Записки Вирусолуха – Вирус, которого не было, для абонентов Ростелекома и не только

[ Версия для печати ]
Добавить в Telegram Добавить в Twitter Добавить в Вконтакте Добавить в Одноклассники
Страницы: (2) [1] 2   К последнему непрочитанному [ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]
lses
25.10.2014 - 14:39
Статус: Offline


Балагур

Регистрация: 25.02.11
Сообщений: 964
90
У одного знакомого случилась проблема с вирусней – изо всех щелей лезут порно-баннеры, всяческая реклама и прочие «вкусности». Знакомому уже 8ой десяток лет и его, мягко выражаясь, очень расстраивает эта ситуация. Ну чтож – флэшки в руки и лечить…
Далее будет 13 скринов с текстом, скрины правленые – ситуацию с заражением эмулировал на своем компьютере, скрины с роутера делал по удаленке (ip адреса поправлены или затерты).
Просьба не ломать, закончу – сообщу.

Записки Вирусолуха – Вирус, которого не было
 
[^]
Yap
[x]



Продам слона

Регистрация: 10.12.04
Сообщений: 1488
 
[^]
lses
25.10.2014 - 14:40
Статус: Offline


Балагур

Регистрация: 25.02.11
Сообщений: 964
Вот примерно такая картина предстала передо мной при открытии браузера на «зараженном» компе – стандартная страница Яндекса обвешана со всех сторон фреймами с рекламой и всплывающими баннерами (выделил красным).

Записки Вирусолуха – Вирус, которого не было
 
[^]
lses
25.10.2014 - 14:40
Статус: Offline


Балагур

Регистрация: 25.02.11
Сообщений: 964
При попытке нажимать в любое место страницы – сразу же лезла реклама во втором окне: казино, богомерзкие вконтактики с запросом телефона «патамучта ваша страница отморожена» и прочая лабудень. Выйти со странички не дает – выдает циклически «вы хотите закрыть страничку» - в общем приводит к полной неработоспособности браузера и, как показала практика любого: с грехом пополам достучался до opera.com, лавируя между баннерами, скачал-поставил – тот же результат. Все антивирусные сайты заблокированы, скачать тот же банальный cureIT нет возможности, НО при этом анализ системы с помошью AZV, hijackthis и других программ (учился на virusinfio.info) результата не дает – не получается определить способ загрузки этой гадости – в нужных областях реестра все чисто.

Записки Вирусолуха – Вирус, которого не было
 
[^]
lses
25.10.2014 - 14:41
Статус: Offline


Балагур

Регистрация: 25.02.11
Сообщений: 964
Так как по доброй традиции «пришел на перестрелку с ножом», то есть только с парой флэшек – взял паузу до следующего дня на предмет почитать описания беды в интернете. Новый день дал мне как минимум 4 варианта что это может быть. Залез на virusinfo, перечитал пару страниц просьб о помощи после чего обложился: свеженькими версиями утилит, свежими курями-авпами и прочими, подборкой чистых файлов (system, userinit, explorer, ну и тд..) и вооружившись боевым ноутом выдвинулся на поля сражений. Удостоверившись, что херня за последние сутки сама не полечилась, бодро запустил ноут, подключился к роутеру знакомого по вайфаю с целью открыть описания процедур лечения и охуел мрачно – на моем чистом ноуте, родной дефолтный гугл сообщал мне, что «я наркоман несчастный с маленьким хуем» (один-в один, не смотря на то что я сэмулировал это сейчас, баннеры были те же) :)

Записки Вирусолуха – Вирус, которого не было
 
[^]
lses
25.10.2014 - 14:41
Статус: Offline


Балагур

Регистрация: 25.02.11
Сообщений: 964
После этого я внимательно всмотрелся в роутер – Ростелекомовский роутер Sagemcom f@st 2804 v7 rev.1. Наклейка на обратной стороне сообщала, что заход admin/admin и логин-пароль от вайфая.


