 216.152.240.16
127.0.0.1 dnaads.com
127.0.0.1 www.dnaads.com
127.0.0.1 marketengines.com
127.0.0.1 www.marketengines.com
127.0.0.1 ad-w-a-r-e.com
127.0.0.1 www.ad-w-a-r-e.com
127.0.0.1 a-d-w-a-r-e.com
127.0.0.1 www.a-d-w-a-r-e.com
127.0.0.1 securityindex.net
127.0.0.1 www.securityindex.net
127.0.0.1 sexpicsporn.com
127.0.0.1 www.sexpicsporn.com
127.0.0.1 free-spybot.com
127.0.0.1 www.free-spybot.com
127.0.0.1 cashengines.com
127.0.0.1 www.cashengines.com
127.0.0.1 microsoftantispyware.net
127.0.0.1 www.microsoftantispyware.net
127.0.0.1 mircosoftantispy.com
127.0.0.1 www.mircosoftantispy.com
127.0.0.1 msantispy.com
127.0.0.1 www.msantispy.com
127.0.0.1 netspyprotector.com
127.0.0.1 www.netspyprotector.com
127.0.0.1 avforce.com
127.0.0.1 www.avforce.com
127.0.0.1 savehits.com
127.0.0.1 www.savehits.com
127.0.0.1 saveli.com
127.0.0.1 www.saveli.com
127.0.0.1 metastop.com
127.0.0.1 www.metastop.com
127.0.0.1 perlink.biz
127.0.0.1 www.perlink.biz
127.0.0.1 highdialer.com
127.0.0.1 www.highdialer.com
127.0.0.1 66.230.175.129
127.0.0.1 online-more.com
127.0.0.1 www.online-more.com
127.0.0.1 66.117.37.7
127.0.0.1 www.syserrors.com
127.0.0.1 www.vcodec.com
127.0.0.1 toolbartraff.biz
127.0.0.1 www.toolbartraff.biz
127.0.0.1 pcadprotector.cc
127.0.0.1 www.pcadprotector.cc
127.0.0.1 airtleworld.com
127.0.0.1 www.airtleworld.com
127.0.0.1 domaincar.com
127.0.0.1 www.domaincar.com
127.0.0.1 worldray.com
127.0.0.1 www.worldray.com
127.0.0.1 www5.worldray.com
127.0.0.1 www6.worldray.com
127.0.0.1 www.spytrooper.com
127.0.0.1 spytrooper.com
127.0.0.1 dl.ad-ware.cc
127.0.0.1 ad-ware.cc
127.0.0.1 82.179.170.11
127.0.0.1 195.255.177.28
127.0.0.1 downloads.adaware.cc
127.0.0.1 adaware.cc
127.0.0.1 hitscount.net
127.0.0.1 count.hitscount.net
127.0.0.1 fined.biz
127.0.0.1 de.ag
127.0.0.1 games.de.ag
127.0.0.1 www.games.de.ag
127.0.0.1 little-download.net
127.0.0.1 www.little-download.net
127.0.0.1 little-help.com
127.0.0.1 www.little-help.com
127.0.0.1 www.spyaxe.net
127.0.0.1 www.spyaxe.com
127.0.0.1 www.spyaxe.biz
127.0.0.1 www.malwarewipe.com
127.0.0.1 dl.malwarewipe.com
127.0.0.1 www.malwarewipeupdate.com
127.0.0.1 24.244.71.239
127.0.0.1 unionseek.com
127.0.0.1 www.unionseek.com
127.0.0.1 sirh0t.blackhats.tc
127.0.0.1 blackhats.tc
127.0.0.1 www.blackhats.tc
127.0.0.1 ritztours.com
127.0.0.1 www.ritztours.com
127.0.0.1 flashflashmx.3322.org
127.0.0.1 3322.org
127.0.0.1 www.3322.org
127.0.0.1 jupitersatellites.biz
127.0.0.1 www.jupitersatellites.biz
127.0.0.1 yops.biz
127.0.0.1 www.yops.biz
127.0.0.1 69.50.171.122
127.0.0.1 goldengr.hypermart.net
127.0.0.1 web-nexus.net
127.0.0.1 safe-sales.biz
127.0.0.1 www.safe-sales.biz
127.0.0.1 jerrynews.com
127.0.0.1 www.jerrynews.com
127.0.0.1 Teslaplus.com
127.0.0.1 www.Teslaplus.com
127.0.0.1 82.179.170.82
127.0.0.1 WorldAntiSpy.com
127.0.0.1 www.WorldAntiSpy.com
127.0.0.1 www.securitycaution.com
127.0.0.1 securitycaution.com
127.0.0.1 adservs.com
127.0.0.1 csx.adservs.com
127.0.0.1 www.csx.adservs.com
127.0.0.1 toolbarbest.biz
127.0.0.1 www.toolbarbest.biz
127.0.0.1 65.75.151.192
127.0.0.1 game4all.biz
127.0.0.1 www.game4all.biz
127.0.0.1 game4all.biz/adv/018
127.0.0.1 www.game4all.biz/adv/018
127.0.0.1 wm.kannylizaciya.info
127.0.0.1 www.wm.kannylizaciya.info
127.0.0.1 wm.buhartes.info
127.0.0.1 www.wm.buhartes.info
127.0.0.1 login.fric.cn
127.0.0.1 www.login.fric.cn
127.0.0.1 xsremover.com
127.0.0.1 www.xsremover.com
127.0.0.1 spydeface.com
127.0.0.1 www.spydeface.com
127.0.0.1 alfacleaner.com
127.0.0.1 www.alfacleaner.com
127.0.0.1 innovagest2000.com
127.0.0.1 www.innovagest2000.com
127.0.0.1 www.thespyguard.com
127.0.0.1 thespyguard.com
127.0.0.1 www.adwarepunisher.com
127.0.0.1 adwarepunisher.com
127.0.0.1 www.spyiblock.com
127.0.0.1 spyiblock.com
127.0.0.1 www.uvu-channel.com
127.0.0.1 uvu-channel.com
127.0.0.1 www.hachimitsu-lemon.com
127.0.0.1 hachimitsu-lemon.com
127.0.0.1 SEARCHTOFIND.NET
127.0.0.1 www.SEARCHTOFIND.NET
127.0.0.1 www.pestrap.com
127.0.0.1 pestrap.com
127.0.0.1 uptodatesecurity.com
127.0.0.1 www.uptodatesecurity.com
127.0.0.1 thinstall.abetterinternet.com
127.0.0.1 www.3abetterinternet.com
127.0.0.1 download.abetterinternet.com
127.0.0.1 www.abetterinternet.com
127.0.0.1 216.255.179.234
127.0.0.1 qmex.psyche-evolution.com
127.0.0.1 www.qmex.psyche-evolution.com
127.0.0.1 core.psyche-evolution.com
127.0.0.1 www.core.psyche-evolution.com
127.0.0.1 1stantivirus.com
127.0.0.1 www.1stantivirus.com
127.0.0.1 scanandrepair.com
127.0.0.1 www.scanandrepair.com
127.0.0.1 uydsiygeds.com
127.0.0.1 www.uydsiygeds.com
127.0.0.1 pesttrap.com
127.0.0.1 www.pesttrap.com
127.0.0.1 adwarebazooka.com
127.0.0.1 get.adwarebazooka.com
127.0.0.1 www.adwarebazooka.com
127.0.0.1 kliksoftware.com
127.0.0.1 www.kliksoftware.com
127.0.0.1 hitvirus.com
127.0.0.1 get.hitvirus.com
127.0.0.1 www.hitvirus.com
127.0.0.1 promo.dollarrevenue.com
127.0.0.1 www.promo.dollarrevenue.com
127.0.0.1 maxifile.com
127.0.0.1 www.maxifile.com
127.0.0.1 targetsaver.com
127.0.0.1 www.targetsaver.com
127.0.0.1 dl.targetsaver.com
127.0.0.1 www.dl.targetsaver.com
127.0.0.1 nonameforthisdomain.com
127.0.0.1 www.nonameforthisdomain.com
127.0.0.1 hypoteches.com
127.0.0.1 www.hypoteches.com
127.0.0.1 www.earthllnk.net
127.0.0.1 earthllnk.net
127.0.0.1 hostance.net
127.0.0.1 www.hostance.net
127.0.0.1 my-dedik-one.com
127.0.0.1 www.my-dedik-one.com
127.0.0.1 10sek.com
127.0.0.1 www.10sek.com
127.0.0.1 6sek.com
127.0.0.1 www.6sek.com
127.0.0.1 cashdeluxe.net
127.0.0.1 www.cashdeluxe.net
127.0.0.1 stats.cashdeluxe.net
127.0.0.1 www.stats.cashdeluxe.net
127.0.0.1 www.2006ooo.com
127.0.0.1 www.spyware-stop.com
127.0.0.1 spyware-stop.com
127.0.0.1 www.SpyShield.org
127.0.0.1 SpyShield.org
127.0.0.1 utils.winfixer.com
127.0.0.1 www.utils.winfixer.com
127.0.0.1 toolbarbucks.biz
127.0.0.1 www.toolbarbucks.biz
127.0.0.1 derklaif.biz
127.0.0.1 www.derklaif.biz
127.0.0.1 www.v-codec.com
127.0.0.1 v-codec.com
127.0.0.1 www.emediacodec.com
127.0.0.1 emediacodec.com
127.0.0.1 www.popentertain.com
127.0.0.1 popentertain.com
127.0.0.1 softwareprofit.com
127.0.0.1 www.softwareprofit.com
127.0.0.1 de.winantivirus.com
127.0.0.1 download.winantivirus.com
127.0.0.1 winantivirus.com
127.0.0.1 www.winantivirus.com
127.0.0.1 205.209.152.121
127.0.0.1 offers.bullseye-network.com
127.0.0.1 www.offers.bullseye-network.com
127.0.0.1 bullseye-network.com
127.0.0.1 www.bullseye-network.com
127.0.0.1 sponsor2.ucmore.com
127.0.0.1 www.sponsor2.ucmore.com
127.0.0.1 apps.deskwizz
127.0.0.1 www.apps.deskwizz
127.0.0.1 hostthesky.com
127.0.0.1 dbdecicated.com
127.0.0.1 readagreement.net
127.0.0.1 gl.secdep.info
127.0.0.1 www.gl.secdep.info
127.0.0.1 spyfalcon.com
127.0.0.1 www.spyfalcon.com
127.0.0.1 spyfalconupdate.com
127.0.0.1 www.spyfalconupdate.com
127.0.0.1 spy-shield.com
127.0.0.1 www.spy-shield.com
127.0.0.1 winnanny.com
127.0.0.1 www.winnanny.com
127.0.0.1 winsoftware.com
127.0.0.1 www.winsoftware.com
127.0.0.1 winfirewall.com
127.0.0.1 www.winfirewall.com
127.0.0.1 winantispyware.com
127.0.0.1 www.winantispyware.com
127.0.0.1 udefender.com
127.0.0.1 www.udefender.com
127.0.0.1 bravesentry.com
127.0.0.1 www.bravesentry.com
127.0.0.1 content.dollarrevenue.com
127.0.0.1 www.content.dollarrevenue.com
127.0.0.1 toolbar.azebar.com
127.0.0.1 www.toolbar.azebar.com
127.0.0.1 traffsale1.biz
