Вирус Троян PHP/BackDoor

[adr]

Я притензию предъявил на основании AVG, и он пометил файл как очень опасный, и у него в хранилище он находится

инфо о вирусе: http://www.avgthreatlabs.com/virus-and-malware-information/info/phpbackdoor/?name=PHP/BackDoor&utm_source=TDPU&utm_medium=SCAN&PRTYPE=AVF

 

А тот онлайн  сервис приведен как дополнительный, понимаете разницу?  хранилище на пк, и онлайн сервис, на котором у Вас  AVG показывает что все нормально.

 

к слову,

 

 

https://www.virustotal.com/ru/file/61e5393fd7c753264f28e0f68c13a15893b41bae422522bb130b48dc8b348757/analysis/1412355502/

[novik]

Я притензию предъявил на основании AVG, и он пометил файл как очень опасный, и у него в хранилище он находится

инфо о вирусе: http://www.avgthreatlabs.com/virus-and-malware-information/info/phpbackdoor/?name=PHP/BackDoor&utm_source=TDPU&utm_medium=SCAN&PRTYPE=AVF

 

А тот онлайн  сервис приведен как дополнительный, понимаете разницу?  хранилище на пк, и онлайн сервис, на котором у Вас  AVG показывает что все нормально.

 

Эти картинки как раз все и объясняют, что какой код не вводи через этот сервис, даже самый безобидный, все равно будет вирус показывать. На том основании, что автор хотел вам оригинал файла дать, а вы его по-моему даже и не потребовали. Вам лишь бы кого-нибудь наказать. Свидетелей сие деятельности уже целый форум, каждый может поручится за слишком крутой наезд на автора.

[adr]

Эти картинки как раз все и объясняют, что какой код не вводи через этот сервис, даже самый безобидный, все равно будет вирус показывать. На том основании, что автор хотел вам оригинал файла дать, а вы его по-моему даже и не потребовали. Вам лишь бы кого-нибудь наказать. Свидетелей сие деятельности уже целый форум, каждый может поручится за слишком крутой наезд на автора.

 

насмешили, Вы за всех не отвечайте, 

 

Еще раз повторяю, притензия предъявлена на основании 

AVG, и он пометил файл как очень опасный, и у него в хранилище он находится

инфо о вирусе: http://www.avgthreatlabs.com/virus-and-malware-information/info/phpbackdoor/?name=PHP/BackDoor&utm_source=TDPU&utm_medium=SCAN&PRTYPE=AVF

 

скрин прилагается

 

И очень прошу всех защитников идт, мне не отвечать, пишите в тему, а главное по теме, и картинки Ваши себе оставте, так даже по Вашим словам это картинки.

[novik]

насмешили, Вы за всех не отвечайте, 

 

Еще раз повторяю, притензия предъявлена на основании 

AVG, и он пометил файл как очень опасный, и у него в хранилище он находится

инфо о вирусе: http://www.avgthreatlabs.com/virus-and-malware-information/info/phpbackdoor/?name=PHP/BackDoor&utm_source=TDPU&utm_medium=SCAN&PRTYPE=AVF

 

скрин прилагается

 

И очень прошу всех защитников идт, мне не отвечать, пишите в тему, а главное по теме, и картинки Ваши себе оставте, так даже по Вашим словам это картинки.

 

И что? вы посмотрите что вводит freelancer  в строку обфускации, и какой вирус выдает. Это как раз говорит о том, что вируса в изначальном коде может и не быть. Причем тут автор? он что ли код туда вставил? Его сгенерировал левый сервис, вот этому сервису и предъявляйте претензии. А то, что автор код не проверил антивирусом, каждый ошибается, бывает. Это совсем не доказывает его вину.

[adr]

И что? вы посмотрите что вводит freelancer  в строку обфускации, и какой вирус выдает. Это как раз говорит о том, что вируса в изначальном коде может и не быть. Причем тут автор? он что ли код туда вставил? Его сгенерировал левый сервис, вот этому сервису и предъявляйте претензии. А то, что автор код не проверил антивирусом, каждый ошибается, бывает. Это совсем не доказывает его вину.

