Table of Contents
Komputer działa wolno?
Jeśli rodziny mają w Twoim systemie usuwanie złośliwego oprogramowania nu.nl, ten przewodnik po procesie pomoże Ci to naprawić.
Komputer działa wolno?
ASR Pro to najlepsze rozwiązanie dla potrzeb naprawy komputera! Nie tylko szybko i bezpiecznie diagnozuje i naprawia różne problemy z systemem Windows, ale także zwiększa wydajność systemu, optymalizuje pamięć, poprawia bezpieczeństwo i dostraja komputer w celu uzyskania maksymalnej niezawodności. Więc po co czekać? Zacznij już dziś!
Nu.nl jest obsługiwany wraz z opartym na zegarze kodem JavaScript, który według ekspertów jest przeznaczony specjalnie do infekowania odwiedzających witrynę internetową za pomocą konia trojańskiego. NPC używali swoich serwerów w Indiach, gdzie hostowany był zestaw użytkowy.
Eric Lohman, programista w firmie SurfRight zajmującej się bezpieczeństwem, napisał na Twitterze, że pasek boczny większości witryny z wiadomościami jest ukryty przez javascript „g.js”. Kod jest instalowany wraz z Lomanem, pakietem exploitów fischer aktywowanym przez serwer sieciowy w całych Indiach. Skrypt exploita, który sprawdzał słabości przeglądarki i popularnych wtyczek, takich jak Flash, a następnie Adobe Reader. Jeśli mau został wykryty i przesłany do komputera, jeśli tak, jest to złośliwe oprogramowanie Sinowal, koń trojański pochodzenia rosyjskiego, który próbuje ukraść stale aktualizowane informacje bankowe. Sinowal zawiesza się w głównym sektorze butów do biegania i zwykle ładuje się nawet po ponownym uruchomieniu komputera.
Według Lomana Nu.The nl udostępnia trojany codziennie między 11:30 a 12:30. Ten czas został wybrany jak najbardziej celowo, ponieważ około południa sieć przyciąga więcej odwiedzających. Poinformowano, że około godziny 12:00 osoby atakujące dostosowały swój obecny Javascript do innej sieci, aby wskazać, że hostowany będzie exploit sprzętu. Loman oświadcza również, że obecnie pojawiają się doniesienia o użytkownikach sieci Windows zainfekowanych trojanami.
Nie jest jasne, w jaki sposób ta konkretna osoba atakująca uruchomiła kod JavaScript na serwerze domeny. Nu.nl wyłączył teraz wszystkie sposoby javascript. Obecnie będzie tam również mieścić się centrum wyszukiwania.
Aktualizacja 16:10: Now.en informuje teraz, dlaczego prawdziwe konto Weday CMS “wpadło w nasze niepowołane ręce”. Następnie od 11:30 do 12:30 szkodliwe oprogramowanie było oferowane za pośrednictwem strony komplementarnej. Nu.nl zakłada, że funkcjonalność tego złośliwego oprogramowania została usunięta. Ponadto zupełnie nowe dane logowania są dystrybuowane do administratorów i wydawców, a pliki są przechowywane przez nageplozen. Witryna obiecuje, że istniejąca zawartość strony może nawet zostać sprawdzona pod kątem potencjalnie złośliwego kodu.
14 marca 2012, kolejny bardzo naturalny dzień w biurze, przeglądanie mojej ogromnej listy rzeczy do zrobienia i planowanie dnia pracy. I przez kilka zwykłych dni moje plany na ten dzień są zwykle nagle przerywane przez jeden incydent. Nasi analitycy sieci w Security Operations Center byli bardzo skoncentrowani, a firmy te zwróciły się o pomoc do wszystkich Twoich obecnych działów firmy Intel. SOC musiało być bardzo rozbawione licznymi incydentami, które miały miejsce dokładnie o 11:30 czasu środkowoeuropejskiego. Przeanalizowaliśmy systemy sieciowe, zestawy exploitów i zainstalowane trojany i powszechnie stwierdziliśmy, że są one powszechnymi komponentami cyberprzestępczości w Europie/Rosji Wschodniej, znanej jako zestaw exploitów Nuclear Pack, SmokeLoader i trojany Sinowal/Torpig/Mebroot. Skontaktowaliśmy się z SurfRight, abyś wiedział, że coś jest warte zachodu, ale na szczęście pracują nad tym problemem. Spotkaliśmy się na SurfRight tydzień wcześniej, a także wspomnieliśmy o problemach z infestacją Sinowal MBR i oczywiście nie wykrywaniem i usuwaniem przez większość zaawansowanych produktów do czyszczenia/usuwania, oni również są świadomi tego rodzaju i nadal nad tym pracują. Był to więc dobry czas, aby poświęcić trochę więcej czasu na to i wystarczający powód do sukcesu, ponieważ naprawdę byli w stanie użyć wykrywania w krótkim czasie i mieć gotową funkcję czyszczenia bootkita na ten dzień.
>
Drugą miarą było sprawdzenie, która witryna internetowa jest zaufana do infekowania. Zazwyczaj są to witryny internetowe z dużą liczbą odwiedzających każdego dnia, przy czym każda infekcja jest spowodowana reklamami. Możliwe, że za pomocą zhakowanej usługi pocztowej, która przekierowuje wielu odwiedzających do zestawu przypisania. Dokonano tego w ramach studium przypadku w sierpniu 2011 r. Ten interesujący atak na moje oprogramowanie serwera reklam OpenX został również wykorzystany do upewnienia się, że rozpowszechniasz złośliwe oprogramowanie Sinowal. Inną popularną metodą jest naprawdę kupowanie legalnych reklam, które są dostępne w określonym kraju, a gdy funkcje reklamodawcy zweryfikują zasadność reklamy, zmodyfikuj naszą własną stronę, aby przekierować odwiedzających do pakietu exploitów dla Ciebie. Ta metoda nazywa się złośliwym ogłaszaniem. Podczas gdy złośliwe reklamy wymagają pieniędzy, skradzione kredyty są często wykorzystywane do uzupełniania salda konta wiadomości, aby zapewnić wiele kliknięć, zanim dokładne saldo zostanie wyczerpane przez dzieci.
Zacząłem więc szukać danych, które posiadaliśmy z żoną. Kiedy patrzę na sieć, ruch aplikacji nie dał mi znać, gdzie jest kompromis, ponieważ ponowne skupienie jest dodawane do DOM w odniesieniu do strony głównej, więc odsyłacz do ekstremalnych zestawów, które działają, to w rzeczywistości http://www . nu.nl Z powodu poprzedniego incydentu w sierpniu 2011 zacząłem oglądać pobrane treści w moich rękach po reklamie serwera. Minęło trochę czasu, ta strona to żmudna praca, ręczne kopanie wszystkich danych, aby znaleźć igłę dotyczącą stogu siana. Cóż, nie mogłem wyśledzić generatora infekcji, ponieważ nasza piaskownica telefonu udowodniła, że każde trafienie związane z nu.nl powodowało przekierowanie podczas zestawu manipulacyjnego. Zaczęło to mylić moją witrynę, potem została tylko jedna rzecz, za każdym razem, gdy jesteś, zwykle sam przeglądam pliki głównej witryny nu.nl, teraz nic nie wyróżniało się na stronie głównej, jak zestaw izolowanych skryptów , iFrame lub ukryty javascript . Byłem na dobrej drodze, kiedy trzeba było pobrać różne formaty javascript, które wyróżniały się tylko dlatego, że po prostu data wydania była dokładnie 11:30:00 CET.
HTTP/1.1 100 OKSerwer: Apache Zmieniaj: host Ostatnia modyfikacja: środa, marzec czternaście cali 10:30:00 GMT 2012 Sprawdź pamięć podręczną: max-age=86400 Wygasa: czwartek, 15 marca 2012 10:31:54 GMT. Typ treści: Aplikacja/x-Javascript P3P: policyref="http://www.nu.nl/w3c/p3p.xml", CP="BEZ DSP COR NID CURa ADMa DEVa PSAa IVAa psda IVDa NASZA IND UNI COM NAV INT STA" Długość zawartości: 2290...
| Plik był prosty i chcieliśmy tylko zobaczyć, gdzie przekieruje użytkowników końcowych, co było interesujące, ponieważ przekierował całkowicie systemy z Windows Vista/7/8 do oddzielnej lokalizacji, podczas gdy zestaw exploitów Nuclear Pack. W tej chwili skontaktowaliśmy się z nu.nl i przesłaliśmy do lokalizacji paskudny program o wartości null, który wkrótce został usunięty. Strona główna została zmodyfikowana za pomocą w incl.js, a historia została niedawno dodana.
Popraw szybkość swojego komputera już dziś, pobierając to oprogramowanie - rozwiąże ono problemy z komputerem.How To Deal With Nu.nl Malware Removal?
Что делать с удалением шпионского ПО Nu.nl?
Hoe Om Te Gaan Met Nu.nl Malware Verwijdering?
Como Isso Pode Lidar Com A Remoção De Malware Nu.nl?
Wie Gehe Ich Vor, Wenn Nu.nl-Malware Entfernt Wird?
Comment Gérer La Suppression Des Logiciels Malveillants Nu.nl ?
Come Affrontare Positivamente La Rimozione Del Malware Nu.nl?
Hur Hanterar Man Borttagning Av Spionprogram Nu.nl?
Nu.nl 악성코드 제거로 어떻게 홍보하나요?
¿Cómo Lidiar Con La Eliminación Del Software Publicitario Nu.nl?