127.0.0.1 www.traffsale1.biz
127.0.0.1 194.187.45.55
127.0.0.1 82.146.60.36
127.0.0.1 spywaredisinfector.com
127.0.0.1 www.spywaredisinfector.com
127.0.0.1 SpyCut.com
127.0.0.1 www.SpyCut.com
127.0.0.1 almanah.biz
127.0.0.1 www.almanah.biz
127.0.0.1 antispydns.biz
127.0.0.1 www.antispydns.biz
127.0.0.1 spyaxeupdate.com
127.0.0.1 www.spyaxeupdate.com
127.0.0.1 malwarewipesupport.com
127.0.0.1 www.malwarewipesupport.com
127.0.0.1 remedyantispy.com
127.0.0.1 www.remedyantispy.com
127.0.0.1 systemstable.com
127.0.0.1 www.systemstable.com
127.0.0.1 whoisprivacyprotect.com
127.0.0.1 www.whoisprivacyprotect.com
127.0.0.1 85.249.22.240
127.0.0.1 prime.webhancer.com
127.0.0.1 www.prime.webhancer.com
127.0.0.1 webhancer.com
127.0.0.1 www.webhancer.com
127.0.0.1 dr.webhancer.com
127.0.0.1 www.dr.webhancer.com
127.0.0.1 dr2.webhancer.com
127.0.0.1 www.dr2.webhancer.com
127.0.0.1 www.onli-ne.com
127.0.0.1 spycontra.com
127.0.0.1 www.spycontra.com
127.0.0.1 anti-virus-pro.com
127.0.0.1 www.anti-virus-pro.com
127.0.0.1 check.jupitersatellites.biz
127.0.0.1 www.check.jupitersatellites.biz
127.0.0.1 necessaryupdates.com
127.0.0.1 www.necessaryupdates.com
127.0.0.1 bestworldgirls-for-u.net
127.0.0.1 www.bestworldgirls-for-u.net
127.0.0.1 stejax.pl
127.0.0.1 www.stejax.pl
127.0.0.1 kitehosting.com
127.0.0.1 www.kitehosting.com
127.0.0.1 ware2006.com
127.0.0.1 www.ware2006.com
127.0.0.1 filestore.com
127.0.0.1 www.filestore.com
127.0.0.1 systemupdates.net
127.0.0.1 www.systemupdates.net
127.0.0.1 logs.vapochille.com
127.0.0.1 www.logs.vapochille.com
127.0.0.1 goldenfreehost.com
127.0.0.1 www.goldenfreehost.com
127.0.0.1 todaywarnings.com
127.0.0.1 www.todaywarnings.com
127.0.0.1 spywarequake.com
127.0.0.1 spywarequake.info
127.0.0.1 www.spywarequake.info
127.0.0.1 www.spywarequake.com
127.0.0.1 download2.spywarequake.com
127.0.0.1 download3.spywarequake.com
127.0.0.1 download4.spywarequake.com
127.0.0.1 download5.spywarequake.com
127.0.0.1 download7.spywarequake.com
127.0.0.1 download8.spywarequake.com
127.0.0.1 download9.spywarequake.com
127.0.0.1 download10.spywarequake.com
127.0.0.1 download11.spywarequake.com
127.0.0.1 download12.spywarequake.com
127.0.0.1 download13.spywarequake.com
127.0.0.1 download15.spywarequake.com
127.0.0.1 updates.spywarequake.com
127.0.0.1 206.161.124.98
127.0.0.1 69.31.131.82
127.0.0.1 207.226.162.34
127.0.0.1 urgentsystemupdate.com
127.0.0.1 www.urgentsystemupdate.com
127.0.0.1 dl2.spywarestrike.com
127.0.0.1 dl3.spywarestrike.com
127.0.0.1 dl4.spywarestrike.com
127.0.0.1 dl5.spywarestrike.com
127.0.0.1 dl6.spywarestrike.com
127.0.0.1 dl7.spywarestrike.com
127.0.0.1 dl8.spywarestrike.com
127.0.0.1 nospywaresoft.com
127.0.0.1 spywarestrike.com
127.0.0.1 www.nospywaresoft.com
127.0.0.1 www.spywarestrike.com
127.0.0.1 69.31.81.82
127.0.0.1 spyaxesupport.com
127.0.0.1 www.spyaxesupport.com
127.0.0.1 download3.spyaxe.com
127.0.0.1 download4.spyaxe.com
127.0.0.1 download5.spyaxe.com
127.0.0.1 download6.spyaxe.com
127.0.0.1 dl2.spyfalcon.com
127.0.0.1 dl3.spyfalcon.com
127.0.0.1 dl4.spyfalcon.com
127.0.0.1 dl5.spyfalcon.com
127.0.0.1 dl9.spyfalcon.com
127.0.0.1 dl10.spyfalcon.com
127.0.0.1 dl16.spyfalcon.com
127.0.0.1 www.sgrunt.biz
127.0.0.1 traffbest.biz
127.0.0.1 www.traffbest.biz
127.0.0.1 securityfeature.com
127.0.0.1 www.securityfeature.com
127.0.0.1 pimasoft.com
127.0.0.1 www.pimasoft.com
127.0.0.1 blackhawksoftware.com
127.0.0.1 www.blackhawksoftware.com
127.0.0.1 spy-sniper.com
127.0.0.1 www.spy-sniper.com
127.0.0.1 safetydefender.com
127.0.0.1 www.safetydefender.com
127.0.0.1 securitywarnings.net
127.0.0.1 www.securitywarnings.net
127.0.0.1 urgentsystemupdate.biz
127.0.0.1 www.urgentsystemupdate.biz
127.0.0.1 antispylab.com
127.0.0.1 www.antispylab.com
127.0.0.1 spywaresheriff.com
127.0.0.1 www.spywaresheriff.com
127.0.0.1 allmegabucks.com
127.0.0.1 www.allmegabucks.com
127.0.0.1 rizalof.com
127.0.0.1 www.rizalof.com
127.0.0.1 rc.rizalof.com
127.0.0.1 media-codec.com
127.0.0.1 www.media-codec.com
127.0.0.1 SpywareScraper.com
127.0.0.1 www.SpywareScraper.com
127.0.0.1 crystalysmedia.com
127.0.0.1 www.crystalysmedia.com
127.0.0.1 180solutions.com
127.0.0.1 cts.180solutions.com
127.0.0.1 bis.180solutions.com
127.0.0.1 downloads.180solutions.com
127.0.0.1 uploads.180solutions.com
127.0.0.1 installs.180solutions.com
127.0.0.1 config.180solutions.com
127.0.0.1 ping.180solutions.com
127.0.0.1 tv.180solutions.com
127.0.0.1 nowhere.180solutions.com
127.0.0.1 www.180solutions.com
127.0.0.1 180searchassistant.com
127.0.0.1 www.180searchassistant.com
127.0.0.1 theguardservices.com
127.0.0.1 www.theguardservices.com
127.0.0.1 securitybulletin.net
127.0.0.1 www.securitybulletin.net
127.0.0.1 www.supernet.speedserv.com
127.0.0.1 spyonthis.net
127.0.0.1 download.spyonthis.net
127.0.0.1 www.spyonthis.net
127.0.0.1 hijack-this.net
127.0.0.1 www.hijack-this.net
127.0.0.1 errorsafe.com
127.0.0.1 de.errorsafe.com
127.0.0.1 download.errorsafe.com
127.0.0.1 www.errorsafe.com
127.0.0.1 amaena.com
127.0.0.1 trial.updates.winsoftware.com
127.0.0.1 instlog.winfixer.com
127.0.0.1 winfixer2006.com
127.0.0.1 www.winfixer2006.com
127.0.0.1 webtopsecurity.com
127.0.0.1 www.webtopsecurity.com
127.0.0.1 traff5all.biz
127.0.0.1 www.traff5all.biz
127.0.0.1 1-extreme.biz
127.0.0.1 www.1-extreme.biz
127.0.0.1 download.bravesentry.com
127.0.0.1 www.download.bravesentry.com
127.0.0.1 evko.biz
127.0.0.1 www.evko.biz
127.0.0.1 lavasoftupdate.com
127.0.0.1 www.lavasoftupdate.com
127.0.0.1 download.secureyournet.biz
127.0.0.1 www.download.secureyournet.biz
127.0.0.1 secureyournet.biz
127.0.0.1 www.secureyournet.biz
127.0.0.1 windupdates.com
127.0.0.1 asdbiz.biz
127.0.0.1 www.asdbiz.biz
127.0.0.1 spywarelabs.com
127.0.0.1 www.spywarelabs.com
127.0.0.1 traffweb1.biz
127.0.0.1 www.traffweb1.biz
127.0.0.1 newtoolbar.biz
127.0.0.1 www.newtoolbar.biz
127.0.0.1 buytraff.biz
127.0.0.1 www.buytraff.biz
127.0.0.1 safetyuptodate.com
127.0.0.1 www.safetyuptodate.com
127.0.0.1 crazywinnings.com
127.0.0.1 frame.crazywinnings.com
127.0.0.1 www.crazywinnings.com
127.0.0.1 topconverting.com
127.0.0.1 www.topconverting.com
127.0.0.1 casalemedia.com
127.0.0.1 b.casalemedia.com
127.0.0.1 www.casalemedia.com
127.0.0.1 addictivetechnologies.com
127.0.0.1 www.addictivetechnologies.com
127.0.0.1 addictivetechnologies.net
127.0.0.1 www.addictivetechnologies.net
127.0.0.1 admin2cash.biz
127.0.0.1 www.admin2cash.biz
127.0.0.1 advcash.biz
127.0.0.1 www.advcash.biz
127.0.0.1 all4internet.com
127.0.0.1 www.all4internet.com
127.0.0.1 bettersearch.biz
127.0.0.1 www.bettersearch.biz
127.0.0.1 c4tdownload.com
127.0.0.1 www.c4tdownload.com
127.0.0.1 clickspring.net
127.0.0.1 www.clickspring.net
127.0.0.1 contentmatch.net
127.0.0.1 www.contentmatch.net
127.0.0.1 dialer-shop.com
127.0.0.1 www.dialer-shop.com
127.0.0.1 dialoff.com
127.0.0.1 www.dialoff.com
127.0.0.1 energy-factor.com
127.0.0.1 www.energy-factor.com
127.0.0.1 hardcorefantasyland.com
127.0.0.1 www.hardcorefantasyland.com
127.0.0.1 hardfootballbabes.com
127.0.0.1 www.hardfootballbabes.com
127.0.0.1 linkautomatici.com
127.0.0.1 www.linkautomatici.com
127.0.0.1 master69.biz
127.0.0.1 www.master69.biz
127.0.0.1 master70.biz
127.0.0.1 www.master70.biz
127.0.0.1 master71.biz
127.0.0.1 www.master71.biz
127.0.0.1 mcdial.biz
127.0.0.1 www.mcdial.biz
127.0.0.1 mt-download.com
127.0.0.1 www.mt-download.com
127.0.0.1 my-teensex.com
127.0.0.1 overpro.com
127.0.0.1 private-dialer.biz
127.0.0.1 private-iframe.biz
127.0.0.1 redfunny.com
127.0.0.1 scoobidoo.com
127.0.0.1 skoobidoo.com
127.0.0.1 sexvideopro.com
127.0.0.1 storage-tasp.com
127.0.0.1 xbeta69.com
127.0.0.1 securityuptodate.net
127.0.0.1 www.securityuptodate.net
127.0.0.1 troonety.biz
127.0.0.1 www.troonety.biz
127.0.0.1 zurrusco.com
127.0.0.1 www.zurrusco.com
127.0.0.1 breenten.biz
127.0.0.1 www.breenten.biz
127.0.0.1 votreenton.biz
127.0.0.1 www.votreenton.biz
127.0.0.1 ozonung.biz
127.0.0.1 www.ozonung.biz
127.0.0.1 213.21.215.186
127.0.0.1 digikeygen.com
127.0.0.1 www.digikeygen.com
127.0.0.1 5starvideos.com
127.0.0.1 www.5starvideos.com
127.0.0.1 moviereality.com
127.0.0.1 www.moviereality.com
127.0.0.1 perfectedsecurity.com
127.0.0.1 www.perfectedsecurity.com
127.0.0.1 securityprecaution.net
127.0.0.1 www.securityprecaution.net
127.0.0.1 securityupdatesite.com
127.0.0.1 www.securityupdatesite.com
127.0.0.1 dns-look-up.com
127.0.0.1 www.dns-look-up.com
127.0.0.1 search200.com
127.0.0.1 www.search200.com
127.0.0.1 404dns.com
127.0.0.1 www.404dns.com
127.0.0.1 mcboo.com
127.0.0.1 dr.mcboo.com
127.0.0.1 www.mcboo.com
127.0.0.1 appealcircuit.com
127.0.0.1 www.appealcircuit.com
127.0.0.1 balotierra.com
127.0.0.1 www.balotierra.com
127.0.0.1 oldflock.com
127.0.0.1 www.oldflock.com
127.0.0.1 pornmagpass.com
127.0.0.1 www.pornmagpass.com
127.0.0.1 dailypornmag.com
127.0.0.1 www.dailypornmag.com
127.0.0.1 babespornmag.com
127.0.0.1 www.babespornmag.com
127.0.0.1 teenspornmag.com
127.0.0.1 www.teenspornmag.com
127.0.0.1 maturespornmag.com
127.0.0.1 www.maturespornmag.com
127.0.0.1 hardcorepornmag.com
127.0.0.1 www.hardcorepornmag.com
127.0.0.1 gayspornmag.com
127.0.0.1 www.gayspornmag.com
127.0.0.1 topsecuritysite.net
127.0.0.1 www.topsecuritysite.net
127.0.0.1 bestsafetyguide.net
127.0.0.1 www.bestsafetyguide.net
127.0.0.1 searchweb2.com
127.0.0.1 www.searchweb2.com
127.0.0.1 www.lop.com
127.0.0.1 vidscodec.com
127.0.0.1 www.vidscodec.com
127.0.0.1 newvidscodec.net
127.0.0.1 www.newvidscodec.net
127.0.0.1 media-codec.net
127.0.0.1 www.media-codec.net
127.0.0.1 mediacodec.net
127.0.0.1 www.mediacodec.net
127.0.0.1 imediacodec.com
127.0.0.1 www.imediacodec.com
127.0.0.1 emcodec.com
127.0.0.1 www.emcodec.com
127.0.0.1 vicodec.com
127.0.0.1 www.vicodec.com
127.0.0.1 xpasswordmanager.com
127.0.0.1 www.xpasswordmanager.com
127.0.0.1 cracks4all.com
127.0.0.1 www.cracks4all.com
127.0.0.1 media-motor.net
127.0.0.1 mmm.media-motor.net
127.0.0.1 bins.media-motor.net
127.0.0.1 bins2.media-motor.net
127.0.0.1 logs.media-motor.net
127.0.0.1 mmohsix.com
127.0.0.1 www.mmohsix.com
127.0.0.1 pops.mmohsix.com
127.0.0.1 megalocast.net
127.0.0.1 js.megalocast.net
127.0.0.1 www.megalocast.net
127.0.0.1 dl.web-nexus.net
127.0.0.1 movies-etc.com
127.0.0.1 cdn.movies-etc.com
127.0.0.1 cdn2.movies-etc.com
127.0.0.1 internet-optimizer.com
127.0.0.1 www.internet-optimizer.com
127.0.0.1 888.com
127.0.0.1 www.888.com
127.0.0.1 images.888.com
127.0.0.1 surfsidekick.com
127.0.0.1 www.surfsidekick.com
127.0.0.1 sdl.surfsidekick.com
127.0.0.1 kmpads.com
127.0.0.1 www.kmpads.com
127.0.0.1 ads.kmpads.com
127.0.0.1 zipcodec.com
127.0.0.1 www.zipcodec.com
127.0.0.1 ibankis.org
127.0.0.1 www.ibankis.org
127.0.0.1 adwarefinder.com
127.0.0.1 www.adwarefinder.com
127.0.0.1 nbcsearch.com
127.0.0.1 www.nbcsearch.com
127.0.0.1 TBCODE.COM
127.0.0.1 www.TBCODE.COM
127.0.0.1 1987324.com
127.0.0.1 www.1987324.com
127.0.0.1 www.archiviosex.net
127.0.0.1 sysnetsecurity.com
127.0.0.1 www.sysnetsecurity.com
127.0.0.1 sysnetsecurity.net
127.0.0.1 www.sysnetsecurity.net
127.0.0.1 error404site.com
127.0.0.1 www.error404site.com
127.0.0.1 error404site.net
127.0.0.1 www.error404site.net
127.0.0.1 wm.vother.info
127.0.0.1 www.wm.vother.info
127.0.0.1 vother.info
127.0.0.1 www.vother.info
127.0.0.1 wm.komforochka.info
127.0.0.1 www.wm.komforochka.info
127.0.0.1 komforochka.info
127.0.0.1 www.komforochka.info
127.0.0.1 hervam.com
127.0.0.1 www.hervam.com
127.0.0.1 www.nunah.info
127.0.0.1 nunah.info
127.0.0.1 www.searchmeup.com
127.0.0.1 www.searchcolours.com
127.0.0.1 searchcolours.com
127.0.0.1 brodbfm.net
127.0.0.1 www.brodbfm.net
127.0.0.1 easybestdeals.com
127.0.0.1 www.easybestdeals.com
127.0.0.1 62.4.84.173
127.0.0.1 spywareno.com
127.0.0.1 www.spywareno.com
127.0.0.1 spyheal.com
127.0.0.1 www.spyheal.com
127.0.0.1 205.209.178.251
127.0.0.1 www.streamxs.ws
127.0.0.1 streamxs.ws
127.0.0.1 85.255.117.243
127.0.0.1 asta-killer.com
127.0.0.1 newmediaidea.com
127.0.0.1 www.newmediaidea.com
127.0.0.1 syssecuritysite.net
127.0.0.1 www.syssecuritysite.net
127.0.0.1 aulde.net
127.0.0.1 www.aulde.net
127.0.0.1 searchdrive.info
127.0.0.1 wwwsearchdrive.info
127.0.0.1 download.bardownload.com
127.0.0.1 www.download.bardownload.com
127.0.0.1 bardownload.com
127.0.0.1 www.bardownload.com
127.0.0.1 intcodec.com
127.0.0.1 www.intcodec.com
127.0.0.1 newupdates.lzio.com
127.0.0.1 uptofind.com
127.0.0.1 www.uptofind.com
127.0.0.1 homelandnetwork.COM
127.0.0.1 www.homelandnetwork.COM
127.0.0.1 getmirar.com
127.0.0.1 mirarsearch.com
127.0.0.1 net-nucleus.com
127.0.0.1 zenotecnico.com
127.0.0.1 www.zenotecnico.com
127.0.0.1 zenotecnico2.com
127.0.0.1 www.zenotecnico2.com
127.0.0.1 surfaccuracy.com
127.0.0.1 www.surfaccuracy.com
127.0.0.1 cache.surfaccuracy.com
127.0.0.1 www.cache.surfaccuracy.com
127.0.0.1 www.the.007guard.com
127.0.0.1 the.007guard.com
127.0.0.1 install.007guard.com
127.0.0.1 www.install.007guard.com
127.0.0.1 007guard.com
127.0.0.1 www.007guard.com
127.0.0.1 feeds.2search.com
127.0.0.1 www.feeds.2search.com
127.0.0.1 2search.com
127.0.0.1 www.2search.com
127.0.0.1 feeds2.2search.org
127.0.0.1 www.feeds2.2search.org
127.0.0.1 2search.org
127.0.0.1 www.2search.org
127.0.0.1 zangocash.com
127.0.0.1 www.zangocash.com
127.0.0.1 static.zangocash.com
127.0.0.1 www.static.zangocash.com
127.0.0.1 public.zangocash.com
127.0.0.1 www.public.zangocash.com
127.0.0.1 code.ignphrases.com
127.0.0.1 www.ignphrases.com
127.0.0.1 ignphrases.com
127.0.0.1 www.igetnet.com
127.0.0.1 igetnet.com
127.0.0.1 www.topbrowsing.com
127.0.0.1 topbrowsing.com
127.0.0.1 www.download.jupitersatellites.biz
127.0.0.1 download.jupitersatellites.biz
127.0.0.1 voghp.com
127.0.0.1 www.voghp.com
127.0.0.1 zhmbscwdgk.biz
127.0.0.1 www.zhmbscwdgk.biz
127.0.0.1 zabywjwzlr.biz.biz
127.0.0.1 www.zabywjwzlr.biz.biz
127.0.0.1 buy-find.info
127.0.0.1 www.buy-find.info
127.0.0.1 searche.info
127.0.0.1 www.searche.info
127.0.0.1 easy-pharmacy.info
127.0.0.1 www.easy-pharmacy.info
127.0.0.1 good-casino.net
127.0.0.1 www.good-casino.net
127.0.0.1 busysearch.net
127.0.0.1 www.busysearch.net
127.0.0.1 1001-search.info
127.0.0.1 www.1001-search.info
127.0.0.1 24-7pharmacy.info
127.0.0.1 www.24-7pharmacy.info
127.0.0.1 dating-galaxy.info
127.0.0.1 www.dating-galaxy.info
127.0.0.1 spyware-best.com
127.0.0.1 www.spyware-best.com
127.0.0.1 easyspyware.com
127.0.0.1 www.easyspyware.com
127.0.0.1 best-spyware.info
127.0.0.1 www.best-spyware.info
127.0.0.1 anyofus.com
127.0.0.1 www.anyofus.com
127.0.0.1 specialoems.com
127.0.0.1 www.specialoems.com
127.0.0.1 svideocodec.com
127.0.0.1 www.svideocodec.com
127.0.0.1 getpornmag.com
127.0.0.1 www.getpornmag.com
127.0.0.1 animepornmag.com
127.0.0.1 www.animepornmag.com

