How to become an author
Search
Write a publication
Pull to refresh

Comments 56

Сначала прочитал «поражает Firefox и Opera» со смыслом «удивляет Firefox и Opera». Думал где-то минуту))
Total votes 14: ↑14 and ↓0+14
Если бы Firefox или Opera могли удивляться, они бы сильно удивились после посещения подобного сайта :)
Total votes 2: ↑2 and ↓0+2
Гугл, маскирующийся под вирус – вот это действительно поразительно :)
Total votes 2: ↑2 and ↓0+2
Бык удивил белую корову :)
This comment wasn’t rated yet0
вы забыли указать поражающубся ОС ;-)
Total votes 23: ↑17 and ↓6+11
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
Exe-файл отдается браузеру Opera вот по этой ссылке: _http://www.telexexchange.net/psy/load.php_
This comment wasn’t rated yet0
Опера спросила, сохранить/запустить файл load.exe или нет — это нормальное поведение встроенной качалки. Мне казалось, что вирус на уязвимом браузере должен самостоятельно и незаметно запускаться, а не спрашивать подтверждения пользователя.
This comment wasn’t rated yet0
Меня попросили распотрошить JS и дать прямую ссылку на exe-файл, что я и сделал. Чтобы вирус запускался самостоятельно и незаметно — надо запускать его в JS-обвязке.
This comment wasn’t rated yet0
У меня все включено (js), но вирус самостоятельно не запускается! В чем уязвимость Оперы???

Если для создания этой уязвимости нужно очень хитрым образом настроить браузер, то уязвимость скорее всего кроется в голове…
This comment wasn’t rated yet0
UFO just landed and posted this here
Каспер видит трояна
Total votes 4: ↑3 and ↓1+2
UFO just landed and posted this here
FF 3.0.5 ─ после отключения проверки безопасности можно увидеть исходный код. В браузере ─ белый экран, поскольку там присутствует только JS-код, и больше ничего.
Видимо, вирус определяет даже версию браузера.
Total votes 9: ↑5 and ↓4+1
FF 3.0.5 ─ после отключения проверки безопасности можно увидеть исходный код. В браузере ─ белый экран, поскольку там присутствует только JS-код, и больше ничего.
Видимо, вирус определяет даже версию браузера.
Total votes 13: ↑7 and ↓6+1
FF 3.0.5 ─ после отключения проверки безопасности можно увидеть исходный код. В браузере ─ белый экран, поскольку там присутствует только JS-код, и больше ничего.
Видимо, вирус определяет даже версию браузера.
Total votes 12: ↑7 and ↓5+2
FF 3.0.5 ─ после отключения проверки безопасности можно увидеть исходный код. В браузере ─ белый экран, поскольку там присутствует только JS-код, и больше ничего.
Видимо, вирус определяет даже версию браузера.
Total votes 11: ↑6 and ↓5+1
UFO just landed and posted this here
Видимо, всё-таки подхватил заразу :)
Total votes 3: ↑3 and ↓0+3
Для посещения и исследования такого рода заразы есть malzilla. Последнюю версию еще не щупал, но говорят, рулез немеряный :-)
Total votes 3: ↑2 and ↓1+1
Таким образом, на сегодняшний день даже использование правильных браузеров не решает проблему с вирусами
Зато проблему решает использование правильной ОС :).
Total votes 22: ↑14 and ↓8+6
Пока, может, и решает. А потом научатся подсовывать нужные бинарники и делать свое черное дело.
Total votes 1: ↑1 and ↓0+1
telexexchange.net/psy отдаёт пустую страницу.

opera 10 / debian
This comment wasn’t rated yet0
Вы зачем его дебианом пугаете? Вот он и смылся)
Total votes 1: ↑1 and ↓0+1
UFO just landed and posted this here
Приведенная выше ссылка на telexexchange не диагностируется on-line сканером Dr.Web как вирус, видимо, из-за несоответствия User-agent (пауку сканера выдается какой-либо безопасный код, а всем браузерам ─ менее безопасный).

Если это так — я поражен наивности разработчиков этого online-сканера. Это же очевидно, что при подобных проверках надо маcкироваться под IE, а еще лучше под разные браузеры по очереди.
Total votes 8: ↑8 and ↓0+8
И свои IP тоже маскировать?

Наверняка вирусописатели сначала посмотрели с каких адресов идут запросы подобных on-line служб.
Total votes 1: ↑1 and ↓0+1
ага им больше делать нечего как ip адреса смотреть, все сделано на банальном user agent :-)))
This comment wasn’t rated yet0
И свои IP тоже маскировать?
Вы считаете это большой проблемой? Тогда я поражен еще раз за сегодня
Total votes 1: ↑1 and ↓0+1
только недавно на сайте избавился от этого кода… =\
This comment wasn’t rated yet0
UFO just landed and posted this here
а можно подробнее, что это за PSYPACK такой??
This comment wasn’t rated yet0
Гы)) А я в Опере отключил проверку опасных сайтов, нечего Opera Software за мной следить)) Правда и JS с флешем отключил для неизвестных сайтов, периодически появляется желание отключить и iframe, все равно через него только эксплойты и рекламу гоняют.

Не кажектся ли вам, что вместо того чотбы городить многомегабайтные базы «вредных» сайтов, стоит ввести какую-нибудь систему тщательного аудита кода для разработчиков браузеров? К тому же черные списки не помогут, хакер-шутник может поместить вредный код на страницы взломанного добропорядочног (хотя и безответственного) сайта.
Total votes 4: ↑1 and ↓3-2
UFO just landed and posted this here
Ну про следить я конечно загнул, но блин эта проверка — лишний запрос, а пинг медленный, ну ее(( Хоть бы проверяли в фоновом режиме, не замедляя загрузку страниц.

А дырки — да, будут, хоть на МакОСь пересаживайся теперь((
This comment wasn’t rated yet0
UFO just landed and posted this here
А как вы интересно проверяли? Она по ходу осуществляется только первый раз при обращении к незнакомуому ране сайту, при пинге 150 — где-то дополнительные полсекунды, а это плохо(
This comment wasn’t rated yet0
«Имеется информация, что этот сайт атакует компьютеры!»
Firefox 3.0.5, Ubuntu 8.10

Кстати, если уж вреднючка ориентируется на User-agent, могли-бы подсовывать и не виндовый exe-шник, а ELF и т.п., в зависимости от ОС. Так что не-windows пользователям стоит быть настороже.
З.Ы. Давно хотел попробовать запустить Firefox в chrooted enviroment…
This comment wasn’t rated yet0
Пользователям предлагается переезжать на линукс
Total votes 2: ↑1 and ↓10
По ссылке _http://www.telexexchange.net/psy/load.php_ (из Оперы) подсовывается зловред, детектируемый Антивирусом Касперского как Backdoor.Win32.Agent.wci. Зловред крадет данные платежных и банковских систем
Мини-описание на сайте AV-School:
av-school.ru/desc/a-27.html
This comment wasn’t rated yet0
Я немного не понял — уязвимость есть даже в последних версиях браузеров? Т.е. я понимаю что там IE долго фиксит дыры, ну у FF может быть 0-day уязвимость, т.к. опенсорс, но ведь у Оперы о дырах становится известно только после выхода обновлений вроде… Или я не прав???
This comment wasn’t rated yet0
Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.5; ru; rv:1.9.0.1) Gecko/2008070206 Firefox/3.0.1
а нам все равно...=)
если серьезно — в понедельник надо заблочить эти сайты на прокси, а то пользователи любят игнорировать предупреждения. Кстати, может кто в режик их добавит?
This comment wasn’t rated yet0
Куда, простите, их добавит?
This comment wasn’t rated yet0
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
эээ… не читал статью, напоролся, как с ним боротся кроме /etc/hosts? DrWeb не видит =(
This comment wasn’t rated yet0
тоесть прочитал, но только сейчас, когда уже беда =)
This comment wasn’t rated yet0
Sign up to leave a comment.

Articles

Show the best of all time
Unlock dark mode

Your account

Sections

Information

Services

Support
© 2006–2024, Habr