Вирус Троян PHP/BackDoor

[freelancer]

Архив был заблокирован сразу когда об этой ситуации стало известно. Сейчас на форуме в архиве другой файл

[adr]

Да, подойдёт.

Форум не мой, кстати. Иногда я об этом жалею.

Я вообще сторонник, чтобы разбирательствами занималась милиция, прокуратура и адвокаты, поэтому был бы всем пользователям безмерно благодарен, если бы вы обращались туда сразу напрямую, официально оформляя взаимодействие как с разработчиками, так и продавцами, или же принимая условия оферты и связанные с этим риски в размере пары-другой десятков долларов.

 

 

Да, подойдёт.

Форум не мой, кстати.

 

Я в шоке, не буду с Вами общаться на эти темы, Вы не имеете полномочий, прошу Вас меня не провоцировать на жесткие меры. С уважением к Вашему труду.

 

[adr]

Архив был заблокирован сразу когда об этой ситуации стало известно. Сейчас на форуме в архиве другой файл

 

Вы тоже модератор, Вы не имеете полномочий на эту тему общатся? я правильно понял.?

[rb2]

Я готов предоставить необфусцированный файл администрации форума и вот сайт обфускатора atomiku.com/online-php-code-obfuscator/

Пускай администрация проверяет результат обфускации и проверку на вирусы до и после обфускации.

Без обфусцированного файла, который был удалён топик-стартером и на который ругались антивирусы, данная проверка будет иметь мало смысла. Надо хотя бы иметь возможность сравнить результаты.

Или тот файл попытаться раскодировать. На указанном сайте обфускатора кто-то выкладывал дешифровщик (возможно, устаревший). И эту возможность возможно, стоит дать любому, кто захочет с дешифровкой и получением оригинального содержимого повозиться. Потому что если меня кто-то попросит заняться дешифровкой - я откажусь, своих забот хватает. А этот хак и декомпиляция - не пятиминутное дело. И мне, в общем, даром не надо, как я уже выше объяснял.

[adr]

Без обфусцированного файла, который был удалён топик-стартером и на который ругались антивирусы, 

 

Если это я, то у меня есть, архив, тот который я купил, с трояном, есть архив, который я скачал перед тем как писать оф жалобу, есть файл с  сервера, есть вирусованый файл в антивирусе в его хранилище, но выдам, теперь, только официально администрации форума.

[rb2]

adr сказал(а) 03 Окт 2014 - 2:48 PM:

Да, подойдёт.

Форум не мой, кстати.

Я в шоке, не буду с Вами общаться на эти темы, Вы не имеете полномочий, [...]

Спасибо.

А в шоке Вы от чего - от моего желания выслушать обе стороны конфликта и разобраться в ситуации, поняв, был ли там изначально вирус, кем скорей всего внесён и обоснованы ли Ваши обвинения?

Понимаете ли Вы, что Вам здесь помочь пытаются, убедившись в наличии/отсутствии бекдора и пытаясь понять, как и в какой точке он туда попал? И для этого необязательно иметь нимб над головой и статус администартора - Вы ведь пришли изначально именно за этой помощью к другим участникам форума. Ну вот они мы, другие участники. Пытаемся.

[rb2]

adr сказал(а) 03 Окт 2014 - 2:57 PM:

Если это я, то у меня есть, архив, тот который я купил, с трояном, есть архив, который я скачал перед тем как писать оф жалобу, есть файл с сервера, есть вирусованый файл в антивирусе в его хранилище, но выдам, теперь, только официально администрации форума.

Если решитесь довериться @freelancer-у, который уже взялся чистый файл закодировать тем же сервисом, отошлите ему Вашу копию заражённого файла. От этого доказательства у Вас не испарятся. А @freelancer сможет сравнить два закодированных файла.

Это поможет дать ответ - являются ли результаты работы сайта-шифратора идентичными. То есть он туда что-то своё к шифрованным файлам добавляет или уже было добавлено.

[adr]

Пытаемся.