:)

#8 Sergik_new

Sergik_new

    Постоялец

  • Members
  • PipPipPipPip
  • 456 сообщений
  • Пол:Мужчина
  • Город:Сплю на Лавке

Отправлено 24 Апрель 2008 - 11:27

ууу... хорошенький блек лист :)

#9 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 24 Апрель 2008 - 11:40

Учитывая количество малварных рассадников в списке, не совсем понятно - то ли это дело заботливого админа, то ли трояна, обитавшего на компе...
Детект трояна всего одним существующим антивирусом не менее забавен:

Цитата

Файл avz00003.dta получен 2008.04.24 10:41:28 (CET)
Текущий статус:    закончено
Результат: 1/32 (3.13%)

AhnLab-V3 2008.4.24.0 2008.04.24 -
AntiVir 7.8.0.8 2008.04.24 -
Authentium 4.93.8 2008.04.24 -
Avast 4.8.1169.0 2008.04.24 -
AVG 7.5.0.516 2008.04.23 -
BitDefender 7.2 2008.04.24 -
CAT-QuickHeal 9.50 2008.04.23 -
ClamAV 0.92.1 2008.04.24 -
DrWeb 4.44.0.09170 2008.04.24 -
eSafe 7.0.15.0 2008.04.21 -
eTrust-Vet 31.3.5731 2008.04.24 -
Ewido 4.0 2008.04.23 -
F-Prot 4.4.2.54 2008.04.23 -
F-Secure 6.70.13260.0 2008.04.24 -
FileAdvisor 1 2008.04.24 -
Fortinet 3.14.0.0 2008.04.23 -
Ikarus T3.1.1.26.0 2008.04.24 -
Kaspersky 7.0.0.125 2008.04.24 -
McAfee 5280 2008.04.24 -
Microsoft 1.3408 2008.04.22 -
NOD32v2 3049 2008.04.24 -
Norman 5.80.02 2008.04.23 -
Panda 9.0.0.4 2008.04.23 -
Prevx1 V2 2008.04.24 Trojan.SystemPoser
Rising 20.41.30.00 2008.04.24 -
Sophos 4.28.0 2008.04.24 -
Sunbelt 3.0.1056.0 2008.04.17 -
Symantec 10 2008.04.24 -
TheHacker 6.2.92.290 2008.04.24 -
VBA32 3.12.6.4 2008.04.16 -
VirusBuster 4.3.26:9 2008.04.23 -
Webwasher-Gateway 6.6.2 2008.04.24 -
Дополнительная информация
File size: 73728 bytes
MD5...: 0f416abe5f7bd2a9f3e4d63580472f4b
SHA1..: 77baddccd433a3ca4a2e2a1f7809f86be2ddb928
SHA256: 0cb0d123d75c6330010150b65a9bab1f12e316c10600aa972268a128cc1b5fad
SHA512: 5072ca8ebfd9a60e1255aeb241e6d9b28514382d38dd3bc32c8b9b7e9725abd1
539609cc2f63d2c38e7df2b7eed0996cf3e19e655a0a1422611877d8760708f5
PEiD..: Armadillo v1.71
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4052ce
timedatestamp.....: 0x3cd6bcd7 (Mon May 06 17:26:47 2002)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xafd7 0xb000 6.69 ec3fd09a356f3cbed943f33dce49ccc4
.rdata 0xc000 0x10e2 0x2000 3.45 175140993a261c72e32d257d3a2063b9
.data 0xe000 0x52cc 0x4000 1.25 9c00d0cdb10ac62cf2ca93ce2c82e899

( 5 imports )
> KERNEL32.dll: GetSystemDirectoryA, CloseHandle, GetCurrentProcess, TerminateProcess, OpenProcess, CreateThread, CreateEventA, CreateMutexA, CreateFileA, PulseEvent, CreateProcessA, GetLastError, CompareStringW, CompareStringA, FlushFileBuffers, ReadFile, SetStdHandle, GetStringTypeW, GetStringTypeA, HeapReAlloc, VirtualAlloc, GetWindowsDirectoryA, WriteFile, RtlUnwind, VirtualFree, HeapCreate, HeapDestroy, GetVersionExA, GetEnvironmentVariableA, GetFileType, GetStdHandle, SetHandleCount, GetEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsW, FreeEnvironmentStringsA, GetModuleFileNameA, UnhandledExceptionFilter, LCMapStringW, LCMapStringA, MultiByteToWideChar, GetOEMCP, GetACP, GetCPInfo, WideCharToMultiByte, DeleteFileA, CopyFileA, MoveFileA, FindFirstFileA, FindNextFileA, FindClose, GetPrivateProfileStringA, GetPrivateProfileIntA, LoadLibraryA, GetProcAddress, FreeLibrary, GetLocaleInfoA, OpenFile, SetFilePointer, HeapAlloc, HeapFree, ExitProcess, GetVersion, GetTimeZoneInformation, GetSystemTime, GetLocalTime, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, SetEnvironmentVariableA
> USER32.dll: GetWindowLongA, EnumChildWindows, SendMessageA, PostQuitMessage, KillTimer, ExitWindowsEx, DefWindowProcA, GetClientRect, FillRect, BeginPaint, DrawIcon, GetSysColor, EndPaint, IsWindow, SystemParametersInfoA, GetSystemMetrics, MoveWindow, InvalidateRect, MessageBeep, LoadIconA, RegisterClassExA, CreateWindowExA, ShowWindow, SetTimer, GetMessageA, TranslateMessage, DispatchMessageA, DestroyWindow, OpenInputDesktop, GetUserObjectInformationA, CloseDesktop, MessageBoxA, FindWindowA
> GDI32.dll: SetBkMode, TextOutA, SetTextColor
> ADVAPI32.dll: OpenProcessToken, LookupPrivilegeValueA, AdjustTokenPrivileges, RegDeleteValueA, RegCreateKeyExA, RegSetValueExA, RegOpenKeyExA, RegQueryValueExA, RegCloseKey
> VERSION.dll: GetFileVersionInfoA, GetFileVersionInfoSizeA, VerQueryValueA


#10 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 25 Апрель 2008 - 10:25

Websense сообщает о массированной хакерской атаке

Цитата

Специалисты компании Websense зафиксировали очередную массированную хакерскую атаку, затронувшую огромное количество веб-сайтов.

Вице-президент Websense Дэн Хаббард заявил, что нынешняя атака аналогична той, которая была осуществлена неизвестными злоумышленниками в прошлом месяце. В начале марта, напомним, киберпреступникам удалось внедрить вредоносный JavaScript-код сразу в 10 тысяч веб-страниц. Посетители таких ресурсов автоматически перенаправлялись на расположенный в Китае сервер, с которого производилась попытка взлома машины жертвы через дыры в операционных системах Windows, плеере RealPlayer и ряде других приложений.

Точное количество веб-страниц, модифицированных злоумшленниками на этой неделе, неизвестно, однако счет идет на десятки тысяч. Среди пострадавших оказались туристические ресурсы, британские правительственные сайты, а также сайты Организации объединенных наций. Как и в случае с мартовской атакой, в веб-страницы внедряется JavaScript-код, отсылающий пользователя на другой сервер. С этого сервера производится попытка взлома ПК через дыры в приложениях Microsoft, в том числе в браузере Internet Explorer.

Специалисты по вопросам безопасности отмечают, что на этот раз эксплойты распространяются с другого IP-адреса. Однако сервер, содержащий заразу, похоже, как и прежде расположен на территории Китая. На текущий момент многие веб-страницы, пострадавшие в ходе атаки, уже очищены от вредоносного кода. Тем не менее, большое количество вполне легальных сайтов все еще могут представлять опасность.

securitylab.ru



#11 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 07 Май 2008 - 09:49

Win32.Ntldrbot (aka Rustock.C) больше не миф. Новая версия сканера Dr.Web отлично справляется с руткитом-невидимкой

На днях мир отметил печальную годовщину – тридцатилетие спама. Пройдя путь от надоедливой рекламы американских консерв Hornel Foods под торговой маркой SPAM, рассылка нежелательных писем превратилась в серьезную общемировую проблему. Многие из нас замечают странные утечки трафика, а наши почтовые ящики по оценкам специалистов почти на 90% переполнены совершенно ненужной и раздражающей информацией. Одной из причин такого невиданного уровня спама как раз являлся Win32.Ntldrbot.


Главное предназначение Win32.Ntldrbot – заражать ПК, превращая их в боты, с которых впоследствии можно рассылать спам, и создавать из таких зараженных компьютеров ботнеты – гигантские сети по рассылке спама. Но не только заражать, а еще и оставаться абсолютно невидимым. Что с успехом и делал этот руткит предположительно с октября 2007 года! По оценке компании Secure Works бот-сеть, созданная Rustock, стоит на третьем месте среди крупнейших бот-сетей и способна рассылать ежедневно до 30 миллиардов спам-сообщений. Основная область «специализации» этой сети - ценные бумаги и фармацевтика.


Обкатка новых технологий перехвата функций сетевых драйверов и техник сокрытия себя в системе была начата автором этого руткита в конце 2005 – начале 2006 года, когда появились его первые бета-версии. В том же 2006 появилась версия Rustock.B, которая позволяла обходить файерволы и прятать спам-трафик. Справляться с первыми версиями руткита для антивирусных компаний не составляло особого труда.


А вот со следующей версией Rustock случилась загвоздка: его образец не смогли обнаружить ни антивирусные компании, ни вирусописатели. По принципу «нет жертвы - нет преступления» большинство антивирусных вендоров заняло такую позицию: «Раз даже мы его не видим (не нашли), значит он не существует. Это миф!»


Но оказалось, что Win32.Ntldrbot не миф.


Не все антивирусные лаборатории бросили его поиск, и он дал результаты. Прошло полтора года, и Win32.Ntldrbot был найден аналитиками компании «Доктор Веб» в начале 2008 года. Все это время он работал, рассылал спам. Если предположить, что руткит безнаказанно работает с октября 2007 года и совершенно невидим для антивирусов, можно сделать выводы о каком громадном количестве паразитного трафика идет речь.


Службой вирусного мониторинга компании «Доктор Веб» обнаружено порядка 600 экземпляров данного руткита. Сколько их существует на самом деле в мире неизвестно. Несколько недель кропотливой работы ушло на распаковку, детальный анализ и улучшение методов детектирования подобных экземпляров.


Некоторые технические характеристики Win32.Ntldrbot:


* Имеет мощный полиморфный протектор, затрудняющий анализ и распаковку руткита.

* Реализован в виде драйвера уровня ядра, работает на самом низком уровне.

* Имеет функцию самозащиты, противодействует модификации времени исполнения.

* Активно противодействует отладке - контролирует установку аппаратных точек останова (DR-регистры), нарушает работу отладчиков уровня ядра: Syser, SoftIce. Отладчик WinDbg при активном рутките не работает вообще.