Записки Вирусолуха – Вирус, которого не было
 
[^]
lses
25.10.2014 - 14:42
Статус: Offline


Балагур

Регистрация: 25.02.11
Сообщений: 964
Что ж – давай спросим у роутера какого «года, месяца и хуя» тут происходит.
Авторизация на адресе 192.168.1.1 прошла успешно и роутер мне выдал радостную морду на которой вместо стандартных DNS ростелекома были обозначены какие-то левые.
cmd – nslookup yandex.ru – ответил, что yandex.ru находится именно на адресе 92.224.160.10
Все – диагноз поставлен – подмена DNS на роутере, в связи с чем при попытке открыть любую страницу абонента отправляет на этот злоебучий сервак, который и обвешивает браузер баннерами. Будем лечить!


Записки Вирусолуха – Вирус, которого не было
 
[^]
lses
25.10.2014 - 14:43
Статус: Offline


Балагур

Регистрация: 25.02.11
Сообщений: 964
В левой панели – «Дополнительные настройки», «DNS» - да, действительно DNS вставлен вручную

Записки Вирусолуха – Вирус, которого не было
 
[^]
lses
25.10.2014 - 14:43
Статус: Offline


Балагур

Регистрация: 25.02.11
Сообщений: 964
Поправить к такому виду и применить настройки:


Записки Вирусолуха – Вирус, которого не было
 
[^]
lses
25.10.2014 - 14:44
Статус: Offline


Балагур

Регистрация: 25.02.11
Сообщений: 964
После чего надо обязательно сделать:
1. cmd - ipconfig /flushdns – очистит днс-кэш на компьютере
2. почистить кэш, куки и историю браузеров
3. перезагрузить компьютер и роутер – он без перезагрузки, не смотря на то, что стал показывать нормальные днс-ы все равно слал не туда
Теперь страница информации роутера стала выглядеть так с родными ростелекомовскими днс-ами (адреса зависят от региона):


Записки Вирусолуха – Вирус, которого не было
 
[^]
lses
25.10.2014 - 14:44
Статус: Offline


Балагур

Регистрация: 25.02.11
Сообщений: 964
Возникает вопрос – а как эта беда прокралась на роутер? Знакомый рассказал, что подключился пару недель назад и сначала все работало нормально, сломалось буквально два дня как.
Я позвонил в тех поддержку ростелекома – «а как же у вас происходит процедура подключения?» - ответили: «мастер приходить с настроенным роутером и монтирует кабель» в любом случае, сложно заподозрить, что мастер с какой-то целью будет менять днс-сервера иначе таких больных было бы миллионы.
А давай-ка проверим, что там с внешним управлением? С телефона (мегафон), через браузер сунулся на ip-адрес роутера и вуаля! «введите имя и пароль», admin/admin – OK!
«ЕБВАШУМАТЬ!!!!! СРАКОБЛЯДСКИЕ ВЫ МУДОВЫПИЗДЕНИ ОСТРАХОЕБНУТЫЕ В СРАНЬ ЗАЛУПОГЛАЗУЮ!», сказал я и грязно выругался.
Ставить абонентам роутеры не то что с дырой – с дырищей, конечно такую радость «каждая свинья схавает» - срочно закрывать внешку и менять пароли!
Полез искать «где-что». Страничка «Управление», «Контроль доступа», «Пароли» радостно сообщила, что есть только один юзер «USER» и никакого админа.


Записки Вирусолуха – Вирус, которого не было
 
[^]
lses
25.10.2014 - 14:45
Статус: Offline


Балагур

Регистрация: 25.02.11
Сообщений: 964
Пошел гуглить – народ спрашивал, как сменить пароль на админе, но внятных ответов не было.
Позвонил в ТП (они полностью оправдывают свою абревиатуру) – «мы не знаем». На вопрос: «какого хуя открытые роутеры у абонентов?» - «а как это?». Тьфу… Пошли они в пень!
Кроме вебморды есть ведь еще и telnet (если его не обрубили тяпками, так же, как и доступ к паролям).