 

Вы, модератор, без полномочий решать такие вопросы которые затронули, изначально, если Вам дали такие полномочия, то сообщите об этом. О Вашем поведении в данной ветке, будет написана официальная претензия, так как Вы провоцируете меня, как  пострадавшего, на жесткие меры именно к форуму ( его владельцу)

 

Еще раз повторю, что из за провокаций, файлы не кому кроме официальной администрации не выдам

 

 

 

Сейчас отъеду, по этой теме, до 20-00 МСК скорей всего меня не будет , ЕСЛИ ЧТО

Змінено 3 жовтня 2014 користувачем adr

[Rostov85]

Видео сей обфускации и проверка на вирусы доступно по адресу 

 

и прикреплено к сообщению

 

[Rostov85]

видео обфускации и проверка на вирусы до и после обфускации ___http://www.youtube.com/watch?v=902AxWDAhCM&feature=youtu.be

 

я надеюсь теперь все вопросы отпадут

[rb2]

adr сказал(а) 03 Окт 2014 - 3:23 PM:

Вы, модератор, без полномочий решать такие вопросы которые затронули, изначально, если Вам дали такие полномочия, то сообщите об этом.

Вы вообще, простите, о чём? Вы написали в форум "Поддержка и ответы на вопросы → Вопросы безопасности".

Письмо было адресовано "всем коллегам, кроме автора" (письмо процитирую ниже).

Первым откликнулся @pashast - что ж Вы ему претензий не предъявляли об отсутствии полномочий, а с меня начали?

Форум - место общения пользователей ocStore и Opencart.

Ваши доказательства никто не отбирает и возможную вину автора шаблона не отрицает.

Пытаемся разобраться. Кто-то больше, кто-то меньше. Работа, знаете ли.

Чем я Вас провоцирую? Ответами на Ваши же вопросы? Если бы не ответил - тоже наверное спровоцировал.

Вот Ваша изначальная просьба к пользователям форума (а не администрации с какими-то особыми полномочиями, кстати) помочь разобраться:

adr сказал(а) 02 Окт 2014 - 10:30 PM:

Доброго времени суток коллеги, купил платный шаблон здесь на форуме, в августе, проверял на вирусы авастом и каспером, не чего не нашел, сегодня поставил AVG, сходу нашел: Вирус Троян PHP/BackDoor

...

Если кто может (кроме автора) посмотреть файл, и почистить его , буду очень признателен, либо что подсказать.

(Ну как, не совсем изначальная - Вы активно редактируете чуть ли не каждый свой пост, но суть сообщения не поменялась.)

[freelancer]

моё мнение относительно этой ситуации следующее:

в обфусцированом файле файле содержится связка "eval(gzinflate(base64_decode", которую AVG(антивирус ТС) посчитал за PHP/BackDoor, в то время как NOD32 определил его как PHР/Obfuscated

 

я очень сомневаюсь что антивирусы деобфусциуют файлы.

 

что там реально закрыто не ясно, нужен специалист по деобфускации.

 

другими словами там не вирус, а обфусцированный код, которые некоторые принимают за вирус, что бы поставить точку нужно просто дефусцировать файлы.

 

 

 

 

Змінено 3 жовтня 2014 користувачем freelancer

[StavEXpert]

видео обфускации и проверка на вирусы до и после обфускации ___http://www.youtube.com/watch?v=902AxWDAhCM&feature=youtu.be

 

я надеюсь теперь все вопросы отпадут

Сорри за оффтоп, но.... я хотел бы вложить свое "ЗА" правоту Rostov85 :-) (объяснил причины произошедшего, исправил все и выложил свежие файлы), и "ПРОТИВ" истерик adr...  :-x

[Rostov85]

Сорри за оффтоп, но.... я хотел бы вложить свое "ЗА" правоту Rostov85 :-) (объяснил причины произошедшего, исправил все и выложил свежие файлы), и "ПРОТИВ" истерик adr...  :-x

 

Не надо за меня, я понимаю что виноват очень хорошо, но виноват лишь в том, что не проверил файл после обфускации. О чем приложенное видео ___http://www.youtube.com/watch?v=902AxWDAhCM&feature=youtu.be очень хорошо показывает. Прошу прощения за свой косяк и персонально перед adr и своими покупателями.

[StavEXpert]

Не надо за меня, я понимаю что виноват очень хорошо, но виноват лишь в том, что не проверил файл после обфускации. О чем приложенное видео очень хорошо показывает. Прошу прощения за свой косяк и персонально перед adr и своими покупателями.

Вопрос в том, что почитав всю истерику от adr я начал офигевать от его требований "казнить автора однозначно и сиюминтуно". Ему ведь никто не отказал в помощи.... Он описал вопрос - получил ответ.

Я сам работаю в сфере обслуживания уже 8 лет и всегда и всюду таких "клиентов" нетерпящих никаких объяснений, доводов и объяснений готов (пардоньте) просто удавить.

Мое ИМХО - у человека слишком мало забот в жизни. Искренне за него рад, но при таких ситуациях - прям аж подмывает подкинуть проблем таким товарищам. Дабы понимали - что для полноценного результата нужно некое количество времени. Потому как "здесь и сейчас" не всегда будет возможно.

Я  ведь не ору как он.... взял свежий архив... поменял файлик и спокоен :-)

Чего орать то так? Возник вопрос - задай и хоть чуть подожди ответа, а не бегай по всему форуму и обливай дерьмом человека...

[StavEXpert]

Не надо за меня, я понимаю что виноват очень хорошо, но виноват лишь в том, что не проверил файл после обфускации. О чем приложенное видео ___http://www.youtube.com/watch?v=902AxWDAhCM&feature=youtu.be очень хорошо показывает. Прошу прощения за свой косяк и персонально перед adr и своими покупателями.

 

Главное не просто признать ошибку -  а исправить ее.  Что Вы в полной мере и сделали. Благодарен за оперативность :)

[rb2]

freelancer сказал(а) 03 Окт 2014 - 4:58 PM:

что там реально закрыто не ясно, нужен специалист по деобфускации.

другими словами там не вирус, а обфусцированный код, которые некоторые принимают за вирус, что бы поставить точку нужно просто дефусцировать файлы.

Пока совпадает и с моими предположениями. Спасибо за проверку.

Это чистый + обфускация на сайте?

Удалось ли его сравнить с оригиналом этого же файла у ТС или из предыдущей версии архива (когда он там её скачивал)?

Если они идентичны - все вопросы остаются только к автору онлайн-обфйскатора и антивирусам.

Если нет - тоже к нему :)

Можно попросить его декодировать оба файла и сравнить контент - один исходник у нас есть, который должен совпасть.

[adr]

Пока совпадает и с моими предположениями. Спасибо за проверку.

Это чистый + обфускация на сайте?

Удалось ли его сравнить с оригиналом этого же файла у ТС или из предыдущей версии архива (когда он там её скачивал)?

Если они идентичны - все вопросы остаются только к автору онлайн-обфйскатора и антивирусам.

Если нет - тоже к нему :)

Можно попросить его декодировать оба файла и сравнить контент - один исходник у нас есть, который должен совпасть.

 

Да совершенно верно к антивирусам, вопросы есть, в письменной форме от юр лица, под официальный ответ, через прокуратуру. Готовятся.

 

Хочу заметить, что файл был помечен как очень опасный

[adr]

Видео сей обфускации и проверка на вирусы доступно по адресу 

 

и прикреплено к сообщению

 

 

Ищете независимый источник (вне форума), эксперта , вроде лаборатории Касперского, некоммерческие организации, которые борятся с кибер преступностью, итд, пусть они смотрят файл и делают заключения, Я не знаю как, платно и бесплатно, уговариваете, упрашивайте. От них файл приму, и приму заключение. Только это должны быть авторитетные товарищи, а мнение их (оценка), должна быть официальной.

[freelancer]

Это чистый + обфускация на сайте?

Удалось ли его сравнить с оригиналом этого же файла у ТС или из предыдущей версии архива (когда он там её скачивал)?

Если они идентичны - все вопросы остаются только к автору онлайн-обфйскатора и антивирусам.

Если нет - тоже к нему :)

Можно попросить его декодировать оба файла и сравнить контент - один исходник у нас есть, который должен совпасть.

Ростов скинул мне два файла. привести необфусцированный к виду обфусцированного посредством указанного сервиса у меня не вышло. там куча галок, неизвестно какие следует прижать, так же не исключено, что сервис использует генератор случайных чисел для обфускации.

не знаю как онлайн сервисы кодируют файлы и есть ли смысл сравнивать результат обфускации )

файла ТС у меня нет и пока неизвестно кто имеет полномочия его посмотреть ))

[Rostov85]

Ростов скинул мне два файла. привести необфусцированный к виду обфусцированного посредством указанного сервиса у меня не вышло. там куча галок, неизвестно какие следует прижать, так же не исключено, что сервис использует генератор случайных чисел для обфускации.

не знаю как онлайн сервисы кодируют файлы и есть ли смысл сравнивать результат обфускации )

файла ТС у меня нет и пока неизвестно кто имеет полномочия его посмотреть ))

 

Сейчас я может даже видео сделаю для сравнения кода

[Rostov85]

.

[Rostov85]

.

[Rostov85]

vjb

[freelancer]

к слову,

 

 

https://www.virustotal.com/ru/file/61e5393fd7c753264f28e0f68c13a15893b41bae422522bb130b48dc8b348757/analysis/1412355502/

info.php