Mail.Ru тестирует новый способ заражения компьютеров

[LeeMiller]

об этом уже писали но в марте
habrahabr.ru/post/172393/

[click0]

Да, писали. Но тут источник распространения — популярный сайт.

[stalkerxxl]

Поздравляю с подключением к интернету…
Эти тулбары на многих крупных сайтах стоят…

[kid2000]

Так это зайцы и мутят.
Вирусов-то там нет, там галочки простановки стартовых страниц, поисков по умолчанию и т.п.
А вот если у зайцев екзешник меняется (то moilru.ru, то Пентагон, как ниже пишут), то значит они решили денег со всех стрясти: с мыла, с рамблера-яндекса (Рамблер Пентагоном распространяется, izvestia.ru/news/549797, а на Рамблере поиск от Яндекса).
Вот и разводят всех, то один поиск поставят, то другой.

[Katenog]

Тенденция на рынке, однако. Если и мэйлру и рамблер используют подобные методы для распространения своего поиска/софта.

[XPyCT]

способ совсем даже не новый habrahabr.ru/post/172393/

[eselevsky]

Причем тут mail.ru вообще не понял

[oshibka404]

Файл подписан мэйлрушным сертификатом.
Сделать это без ведома самих мэйлрушников, мягко говоря, проблематично.

[eselevsky]

Да я понял что подпись подделана, но можно же обратить внимание на moilru.ru

[click0]

Поделитесь способом подделать чужую подпись файла :)

[eselevsky]

=) я если честно на сертификат даже бы не посмотрел, мне бы хватило такой ссылки и exe вместо песни

[vasilyev]

Мне все равно, что преступление было совершено сотрудником МВД, это же произошло не в РОВД!

[nochkin]

На линке выше написано как именно это делается.
Там смысл в том, что подписывается настоящим сертификатом mail.ru, так как они сами его для этого дали и разрешают подписывать все.

[AndrewFoma]

habrastorage.org/storage2/946/f9a/67c/946f9a67c945b0affbdf5ccefbd7fb02.jpg
habrastorage.org/storage2/bfa/fcb/365/bfafcb36517eb77e24dccc20a565f365.jpg
habrastorage.org/storage2/078/6ec/0bf/0786ec0bfc04c4208cc02da56a345acb.jpg
Только что скачал, уже другой сертификат LLC Pentagon

[backmeupplz]

Пентагон виноват в распространении вирусов!!! Теория заговора работает!!!

[UUSER]

ООО «Пентагон»

[SerCe]

«Пентагон тестирует новый способ заражения компьютеров»

[megalol]

Хоть это и оффтоп, но zaycev.net? сейчас? Поставьте расширение и качайте с вконтактика.

[skazi_premiere]

Олдскул, хардкор :) зачем все усложнять? А сертификат сейчас действительно пентагоновский :)

[Serzhenko]

Из чего-чего?!?!

[inkvizitor68sl]

А нафиг?
itmages.ru/image/view/1031004/b7d9eeb5

[nooze]

Ну хотя бы чтоб нормальные имена файлам автоматически подставлялись при сохранении

[inkvizitor68sl]

В кэше они с тем же названием оседают.
Если вы про аддоны — то да, те подставляют имена, понятное дело.

[nooze]

Да, это я про аддоны, не уследил за деревом комментов

[lightman]

Попробуйте muzebra.com. Минималистичный интерфейс, нормальная скорость скачивания, никаких капчей, ожиданий и тонн рекламы.
Но рекомендую зарегистрироваться, ибо незарегенным они иногда любят .exe отдавать.

[polyakov_andrey]

Еxе файлы мы отдавали не больше двух суток по ошибке и не отдаем больше. После вот этого поста.

[ReaderMan]

Вот спасибо за наводку )

[xwild]

Можно даже и не ставить ничего

[Anakros]

Вы удивитесь, но многие и сейчас ходят по сайтам, которые были популярны во времена WAP на телефонах.

[sharamyshara]

Вы удивитесь, но многие и сейчас отправляют смс на короткий номер чтоб получить рингтон! =)

[markmariner]

Не верю!

[silvansky]

А зря.
PS: на обложках школьных тетрадей до сих пор печатают рекламу «отправь смс, разыграй друга/получи обои/получи рингтон». Бизнес работает.

[foxmuldercp]

Вы таки себе не представляете, какие суммы вертятся в этом бизнесе — а учитывая что в некоторых странах со счета на телефоне (не NFC) можно расплачиваться не только смсками за рингтоны, а вполне себе в магазинах, это будет только расширяться. цифры устаревшие, правда, но все равно впечатляют — с википедии про ДВО. goo.gl/Wsyhk

[opposite]

если человек там не зарегистрирован? да и из вконтактика качаются файлы без обложки, а многие уже привыкли листать треки до нужной картинки

[Fedcomp]

Вы уверены что без обложки?

[opposite]

У меня подруга качает оттуда песни, уже больше 2-х тысяч скачано, нет ни в одной обложке, поэтому я предполагаю, что контакт их обрезает при загрузке для экономии места

[betrachtung]

Зачем усложнять? Регистрироваться, ставить расширение… Проще с вплеер.ру скачать.
Хотя там, помнится, мне однажды предлагали обновить флэшплеер или браузер на андроиде.

[megalol]

Вплеер.ру, насколько я помню, работает через свои прокси и на порядок медленнее. А зарегистрироваться нужно один раз и не вижу в этом проблемы. С расширением будет виден битрейт и все такое, хотя насчет обложки не уверен

[Ska1n]

на заборе х… написан, а там дрова

[skazi_premiere]

Ухты а пентагон то из сурового русского города Челябинск!

[Renius]

Эвакуировали по соображениям безопасности: теперь здесь самое маловероятное место падения очередного метиорита

[skazi_premiere]

Ну тут как посмотреть, может это был первый предупредительный выстрел в воздух :)

[forgotten]

> метиорита

[vsespb]

С точки зрения теории вероятности, в данный момент вероятность падения метеорита челябинск ни чуть не меньше, чем в любое другое место.

Но в то же время, вероятность что метеорит упадёт в какое-либо одно место два раза подряд в будущем, очень мала.

[HomoLuden]

вероятность что метеорит упадёт в какое-либо одно место два раза подряд

Я бы сказал, что вероятность этого строго равна нулю, т.к. при попадании «в какое либо одно место» метеорит разрушается и после этого вообще никуда попасть не может.
Шутка, конечно.

[oshibka404]

А мы его соберём и подкинем!

[HomoLuden]

Лучше пнуть с разбега… так он ближе к первой космической будет.

[alexanderzaytsev]

В Челябинске «Пентагоном» называется дом по ул. Чайковского 185 и когда-то бывший там интернет провайдер.

[fuzz1on]

Ждем отчет об уязвимости, позволяющую создать сертификат с любыми данными?

[Scratch]

Либо рут стырили, либо RSA взломали. Вероятность второго пока что мизерная, так что

[msuhanov]

Такой сертификат можно купить. Правда вписать в него что-то вроде «Google» или «Microsoft» нельзя, только названия малоизвестных компаний.

[VolCh]

Почему нельзя? У меня есть, допустим, ООО «Гугл», зарегистрированное в Санкт-Петербурге, Россия. На каком основании мне откажут в выдаче соответствующего сертификата?

[msuhanov]

Откажут на том основании, что для подписи вредоносных программ нужно выбирать названия скромнее, ибо с известными брендами можно «спалить» всю схему.

[proDOOMman]

Версия от челябинского пентагона предлагает установить в качестве домашней страницы рамблер.
Полный отчет: anubis.iseclab.org/?action=result&task_id=1872cbed46f2e7804e9e5e9609996635c

Порадовало

From ANUBIS:1029 to 178.218.217.19:80 — [dl.zaycev.net]
Request: GET /1a20f7d3-f387-4539-b44d-2090919aab43/18319/1831933/varum_anzhelika_-_gorodok_(zaycev.net).rar
Response: 402 «Payment Required»

[Gavrylyuk]

А что за exe то хоть? Может там ничего страшного, какой-нибудь мейлру-браузер и подписывали действительно в мейлру.

[Namolem]

И какой-нибудь mail.ru Guard, который лучше вас знает что должно стоять на вашем компьютере)

[fuzz1on]

Вы тему полностью прочитали?

[Ganga]

Там скорее всего просто ихней Downloader, который после того как наставил вам всех возможных агентов, баров и защитников, таки скачает мп3, но уже будет позно.

[fuzz1on]

Вы меня конечно простите, но можно писать более грамотно? «Ихней», «позно»…

[Gavrylyuk]

Да, так что в этом формально нет ничего незаконного, хоть и палиться не особо хочется тоже.

[timurminulin]

Лаборатория Касперского для меня потеряла репутацию после былинного отказа с акцией в World of Tanks

[WaveCut]

Напомните? А-то я и не в курсе.

[Tranced]

Держите

[nikita2206]

Да нет же, jar, я точно помню как мне на айподе в сафари предлагали обновить мою оперу!

[We1tkinD]

А у меня HDD и вирусы были на iPod.

[evil_random]

Так, а что экзешник-то делает?

[Black_Sun]

Я когда-то очень давно взял у одного хорошего человека им больше не поддерживаемый скрипт для вывода прямой ссылки на композицию, скрипт поддерживаю, изменяю когда обнаруживаю что что-то изменилось в коде и мешает получению, код подогнан под scriptish, но сохранена изначальная структура userscripts.org/scripts/show/88704
До этой новости даже и не подозревал что они теперь используют exe

[KirillovAlex]

ранее пользовался сайтом «зайцев нет» для «точечного» скачивания чего либо… немного, но зная названия всегда мог найти mp3, а вчера вместо Моцарта он мне EXE подсунуть хотел… Что в мире твориться… sex16.ru закрыли, zaycev.net вырусню отдает… эхххх

[nikita2206]

Теперь все в вк: и то, и другое…

[fshp]

Отозвать сертификат майлару, пусть им неповадно будет.

[gaelpa]

Кстати, да, кто-нибудь может отправить абузу в VeriSign?

[fshp]

Да знал бы язык молча уже отправил бы давно.

[Katenog]

На Pentagon LLC тоже тогда пишите )

[Int_13h]

Я вот сегодня антивирус пытался с утра на ноут поставить (AVG) — с офф сайта директит куда-то к нам и качает с мейлгуардом и прочим говнецом от мейла.

[WaveCut]

Потому что AVG тоже УГ.

[Int_13h]

Нунезнаю, три года пользуюсь все устраивает.

[Int_13h]

Лучше бы сказали, что такого унылого в нем. Другие бесплатные антивирусы еще унылее.

[Arcpool]

шла подарочная подписка к ноуту. Поставил — убедился- удалил.

[lehha]

Зато капчу отключили))

[kedobear]

Кстати, общая рекомендация: смените user-agent на линуксовый — и сразу будете сталкиваться с гораздо меньшим количеством дряни.

[VolCh]

Лучше сменить ось на Линукс :) Тогда дрянь даже если попадется, то вреда не нанесет.

[vlivyur]

Но помнить про WINE.

[foxmuldercp]

Зачем? просто не сидеть под админом, включить UAC, и локальными политиками запретить запуск всякого шлака кроме папочек с виндой, программными файлами (одна такая политика идет по умолчанию) и добавить вторую папочку d:\install или где у вас там инсталляшки лежат.

А дальше разговор короткий — из temp/tmp/загрузок запуск запрещен, а в d:\install исполняемый файлик для запуска еще надо кому-то переместить.
У меня в конторе на всех терминальных серверах антивирусов просто нет, потому как запуск разрешен как раз только того, что юзерам надо.

[VolCh]

Ну так «мэйлварь» будут перемещать в d:\install. Всё-таки большинство случаев «заражения» подобным — люди сами запускают екзешник с четким пониманием того, что они делают (запускают екзешник в смысле, а о последствиях не думают или доверяют источнику).

[foxmuldercp]

Если я качаю mp3 и в ответ получаю exe — сайт уходит в блеклист.
Если у пользователя мозгов нет, а администратор не может настроить безопасность локальной или удалённой системы — то это проблемы руководства данного администратора
И тут я уже ничего сделать не смогу.
А мылварь переместить в инсталл это только руками уже, атоматически всякий шлак запуститься уже не сможет

[WolfSkull]

Может групповой иск подать? Хотя бы в Lenta.ru на это обратили внимание.

[yeee737]

Файл подписан цифровой подписью его производителя — компании Mail.Ru и находится на серверах Mail.Ru, что дополнительно подтверждает происхождение и благонадежность этого файла.

[Kovu]

А мне вот кажется, что в свете последних событий, файлы подписанные Mail.Ru должны автоматом блокироваться и удаляться.

[crackos]

На родительском ноутбуке недавно неизвестно откуда появился и стал дефолтным браузер Интернет от мейлру, видимо, именно оттуда, т.к. они как раз качают музыку с зайцевнет.

[glamurchik]

задрал этот мейл.ру, и яндекс! все время свои браузеры тычут… но наверное они в правильном русле ибо ставят же! умудряются! это как Киевстар (Украина) предлагают роутер пять раз в неделю, когда он у тебя есть, и ты каждый раз отвечаешь им это, записать не могут… а еще другие «вам нужен наш подписной пакет каналов к телевизору?»… а я им «телевизора нет»… и они переходят на родственников, друзей… колапс в мозгах… а зайцевнет еще жив? :) вконтакте проще и без рекламы

[korum]

Да ладно вам, я вот как-то в волю позвонил когда отпадал инет, так девочка пять раз спрашивала откуда у меня конкретно этот модем с паузами в один-два косвенных вопроса не понимая что «свое» все еще со времен проводки коаксиалки в квартиру, а не их дерьмо которое предлагали при подключении

[suslayer]

Давно пользуюсь savefrom.net. Есть расширения для всех браузеров.