 

Совсем неадекватны, да это один вирус с разными названиями у разных антивирусов:

 

 

Это: Вирус Троян PHP/BackDoor дословно (черный вход) ниже это все он один:

CPR9cfb.Webshell, Webshell.M, PHP/Obfus.F, TROJ_GEN.F47V0410, PHP:Shell-EO [Trj], Backdoor.PHP.PhpShell.cs, Trojan.Html.Agent.vsvbn, Troj/PhpShel-M, UnclassifiedMalware, PHP.Siggen.16, Backdoor.PHP.WebShell.a (v), PHP/WebShell.R, Backdoor/PHP.PhpShell, Backdoor:PHP/WebShell.A, Script.Trojan.Agent.2CGRTH, Backdoor.ROIT-, PHP/Obfuscated.E, Backdoor.PHP.WebShell, PHP/PhpShell.CS!tr.bdr

 

 

Хахахаха досвидание уважаемый защитник novik, специалист по вирусам и по виновности сервисов, и конечно его вину не доказывает , это Вы потому что сказали novik, до свидание навсегда. Прошу откройте новую тему, защита ростова85, и вперед, прошу по теме общаться.

[stanr]

+

Змінено 28 листопада 2014 користувачем stanr

[Blondi]

Обфусцировала этим онлайн-обфускатором строку

<?php phpinfo(); ?>

Получила такой код, на который virustotal ругается:

<?php
eval("\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'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'\x29\x29\x29\x3B");
?>

Сделала примитивную деобфускацию, получила такой код, на который virustotal не ругается.:

 

<? function doeavj02451($str) {
                $a = "base64_decode";
                $b = "gzinflate";
                return $b($a($str));
            } ?>

Глубже не смогла. И исходная функция явно не просматривается, и на вирус не похоже, но может кто что подскажет по ней?

 

Скорее всего этот онлайн-обфускатор применяет такие методы маскировки кода, которые применяют и авторы бэкдоров, и просто реагируют на сам факт сильной обфускации.

[freelancer]

Скорее всего этот онлайн-обфускатор применяет такие методы маскировки кода, которые применяют и авторы бэкдоров, и просто реагируют на сам факт сильной обфускации.

это было понятно с самого начала.

что вам подсказать?

[Гість]

Еще раз повторяю, притензия предъявлена на основании 

AVG, и он пометил файл как очень опасный, и у него в хранилище он находится

инфо о вирусе: http://www.avgthreatlabs.com/virus-and-malware-information/info/phpbackdoor/?name=PHP/BackDoor&utm_source=TDPU&utm_medium=SCAN&PRTYPE=AVF

 

 

вы бы для начала поставили платный антивирус, а не бесплатное подобие, которое брешет как беззубая собака, а сделать ничего не может... увидите от скольких проблем вы избавитесь...

[Nameless]

напоминает покупательский экстремизм, к стати прокуратура является надзирающим органом туда писать в данном вопросе можно чуть с большим успехом, чем президенту :-D

[adr]

это было понятно с самого начала.

что вам подсказать?

 

Хорошо, что напомнили о себе, друзья, а то как то подзабыл: 

так как официальная жалоба не была рассмотрена!

 

Претензии теперь к администрации и владельцам форума, за распространение вирусов и потенциально опасных программ.

 

К новому году готовим :

 

1.Официальная обуза Вашему хостеру в Германии, с заявлением в полицию о уголовном преступлении на территории Германии, через посольство в Москве

тема - распространение вирусов , копия СК РФ

2. Официальная жалоба к регистратору доменных имен 

тема распространение вирусов, копия заявления в полицию Германии с отметкой о принятии, копия в СК РФ, с отметкой о принятии.

3. Заявление в СК РФ об уголовном притуплении на территории РФ, распространение вирусов, с отметкой о принятии.

4. Заявление в Роскомнадзор, с приложенными выше перечисленными копиями , о блокировки на территории РФ, с отметкой о принятии, + копия

5. Заявление в СК РФ О БЛОКИРОВКЕ ,на территории РФ, с отметкой о принятии, + копия

 

Файл с вирусом у меня существует, реакции администрации у меня нет, до сих пор !, но я думаю к Новому году появится :-) ,

 

чтоб понимание с самого начала было глубже

 

 

Змінено 14 грудня 2014 користувачем adr

[Гість]

adr вы вообще в адеквате?

