Перейти к содержимому


Фото
- - - - -

Spider Gate: JS.IFrame.356

JS.IFrame.356 IFrame JS Spider Gate

  • Закрыто Тема закрыта
22 ответов в этой теме

#1 Stadyer

Stadyer

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 03 Декабрь 2012 - 17:56

Три дня назад обновлённый до 8 версии Security Space начал выдавать сообщения о том, что он заблокировал некий опасный объект, JS.IFrame.356.
Поначалу я подумал, что это был объект на сайте, на который я пытался перейти, но сообщения начали повторяться с интервалом примерно в 5 минут. Я очистил куки у всех браузеров, папку C:\Windows\Temp, прошёлся CCleaner'ом по всей системе, и сейчас я всёравно продолжаю получать эти сообщения раз в несколько часов.
Сообщение от антивируса я сохранил в txt-файл, также в архиве логи работы Dr.Web Scanner и Hijackthis.

Не понимаю природы возникновения этих сообщений: с одной стороны, вирусов на компьютере нет, с другой: откуда бы тогда браться этим сообщениям, если они появляются даже когда у меня вообще ЗАКРЫТЫ все браузеры? Создаётся впечатление, что что-то на компьютере пытается перейти на этот самый сайт (http://optimized-by.rubiconproject.com/a/8024/13164/24675-2.js?cb=0.6294568877791113), а антивирус блокирует это действие, но ведь в таком случае он блокирует не причину, а следствие.
Что до сообщений от сканера Др.Веб, которые вы, вероятно, найдёте в логах: да, за последнее сканирование он обнаружил девять инфицированных объектов, но!
  • Все те же самые объекты находились на моём ПК и месяц назад, но подобных сообщений не возникало.
  • Объектами этими являются файлы, которые не могут стать причиной подобных сообщений, просто руководствуясь логикой: это либо самопальные бэкдоры, либо несколько патчей для программ, и — самое сомнительное! — драйвер NVidia с "RUNASUSER" в названии. Однако, мне кажется, что срабатывание на него ложное, ибо скачались эти драйвера вместе с официальными обновлениями.
Короче, происхождение каждого "инфицированного" объекта я могу объяснить, более того, большая часть из них на этой машине попросту не запускалась, я могу гарантировать это.

Какие у кого будут предположения?

Прикрепленные файлы:

  • Прикрепленный файл  logs.rar   417,49К   5 Скачано раз

Сообщение было изменено Stadyer: 03 Декабрь 2012 - 17:58


#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 2 704 Сообщений:

Отправлено 03 Декабрь 2012 - 17:56

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и RkU. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Что не нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/ несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума;

#3 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 03 Декабрь 2012 - 18:20

Stadyer,
нужны все логи по Правилам, кроме RkU - см пост 2.

#4 Dmitry Shutov

Dmitry Shutov

    Poster

  • Virus hunters
  • 1 349 Сообщений:

Отправлено 03 Декабрь 2012 - 18:37

Отправил как ложное срабатывание, посмотрим что скажут аналитики.

https://www.virustotal.com/file/cc900f3d9bd8bdb42aef4e4d84b82da265ee6ba2eead39f1aadedefc789fe68e/analysis/1354548453/

drweb.com #3727906 - SUBMITTED FALSE ALARM

http://wepawet.iseclab.org/view.php?hash=1a04ec6392c75484cb0c7da1fc9c3f5f&type=js
http://jsunpack.jeek.org/?report=72a925849bab71d821ffd207b8e111b2ec67bfc0

#5 Stadyer

Stadyer

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 03 Декабрь 2012 - 18:42

Если речь о драйвере — тогда да, я уверен, что срабатывание ложное. Но ведь если оно ложное, тогда ответа, откуда берутся эти сообщения, по-прежнему нет?
К тому же, меня пугает, что JS.IFrame находился на третьем месте в ТОП-5 вирусов докторвеба.

#6 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 03 Декабрь 2012 - 18:49

К тому же, меня пугает ...

не надо пугаться, надо сделать логи.
не будет логов по Правилам, закрою тему.

#7 k.nikolenko

k.nikolenko

    Member

  • Virus Analysts
  • 278 Сообщений:

Отправлено 03 Декабрь 2012 - 20:25

Если не ошибаюсь детект ставил я. Смысла его убирать не вижу, тк левыми способами - через скрытый iframe накручивается трафик партнерским сайтам, и где гарантия что в один прекрасный день на компьютер пользователю вместе с скрытой рекламой не придет какой-нибудь blackhole

#8 Dmitry Shutov

Dmitry Shutov

    Poster

  • Virus hunters
  • 1 349 Сообщений:

Отправлено 03 Декабрь 2012 - 20:37

Может и к лучшему.

hххp://optimized-by.rubiconproject.com
http://www.urlvoid.com/scan/optimized-by.rubiconproject.com/

http://www.mywot.com/en/scorecard/optimized-by.rubiconproject.com

  • marco2981 05/19/2012
optimized-by.rubiconproject.com is listed in OpenDNS's Block Tool


А пользователь юзает OpenDNS....Gate и ловит.

O4 - HKCU\..\Run: [OpenDNS Updater] "C:\Program Files (x86)\OpenDNS Updater\OpenDNSUpdater.exe" /autostart
O17 - HKLM\System\CCS\Services\Tcpip\..\{BA3D16C3-7DC6-4CBE-A452-E85AD514D104}: NameServer = 208.67.222.222,208.67.220.220



#9 Stadyer

Stadyer

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 03 Декабрь 2012 - 21:35

не будет логов по Правилам, закрою тему.

Других логов при всём желании предоставить не могу, RKU у меня не запускается, вероятно, из-за того, что у меня 64-разрядная система. В чём закючается "неправильность" двух других файлов — не знаю, поясните, тогда уж.

А пользователь юзает OpenDNS....Gate и ловит.

Хм, так через опен-ДНС на этот сайт вообще не должно пускать же, разве не так?

К тому же, мне так и непонятен механизм, по которому работает эта приблуда. Почему она куда-то пытается долбиться, если браузеры-то уже закрыты? Остался какой-то процесс на самом пк, или что?
upd. Шит побери, ну и что мне вот с этим чудом делать? :) К тому же, я теперь закономерности не вижу вообще никакой. Иногда не вылазит, сейчас вот, пока это сообщение писал, два раза появилось.

Прикрепленные файлы:

  • Прикрепленный файл  scrn.png   66,14К   0 Скачано раз

Сообщение было изменено Stadyer: 03 Декабрь 2012 - 21:38


#10 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 03 Декабрь 2012 - 21:44

Stadyer,

В чём закючается "неправильность" двух других файлов — не знаю, поясните, тогда уж.

пост 2, пункт 1.
нужен лог cureit и штатный отчёт drweb

Сообщение было изменено userr: 03 Декабрь 2012 - 21:46


#11 Stadyer

Stadyer

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 03 Декабрь 2012 - 21:48

Stadyer,

В чём закючается "неправильность" двух других файлов — не знаю, поясните, тогда уж.

пост 2, пункт 1.
нужен лог cureit и штатный отчёт drweb

В этом же посте написано, что логи CureIt требуются, если не установлен резидентный антивирь, логи которого я приложил. Ну хорошо, а проверку полную проводить или быструю?

Сообщение было изменено Stadyer: 03 Декабрь 2012 - 21:50


#12 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 03 Декабрь 2012 - 22:00

Stadyer,
пост 2: как сделать логи описано в Инструкции

#13 Stadyer

Stadyer

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 03 Декабрь 2012 - 22:17

Понял, скоро сделаю.

#14 Stadyer

Stadyer

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 03 Декабрь 2012 - 23:10

Залил на файлхостинг.

#15 Stadyer

Stadyer

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 04 Декабрь 2012 - 00:03

Адреса OpenDNS выписал из настроек адаптера, ситуация не изменилась. Очевидно, причина в другом.

#16 k.nikolenko

k.nikolenko

    Member

  • Virus Analysts
  • 278 Сообщений:

Отправлено 04 Декабрь 2012 - 07:15

Судя по логу это winamp так гуляет по сети. Заходит на свой сайт, там запрос скрипта с *.aolcdn.com, тот подгружает *.atwola.com, и на рубикон, по пути заглядывая scorecardresearch.com.

А вот тут scorecardresearch.com описание на русском что это такое.

ScorecardResearch, служба Full Circle Studies, Inc., является частью маркетинговой исследовательской организации comScore, Inc., занимающейся проведением исследований и составлением отчетов о тенденциях и поведении пользователей Интернета. ScorecardResearch собирает данные о посещении Интернета, и использует их для того, чтобы показать особенности использования Интернета, а также симпатии и антипатии пользователей.

ScorecardResearch собирает данные из двух основных источников: опросы и веб-теги. В ходе проведения опросов мы приглашаем пользователей Интернета предоставить анонимные демографические данные и информацию об использовании Интернета, которые мы затем используем для уточнения наших отчетов. Эти опросы проводятся на добровольной основе и никогда не используются для сбора личной информации. Для применения веб-тегов мы просим участвующие веб-сайты разместить в различных частях своих сайтов специальный код. И снова, ни при каких обстоятельствах конфиденциальная личная информация не передается и не связывается с веб-тегами.


мы приглашаем пользователей Интернета предоставить анонимные демографические данные и информацию об использовании Интернета

что-то я не увидел нигде уведомления пользователя

Сообщение было изменено k.nikolenko: 04 Декабрь 2012 - 07:28


#17 HHH

HHH

    Massive Poster

  • Posters
  • 2 714 Сообщений:

Отправлено 04 Декабрь 2012 - 13:22

В данном случае это был веб-тег. Там не написано, что они кого-то уведомят, кроме владельца сайта :)

#18 Dmitry Shutov

Dmitry Shutov

    Poster

  • Virus hunters
  • 1 349 Сообщений:

Отправлено 04 Декабрь 2012 - 16:42

Ответ аналитика.

Ваш запрос был проанализирован. Это не ложное срабатывание.



#19 Stadyer

Stadyer

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 04 Декабрь 2012 - 17:33

Н-да, похоже, это действительно винамп. Сам уже начал замечать некоторую закономерность между его работой и появлением этих попапов. Повысил в IE политику безопасности, вроде бы пропало.

Ваш запрос был проанализирован. Это не ложное срабатывание

Хм... Что же тогда получается? Неужели вместе с обновами для драйверов пришли вирусы?

#20 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 04 Декабрь 2012 - 19:09

Ваш запрос был проанализирован. Это не ложное срабатывание

Хм... Что же тогда получается? Неужели вместе с обновами для драйверов пришли вирусы?

это о другом совсем, про драйвера отдельный вопрос.



Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых