Virusul "pinguinului"

https://addons.mozilla.org/en-US/firefox/addon/1865

Incearca o faza...In Firefox descarca Adblock Plus

Dai restart la Firefox si incearca sa blochezi reclama aia cu AdBlock.

Apoi in C:\Windows\system32\drivers\etc\ este un fisier hosts fara extensie....deschide-l cu Notepad si da-i paste la continut aici.

/applications/core/interface/file/attachment.php?id=4385" data-fileid="4385" rel="">links.txt

Bannerul ala jegos si chinezesc este oprit datorita adblock-ului ,si acolo la adress scrie asa: <removed> (Nu intrati pe link ca poate va virusati ca mine) type> ****** (1.js / js= java ******? daca da...cum naiba ajunge instalat la mine?)

Insa setup.exe ala care imi apare cateodata cand dau click pe download tot nu a "plecat".

Care sa fie sursa care produce asa ceva? ca imediat dupa format general am bagat doar antivirus+firewall+antispyware+ drivere care sunt programe foarte populare sa zic asa.... iar singurul program care CRED ca imi produc neplacerile astea este programul ala de la czone (acces.czone.ro).

Am facut rost de un internet prin model mobil....in cateva minute o sa dau iarasi un format si o sa ma conectez la internet prin modem sa vad daca problema persista....dar nu....inseamna clar ca ceva din czone e problema insa sper ca cineva are vre'o teorie despre cum D-zeu a ajuns chestia asta chinezeasca instalata la mine in calculator. si nu e nimic gasit ca virus..... e ceva ce vine instalat pe altceva.....habar nu am....poate are cineva o idee mai buna

Craciun Fericit in continuare.

Asta contine fisierul host.>>>>

# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.

# This file contains the mappings of IP addresses to host names. Each

# entry should be kept on an individual line. The IP address should

# be placed in the first column followed by the corresponding host name.

# The IP address and the host name should be separated by at least one

# space.

# Additionally, comments (such as these) may be inserted on individual

# lines or following the machine name denoted by a '#' symbol.

# For example:

# 102.54.94.97 rhino.acme.com # source server

# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost

links.txt

Tot ce se intampla nu are nicio logica..... eu sincer nu mai inteleg nimic....

Am dar format si m-am conectat la internet prin modem mobil.

Am intrat pe un site care imi apare des banerul in chineza(sa zicem dau vreo 5 refresuri iar din 5, 2-3 sunt SIGUR cu baner in chineza) si aici am dat in jur de 100 de refreshuri si nu a aparut nimic....am intrat si pe altele....totul curat.... am facut rost de programul de conectare la internet de la retea( de la cineva din retea care nu are problemele astea).

Toate bune si frumoase pana cand: am bagat cablu de retea si m-am conectat cu programul asta sa-mi dea drumu la net..... POC , cum de am intrat prima data pe sit-ul ala de am zis ca am dat 100 de refresuri a si aparut pinguinul chinezesc.

Nu are nicio logica, eu sincer nu mai inteleg nimic.

Ce trebuie sa fac, ce pot sa fac? o sa sun la serviciul tehnic dar nici nu stiu cum sa le zic ca la cat de nepasatori sunt probabil o sa zica dupa ce inchide telefonu " iarasi un prost virusat care zice ca e de la noi problema"

alexcrist

Situatia e asa: nu ai virus in sistem, si nici nu prea cred ca aplicatia de conectare de la CZone este infectata. Cel mai probabil este o infectie in retea.

In aceeasi retea cu tine, la unul din ceilalti clienti ai CZone ruleaza un malware destul de agresiv, care e capabil sa monitorizeze si sa modifice cererile altor sisteme. Fenomenul se numeste ARP (Address Resolution Protocol) Poisoning.

Pe scurt, in mod normal, traficul pe internet se face in modul urmator:

- tu tastezi o adresa (ex: google.com) in browser

- conectarea efectiva la acel server (Google) nu se face dupa nume, ci dupa IP. Deci browserul mai intai se conecteaza la DNS (Domain Name Server) pentru a rezolva adresa, adica a o transforma din google.com intr-un IP al serverului Google. Procesul se cheama Address Resolution, iar protocolul se numeste ARP (Address Resolution Protocol).

- DNS-ul trimite inapoi browserului adresa IP a Google

- browserul se conecteaza la acel IP

- apoi urmeaza traficul efectiv, pana la inchiderea conexiunii

ARP Poisoning este fenomenul de modificare a cererilor catre DNS, adica:

- tu tastezi o adresa (ex: google.com) in browser

- browserul se contecteaza la DNS pentru a rezolva adresa

- un malware ce ruleaza pe un sistem din aceeasi retea cu tine intercepteaza cererea ta catre DNS, si o modifica in altceva

- browserul primeste raspuns inapoi, insa nu IPul pentru Google, ci IP-ul unui server virusat, care iti va "servi" un malware.

- urmeaza traficul efectiv pana la inchiderea conexiunii

Ideea de baza e: atat timp cat nu descarci nimic de la acel server, nu esti virusat. Toate redirectionarile pe care le primesti se fac din afara sistemului tau (stiu, este o chestie foarte nasoala, de care nu te poti apara).

AdBlock, in cazul tau, te salveaza oarecum, pentru ca blocheaza executia acelui ****** in Firefox (da, este javascript). Insa nu blocheaza deloc descarcarea acelui ******. Mai mult, ARP poisoning NU TINE CONT DE APLICATII!! Acel ******, si acel executabil, si orice se mai apeleaza sunt descarcate de orice aplicatie care face cereri catre DNS!, cuma r fi YahooMessenger (poate cel mai vulnerabil program, deoarece ruleaza pe baza de Internet Explorer, si ruleaza tot ce i se baga pe gat), Winamp (cand asculti ceva online), jocuri online, programe care isi cauta update-uri (da, inclusiv BitDefender update), etc...

Cum te poti apara?

- asigura-te ca pana cand problema nu este rezolvata, NU UTILIZEZI PE INTERNET NICIUN FEL DE INFORMATII SENSIBILE, precum parole, conturi bancare, etc... Asa cum ti se monitorizeaza cererile ARP, se pot monitoriza usor si celelate tipuri de trafic, mai ales daca sunt nesecurizate.

- asigura-te ca folosesti aplicatii bine puse la punct, actualizate cu ultimele patch-uri de securitate, inclusiv Update la Windows. Cum am spus, orice program este afectat de aceasta metoda de infectie, insa daca programul nu ruleaza acele fisiere (stie sa le filtreze), atunci esti in siguranta. YahooMessenger ar fi bine sa il eviti pana cand se rezolva problema.

Metodele de mai sus iti ofera o protectie minima. Problema trebuie rezolvata altfel: anume, telefon la asistenta tehnica a CZone, si raportarea acestor lucruri. Tu nu ai ce curata la tine in sistem, toata problema apare de la alt abonat infectat. ISP-ul este obligat sa detecteze sistemul care este infectat, si sa ii refuze accesul la retea pana cand isi rezolva problemele de securitate.

O sa incerc sa contactez un analist BitDefender pentru cateva detalii in plus despre ARP Poisoning. Stiu ca nu exista o metoda de protectie impotriva ei, dar poate exista o metoda de a detecta cine (ce IP din retea) face acest poisoning.

Cris.

Multumesc foarte mult pentru informatii , maine la prima ora pun mana pe telefon si sun la asistenta tehnica.

Macar acuma sunt 100% convins ca in calculator la mine nu e ceva..... am mai intalnit o persoana din czone care tot asa , are aceasi problema si la fel ca mine a dat format de o gramada de ori , a bagat o sumedenie de firewall , antivirus, antispy , malware si tot acelasi rezultat, PINGUINI .

Multumesc pentru informatii , Sarbatori Fericite.

alexcrist

Trebuie avut foarte mare grija cu acet tip de malware, pentru ca este extrem de agresiv si infecteaza imediat orice sistem neprotejat de un antivirus. Firewall-ul este de cele mai multe ori absolut inutil impotriva acestui tip de atac, pentru ca traficul apare (pe buna dreptate) ca fiind facut de o aplicatie legitima, careia i-a fost acordat acces la internet in prealabil.

Astfel de inectii au pus la pamant retele intregi, in special in campusurile universitare (vorbesc din proprie experienta: la Iasi un camin a avut probleme de conectare cateva saptamani din cauza unei infectii masive cu acest tip de malware anul trecut, si nu m-as mira sa se intample la fel si anul asta, din cauza proastei protectii a retelei).

Daca intotdeauna linkul care iti apare este acelasi, poti bloca accesul catre acel IP.

Deschide fisierul hosts (cel pe care l-ai postat si mai sus), si adauga la sfarsit liniile:

127.0.0.1 z.rxnmb.com
127.0.0.1 2.rxnmb.com

De asemenea, poti adauga in firewall o regula de blocare a oricarui trafic spre/dinspre IPul 121.15.220.71

Ce obtii cu asta? Cererile tale tot vor fi redirectionate catre acele destinatii, insa accesul va fi blocat (din hosts, cererile vor fi redirectionate catre sistemul tau, iar firewallul va bloca orice cerere catre IPul direct).

Dar nu vei scapa cu totul de problema, deoarece:

- cand vei da clic pe un link, sau cand vei folosi o aplicatie care are nevoie de conexiune, exista sansa sa primesti erori gen 404-not found (pentru ca traficul a fost blocat). Insa macar nu se vor mai descarca scripturi infectate si alte balarii

- e posibil ca serverul cu pricina (cel infectat) sa aiba mai multe IPuri (pe care nu le stiu), sau mai multe (sub)domenii, pe care nu le stiu... astfel incat ai putea fi redirectinat pe alte pagini cu malware.

Cu alte cuvinte, ce ti-am spus mai sus sunt cateva peticiri care ti-ar putea oferi o oarecare protectie. Rezolvarea problemei trebuie facuta tot cu ajutorul ISPului.

Executabilul care l-ai pozat (in primul post) este deja detectat de BitDefender, deci ar trebui sa fii in siguranta. Scriptul postat nu este inca detectat (si nu stiu inca ce face, pentru ca nu l-am testat), insa l-am trimis la analiza. In curand va fi semnat si el, si va fi blocat de BitDefender in timp real.

Ca o sugestie, iti recomand sa activezi scanarea traficului HTTP din BitDefender (Antivirus -> Custom level -> Scan HTTP Traffic, sau echivalentul in romana). Astfel fisierele infectate vor fi detectate si blocate inainte sa fie efectiv descarcate in sistemul tau.

Cris.

woodyman,sunt cateva firewaluri care fac filtrare ARP cum ar fi Outpost-urile(Smart ARP filtering) ,Jetico si Online Armor.Macar un mic ajutor, asa pana se rezolva problema.

Mi se pare ca si Comodo Firewall are

alexcrist

Well...fratele meu are Comodo, sta intr-un camin din Bucuresti, si "beneficiaza" din plin de efectele acetui tip de atac. Deci sunt destul de sigur ca si Comodo este cam inutil. O fi avand ceva protectii, insa nu suficient de puternice.

Despre altele nu ma pronunt, pentru ca nu cunosc pe nimeni care sa le foloseasca.

Cris.

Comodo din pacate e mai mult HIPS decat firewall <img class= " />

PC Tools Firewall 5 vine tare din urma si in plus pe langa faptul ca are un HIPS bun si este free mai are si un SPI capabil.Nu m-am uitat atent in setari dar cred ca are si asta ARP filtering undeva in setari.

Un lucru stiu sigur ,Outpost "se pricepe" putin la ARP filtering si macar pana se rezolva problema poate incerca trialul.

webby

am si eu problema asta ... tot din czone sant ... cum scap de el ?

http://keedes.ucoz.ru/news/2008-02-22-5

Salut baieti. Observ ca cei de la Czone nu se sinchisec de problema noastra. Mai jos va prezint cateva link-uri despre "pinguinul" nostru. El se numeste Xorer, i-am aflat numele in urma unei scanari cu BitDefender, dar tot nu am scapat de el. Conexiunea la net a devenit tot mai lenta pana cand nu a mai mers deloc, pc-ul se restarta din senin, si a trebuit sa formatez tot hard-discul. Dupa formatare, surpriza, am instalat BitDfender, dar antivurusul nu a mai detectat "pinguinul". Am incercat mai multe programe antivirus dar fara nici un rezultat. Probabil ca virusul nostru se actualizeaza si el de undeva pt a deveni imun la aplicatiile antimalware, antivirus , etc.

Linck-uri cu "Pinguinul" (NU sunt adrese virusate, sunt rezultate GOOGLE, cautare imagini) :

Poate BitDefander ne ofera o solutie, ca cei de la Czone inca "lucreaza" intens la problema asta.

Multumim anticipat

Am vazut pe un forum autohton ca cica s-ar fi propagat si la Clicknet. eu am Clicknet dar vad ca nimic deocamdata.

Am vazut pe un forum autohton ca cica s-ar fi propagat si la Clicknet. eu am Clicknet dar vad ca nimic deocamdata.

Sa inteleg ca deocamdata nu exista o solutie definitiva pt acest virus? La un moment dat, firewal-ul m-a avertizat ca ip-ul meu este ****. Dar acel ip detectet de firewal este diferit de ip-ul meu normal. Exista o posibilitate de a bloca accesul unui anumit ip in sistemul meu? Banuiesc ca este vorba despre ip-ul calculatorului unde ruleaza aplicatia cu pinguinul, cum spunea Cris mai sus. Acel ip a fost detectat de mai multe ori , dar nu am cordat atentie acestui fapt.

Incearca niste firewaluri-trial/freeware ca Jetico ,Outpost ,Online Armor ,asta ca sa te tina cateva saptamani ,pana rezolva aia problema.

Astea 3 din cate stiu au ARP filtering calumea,daca nu e activat default , cauti in setari si activezi.

Uite si linkurile, ca sa nu downlodati cine stie ce :

Jetico : http://www.jetico.com/download.htm

Outpost: http://www.tallemu.com/

Online Armor : http://www.agnitum.com/products/outpost/

Sper sa nu le "rada" Crysty2k5

Sm3K3R, am incercat cum ai spus, dar pana sa downloadez firewall-ul, deja virusul isi face treaba ,pt care a fost creat .Am instalat Online Armour + Bitdefender, a functionat cam 30 min dupa care sistemul a devenit f lent. In cele din urma am dat shoot down.

Am gasit o posibila rezolvare(cel putin un user mi-a confirmat)

Jegul asta de exploit nu se lasa usor.

Hai sa vedem daca merge asa:

Descarca: ComboFix si salveaza-l pe Desktop.

Creeaza un fisier nou de tip .txt cu Notepad si scrie in el ce e mai jos in citat:

File::

c:\pagefile.pif

C:\NetApi00.sys

C:\037589.log

C:\AUTORUN.INF

C:\lsass.exe.48247687.exe

C:\WINDOWS\system32\com\smss.exe

C:\WINDOWS\system32\com\netcfg.000

C:\WINDOWS\system32\com\netcfg.dll

C:\WINDOWS\system32\com\lsass.exe

C:\WINDOWS\system32\dnsq.dll

Denumeste fisierul CFScript.txt apoi trage-l peste ComboFix.exe asa cum e aratat in poza de mai jos.

Apoi asigura-te ca ai inchis toate programele care ruleaza (Yahoo Messenger, MozilaFirefox, etc) si ruleaza ComboFix. Te va intreba daca sa inceapa sa curete sistemul. Confirma cu Yes de fiecare data. Nu-l opri in timp ce scaneaza si dezinfecteaza sistemul. E posibil ca in timpul rularii lui desktop-ul sa dispara, dar nu te ingrijora.

La sfarsit va afisa rezultatele scanarii. Salveaza acel fisier si posteaza continutul AICI.

/applications/core/interface/file/attachment.php?id=4630" data-fileid="4630" rel="">ComboFix.txt

Iata ce am constatat eu: dupa ce reinstalat win xp, intamplator am intrat pe internet la ora 3 dimineata (cu win xp )fara sa fi instalat un antivirus in prealabil.Deci sistemnul era nou nout, curat ca lacrima . Surpriza mare a fost ca totul mergea ca uns, m-am conectat la net in cateva secunde, iar paginile se accesau aproape instantaneu. Totul mergea brici, nici banerul acela chinezesc nu a mai aparut deloc. Am stat aproape pe net aproape o ora. Am zis ca, in sfarsit, cei de la Czone au rezolvat problema. Am inchis compu si la ora 8 AM l-am deschis iar. Surpriza din nou: Pinguinul nostru s-a trezit dupa ce s-a odihnit probabil toata noaptea . Inchid computerul si il redeschid la ora 16:00. Acum deja este imposibil sa intru pe net. Aplicatia Czone imi da eroare E450. Am insistat de f multe ori dar fara nici un rezultat.

Postez mai jos continutul scanarii cu ComboFix. Asa cum m-a sfatuit Crysty2k5.

E clar ca cineva din retea ruleaza un program, dar la ora 3 AM doarmea saracu`

ComboFix.txt

Iata ce am constatat eu: dupa ce reinstalat win xp, intamplator am intrat pe internet la ora 3 dimineata (cu win xp )fara sa fi instalat un antivirus in prealabil.Deci sistemnul era nou nout, curat ca lacrima . Surpriza mare a fost ca totul mergea ca uns, m-am conectat la net in cateva secunde, iar paginile se accesau aproape instantaneu. Totul mergea brici, nici banerul acela chinezesc nu a mai aparut deloc. Am stat aproape pe net aproape o ora. Am zis ca, in sfarsit, cei de la Czone au rezolvat problema. Am inchis compu si la ora 8 AM l-am deschis iar. Surpriza din nou: Pinguinul nostru s-a trezit dupa ce s-a odihnit probabil toata noaptea . Inchid computerul si il redeschid la ora 16:00. Acum deja este imposibil sa intru pe net. Aplicatia Czone imi da eroare E450. Am insistat de f multe ori dar fara nici un rezultat.

Postez mai jos continutul scanarii cu ComboFix. Asa cum m-a sfatuit Crysty2k5.

E clar ca cineva din retea ruleaza un program, dar la ora 3 AM doarmea saracu`

Iti recomand din nou sa bagi un firewall calumea,si pentru ca zici ca Online Armor n-a fost bun baga un trial de Outpost si activeaza Smart ARP filtering.100% va bloca schimbarea IP-ului.

dj_bobo

Exista o mica neconcordanta intre ceea ce se intampla efectiv si ceea ce sa descris aici.

Poti incerca cu provider-ul sa setati mac-urile static reciproc.

Astfel la nivel de ARP/MAC pachetele tale vor pleca numai spre echipamentul providerului, si nu te vor mai interesa raspunsuri fictive. si vice versa.

Dece spun "poti incerca", este posibil ca acel sistem infectat sa aiba efectiv setat mac-ul gate-way-ului, caz in care... e mai delicat... si cade exclusiv in mana ISP-ului sa depisteze faptasul.

Desigur poti sa te duci peste provider si sa-i spui bai nene fa ceva, desigur asta nu e cazul cu CZone.

Oricum e problema ISP-ului nu a ta, insa pentru a rezolva mai rapid problema le poti arata acest reply.

Pentru partea tehnica:

Daca sistemul compromis seteaza mac-ul gw-ului, nu prea se poate face nimc, poate STP[spanning Tree Protocol] activat pt detectie si inchis porturi in rest ura si la gara

Daca insa sistemul compromis trimite doar ARP-Reply-uri atunci problema se rezolva cu arp -a sau m'a rog specific pt fiecare sistem.

Multa bafta,

"Desigur poti sa te duci peste provider si sa-i spui bai nene fa ceva, desigur asta nu e cazul cu CZone" De ce spui ca ca nu e cazul cu Czone? Chiar nu-i intereseaza? (ce-i drept, am sunat la ei de mai multe ori ).

Am facut cum m-a sfatuit Sm3K3R si intradevar, am obtinut rezultate incurajatoare, dar nu pt multa vreme. Am instalat Outpost si am scapat de problema timp de... o ora. Banerul aparea in continuare dar sistemul nu se mai bloca absolut deloc. Am vazut ca si acum firewal-ul imi detecta placa de retea cu un alt ip decat al meu.Este acelasi ip detectat si de ZoneAlarm. Am introdus (manual) ip-ul meu, am activat ARP si am debifat optiunea "detection automatic network" . Totul a functionat perfect, timp de aproxomativ o ora, dupa care nu am mai reusit sa folosesc internetu`. Am restartat, dar fara nici un rezultat. Eu ma intreb, cei da le Czone nu ar trebui sa depisteze automat asemenea aplicatii malware in reteaua lor? Adica, daca un abonat incearca "sa se joace de-a hackerul", nu este deconectat automat, pt a-si proteja ceilalti clientii? Sau asta e SF deja

"Desigur poti sa te duci peste provider si sa-i spui bai nene fa ceva, desigur asta nu e cazul cu CZone" De ce spui ca ca nu e cazul cu Czone? Chiar nu-i intereseaza? (ce-i drept, am sunat la ei de mai multe ori ).

Am facut cum m-a sfatuit Sm3K3R si intradevar, am obtinut rezultate incurajatoare, dar nu pt multa vreme. Am instalat Outpost si am scapat de problema timp de... o ora. Banerul aparea in continuare dar sistemul nu se mai bloca absolut deloc. Am vazut ca si acum firewal-ul imi detecta placa de retea cu un alt ip decat al meu.Este acelasi ip detectat si de ZoneAlarm. Am introdus (manual) ip-ul meu, am activat ARP si am debifat optiunea "detection automatic network" . Totul a functionat perfect, timp de aproxomativ o ora, dupa care nu am mai reusit sa folosesc internetu`. Am restartat, dar fara nici un rezultat. Eu ma intreb, cei da le Czone nu ar trebui sa depisteze automat asemenea aplicatii malware in reteaua lor? Adica, daca un abonat incearca "sa se joace de-a hackerul", nu este deconectat automat, pt a-si proteja ceilalti clientii? Sau asta e SF deja

Cred ca problema trebuie simplificata.

Ceri suport de la firma de net ,le zici ce si cum absolut detaliat si daca nu iau masuri faci sesizare la protectia consumatorului.Nu cred ca e chiar atat de greu sa rezolvi problema daca esti firma lu' peste.

Sfatul meu e sa ceri ajutorul protectiei consumatorului pentru ca nu poti folosi ce platesti.Plus ca in Romania toti au nevoie de un sut in dos ca sa se puna pe treaba <img class= " />

E hack toata ziua!

Bine, se poate rezolva si cu protectia consumatorului. Totusi as fi preferat o solutie software, un program ceva. De ce? Pai,

sa presupunem ca rezolv cu opc-ul, sau schimb furnizoru de internet si apare alt "destept", cu o aplicatie asemanatoare, ce se intampla, iar incepe "distracitia" ? Hmm...

Bine, se poate rezolva si cu protectia consumatorului. Totusi as fi preferat o solutie software, un program ceva. De ce? Pai,

sa presupunem ca rezolv cu opc-ul, sau schimb furnizoru de internet si apare alt "destept", cu o aplicatie asemanatoare, ce se intampla, iar incepe "distracitia" ? Hmm...

Treci pe PPpoE (poate chiar la furnizorul actual) si cumpara un router de duzina.N-o sa mai ai probleme.

BenassiBoy

Salutare. Ceea ce a patit woodyman patesc si eu de cam 2 saptamani. Stau in 23 August, langa Cora PTM si am acces la internet printr'o retea de cartier. Am incercat o gramada de solutii ca sa scap de acest "vierme" ce ne bantuie reteaua, insa degeaba. Practic netul meu este o varza totala, merge numai cand vrea si atunci cand vrea, se incarca foarte foarte greu paginile k ti se taie tot cheful de navigat. A incercat sugestia cu ComboFix, a tinut numai o zi si acum am revenit cu pinguinul pe paginile de internet. Alte idei? Multumesc.