Это сообщение отредактировал lses - 25.10.2014 - 14:45

Записки Вирусолуха – Вирус, которого не было
 
[^]
lses
25.10.2014 - 14:46
Статус: Offline


Балагур

Регистрация: 25.02.11
Сообщений: 964
Авторизовался admin/admin, спросил «help»


Записки Вирусолуха – Вирус, которого не было
 
[^]
lses
25.10.2014 - 14:46
Статус: Offline


Балагур

Регистрация: 25.02.11
Сообщений: 964
Ну славтегосподи! Все на месте – есть нужные команды


Записки Вирусолуха – Вирус, которого не было
 
[^]
lses
25.10.2014 - 14:47
Статус: Offline


Балагур

Регистрация: 25.02.11
Сообщений: 964
Говорим «passwd» - авторизуемся и меняем пароль на посложнее
Потом говорим «save» - иначе после сброса питания конфиг не сохранится
К сожалению, в вебморде не нашел, где отрубается удаленное управление, а в телнете поковырялся, но тоже не обнаружил. Но все без тупого пароля уже удаленно не зайти и не нарулить.


Добавлено в 14:47
Завершая сей опус хочу сказать:
Уважаемый абонент неуважаемого Ростелекома, если у тебя случилась подобная беда и не удается найти вирусы – скорее всего дело не в них. Обрати внимание на свой роутер (если он такой как на картинке – скорее всего виновник ОН), исправь настройки (как описано выше) и поменяй пароль.
ЗЫ. Ради эксперимента просканировал несколько диапазонов местного Ростелекома и нашел еще такие же роутеры – «заходи кто хочешь, бери что хочешь».
ЗЫЗЫ. Прошивка, ебанутая – не то что пароли и администрирование, лог кастрированные – в итоге не посмотреть откуда чудо залезло.
ЗЫЗЫЗЫ. Комп, как и предполагалось - чистый, вирусов нет.

ВСЕ. можно пинать.



Это сообщение отредактировал lses - 25.10.2014 - 14:51

Записки Вирусолуха – Вирус, которого не было
 
[^]
XanderBass
25.10.2014 - 14:48
21
Статус: Online


Свободяй

Регистрация: 1.02.11
Сообщений: 10685
ТС, спасибо за познавательный опыт. В своей практике я ещё не сталкивался с такими случаями.
 
[^]
ForbiddenDW
25.10.2014 - 14:49
5
Статус: Offline


Оптимист со стажем

Регистрация: 31.10.11
Сообщений: 1087
ТС ко мне регулярно на сервера "стучали" в попытках перебрать пароли на ssh. В основном чина. Вылечился просто сменой дефолтного порта. Но это если доступ есть конеш :)

А так к слову Shellshock еще есть.

Так что если есть вебморда на роутере то подобрать "ключик" могут.

Это сообщение отредактировал ForbiddenDW - 25.10.2014 - 14:51
 
[^]
Ozarsif
25.10.2014 - 14:57
6
Статус: Offline


Ярила

Регистрация: 20.11.07
Сообщений: 1173
ставить на роутер внешний доступ - это пздц надо быть оленем.
продавать-раздавать такие роутеры в массовых количествах - это просто не поддается словесному описанию cranky.gif
 
[^]
lses
25.10.2014 - 15:00
5
Статус: Offline


Балагур

Регистрация: 25.02.11
Сообщений: 964
Цитата
ТС ко мне регулярно на сервера "стучали" в попытках перебрать пароли на ssh. В основном чина. Вылечился просто сменой дефолтного порта.


я тоже на rdp порты сменил на домашней тачке с 3389 на ... иногда брутили так, что комп тормозил. я грешил на перегрев, а в мониторе ресурсов что-то около 500 завершенных сессий lsass/userinit/winlogon оказалось. посмотрел откуда дровишки - оказался польский 2008 сервак - видимо хакнутый просто - даже не стал его брутить и пытаться вылечить, просто поменял порты.

Добавлено в 15:09
В принципе, если тема будет интересна - могу выкладывать всякое про вирусы
Опять же, если бы к знакомому пришел обычный "компьютерщик по объявлинию" - с 95 % вероятностью это вылилось бы в переустановку винды, несколько тысяч денег, а баннеры бы остались :)
 
[^]
vadimk33
25.10.2014 - 16:00
7
Статус: Offline


Шутник

Регистрация: 29.03.12
Сообщений: 89
Квест, блять. Для 99% ЯПовцев пост надо было оформлять так:

1-я картинка - Я пришёл;
2-я картинка - Я и Больной Роутер;
3-я картинка - Я пью с Заказчиком коньяк по случаю выздоровления Роутера;
4-я картинка - сиськи внучки Заказчика с Котэ.
 
