A mai reggel 6 levelet küldtem Google tartományból és érkezett vissza a következő, nem kedves Mail Delivery Subsystem felíratú üzenet:

Delivery to the following recipient failed permanently:

     zoltan@petrasovits.eu

Technical details of permanent failure:
Google tried to deliver your message, but it was rejected by the recipient domain. We recommend contacting the other email provider for further information about the cause of this error. The error that the other server returned was: 554 554 5.7.1 Service unavailable; Client host [74.125.83.42] blocked using dnsbl.sorbs.net; Currently Sending Spam See: http://www.sorbs.net/lookup.shtml?74.125.83.42(state 14).

----- Original message -----

Szó szerint azt jelenti, hogy a Google megpróbálta kézbesíten az üzenetedet de nem sikerült, mert a fogadó fél sdzervere elutasította a levél feladójának adatait ( IP cím) majd javasloja, hogy keress más levelezési megoldást és oda biggyeszti, hogy azért  kukkolj rá a sorbs.net-en az elutasított szerver IP-jére ami a következő: 74.125.83.42

Kié ez a  74.125.83.42 IP?

Country: United States

Region: California
City: Los Angeles
Postal Code: 90007

Latitude/Longitude: 34.026600 / -118.283096

ISP: “Google”

Organization: “Google”

Host Name: mail-gw0-f42.google.com
IP address is numbered 74.125.83.42. This IP address refers to United States, and it is registered in Los Angeles, California. IP Country code is US. ISP of this address is “Google”, organization is “Google”. Its hostname is mail-gw0-f42.google.com. IP address latitude is 34.026600 and longitude is -118.283096. Postal code of this IP is 90007 and area code is 213.

Ezek után leklikkeltem a Googlet Spam listán hirdető sorbs.net linkjét:

 A levél amiben látható a Google szerverének ip címe:

 A másik kontro lszerint az IP címe a Googlenak: Blaklist (fekete listán)

Gyakorlatilag a sorbs.net közlése szerint:

A fentiekből láthatóan kitűnik a Google is kerülhet spamlistára és bizony a nagy multicégnél is vannak, akik ezt, valahogy nem vették észre! Nyílván ennek a cikknek a hatására, javulni fog a munkatempó, mert az illetékes Google munkatársaknak, már is kiposztolom a Google+-ra és a Facebookra is.

Éljen a közösségi Internet!

A probléma leírása:

FTP hozzáférést szereztek a szerverhez és az összes javasript-be es ezáltal az index.php án a footer.tpl -be belekerult a fenti javascript kod reszlet és a firewall leblokkalta a weboldalt.

A program végig futtatja a .js fileken a fenti kódsort és a végén kiértékeli az alábbi képen látható urlt-t:

Footer.tpl vulnerability

A felhasználó csupán azt veszi észre, hogy a gépe valamiért nem nyitja meg a weboldalt.

A vírus jelenleg több mint 10.000 számítógépet fertőzött meg 1 hét alatt és rohamosan terjed!

Mit lehet ellene tenni? 

Javaslom használj vírusírtót, erre szerintem legalkalmasabb a Kaspersky Internet Security 2012, ami ingyenesen letölthető és 30 napig használható is ezek után.  FTP-ként a WINSCP2-t javaslom, vagy a WS FTP az IPSWITCH-től.

Ez esetben is a fertőzés oka maga a felhasználó, aki a fertőzött saját gépével hozza létre az infekciót!  Gyakorlatilag, egy jó vírusrtóval az eset védhető lenne! 

Gondoltam az oldal alján a dunder.hu -ra mutató reklám link és láss csodát előkerül egy profi weboldal. A weboldal nyitó oldalán egy harmmincas éveiben járó fiatalember néz vissza ránk, majd a linkre történő kattintás megdöbbentő képsort adott vissza. A dolgok érthetősége érdekében mellékelem az a videót amit a látottakról készítettem.

Láthatóan ott a Malwarebytes vírus, ami kiegészült egy kis Trójai látványossággal és hozzá csatlakozott egy linken keresztül a kedves látogató böngészőjén át, annak gépéhez. Voltam annyira emberséges, felhívtam telefonon Dunder Krisztiánt és alig 5 órával később már a következő felírat fogadott:

A vírus terjedésének hátterében sokszor, pont maga a felhasználói tunyaság áll!

Köszönöm Krisztián gyorsaságát és elgondolkodom: A többi látogatója, valójában miért nem tette meg ugyan ezt amit én?  Netán azok akik oly nagyon média-értők az Internethez nem annyira értőek talán? Előfordulhat, ha homokba dugták a fejüket a média Hungária 2010 a dunder.hu weboldalon keresztül kevésbé lett vírus terjesztő és hordozó?  A vírus terjedés egyik legjobb megoldása az emberi intolerancia, inkompetencia, a nemtörődömség és a tudatlanság. Ebben az esetben a néhány napja valójában fent lévő vírusos weboldalra bárki felhívhatta volna a figyelmet.

A vírusok terjedésének egyik módja az érdektelen beletörődés: Érdemes ezen elgondolkodni, hiszen a vírusíró emberek, elég jó pszichológiai adottsággal is rendelkeznek.

Felhőtlen lelkesedésünkben tegnap éjszaka vissza tértünk ellenőrizni egy korábban GUMBLAR vírussal fertőzött ám azóta vírusmentessé nyilvánított webszerver Google tárolt változatához és döbbenetes tényre sikerült rálelnünk: A Google által a keresőben tárolt weboldali nézetről kiderül, hogy vírussal fertőzött, mi több a Google találati eredményre az általunk használt Kaspersky Internet Security 2009 Trojan vírus támadási jelzést adott. A mellékelt videó tanulsága szerint ez a vírus, a Google tárolt változatból is képes aktívan tevékenykedni. Ez a fajta vírusfertőzést tároló technológia felveti annak a kérdését, hogy valójában a Gumblar névre keresztelt vírus terjedésében esetenként, pont a Google tárolt változata segédkezik a fertőzés növekedésében? A mellékelt és általunk készített képernyő felvételek alapján a kérdések megfogalmazását az illetékesekre bízzuk.

A Google  tárolt változata által terjedő  Trojan-Downloader.JS.Gumblar.a: virusvedelem.eu videót a vírusról, ez idáig más média nem publikálta.

A bejelentett támadó webhely felírat megszüntetésére, a korábbi bejegyzéseinket érdemes elolvasni.

Néhány hasznos tapasztalat a vírusirtó kiválasztásához:

- Tapasztalataink szerint a Kaspersky Internet Security 2010 -es változata, a Panda Internet Security 2010 -es változatával hasonlatosan, képes a trójai és gumblar férgek kiírtására illetve, az ilyen támadások lebirkózására.

- A Kaspersky Internet Security 2010 -es változatát 3 éve teszteljük, előzetes tapasztalatainkat a rugalmas adatbázis kezelése mellett az un. ingyenes vírusvédelmet biztosító más termékek elé helyeztük. Ingyenes vírusvédelmi tapasztalataink  igen kényes eredményeket adtak ezért nem minősítenénk az un free vírusirtó termékeket.

- A Panda Internet Security korábbi lassulását az idei évre igen szépen lebirkózta, és régi fényében, gyorsan és intelligensen kezeli a védelmi beállításokat.

Tapasztalataink szerint megéri a minimális évi 6-15ezer forintnyi költséget egy valóban hivatalos, fizetős vírusvédelem, mert a support mellett, adatbázisunk is aktív frissítésben marad. A vírusvédelmi kliensünk pedig, folyamatos online segítséget is kaphat a vírusvédelmi szoftvert gyártó cég  partner szerverétől.

Alapvető képességek

• Védelem vírusokkal és kártékony programokkal szemben
• Fájlműveletek, levelezés és netforgalom vizsgálata
• Azonnali üzenetküldő programok (ICQ, MSN) védelme
• Automatikus frissítések

Kiterjesztett védelem

• Kétirányú személyi tűzfal
• Biztonságos Wi-Fi és VPN kapcsolatok. Újdonság!
• Hálózati behatolás elleni védelem

Megelőző védelem

• Intelligens alkalmazás vezérlés. Újdonság!
• Proaktív védelem az ismeretlen fenyegetésekkel szemben
• Felderíti az operációs rendszerben és az alkalmazásokbna található sebezhetőségeket. Újdonság!
• Letiltja a linkeket a kártevő-terjesztő oldalakhoz. Újdonság!

Személyes adatok védelme

• Letiltja az adathalász weboldalakra mutató linkeket
• Virtuális billentyűzet a biztonságos bejelentkezéshez. Újdonság!
• A HTTPS / SSL csatornák adatlopás elleni védelme. Újdonság!
• Jogosulatlan kapcsolatok és tárcsázó-programok letiltása

Tartalomszűrés

• Szülői felügyelet modul
• Kéretlen reklámlevelek (SPAM) elleni védelem

Néhány napja rendszer hiba miatt hívott fel egy barátom és kérdezte, miért tiltotta le a Google a weboldalát egy hatalmas nagy bordó felirattal. Ezt a feliratot már csak azért is mellékelem be mert bizony ez sok böngésző közül a Firefoxban biztosan látható, ám az a Explorer rövid gondolkodás után megkísérelte betölteni ezt a kedvességet tartalmazó vírus fertőzött weboldalt. Ez azok számára akiknek sikeresen “elkapja” a gépét a manipulatív Gumblar vírus, bizony az egyik legrosszabb időszaka következik. Ez sajnos nem riogatás, ez horrorisztikus tény.

klikk a képre a nagyításhoz

Mint a képen is látható a bejelentett támadó webhelynek elnevezett weboldal, már letiltásra is került a Googleban. A Google ezt az oldalt bejelentett támadó webhelyként tartja számon és nem foglalkozik azzal ki a tulajdonosa, de nem ám, repülnek a Google rendszeréből igazán prominens weblapok is ezzel a tiltó táblával.

A kép nagyítás utáni verzióján látható a Google felsorol minden olyan kritériumot amely szerint a figyelmeztetéssel ellátott weboldal üzemeltetője is el fog tudni indulni a hiba keresése irányába.

