Вирус, небольшой оффтоп

ZeroOnly
Сейчас проверил, с ПК все норм.
При заходе с телефона идет редирект.

Сам сайт http://www.pricep-yar.ru/

Полная ссылка первого шага
www.musut.ru/spdkdo4.html

Он шлет на
www.ibeap.ru/mland/index.html

и далее к какашке.

Блин, вот теперь сижу скрипты изучаю с сайта. Блин я вообще чайник с незаконченным высшим образованием, а вы от меня прям анализ требуете:-)

EWiZaRD
А вы не подскажите вашу программу с бекапом на безымянный диск?

medorov
там скорей всего через htaccess идет. В основном автоматом по всему серверу засирают сайты такой херней, если админ криворук

Windows Server Backup
http://technet.microsoft.com/en-us/library...v=ws.10%29.aspx

Backup and Recovery
http://technet.microsoft.com/en-us/library...v=ws.10%29.aspx

Входит в комплект Windows Server с версии 2008.

Очередное письмо:


От: "___________________" <__________@mail.ru>
Кому:
Копия:
Тема: п÷я─п╬п╡п╣я─п╨п╟ п╫п╟п╩п╬пЁп╬п╡п╬п╧ я│п╩я┐п╤п╠я▀
Дата: Tue, 10 Jun 2014 12:05:32 +0400

Добрый день!

Начиная с 13.06.2014 года на нашем предприятии будет проходить проверка.

На данный момент бухгалтерия проводит поиск всех необходимых документов.
К сожалению, часть первичных документов найдена не была.

Мы составили список (см. вложение). Ознакомьтесь с ним, будьте добры.
Если документы у Вас найдутся, мы можем прислать курьера по удобному Вам
адресу.

Спасибо за помощь!

С уважением,
менеджер отдела продаж ООО "________"
________________ тел.

Это сообщение отредактировал goom - 11.06.2014 - 10:51

goom , ты уж тётю и контору не пали ) они почти не виноваты )

Теперь по-делу.

Пришло письмо почти от реального клиента. Почему "почти" ? Веб морда яндекса показывает что отправитель "клиент@mail.ru", а аутлук нарисовал отправителя "apache@orgfree-freewebhostingarea-com.orgfree.com от имени клиент@mail.ru".

Текст следующий:

"Добрый день!
Мы меняем обслуживающий банк. В связи с этим мы разработали проект дополнительного соглашения о смене реквизитов.
Прошу Вас ознакомиться с документом и сообщить о готовности к подписанию.
Так же учитывайте новые реквизиты в дальнейшей работе.
С уважением ООО
тел/факс "

Во вложении файл "Новые реквизиты.zip" весом 2 кб.

Касперыч лицензия, ежедневно обновляется - ничего не заметил.

Секретарь пользуется outlook - при попытке открыть файл сработал js-скрипт, находящийся внутри. Файлики тянет с "http://nblock.tw1.ru/".
При зачистке использует sdelete =))

Благо, были бэкапы, да и комп секретаря - не сильно важный, если бы их не было. Обнаружила условно во время - до сетевых дисков не добрались.

Провёл инструктаж, куда смотреть при получении письма, какое вложение считать подозрительным и что лучше спросить, если сомневаются в чём-либо.

А вот у второй конторы всё было печальнее... пришлось написать, поторговаться, заплатить. Ответы вежливые, с долей юмора. Всё делаю быстро.
В общем, ребята "порядочные" - не кидают - они просто зарабатывают деньги )
Бизнесмены ))
И прежде чем осуждать, ответьте, кто из нас не прочь заработать на чужой глупости? )

Ну если вымогательство бабла с помощью вредоносных программ ты считаешь порядочностью, то это всё, атас...

только я вижу ковычки над словом порядочные?

Тогда те кто воруют машины во дворах, а потом продают их хозяевам - тоже порядочные! Приучают людей не захламлять дворы, ставить машины на стоянки и гаражи! Молодцы!!!

Еще один вариант текста
"Добрый день! В ходе проведения сверки нами был выявлен долг за Вашим предприятием.
Проект акта сверки - см. вложение.
Просьба ознакомиться и ответить по срокам оплаты.
Напоминаю, что несвоевременная оплата явялется основанием для применения пени."

Скрипт ломится на http://nblock.tw1.ru

Очередная "волна" писем. Помню год назад "африканские пираты" брали на абордаж ))

Поясните, когда файлики тянет, он как outlook в инет выходит или как самостоятельная программа ? Например, будет ли препятствовать загрузке жестко настроенный фаервол ?

ZeroOnly
Как самостоятельная программа.Адрес в запрещенные внести на фаерволе,но его могут и поменть вирусописатели

Что ж, разжуём кавычки, думал, не потребуется.
Да, они поступают неправильно.
Но вот задумайся: могли бы и кинуть, получив бабло - ан-нет! Высылают код расшифровки, и инструкцию для простых пользователей, как уберечь себя в будущем от подобного. Мало того, вступают в диалог, соглашаются снизить цену.
---
Все вокруг платят так или иначе за свою глупость. Кто-то переплачивает за шмотки, кого-то обманывают в автомастерских, у кого-то нежелательная беременность и тд. А здесь люди платят за свою компьютерную неграмотность - а ведь могли бы и админа нанять.

А теперь смени призму восприятия, поставь себя на место "вредителей", и подумай, "а ты бы отказался от хороших денег, полученных пусть и слегка нелегальным путём?".
И, чтобы ты не придрался к слову "слегка", объясню сразу - "слегка" - это потому, что данное деяние не приносит вреда здоровью человека (это не убийство, не наркотики, не насилие), это то - что можно исправить.

И последнее: в этом посте я ни в коем не защищаю злоумышленников, стараюсь лишь объективно взглянуть на ситуацию.