[^]
kovcemebenym
25.10.2014 - 16:01
-7
Статус: Offline


Шутник

Регистрация: 13.10.14
Сообщений: 13
Я НЕ СИЛЕН В КОМПАХ НО ТАКАЯ ЖЕ ФУЙНЯ МЕНЯ ТОЖЕ ЗАЕБАЛА.РЕКЛАМА ЛЕЗЕТ СО ВСЕХ ДЫР.ПОМОГИТЕ С ПОДРОБНЫМ ОПИСАНИЕМ ЧТО СКАЧАТЬ КАК УСТАНОВИТЬ И Т.Д.ВИНДОУС-7 БРАУЗЕР МОЗИЛЛА ФАЙЕРФОКС
 
[^]
romaniv
25.10.2014 - 16:03
11
Статус: Offline


Ярила

Регистрация: 21.05.13
Сообщений: 5604
Цитата (kovcemebenym @ 25.10.2014 - 15:01)
Я НЕ СИЛЕН В КОМПАХ НО ТАКАЯ ЖЕ ФУЙНЯ МЕНЯ ТОЖЕ ЗАЕБАЛА.РЕКЛАМА ЛЕЗЕТ СО ВСЕХ ДЫР.ПОМОГИТЕ С ПОДРОБНЫМ ОПИСАНИЕМ ЧТО СКАЧАТЬ КАК УСТАНОВИТЬ И Т.Д.ВИНДОУС-7 БРАУЗЕР МОЗИЛЛА ФАЙЕРФОКС

Наказывает вас за постоянно включенную клавишу "CapsLock"
 
[^]
ХуХер
25.10.2014 - 16:11
1
Статус: Offline


Начальник землетрясений

Регистрация: 13.10.14
Сообщений: 1204
Такая херня не только у этих моделей, практически все кто подключал роутер сам или звал мальчика "заправь картридж" смотрят такую рекламу. Все просто, не сидите на компе под админкой (если не понимаете риска) и меняйте дефолтные пароли везде.
 
[^]
lses
25.10.2014 - 16:47
1
Статус: Offline


Балагур

Регистрация: 25.02.11
Сообщений: 964
Цитата (vadimk33 @ 25.10.2014 - 16:00)
Квест, блять. Для 99% ЯПовцев пост надо было оформлять так:

1-я картинка - Я пришёл;
2-я картинка - Я и Больной Роутер;
3-я картинка - Я пью с Заказчиком коньяк по случаю выздоровления Роутера;
4-я картинка - сиськи внучки Заказчика с Котэ.

а что? это идея!
только внучки нет - внуки :)
 
[^]
Купоросыч
25.10.2014 - 16:57
2
Статус: Offline


Тунгусский метеоризм

Регистрация: 10.06.14
Сообщений: 0
Имя сестра имя!(С) Какой осёл в роутере это прописал? Роутерами уже лет 8 пользуюсь ни разу такого случая не видал и даже не слыхал. lupa.gif
 
[^]
lses
25.10.2014 - 17:34
1
Статус: Offline


Балагур

Регистрация: 25.02.11
Сообщений: 964
Цитата (Купоросыч @ 25.10.2014 - 16:57)
Имя сестра имя!(С) Какой осёл в роутере это прописал? Роутерами уже лет 8 пользуюсь ни разу такого случая не видал и даже не слыхал. lupa.gif

какой осел - не известно, но на загоне написано Ростелеком :)
я тоже до этого момента никогда на роутеры не грешил
 
[^]
Понравился пост? Еще больше интересного в Телеграм-канале ЯПлакалъ!
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей) Просмотры темы: 8933
0 Пользователей:
Страницы: (2) [1] 2  [ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]


 
 



Активные темы






Наверх