Hogyan irtsuk ki a GUMBLAR vírust?

A Gumblar vírus egyik sajátossága, hogy jelszó lopó vírusok, Trojai és és Malware segítségével generálja a szerveren kialakult fájljait, és a százezres lakossági hálózaton működő zombi gépein pedig ellopja az ftp jelszavakat a szerverekhez történő belépéshez.  A ScanSafe biztonsági cég által Gumblar-nek nevezett támadás céges honlapok feltörésével, és ott rosszindulatú kódsor elhelyezésével kezdődik, mely kódsorokat bizony eleinte nem is igen veszik észre az érintettek.

A kódsor a látogatók gépein kutat biztonsági hibák után, és ha ilyet talál, akkor megpróbálja installálni rosszindulatú programját. Elsősorban a PDF és Flash megjelenítők hibáit aknázza ki a jelenlegi támadás, de néhány régebbi Windows hibát is fel tud használni a támadás, írta meg a PC World.  A sikeres támadás esetén a gépre feltelepülő szoftver az Internet Explorerben megjelenő keresési találatokat módosítja, és káros oldalakra próbál átirányítani. Önmaga terjesztése érdekében a fertőzött gépen található FTP jelszavakat próbálja meg ellopni, és saját célra felhasználni bármilyen, a PC által irányított honlapot. Jelenleg csak 1500 ilyen oldalról van tudomása a cégnek,  a személyes tapasztalatunk szerint, mivel az elmúlt hetekben több mint 300 ilyen esettel találkoztunk, a cég által kiadott 1500-as számot erősen alul értékeltnek látjuk.

Az elsődleges megoldások sorban

Lakossági Windows gépek Gumblar fertőzésének vírusirtása a Malwarebytes Anti-Malware szoftvert ajánlom. Kicsit idő igényes, de rendkívül eredményes. Számtalan vírusirtó lehetősége mutatkozik, ezek közül az egyik legkedveltebb változat az un. Internet Security formáció ami Antivírus és Tűzfal védelem is egyben. A paletta óriási, a Kaspersky Internet Security 2009 által kezelt gépek, fertőzés mentesen állták a további ütközet küzdelmeit. Természetesen a vírusvédelmi tanácsadó kollégák sokan esküsznek még az  Avg, Comodo, Eset, Nod32, Agnitium, Ashampoo, Panda Antivírus programokra is, ám a mi esetünkben a Kaspersky Internet Security 2009 mutatkozott a legéletképesebbnek. Weboldalunkon hamarosan még bővebben mutatjuk be az összes vírusirtó program sajátosságait, köntörfalazás nélkül és ejtünk szót vírusirtásról, a vírus elleni küzdelemről.

RBL listing, kimenő levelező tiltás: VIGYÁZZ, értesítést nélkül letiltásra kerülhet a kimenő levelezésed!

Ez  a szomorú tény annak a következménye ,hogy a Malware elkezdi a maga önálló életét és kifelé leveleket küldözget, a meglévő ismerőseidnek, vagy más címlistáknak a felhasználásával. A témával a Googleoptimalizalas.com weboldalon már korábban foglalkoztam, a cikket ezért csupán ide linkelem számodra.

Szerverek és webhosting tárhelyek Gumblar és gifimg.php mentesítése

Jelentősen rutinosabb megoldás igényel a gifimp.php nevet viselő image fileket is módosítani képes behatoló. Tele írja első sorban a futó php filek fejrészét a <php> – fejrész kezdet helyett <php if X655gfrrr%dddd……….stb kódsorral, majd az összes jsc filet is tele dobálja futó komponensel a script alsó részében, simán hozzáfűzéssel a tartalom végéhez.

klikk a képre a nagyításhoz

Aki rutinosnak hiszi magát a rizs válogatásban, az hamupipőke üzemmódban is órákat fog mazsolázni ha szemenként akarja kiszedni ezt a rafinált kódsort. Az  egyik legbiztosabb megoldás az ha fogod az egész forrást és letörölsz mindent a szerverről, majd újra telepíted az archiválásból. Ennek hiányában, valóban napokig tartó rémálom részese lehetsz, ahol a gifimg.php eltávolítását követően megkeresheted minden php-ban a fenti kódsor részletet, aztán az összes .js filben.

Annak meg aki a Gumblar vírust megírta sok álmatlan éjszakát és kevésbé boldog ám annál hosszabb, rossz életet kívánok, mert ez már nem játék : ez már olyan rombolás amit nem lehet higgadtan és mérsékelten kezelni. Kérdésed és észrevételed van a témában? Kérlek keress meg bátran emailban!

Amennyiben vírusirtó és tesztelő vagy vírus vadászó tapasztalataid vannak, bátran keress meg bennünket és mond el Te is a véleményed vagy szállj be a csapatba.

Zoltan Petrasovits

]]> http://virusvedelem.eu/bejelentett-tamado-webhely-a-gunmblar-virus-vagy-trojai-irtasa-gifimg-pp-eltavolitasa/feed/ 1