* Перехватывает системные функции неклассическим методом.

* Работает как файловый вирус, заражая системные драйверы.   :)

* Конкретный экземпляр руткита привязывается к оборудованию зараженного компьютера. Таким образом, на другом компьютере руткит с большой вероятностью работать не будет.

* Имеет функцию перезаражения, срабатывающую по времени. Старый зараженный файл лечит. Таким образом, руткит «путешествует» по системным драйверам, оставляя зараженным какой-нибудь один.  :o

* Фильтрует обращения к зараженному файлу, перехватывая FSD-процедуры драйвера файловой системы и подставляет оригинальный файл вместо зараженного.

* Имеет защиту от антируткитов.

* Имеет в составе библиотеку, внедряемую в один из системных процессов. Данная библиотека занимается рассылкой спама.

* Для связи драйвера с DLL используется специальный механизм передачи команд.


То, что у Win32.Ntldrbot было столько времени действовать безнаказанно, означает, что никто не даст гарантии, что и ваша машина не является частью одной из бот-сетей и не рассылает спам прямо сейчас. Если Вы не являетесь пользователем антивируса Dr.Web, Вы можете проверить компьютер и вылечить системные файлы, инфицированные Win32.Ntldrbot, с помощью бесплатной лечащей утилиты Dr.Web CureIt!

antimalware.ru


***


Если не обращать внимание на ПИАР DrWeb и посмотреть на техническую сторону вопроса, то так и напращиваются слова: №@#, до чего прогресс дошел!

#12 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 08 Май 2008 - 13:06

Недавно в один и тот же день из разных уголков сети принесли два компьютера, на которых был обнаружен достаточно агрессивный представитель компьютерного зловредства. Но о нем самом чуть попозже. Что насторожило при первичном осмотре. В качестве антивируса на исследуемом компьютере был установлен NOD32 2.7, но самого NOD'а в трее не было видно и файл его службы отсутствовал на диске. Было очевидно, что антивирус был убит чем-то более сильным. В дальнейшем выяснилось, что от NOD'а остались неудаленными его драйверы - nod32.sys и amon.sys, но толку от них при отсутствующей службе уже не было. В логе avz не было ничего подозрительного, кроме драйвера со странным именем, который также был виден в модулях пространства ядра.
Служба: WMI_MFC_TPSHOKER_80	  Описание: WMI_MFC_TPSHOKER_80 Статус: Работает	C:\WINDOWS\system32\drivers\unrjhq.sys
Причем имя драйвера на каждом из компьютеров было различным.
Данный драйвер убивался скриптом avz, но после перезагрузки уже появлялся вновь с другим именем...
Попытка запустить cureit удавалась, но когда он доходил до проверки содержимого оперативной памяти и утыкался в зараженный объект, то тут же закрывался автоматом. При попытке загрузиться в любом из вариантов безопасного режима вылезал синий эран смерти. Ситуация начала удручать и пришлось прибегнуть к последнему средству - загрузки с LIVE CD и проверки из под него. И вот тут то все прояснилось. Большинство исполняемых файлов на компьютере оказались заражены файловым вирусом Sality.5 (по DrWeb). К счастью, с успешным излечением проблем не было и через 2 часа полной проверки всего содержимого жесткого диска было обнаружено +/- 2200 зараженных объектов. 99% из них удалось вылечить.

Погуглив на тему WMI_MFC_TPSHOKER_80, наткнулся на описание данного зловреда, который оказался гораздо серьезнее по функционалу, чем просто файловый вирус.

Цитата

W32.Sality.AE
Risk Level 1: Very Low


Discovered: April 20, 2008
Updated: April 21, 2008 10:44:07 AM
Type: Virus
Infection Length: 57,344 bytes
Systems Affected: Windows 2000, Windows NT, Windows XP
SUMMARY
W32.Sality.AE is a virus that spreads by infecting executable files and attempts to download potentially malicious files from the Internet.

Note: Virus definitions dated April 20, 2008 or earlier detect this threat as W32.Bacalid!inf.
Protection
Initial Rapid Release version April 21, 2008 revision 001
Latest Rapid Release version April 21, 2008 revision 001
Initial Daily Certified version April 21, 2008 revision 003
Latest Daily Certified version April 21, 2008 revision 003
Initial Weekly Certified release date April 23, 2008
Threat Assessment
Wild
Wild Level: Low
Number of Infections: 0 - 49
Number of Sites: 0 - 2
Geographical Distribution: Low
Threat Containment: Easy
Removal: Easy
Damage
Damage Level: Medium
Payload: May download potentially malicious files.
Distribution
Distribution Level: Low
Target of Infection: Infects executable files

TECHNICAL DETAILS
When the virus is executed, it copies itself as the following file:
%System%\drivers\[RANDOM FILE NAME].sys

The virus creates the following mutex so only one instance of the virus is running:
Op1mutx9

It then creates the following registry subkeys:
HKEY_CURRENT_USER\Software\[USER NAME]914
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMI_MFC_TPSHOKER_80
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPFILTERDRIVER

It then creates the following registry entry so that it bypasses the Windows Firewall:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"[INFECTED FILE]" = "[INFECTED FILE]:*:Enabled:ipsec"

It modifies the following registry entries:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Setting\"GlobalUserOffline" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"EnableLUA" = "0"

The virus also deletes entries in the following registry subkeys:
HKEY_CURRENT_USER\System\CurrentControlSet\Control\SafeBoot
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

It then registers itself as a new service with the following characteristics:
Service Name: WMI_MFC_TPSHOKER_80
Display Name: WMI_MFC_TPSHOKER_80
Startup Type: Automatic

It then deletes itself.

It stops the following services:
ALG
aswUpdSv
avast! Antivirus
avast! Mail Scanner
avast! Web Scanner
BackWeb Plug-in - 4476822
bdss
BGLiveSvc
BlackICE
CAISafe
ccEvtMgr
ccProxy
ccSetMgr
F-Prot Antivirus Update Monitor
fsbwsys
FSDFWD
F-Secure Gatekeeper Handler Starter
fshttps
FSMA
InoRPC
InoRT
InoTask
ISSVC
KPF4
LavasoftFirewall
LIVESRV
McAfeeFramework
McShield
McTaskManager
navapsvc
NOD32krn
NPFMntor
NSCService
Outpost Firewall main module
OutpostFirewall
PAVFIRES
PAVFNSVR
PavProt
PavPrSrv
PAVSRV
PcCtlCom
PersonalFirewal
PREVSRV
ProtoPort Firewall service
PSIMSVC
RapApp
SmcService
SNDSrvc
SPBBCSvc
Symantec Core LC
Tmntsrv
TmPfw
tmproxy
UmxAgent
UmxCfg
UmxLU
UmxPol
vsmon
VSSERV
WebrootDesktopFirewallDataService
WebrootFirewall
XCOMM
AVP

It infects all executable files listed in the following registry subkey:
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache

It infects all .exe executable files listed in the following registry subkeys:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

It also infects all .exe and .scr files on the C drive and on any writable network resource, except the files on any folder with the following strings:
SYSTEM
AHEAD

The infected file size will increase 57,344 bytes.

It deletes any file whose name contains any of the following strings:
.VDB
.AVC
.KEY
drw
_AVPM
A2GUARD
AAVSHIELD
AVAST
ADVCHK
AHNSD
AIRDEFENSE
ALERTSVC
ALMON
ALOGSERV
ALSVC
AMON
ANTI-TROJAN
AVZ
ANTIVIR
ANTS
APVXDWIN
ARMOR2NET
ASHAVAST
ASHDISP
ASHENHCD
ASHMAISV
ASHPOPWZ
ASHSERV
ASHSIMPL
ASHSKPCK
ASHWEBSV
ASWUPDSV
ATCON
ATUPDATER
ATWATCH
AUPDATE
AUTODOWN
AUTOTRACE
AUTOUPDATE
AVCIMAN
AVCONSOL
AVENGINE
AVGAMSVR
AVGCC
AVGCC32
AVGCTRL
AVGEMC
AVGFWSRV
AVGNT
AVGNTDD
AVGNTMGR
AVGSERV
AVGUARD
AVGUPSVC
AVINITNT
AVKSERV
AVKSERVICE
AVKWCTL
AVP
AVP32
AVPCC
AVPM
AVPUPD
AVSCHED32
AVSYNMGR
AVWUPD32
AVWUPSRV
AVXMONITOR9X
AVXMONITORNT
AVXQUAR
BACKWEB-4476822
BDMCON
BDNEWS
BDOESRV
BDSS
BDSUBMIT
BDSWITCH
BLACKD
BLACKICE
CAFIX
CCAPP
CCEVTMGR
CCPROXY
CCSETMGR
CFIAUDIT
CLAMTRAY
CLAMWIN
CLAW95
CLAW95CF
CLEANER
CLEANER3
CLISVC
CMGRDIAN
CUREIT
DEFWATCH
DOORS
DRVIRUS
DRWADINS
DRWEB32W
DRWEBSCD
DRWEBUPW
ESCANH95
ESCANHNT
EWIDOCTRL
EZANTIVIRUSREGISTRATIONCHECK
F-AGNT95
FAMEH32
FAST
FCH32
FILEMON
FIRESVC
FIRETRAY
FIREWALL
FPAVUPDM
F-PROT95
FRESHCLAM
FRW
FSAV32
FSAVGUI
FSBWSYS
F-SCHED
FSDFWD
FSGK32
FSGK32ST
FSGUIEXE
FSM32
FSMA32
FSMB32
FSPEX.
FSSM32
F-STOPW
GCASDTSERV
GCASSERV
GIANTANTISPYWAREMAIN
GIANTANTISPYWAREUPDATER
GUARDGUI
GUARDNT
HREGMON
HRRES
HSOCKPE
HUPDATE
IAMAPP
IAMSERV
ICLOAD95
ICLOADNT
ICMON
ICSSUPPNT
ICSUPP95
ICSUPPNT
IFACE
INETUPD
INOCIT
INORPC
INORT
INOTASK
INOUPTNG
IOMON98
ISAFE
ISATRAY
ISRV95
ISSVC
KAV
KAVMM
KAVPF
KAVPFW
KAVSTART
KAVSVC
KAVSVCUI
KMAILMON
KPFWSVC
KWATCH
LOCKDOWN2000
LOGWATNT
LUALL
LUCOMSERVER
LUUPDATE
MCAGENT
MCMNHDLR
MCREGWIZ
MCUPDATE
MCVSSHLD
MINILOG
MYAGTSVC
MYAGTTRY
NAVAPSVC
NAVAPW32
NAVLU32
NAVW32
NOD32
NEOWATCHLOG
NEOWATCHTRAY
NISSERV
NISUM
NMAIN
NOD32
NORMIST
NOTSTART
NPAVTRAY
NPFMNTOR
NPFMSG
NPROTECT
NSCHED32
NSMDTR
NSSSERV
NSSTRAY
NTRTSCAN
NTXCONFIG
NUPGRADE
NVC95
NVCOD
NVCTE
NVCUT
NWSERVICE
OFCPFWSVC
OUTPOST
PAV
PAVFIRES
PAVFNSVR
PAVKRE
PAVPROT
PAVPROXY
PAVPRSRV
PAVSRV51
PAVSS
PCCGUIDE
PCCIOMON
PCCNTMON
PCCPFW
PCCTLCOM
PCTAV
PERSFW
PERTSK
PERVAC
PNMSRV
POP3TRAP
POPROXY
PREVSRV
PSIMSVC
QHM32
QHONLINE
QHONSVC
QHPF
QHWSCSVC
RAVMON
RAVTIMER
REALMON
REALMON95
RFWMAIN
RTVSCAN
RTVSCN95
RULAUNCH
SAVADMINSERVICE
SAVMAIN
SAVPROGRESS
SAVSCAN
SCAN32
SCANNINGPROCESS
CUREIT
SDHELP
SHSTAT
SITECLI
SPBBCSVC
SPHINX
SPIDERML
SPIDERNT
SPIDERUI
SPYBOTSD
SPYXX
SS3EDIT
STOPSIGNAV
SWAGENT
SWDOCTOR
SWNETSUP
SYMLCSVC
SYMPROXYSVC
SYMSPORT
SYMWSC
SYNMGR
TAUMON
TBMON
TC
TCA
TCM
TDS-3
TEATIMER
TFAK
THAV
THSM
TMAS
TMLISTEN
TMNTSRV
TMPFW
TMPROXY
TNBUTIL
TRJSCAN
UP2DATE
VBA32ECM
VBA32IFS
VBA32LDR
VBA32PP3
VBSNTW
VCHK
VCRMON
VETTRAY
VIRUSKEEPER
VPTRAY
VRFWSVC
VRMONNT
VRMONSVC
VRRW32
VSECOMR
VSHWIN32
VSMON
VSSERV
VSSTAT
WATCHDOG
WEBPROXY
WEBSCANX
WEBTRAP
WGFE95
WINAW32
WINROUTE
WINSS
WINSSNOTIFY
WRADMIN
WRCTRL
XCOMMSVR
ZATUTOR
ZAUINST
ZLCLIENT
ZONEALARM

It connects to the following URLs to get instructions. The instructions contain additional URLs to possibly download other malicious files:
[http://]pedmeo222nb.info
[http://]pzrk.ru
[http://]technican.w.interia.pl
[http://]www.kjwre9fqwieluoi.info
[http://]bpowqbvcfds677.info
[http://]bmakemegood24.com
[http://]bperfectchoice1.com
[http://]bcash-ddt.net
[http://]bddr-cash.net
[http://]btrn-cash.net
[http://]bmoney-frn.net
[http://]bclr-cash.net
[http://]bxxxl-cash.net
[http://]balsfhkewo7i487fksd.info
[http://]buynvf96.info

It prevents access to various security-related domains containing any of the following strings:  :unsure:
Cureit
Drweb
Onlinescan
Spywareinfo
Ewido
Virusscan
Windowsecurity
Spywareguide
Bitdefender
Panda software
Agnmitum
Virustotal
Sophos
Trend Micro
Etrust.com
Symantec
McAfee
F-Secure
Eset.com
Kaspersky

It then adds following entry to %Windir%\system.ini:
[MCIDRV_VER]
Recommendations

Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":
Turn off and remove unneeded services. By default, many operating systems install auxiliary services that are not critical, such as an FTP server, telnet, and a Web server. These services are avenues of attack. If they are removed, blended threats have less avenues of attack and you have fewer services to maintain through patch updates.
If a blended threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services (for example, all Windows-based computers should have the current Service Pack installed.). Additionally, please apply any security updates that are mentioned in this writeup, in trusted Security Bulletins, or on vendor Web sites.
Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
Configure your email server to block or remove email that contains file attachments that are commonly used to spread viruses, such as .vbs, .bat, .exe, .pif and .scr files.
Isolate infected computers quickly to prevent further compromising your organization. Perform a forensic analysis and restore the computers using trusted media.
Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.


#13 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 06 Июнь 2008 - 11:40

Gpcode вернулся
5 июня 2008 | 15:05  MSK



Наша антивирусная лаборатория обнаружила новую версию опасного вируса, известного как Gpcode. Вирус шифрует пользовательские файлы из широкого набора расширений: DOC, TXT, PDF, XLS, JPG, PNG, CPP, H и др.

Детектирование нового вируса Virus.Win32.Gpcode.ak было добавлено в антивирусные базы вчера, 4 июня 2008 года. На данный момент расшифровать поражённые файлы не представляется возможным, поскольку вирус использует криптостойкий алгоритм шифрования RSA с длинной ключа 1024 бита.

Алгоритм RSA основан на разделении ключей шифрования на секретный и открытый. Принцип шифрования при помощи RSA гласит: для того, чтобы зашифровать сообщение достаточно иметь один лишь открытый ключ. Расшифровать зашифрованное сообщение можно только располагая секретным ключом.

На этом принципе основан вирус Gpcode. Он шифрует пользовательские файлы при помощи имеющегося у него открытого ключа, находящегося в теле вируса. Расшифровать файлы затем может лишь владелец секретного ключа, т.е. автор вредоносной программы Gpcode.

«Лаборатория Касперского» уже сталкивалась с вирусом Gpcode ранее (см. статью «Шантажист»), и нам удавалось получить секретный ключ путем детального криптоанализа имеющихся данных. До сих пор максимальная длина ключа RSA, которую нам удалось «взломать» составляла 660 бит, и взлом был возможен благодаря неосторожным допущениям автора в реализации алгоритма шифрования. Автор выждал почти 2 года прежде чем создать новую усовершенствованную версию вируса с RSA-шифрованием, и эта новая версия больше не содержит старых ошибок.

При обнаружении первых версий Gpcode на основе RSA в 2006 году мы предупреждали, что в случае аккуратного использования RSA вирусописателем, мы не сможем помочь пользователям, файлы которых окажутся зашифрованы. Шифрование файлов таким образом равносильно их несанкционированному копированию на компьютер преступника с удалением с компьютера пользователя. В таких случаях помочь могут лишь уполномоченные правоохранительные органы.

После шифрования файлов вирус оставляет текстовое сообщение рядом с зашифрованными файлами, в котором говорится:

Your files are encrypted with RSA-1024 algorithm.
To recovery your files you need to buy our decryptor.
To buy decrypting tool contact us at: ********@yahoo.com

К сожалению, пути распространения вируса пока не определены, поэтому мы рекомендуем включить все имеющиеся у вас компоненты защиты от вредоносных программ.

ВНИМАНИЕ! Если вы стали свидетелем такого сообщения на своём компьютере:

Прикрепленный файл  207758699.png   27,42К   53 Количество загрузок:

...То, скорее всего, он был атакован Gpcode.ak. В этом случае, НЕ ПЕРЕЗАГРУЖАЯ и НЕ ВЫКЛЮЧАЯ систему, постарайтесь связаться с нами, используя другой компьютер с выходом в интернет.

Напишите нам на email stopgpcode@kaspersky.com и сообщите о точной дате и времени заражения, а также ваших действиях на компьютере за последние 5 минут до заражения: какие программы вы запускали, на какой сайт зашли. Мы постараемся помочь вам вернуть зашифрованные данные.

Несмотря на трудность сложившейся ситуации, наши аналитики продолжат анализировать вирус и искать подходы для дешифровки файлов без секретного ключа.

www.viruslist.com


описание зловреда здесь

#14 IL

IL

    Хранитель форума

  • Members
  • PipPipPipPipPipPipPipPip
  • 2 127 сообщений
  • Пол:Мужчина
  • Город:Химки, EastSide

Отправлено 16 Июнь 2008 - 21:09

Как показывает опыт наиболее актуальной угрозой остается сам пользователь  ;) . Вот очередная страшилка: принесли ноутбук со словами "Винда глючит! Можно с ней что-нибудь сделать?" Антивируса на машине нет, при загрузке куча сообщений об ошибках, юзер в панике. В итоге было принято решение переставить винду с XP Home на XP Pro, но я ради интереса прошелся антивирусом:

Цитата

mstn.exe;C:\;Trojan.DownLoader.59084;Deleted.;
delextra.exe;C:\;Trojan.Click.5009;Deleted.;
ssm.exe;C:\;Win32.HLLW.MyBot;Deleted.;
fisn.exe;C:\;Win32.HLLW.MyBot;Deleted.;
mstc.exe;C:\;Trojan.DownLoader.61999;Deleted.;
winlogon.exe;C:\;Trojan.DownLoader.62001;Deleted.;
skt70.exe;C:\WINDOWS;Win32.HLLM.Limar.2210;Deleted.;
rmm.exe;C:\WINDOWS;Win32.HLLM.Limar;Deleted.;
confssa.exe;C:\WINDOWS;Trojan.PWS.Confessa.2;Deleted.;
ctgt86.exe;C:\WINDOWS;Win32.HLLM.Limar;Deleted.;
skt68.exe;C:\WINDOWS;Win32.HLLM.Limar.2210;Deleted.;
wmrg110.exe;C:\WINDOWS;Trojan.Spambot.2908;Deleted.;
ldwins.exe;C:\WINDOWS;Trojan.DownLoader.origin;Incurable.Moved.;
wmml1.112.exe;C:\WINDOWS;Win32.HLLM.Limar.2282;Deleted.;
WPlayer.exe;C:\WINDOWS;Trojan.Proxy.3208;Deleted.;
0Iw0Aer7E.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
mtxosmlo.dll;C:\WINDOWS\system32;Win32.HLLM.Limar.2196;Deleted.;
netdex.exe;C:\WINDOWS\system32;Trojan.DownLoader.55117;Deleted.;
cdbg32.exe;C:\WINDOWS\system32;Probably DLOADER.Trojan;;
rex.exe;C:\WINDOWS\system32;Win32.HLLM.Limar.2168;Deleted.;
TVFT3.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
mdimicwd.exe;C:\WINDOWS\system32;Win32.HLLM.Limar;Deleted.;
ir41rich.dll;C:\WINDOWS\system32;Win32.HLLM.Limar;Deleted.;
a.exe;C:\WINDOWS\system32;Trojan.MulDrop.12184;Deleted.;
3.tmp;C:\WINDOWS\system32;Trojan.Proxy.1930;Deleted.;
5.tmp;C:\WINDOWS\system32;Trojan.Proxy.1930;Deleted.;
ipxrir32.dll;C:\WINDOWS\system32;Win32.HLLM.Limar.2228;Deleted.;
perfex.exe;C:\WINDOWS\system32;Win32.HLLM.Limar;Deleted.;
ksdmgr32.dll\data001;C:\WINDOWS\system32\ksdmgr32.dll;Win32.HLLM.Limar;;
ksdmgr32.dll\data002;C:\WINDOWS\system32\ksdmgr32.dll;Win32.HLLM.Limar;;
ksdmgr32.dll\data003;C:\WINDOWS\system32\ksdmgr32.dll;Win32.HLLM.Limar;;
ksdmgr32.dll\data004;C:\WINDOWS\system32\ksdmgr32.dll;Win32.HLLM.Limar.2144;;
ksdmgr32.dll;C:\WINDOWS\system32;Archive contains infected objects;Moved.;
onksd.dll;C:\WINDOWS\system32;Win32.HLLM.Limar;Deleted.;
prfex32.dll;C:\WINDOWS\system32;Win32.HLLM.Limar;Deleted.;
statex.dll;C:\WINDOWS\system32;Win32.HLLM.Limar.2144;Deleted.;
ole3usrs.exe;C:\WINDOWS\system32;Win32.HLLM.Limar.2228;Deleted.;
bthcrdpw.dll;C:\WINDOWS\system32;Win32.HLLM.Limar.2348;Deleted.;
admewinr.dll;C:\WINDOWS\system32;Win32.HLLM.Limar.2228;Deleted.;
kbdgmqqm.dll;C:\WINDOWS\system32;Win32.HLLM.Limar;Deleted.;
prflwebc.exe;C:\WINDOWS\system32;Win32.HLLM.Limar;Deleted.;
webpvbam.dll;C:\WINDOWS\system32;Win32.HLLM.Limar.2348;Deleted.;
vdmdracp.dll;C:\WINDOWS\system32;Win32.HLLM.Limar;Deleted.;
dtctwmpd.dll;C:\WINDOWS\system32;Win32.HLLM.Limar.2264;Deleted.;
iashwmne.exe;C:\WINDOWS\system32;Win32.HLLM.Limar.2267;Deleted.;
msvfgpkc.dll;C:\WINDOWS\system32;Win32.HLLM.Limar.2348;Deleted.;
odfwbc28.exe;C:\WINDOWS\system32;Win32.HLLM.Limar;Deleted.;
jitmtxo.dll;C:\WINDOWS\system32;Win32.HLLM.Limar;Deleted.;
ncxpgwfs.exe;C:\WINDOWS\system32;Win32.HLLM.Limar;Deleted.;
msrdmsdi.dll;C:\WINDOWS\system32;Win32.HLLM.Limar.2348;Deleted.;
icm3wmps.dll;C:\WINDOWS\system32;Win32.HLLM.Limar;Deleted.;
samlkbdn.dll;C:\WINDOWS\system32;Win32.HLLM.Limar.2281;Deleted.;
vct3ntsh.exe;C:\WINDOWS\system32;Win32.HLLM.Limar;Deleted.;
expsdsqu.dll;C:\WINDOWS\system32;Win32.HLLM.Limar.2348;Deleted.;
execvsut.dll;C:\WINDOWS\system32;Win32.HLLM.Limar.2282;Deleted.;
skdlnetm.dll;C:\WINDOWS\system32;Win32.HLLM.Limar.2283;Deleted.;
slbrdpne.exe;C:\WINDOWS\system32;Win32.HLLM.Limar.2283;Deleted.;
clicvpcn.dll;C:\WINDOWS\system32;Win32.HLLM.Limar.2348;Deleted.;
inkenwev.dll;C:\WINDOWS\system32;Win32.HLLM.Limar.2244;Deleted.;
Ah66Ta.dll;C:\WINDOWS\system32;Win32.HLLM.Limar;Deleted.;
ulf8O706.dll;C:\WINDOWS\system32;Win32.HLLM.Limar;Deleted.;
55D50da.dll;C:\WINDOWS\system32;Win32.HLLM.Limar;Deleted.;
Offlce.exe;C:\WINDOWS\system32;BackDoor.IRC.Rxbot;Deleted.;
wha1.116.exe;C:\WINDOWS\system32;Trojan.DownLoader.47648;Deleted.;
stdex32.exe;C:\WINDOWS\system32;Probably BACKDOOR.Trojan;;
zddbg32.exe;C:\WINDOWS\system32;Trojan.DownLoader.origin;Incurable.Moved.;
odfwbc28.dll;C:\WINDOWS\system32;Win32.HLLM.Limar;Deleted.;
odfwbcmz28.dll;C:\WINDOWS\system32;Win32.HLLM.Limar;Deleted.;
odfwbcmx28.exe;C:\WINDOWS\system32;Win32.HLLM.Limar;Deleted.;
w3l3O404CA.dll;C:\WINDOWS\system32;Win32.HLLM.Limar;Deleted.;
04TqB4JE1rh.dll;C:\WINDOWS\system32;Win32.HLLM.Limar;Deleted.;
wmml1.113.exe;C:\WINDOWS\system32;Win32.HLLM.Limar.2282;Deleted.;
csrcs.exe;C:\WINDOWS\system32;Win32.HLLW.MyBot;Deleted.;
cals.exe;C:\WINDOWS\system32;Win32.HLLM.Limar.2360;Deleted.;
gdi3scp3.dll;C:\WINDOWS\system32;Win32.HLLM.Limar.2365;Deleted.;
mqutmsas.exe;C:\WINDOWS\system32;Win32.HLLM.Limar.2228;Deleted.;
wintvsmo.dll;C:\WINDOWS\system32;Win32.HLLM.Limar.2348;Deleted.;
wmdmumpn.dll;C:\WINDOWS\system32;Win32.HLLM.Limar.2367;Deleted.;
coolcpu.exe;C:\WINDOWS\system32;Win32.HLLM.Limar.origin;Incurable.Moved.;
ntshpsap.dll;C:\WINDOWS\system32;Win32.HLLM.Limar.2380;Deleted.;
vsmomp4s.exe;C:\WINDOWS\system32;Win32.HLLM.Limar.2216;Deleted.;
mdwmmlan.dll;C:\WINDOWS\system32;Win32.HLLM.Limar.2348;Deleted.;
chater.exe;C:\WINDOWS\system32;Win32.HLLM.Limar.2288;Deleted.;
fm20ipse.dll;C:\WINDOWS\system32;Win32.HLLM.Limar.2310;Deleted.;
modesqls.exe;C:\WINDOWS\system32;Win32.HLLM.Limar.2187;Deleted.;
msdirdpd.dll;C:\WINDOWS\system32;Win32.HLLM.Limar;Deleted.;
vvrtdpmo.dll;C:\WINDOWS\system32;Win32.HLLM.Limar.2287;Deleted.;
bg2wpgsd.dll;C:\WINDOWS\system32;Win32.HLLM.Limar.2289;Deleted.;
taqnnn74bs.dll;C:\WINDOWS\system32;Win32.HLLM.Limar.2294;Deleted.;
n945jjgu.exe;C:\WINDOWS\system32;Win32.HLLM.Limar.2291;Deleted.;
dpneaudi.dll;C:\WINDOWS\system32;Win32.HLLM.Limar.2349;Deleted.;
sqlwwshc.exe;C:\WINDOWS\system32;Win32.HLLM.Limar.2349;Deleted.;
msnsicwp.dll;C:\WINDOWS\system32;Win32.HLLM.Limar.2348;Deleted.;
openipmo.dll;C:\WINDOWS\system32;Win32.HLLM.Limar.2347;Deleted.;
dsqumfc7.dll;C:\WINDOWS\system32;Win32.HLLM.Limar.2216;Deleted.;
pkj81.exe;C:\WINDOWS\system32;BackDoor.IRC.Sdbot.1404;Deleted.;
Ev8nTOo4.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
kbdhmobs.dll;C:\WINDOWS\system32;Win32.HLLM.Limar;Deleted.;
l27ouIvxj.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
T1iSTNxulT.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
rds.exe;C:\WINDOWS\system32;Win32.HLLM.Limar;Deleted.;
crscr.exe;C:\WINDOWS\system32;Trojan.PWS.Confessa.2;Deleted.;
winexe.dll;C:\WINDOWS\system32;Trojan.PWS.Confessa.2;Deleted.;
autowinn.dll;C:\WINDOWS\system32;Win32.HLLM.Limar;Deleted.;
infomsas.dll;C:\WINDOWS\system32;Win32.HLLM.Limar;Deleted.;
msgseven.exe;C:\WINDOWS\system32;Win32.HLLM.Limar;Deleted.;
vpcnlibd.dll;C:\WINDOWS\system32;Win32.HLLM.Limar;Deleted.;
confxxn.dll;C:\WINDOWS\system32;Win32.HLLM.Limar;Deleted.;
xxnprf32.dll;C:\WINDOWS\system32;Win32.HLLM.Limar;Deleted.;
xxnperf.exe;C:\WINDOWS\system32;Win32.HLLM.Limar;Deleted.;
sk070725.exe;C:\WINDOWS\system32;Win32.HLLM.Limar;Deleted.;
e1.dll;C:\WINDOWS\system32;Win32.HLLM.Limar;Deleted.;
sysc10trg.exe;C:\WINDOWS\system32;Win32.HLLM.Limar;Deleted.;
confcnn.dll;C:\WINDOWS\system32;Win32.HLLM.Limar;Deleted.;
cnnprf32.dll;C:\WINDOWS\system32;Win32.HLLM.Limar;Deleted.;
cnnperf.exe;C:\WINDOWS\system32;Win32.HLLM.Limar;Deleted.;
48871fN.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
ibOTbdUtn.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
3i64dX2k.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
3SGrRB7.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
yOdepGoih.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
J4xm5M5.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
xtdo5M.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
aqw32.exe;C:\WINDOWS\system32;Win32.HLLM.Limar;Deleted.;
1BUX64F4423.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
2rWtQ8X.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
ISmK42872k.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
gVOBo0C2.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
EhL2N.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
Jt2tdY5KYye.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
28f88LAKBl1.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
p0iH6R8Ac.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
2Tn5r.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
bt2N454s7A7.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
s5n2115oS6K.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
xutXQn68exs.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
vJVX5qb.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
spNYnb1xg.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
1O2fV7SH34.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
kc3qvf77.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
7RpM2F.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
hplunwap.dll;C:\WINDOWS\system32;Win32.HLLM.Limar;Deleted.;
O2jT5Mr.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
ovWFqto.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
500wWwpY4.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
FmKY81wq.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
msngr.exe;C:\WINDOWS\system32;Win32.HLLM.Limar;Deleted.;
2Sv7QAsd.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
3K01y1HbPNl.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
s3a7K4p8.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
YkXv75cx83h.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
Wc0XhU7.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
23e6Nfxo.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
FIbcP.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
T2utpW114.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
cFbL6f7u.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
xAIFj0m.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
sK6lW.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
5AjE6TC6isC.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
AKmR0.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
1kOW7517yY.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
5V56q7y.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
i077SuyrA.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
qxgBEB0P.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
4t3jL37AU6.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
tl4JaGNG.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
1lNowne.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
PCd0Yd.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
F5TUc8.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
gdBDs.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
0Etg60a8I5.dll;C:\WINDOWS\system32;Trojan.Spambot.2908;Deleted.;
odfwbcmc28.dll;C:\WINDOWS\system32;Win32.HLLM.Limar;Deleted.;
md[1].exe;C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\AILKTO47;BackDoor.IRC.Rxbot;Deleted.;
bin[1].exe;C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\18RVYGYJ;Trojan.MulDrop.12593;Deleted.;
CureIt грохнул, что сумел определить, но в корне диска С остались файлы, которые CureIt просмотрел (ниже лог онлайн-проверки Касперыча):

Цитата

virus.zip/a.bat - в порядке
virus.zip/bkt.exe - в порядке
virus.zip/gfv.exe - инфицирован Trojan.Win32.Qhost.ako
virus.zip/gsn.exe - в порядке
virus.zip/killmgr.exe - в порядке
virus.zip/mg32.exe - инфицирован Trojan.Win32.Qhost.ako
virus.zip/s32.exe - инфицирован Net-Worm.Win32.Kolabc.vw
virus.zip/spool32.exe - инфицирован Net-Worm.Win32.Kolabc.abd
virus.zip/svchost.exe - инфицирован Trojan-Downloader.Win32.Agent.mqs
virus.zip/xxx.exe - инфицирован Trojan-Downloader.Win32.Adload.fu
virus.zip/mdm.exe - инфицирован Backdoor.Win32.IRCBot.cvo
Подозреваю, что файлы, которые по мнению Касперского "в порядке" тоже не чисты. Отправил архивчик в DrWeb и Kaspersky Lab.

