Uwaga na trojany!

Ktos

Użytkownicy serwisu 4programmers.net. Od jakiegoś czasu w serwisie pojawiło się stado ludzi, którzy myślą, ze są sprytni i umieszczają w naszym serwisie trojany, przechwytujące hasła i loginy do gry MMORPG "Tibia". Moderatorzy niestety mają problemy ze stałym monitorowaniem stanu downloadu, stąd prosimy by wszelkie zauważone trojany nam zgłaszać.

Jak się ustrzec przed pobraniem? Oprócz nie dotykania niczego do pobrania, co ma w nazwie słowo Tibia, sugeruję poprawnie skonfigurować system operacyjny, używać programu antywirusowego (NOD32 wykrył usunięte dwa szkodniki jako Win32/PSW.Tibia.AM trojan) oraz mieć się na baczności i uważać co się ściąga i co się klika.

Zaś autorów tych idiotycznych żartów (na usta cisną się inne słowa dotyczące autorów, jak i samego procederu) informuję, że serwis ten jest wśród fanów Tibii niezbyt popularny, wielu programistów to znakomici znawcy systemów operacyjnych i nie dadzą sie nabrać, a dane autorów trojanów są zbierane i być może zostaną wykorzystane.
A póki co umieszczenie trojana równoznaczne jest z usunięciem pliku z serwera tuż po zauważeniu oraz co najmniej tygodniowym banem dla autora. Jeżeli proceder będzie trwał z pewnością moderatorzy i administratorzy podejmą jakieś kroki, włączając w to poinformowanie odpowiednich dostawców Internetu.

O trojanach

Gdyby kogoś to interesowało to zdecydowana większość znalezionych koni trojańskich jest programami stworzonymi "dzięki" OwnTibia http://owntibia.com, w wersji VIP, które ukrywają się pod różnymi nazwami w systemie operacyjnym, podobnymi jak pliki systemowe Windows. Szkodniki próbują zapisać się w katalogu systemowym oraz dopisać swoje uruchamianie do klucza rejestru HKLM\Software\Microsoft\Windows\CurrentVersion\Run, więc idealną metodą zabezpieczenia jest praca bez uprawnień administratora, gdyż wtedy żaden wirus bez uprawnień nie zapisze nic do katalogu C:\Windows (jeżeli mamy system plików NTFS na dysku). Oczywiście zmiana katalogu systemowego z C:\Windows na cokolwiek innego także poskutkuje.

Doskonałą metodą jest także zablokowanie w swoim firewallu jakiejkolwiek próby komunikacji z hostem http://wizzard.home.pl/, do którego wszystkie trojany się odwołują wysyłając swoje hasła.

Nasze działania przeciw szkodnikom

  • zamknięto serwis vdreams.pl powiązany z umieszczaniem trojanów w naszym serwisie. (Screen)

17 komentarzy

@deus: To coś nowego, widać "zabezpieczenie" autor wprowadził. Aczkolwiek nadal przypominam:

C:\Windows\System32\drivers\etc>cacls hosts
C:\Windows\System32\drivers\etc\hosts NT AUTHORITY\SYSTEM:(ID)F
BUILTIN\Administrators:(ID)F
BUILTIN\Users:(ID)R

Mam nadzieje :)

servis vdreams został zmuszony do usunięcia części artykułow i został wprowadzony zakaz
prowadzenia artykułów pokazukących jak np. pisać różne szkodliwe badziewia .
-
więc to nie " ściema " tylko dzałanie długofalowe i trwałe .

O co skacze z vdreams.pl ?? Przecie on już istnieje?

Drobna uwaga, OwnTibia /przynajmniej w wersji VIP/ kasuje Hosts...

OwnTibia przechwytuje numer/hasło (adresy $75D3D8, $75D3AC) i wysyła przez IE na strone wizzarda/owntibia.com. W wersji vip niewykrywalny, najwyższy level shackowany tym to bodajże 200 lvl Bedurion, taka postać ~2000 zł jest warta. To już wiecie po co ludzie to robią ;)
Sam zareportowałem takowego (i tak musiałem zmienić hasło bo odpaliłem nie sprawdzając .)
Dobra rada żeby uniknąć ataku to skonfigurować firewall na całkowite blokowanie internet explorera (kto jeszcze tego używa?). No i zablokować dostęp do owntibia.com w pliczku C:\WINDOWS\system32\drivers\etc\hosts.
Więcej o tym na: http://forum.tibia.org.pl/showthread.php?t=181243

Pozdro ;)

Kooba, miej trochę litości, niech będzie 1/4 ;)

7 trojanów = ban na 7^6 tygodni (2262 lata)

z możliwością warunkowego odwołania sie po upływie połowy kary? ;)

"informuję, że serwis ten jest wśród fanów Tibii niezbyt popularny, wielu programistów to znakomici znawcy systemów operacyjnych i nie dadzą sie nabrać"

Sama prawda ;)

Hmm, nie zdziwiłbym się gdyby osoby umieszczające w downloadzie trojany nie miały pojęcia jak one działają. Bo po co to wiedzieć, lepiej grać w Tibię. Nie rozumiem tego...

A! Tydzień to trochę za krótko. Miesiąc co najmniej.

<quote> 5 trojanów = ban na 5^4 tygodni (12 lat) 6 trojanów = ban na 6^5 tygodni (149 lat) 7 trojanów = ban na 7^6 tygodni (2262 lata) </quote>

widzisz tu roznice?
12 lat a 2262?
To i to jest duzo

Mogę się założyć że publikują to osoby z rodziny "Dzieci Neostrady".

tygodniowym banem?! Jak dla mnie to conajmniej 25 lat.

~Dodam od siebie, ze warto patrzec na profil autora programu.. jezeli ktos jest pare dni i wrzuca cos to jest bardziej podejrzany od kogos, kto tu "siedzi" ze 2 lata

Informuje rowniez ze bede banowal tych script kiddies bezlitosnie (a pare osob ma wyobrazenie jak wyglada banowanie przeze mnie)

revcorey: żeby ludzi pownerwiać.. a ban na tydzień to stanowczo za mało :P

A i NOD32 wykrywa podczas ściągania i przerywa pobieranie więc trudno zarazić się tym wirolem :P

Ja nie rozumiem tych ludzi. Po co oni to robią? Lepsze rzeczy do roboty są

Ja ci powiem dlaczego oni to robią. Dla kasy. Mówię całkowicie serio. Podebrać ludziom postacie, sprzęt, złoto czy co tam jest w tej Tibii, a potem sprzedać na Allegro. To jest biznes.

Inna sprawa, że podpada to (rozprowadzanie trojanów nawiasem mówiąc także) pod Kodeks Karny zdaje się.

PS. Więc może tak?
1 trojan = ban na 1^0 tygodni (tydzień)
2 trojany = ban na 2^1 tygodni (2 tygodnie)
3 trojany = ban na 3^2 tygodni (2,5 miesiąca)
4 trojany = ban na 4^3 tygodni (nieco ponad 1 rok)
5 trojanów = ban na 5^4 tygodni (12 lat)
6 trojanów = ban na 6^5 tygodni (149 lat)
7 trojanów = ban na 7^6 tygodni (2262 lata)
I tak dalej ;-)