[adr]

adr вы вообще в адеквате?

 

koreshok, вы знаете, в полном 

[freelancer]

Хорошо, что напомнили о себе, друзья, а то как то подзабыл: 

так как официальная жалоба не была рассмотрена!

 

Претензии теперь к администрации и владельцам форума, за распространение вирусов и потенциально опасных программ.

извиняюсь, что вы курите?

[adr]

Давайте, удаляйте сообщения, еще чего нибудь удалите, и предупреждений побольше, побольше, но только вирусы на вашем форуме будут распространятся , это же святое для вас, в любом случаи все темы  и сообщения , скриншотируются

[freelancer]

надеюсь вы скриншоты заверяете нотариально?

[Gaziz]

надеюсь вы скриншоты заверяете нотариально?

:-D

На фотошопе можно такие скрины делать, не отличишь.

[XXXBOY]

как же я прекрасно понимаю автора шаблона у которого был куплен шаблон автором темы.

Иногда в торговли и ко мне попадаются такие гнилые люди, на все жалуются и вечно не довольные, жалуются это не работает то не работает, это зависает и тд, и в конце оказывается что у них у самих руки растут из *опы вот и причина таких последствий ,а я к сожалению не врач чтобы руки на свои места поставить =)

[Blondi]

Уважаемый adr, а проверьте пожалуйста имеющийся у Вас файл еще раз на virustotal - похоже антивирусные компании исправили это ложное срабатывание и картина немного изменилась после обновления баз. По крайней мере AVG уже не срабатывает

https://www.virustotal.com/ru/file/a5003ece20c3dece47b1ce65e38254c77b0043cac7e55c2e762fe3c898d7dccc/analysis/1418650280/

 

Если картина не изменилась, или измененная картинка Вас не устроит, то можете прислать мне зараженный файл, желательно с ЭЦП, я отправлю его на экспертизу в Лабораторию Касперского и Др.Веб.

 

Просто будет как то немного неудобно, если Вы проделаете такую работу с кучей заявлений, в такие уважаемые организации напишите, а антивирусные компании скажут что с файлом все ок...

 

Уважаемый автор шаблона - если у Вас остался тот злополучный файл, оригинал, то попробуйте его еще раз обфусцировать и проверить на virustotal.com, что получится?

[adr]

Уважаемый adr, а проверьте пожалуйста имеющийся у Вас файл еще раз на virustotal - похоже антивирусные компании исправили это ложное срабатывание и картина немного изменилась после обновления баз. По крайней мере AVG уже не срабатывает

https://www.virustotal.com/ru/file/a5003ece20c3dece47b1ce65e38254c77b0043cac7e55c2e762fe3c898d7dccc/analysis/1418650280/

 

Если картина не изменилась, или измененная картинка Вас не устроит, то можете прислать мне зараженный файл, желательно с ЭЦП, я отправлю его на экспертизу в Лабораторию Касперского и Др.Веб.

 

Просто будет как то немного неудобно, если Вы проделаете такую работу с кучей заявлений, в такие уважаемые организации напишите, а антивирусные компании скажут что с файлом все ок...

 

Уважаемый автор шаблона - если у Вас остался тот злополучный файл, оригинал, то попробуйте его еще раз обфусцировать и проверить на virustotal.com, что получится?

 

Уважаемая SouthBlondi, проверил по Вашей просьбе: https://www.virustotal.com/ru/file/cb1d5928b8ff433069c979b715813bd5b9b3e4853ceea7d5cb170ace2c069bb6/analysis/1418652886/

Вам файл уже, дать к сожалению не могу

 

Претензии к администрации форума в следующем:

 

1. Жалоба не была рассмотрена вообще, без ответа, было три попытки

2. Автору шаблона, дали убрать с сервера форума зараженный архив, и заменить на новый.

3. Файл с вирусом от меня официально ни кто не запросил 

 

По мимо выше перечисленных мер, по воздействию на администрацию форума, будут предприняты дополнительные меры:

 

Готовим заявления с жалобой на администрацию форума к :

 

1. Веб мани, будем требовать блокировки и заморозки кошельков, оплачивали через них. причина распространение вирусов на форуме

2. Киви , будем требовать блокировки и заморозки кошельков,  причина распространение вирусов на форуме

 

Далее будут еще предприняты меры, по принуждению администрации форума к решению данной проблемы.

[adr]

как же я прекрасно понимаю автора шаблона у которого был куплен шаблон автором темы.

Иногда в торговли и ко мне попадаются такие гнилые люди, на все жалуются и вечно не довольные, жалуются это не работает то не работает, это зависает и тд, и в конце оказывается что у них у самих руки растут из *опы вот и причина таких последствий ,а я к сожалению не врач чтобы руки на свои места поставить =)

 

Я к сожалению не могу ответить, как было бы положено, так как модератор https://opencartforum.com/user/674031-hangman/ меня запугал  :cry: и влепил мне предупреждение, за мое сообщение литературного выражения, и удалил его, я со страха даже добавил его в друзья. В ответ на ваше оскорбления и матерную брань. Но это такие справедливые модераторы здесь, а вам он за это , ну точно сказал спасибо и благодарность объявил, прям к бабушке не ходи. Поэтому вы и дальше продолжайте.

[Blondi]

adr, Вы хотите или нет, что бы данный файл был проверен специалистами Касперского и Веба, и что бы они дали свое заключение, что да, это не ложное срабатывание, действительно файл содержит вирус, и был помещен туда преднамеренно автором шаблона, или же это результат работы онлайн-обфускатора, и это классический InDuct-эффект?...

 

В чем проблема предоставить файл? Как мне его попросить у Вас, что бы помочь в этом вопросе, если Вы считаете что никто не хочет Вам помочь? Вот я хочу например!

[adr]

adr, Вы хотите или нет, что бы данный файл был проверен специалистами Касперского и Веба, и что бы они дали свое заключение, что да, это не ложное срабатывание, действительно файл содержит вирус, и был помещен туда преднамеренно автором шаблона, или же это результат работы онлайн-обфускатора, и это классический InDuct-эффект?...

 

В чем проблема предоставить файл? Как мне его попросить у Вас, что бы помочь в этом вопросе, если Вы считаете что никто не хочет Вам помочь? Вот я хочу например!

 

1. Как Вы себе представляете проверку файла КАСПЕРСКИМ И ВЕБОМ  их конкурента AVG ? я и сам могу его им отослать или прям отвести в офис.

2. После всех разборок и наездов сдесь и в других  темах, и после того как , ему дали удалить зараженный архив и заменить на новый, файл выдам  только по официальному запросу администрации.

3. Мне все равно, умышленно он, автор это сделал или нет, сам факт этого дерьма у меня на сервере, за мои деньги, ну очень меня огорчил.

4. Вам за помощь спасибо.

5. Единственный выход это посмотреть что там внутри в этом файле в оригинале.

 

P.S

Погуглите, как именно фрилансеры используют против клиентов эти  BackDoor, почитайте их переписку, для каких целей, я ее здесь немного публиковал, в других темах, не хочу дублировать. Если там BackDoor, то магазину хана, и серверу хана. Потом этот BackDoor, себя может и через два года себя проявить, где гарантии моей защиты от третих лиц, моих клиентов. На самом деле легче грохнуть этот магазин в топку, на хрен, и забить на этот чудо форум и чудо авторов и чудо движки. Но только я бумажками обзаведусь однозначно, с заявлениями и официальными ответами. 

[Гість]

В чем проблема предоставить файл? Как мне его попросить у Вас, что бы помочь в этом вопросе, если Вы считаете что никто не хочет Вам помочь? Вот я хочу например!

Человек задался целью всех засудить, это его право.... 

adr , вы не обижайтесь, но AVG это не антивирус, поверьте моему опыту работы с железом и ПО... более 15 лет этим занимаюсь и он не конкурент и никогда им не будет, для касперского

[adr]

Человек задался целью всех засудить, это его право.... 

adr , вы не обижайтесь, но AVG это не антивирус, поверьте моему опыту работы с железом и ПО... более 15 лет этим занимаюсь и он не конкурент и никогда им не будет, для касперского

 

 

Вы свой опыт лучше оставте у себя в туле, специалист по антивирусам

 

http://online2.drweb.com/cache/?i=015e6b0295dfb1e82ef776e1d641bd23