#15 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 17 Июнь 2008 - 11:46

Нууу, тут варезов (Limar по DRWeb) с самых первых версий. Он как проник, так год и обновлялся, похоже...  ;) Плюс спамбот, который тоже регулярно обновлялся и не удалял отработавшее свое компоненты, но жил довольно давно... Несколько бэкдоров и шпионов, довольно стандартно. Ну и, конечно, дропперы, через которые это хоязйство обновлялось.

#16 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 19 Июнь 2008 - 11:25

В Firefox 3.0 уже обнаружена первая уязвимость



На сайте Zero Day Initiative появилось сообщение о первой уязвимости в новой версии Mozilla Firefox 3.0 через пять часов после выхода официального релиза 17 июня 2008 года. Уязвимость затрагивает не только новую версию браузера 3.0, но и присутствует во второй ветке.

Для эксплуатации уязвимости требуются, чтобы пользователь зашел на специально сформированный Web сайт или нажал на ссылку в email сообщений. Подробности уязвимости не раскрываются.

При получении новых данных мы опубликуем подробности в уведомлении безопасности. В данный момент всем пользователям Firefox рекомендуется следовать инструкциям по безопасной работе в Интернет - не открывать незнакомые сайты и не нажимать на ссылки в подозрительных email сообщениях.

securitylab.ru



#17 IL

IL

    Хранитель форума

  • Members
  • PipPipPipPipPipPipPipPip
  • 2 127 сообщений
  • Пол:Мужчина
  • Город:Химки, EastSide

Отправлено 22 Июнь 2008 - 17:36

Развитие истории с моим зоопарком вирусов. Прошла неделя с тех пор как я отправил Данилову архив с вирусами, а DrWeb по прежнему считает мой архив кристально чистым.

Цитата

Версия антивирусного ядра: 4.44.0.9170
Размер файла: 186.8K

virus.zip - archive ZIP
>virus.zip/a.bat - OK
>virus.zip/bkt.exe packed by POLY!CRYPT
>>virus.zip/bkt.exe packed by UPX
>>>virus.zip/bkt.exe - OK
>virus.zip/gfv.exe - OK
>virus.zip/gsn.exe - OK
>virus.zip/killmgr.exe - OK
>virus.zip/mg32.exe - OK
>virus.zip/s32.exe - OK
>virus.zip/spool32.exe - OK
>virus.zip/svchost.exe - OK
>virus.zip/xxx.exe - OK
>virus.zip/mdm.exe - OK
virus.zip - OK

Уважаемые пользователи! Антивирус не панацея, потому как сигнатурный поиск хромает на обе ноги. Трезвую голову и прямые руки еще никто не отменял. Будьте бдительны!

#18 Jackal

Jackal

    Втянувшийся

  • Members
  • PipPipPip
  • 177 сообщений
  • Пол:Мужчина

Отправлено 23 Июнь 2008 - 11:56

Не так давно в инете появилась херь с названием wishmaster.exe.
По непроверенным данным запарывает хард, убивая разметку диска.
И еще одна разновидность Fighting.exe, действие такое же как у вишмастера.
Будьте внимательны и осторожны.
Прикрепленный файл  1214210158397.jpg   22,88К   11 Количество загрузок:

#19 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 12 Ноябрь 2008 - 11:43

Большой Китайский Хак – 2 ?

Вчера мы зафиксировали начало очередной массовой волны взлома веб-сайтов и размещения на них ссылок на вредоносные серверы. По нашим оценкам, только за последние два дня неизвестными злоумышленниками было взломано от 2000 до 10 000 тысяч сайтов, в основном западноевропейских и американских.
Точный способ взлома пока нам неизвестен, но речь может идти о двух наиболее вероятных сценариях – при помощи SQL-инъекций или использования ранее украденных аккаунтов доступа к данным сайтам. Однако большинство взломанных сайтов работает на разнообразных ASP-engines.
Пока масштабы атаки не столь значительны, как в случае с первым «Большим Китайским Хаком», состоявшимся весной этого года и затронувшем более полутора миллионов веб-ресурсов, но скорость развития текущей и схожесть используемых вредоносных программ наводит на мысли о возможности не менее серьезной угрозы.

Как же выглядит вся схема атаки ?

В html-код взломанных сайтов добавляется тэг вида:
< script src=http://******/h.js >

Ссылка ведет на Java Script, расположенный на одном из шести серверов, служащих гейтами для дальнейшего перенаправления запросов. В настоящий момент нами обнаружено шесть таких гейтов, и мы внесли их в «черные списки» нашего антивируса:
armsart.com
acglgoa.com
idea21.org
yrwap.cn
s4d.in
dbios.org


Мы рекомендуем всем системным администраторам закрыть доступ к данным сайтам.
Все посетители взломанных сайтов в итоге скрытно перенаправляются на вредоносный сервер, расположенный на территории Китая – vvexe.com.
Дальше в действие вступает набор эксплоитов, которыми атакуются посетители.
В настоящий момент мы наблюдаем использование различных эксплоитов уязвимостей – как в браузере Internet Explorer, так и в Macromedia Flash Player. Кроме того, там используются эксплоиты уязвимости MS08-053 в ActiveX, устраненной патчем от Microsoft меньше двух месяцев назад. Отдельные эксплоиты рассчитаны на заражение пользователей браузера Firefox.
Полный список вредоносных программ на этом сайте, детектируемых нашим антивирусом, довольно обширен:
Trojan-Downloader.HTML.Agent.ls
Trojan-Downloader.SWF.Agent.ae
Trojan-Downloader.SWF.Agent.ad
Trojan-Downloader.SWF.Agent.af
Trojan-Downloader.SWF.Small.em
Trojan-Downloader.SWF.Small.en
Trojan-Downloader.JS.Agent.cwt
Trojan-Downloader.JS.Agent.cwu
Trojan-Downloader.JS.Agent.cww
Trojan-Downloader.JS.Agent.cwv
Trojan-Downloader.JS.Agent.cwx
Trojan-Downloader.JS.Agent.cwy
Exploit.JS.Agent.xu
Trojan-Dropper.JS.Agent.z


В случае если пользователь оказался уязвим хотя бы для одного из этих эксплоитов, он будет заражен вредоносной программой Trojan-Downloader.Win32.Hah.a. Она представляет из себя загрузчик, который способен загружать в систему другие вредоносные программы – их количество и файлы определяются в специальном конфигурационном файле, размещенном на том же сайте - http://vvexe.com.
Сегодня мы наблюдаем загрузку им 3-х троянских программ:

Trojan-GameThief.Win32.WOW.cer – троянец ориентированный на кражу аккаунтов пользователей онлайн-игры World of Warcraft
Trojan-Spy.Win32.Pophot.gen – еще один «шпион», кроме кражи данных еще и пытается удалить с компьютера ряд антивирусных программ.
Trojan.Win32.Agent.alzv – осуществляет загрузку в систему еще трех троянских программ-шпионов: Trojan-PSW.Win32.Delf.ctw, Trojan-PSW.Win32.Delf.ctx, Trojan-PSW.Win32.Delf.cty

Мы настоятельно рекомендуем всем владельцам сетевых ресурсов, использующих ASP-движки, проверить свои страницы на предмет наличия в них ссылок вида < script src=http://******/h.js > и удалить, если такие будут обнаружены.
Заботьтесь не только о своей безопасности, но, в первую очередь, о безопасности ваших посетителей и клиентов!

viruslist.com

#20 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 19 Ноябрь 2008 - 15:41

Панелька с порнографией  в браузере

В последнее время участились случаи заражения браузера трояном-вымогателем, который представляет из себя панельку в нижней части экрана, любезно демонстрирующую различные порнографические сцены. Помимо, собственно, демонстрации троян предлагает убрать себя путем отправки смс на указанный в его теле платный номер, после чего обещает выслать код своей деактивации. Разумеется, что после отправки смс на платный номер, в ответ никакого кода деактивации не приходит, зато деньги со счета списываются исправно. Лично мне доводилось становиться свидетелем "заражения" как Internet Explorer, так и Mozilla Firefox.

Прикрепленный файл  porno.JPG   231,06К   36 Количество загрузок:

Сам по себе троян достаточно примитивен и представляет из себя DLL библиотеку, которая в случае использования Internet Explorer регистрируется в системе как элемент BHO (browser helper object), тем самым автоматически запускаясь вместе с браузером.
В случае с Mozilla троян при инсталляции кладется в папку, куда установлена программа, и регистрируется в качестве плагина.

Удалить гада руками из IE через свойства обозревателя - программы - надстройки, скорее всего, не удастся.

Вот так выглядит этот друг в отчете avz:

Цитата

Модули расширения Internet Explorer (BHO, панели ...)
C:\WINDOWS\System32\plvlib.dl plvlibP © . All rights reserved. {0AF4DAF4-D989-4A17-ADE6-DAEC841E44A5}
Удалить
C:\WINDOWS\System32\cnvlib.dll cnvlibP © . All rights reserved. {517588CA-7E48-4202-91EF-DC6F8218CB67}

Тут даже два "друга" и сложно сказать - какой именно их них показывал порно, так что удалить можно оба  :lol: Также хочу заметить, что в вашем случае имя и копирайты зловредной библиотеки могу быть иными...
А удалить библиотеку можно через встроенный в avz менеджер BHO, при незапущенном браузере.

В случае с Mozilla троян следует искать через диспетчер процессов AVZ при запущенном браузере. Корни библиотеки (она будет черной в отчете) из процесса mozilla.exe будут расти в папку с Mozilla.

Если ручное удаление трояна вам не под силу, то попробуйте прогнать систему с запущенным браузером через cureit:
http://www.freedrweb.../cureit/?lng=ru
Вполне возможно, что лечебная утилита все сделает сама.
Прикрепленный файл  virus.JPG   73,11К   32 Количество загрузок:

Ну и ни в коем случае не пытайтесь поощрать злоумышлеников отправкой смс! Это пустая трата денег.




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных