Новый-старый pdf exploit

[@gerchik]

Спасибо. Взято на заметку.

[@Just123i]

>Вроде ничего подозрительного.
Хорошая шутка. ))

[@Siddthartha]

а что. нормальное сообщение. да и ссылка не сильно подозрительная. да и не с левого контакта.
я бы тоже открыл.

[@Morozhko]

а я даже открывал…
Приходило от одной знакомой…

[@GloooM]

это достаточно распространенный способ и используется помоему давно, у знакомой просто либо угнали аську, либо какойто вирусняк с её компа и отправляет это по списку контактов. Своим вроде всегда доверяешь, но не все так просто.

[@Siddthartha]

да я понимаю но обычно они сильнее палятся) типа вот вчера было «клевый тест! прикольнись http:...» ))
тут уж понятно все…

[@impass]

для анализа вредоносных и просто обфусцированных Javascript кодов отлично подходит замечательный инструмент Malzilla :)

в Информационную безопасность переместите что ли

[@neko]

Спасибо, так и сделаю.

[@aleXoid]

У меня этот топик Avast забаннил…

[@neko]

Экий Аваст подозрительный! Ему, конечно, за это плюс за такую внимательность, но это уже немного перебор :)

[@Vitality]

а почему у меня не забанил? 0_о

[@btsalex]

Avast вообще местами невменяемый.

[@gooddy]

буквально вчера такое приходил, причём с аськи знакомой, правда её номер уже давно спёрли и слали это не первый раз, не сказал бы что я параноик, но для меня это выглядит подозрительно, потому даже в первый раз это дело прошло через «cygwin -> wget», да… извращение, но зато видно что действительно там :))

[@Fushigi]

На самом деле чтобы отправить такое сообщение не обязательно тырить аську :)

[@HeadFore]

Lynx в руки

[@odessky]

Adobe? Решето!
И они еще смеют подавать в суд и сажать людей?
Да их самих засудить надо! Вот уроды, а?

[@odessky]

Еще и минусуют, суки!

[@arrowdodger]

Угу, угу, сколько адобовцев на хабре то!

[@GMM]

Маленький вопрос, если сейчас зайти по ссылке, то я заражусь трояном?

[@neko]

По какой из трёх?..

Вероятно, нет, т.к. последняя в цепочке страница пропала, но я бы рисковать на вашем месте не стал. Если хотите, берите с milw0rm (ссылка на „другой «пример»“) UU encoded код вируса, декодируйте и заражайтесь.

[@egorinsk]

Слушайте, а нафига вы устанавливаете в браузер плагин pdf? И неужели кто-то пользуется унылым адобовским просмотрщиком?

Вот кстати еще один аргумент за отключение JS + Flash на незнакомых сайтах :)

[@hellt]

вы не поверите, но «обычные» люди называют pdf документ просто акробатом.
Так как у всех крупных контор он стоит на рабочих машинах по умолчанию.

[@impass]

вообще-то, PDF читалка уже довольно давно называется просто Adobe Reader, а не Acrobat

[@hellt]

это мы с Вами знаем как читалка называется. А я работаю в крупном проектном институте, где уровень IT-осведомленности средний по больнице. Вот у нас людям даже в голову не приходит, что pdf можно открыть чем-то другим нежели «акробатом».

[@hellt]

как правило FoxIt Reader

[@hellt]

www.foxitsoftware.com/pdf/reader/

[@Toxya]

к сожалению, некорректно работает с русскими символами в полях ввода — анкету на загранпаспорт в нем не заполнишь.

[@Zeraman]

приехали.

[@Zeraman]

ваша позиция понятна, но сами же написали — айтишник.

[@Colobock]

Мне казалось, что мало кто ставит ВСЁ, что предлагает производитель материнки на диске…
Мне вообще в голову не приходит ставить все подряд. Да и дисков от моего железа давно уже не видел — там все под ХР, которой у меня уже нет. Разве что от ноута, да и то кропотливо выбирается только нужное. Даже при установке банального винампа, от которого давно отказался, снимал все лишние галки с функциями, которыми не пользуюсь.

[@g1itch]

Evince для pdf/ps

[@volanddd]

по умолчанию для всех сайтов (кроме тех которым доверяю) отключен Flash в Opera, надеюсь это меня спасло бы :-)

[@madesst]

Буквально вчера ночью пришла эта же самая ссылка от одного знакомого, к счастью, побоялся открывать.
Спасибо за статью!

[@alexxxst]

От многих людей по аське приходят такие ссылки на картинки, запарило, ей богу.
И ведь не объяснишь человеку, что у него на компьютере зоопарк, не верит, у меня, говорит, самый свежий касперский!

Последнее время тупо закрываю окно с сообщением от таких людей. Надоело.

[@Kostyanych]

На самом деле это дыра какая-то… Те люди от имени которых производится рассылка не имеют к этому никакого отношения. Мне такие сообщения приходили от товарища когда у него был выключен комп. Причем он пароль каждый день менял, думая что пароль сперли, и каждую ночь по новому сообщению приходило.
В конце концов мы решили что это дыра которая позволяет посылать сообщения якобы от имени пользователя.

[@AHDPEu]

На самом комп дыра.
Ваш товарищ логинится в асю — пароль отправляется. Спам бот копается в отчетах, видит последние обновления, подключается и шлёт от его имени. Поменять пароль на другом компе и переустановить ОС на зараженном, вот всё решение.
Был бы icq номерок красивый, врятли спамили. Просто бы пароль поменяли и продали :)

[@Kostyanych]

100% утверждать не стану, вроде от моего имени сообшения не расходились (надеюсь)
Но сообщения «от товарища» приходили ночью когда у него комп был выключен (вроде бы)…
Теперь я сам уже не уверен. :)

[@MaLikoV]

У меня такая проблема была, сообщение отправлялось не всему контакт листу, а только некоторым пользователям, не зависимо в сети они или нет. Отправка происходила в момент запуска клиента (qip). На поиске проблемы не заморачивался, пере установка системы исправила проблему. Было это года полтора назад…

[@Centro]

Приходила эта картинка в аську от знакомой дня два назад. Я еще тогда открыл и удивился «что за хрень, ничем не примечательная картинка». Хорошо что ничего не произошло.

[@Old_Chroft]

Мне эта ссылка тоже дня три-четыре назад от знакомого пришла. Самое интересное — мало того, что этот знакомый не мог быть on-line (был поздний вечер, а пришло с его рабочей аськи), так мы еще вместе перед моим компом сидели. Он сначала аж дар речи потерял.

[@Kostyanych]

Подтверждаю. Это происходит «само по себе». Ни товарищ, ни его комп для этого не нужен.

[@HeadFore]

Дайте угадаю? QIP? Вирус на серверах?

[@ilya_compman]

Не угадали. Это украденный пароль от аськи.

[@Kostyanych]

Не похоже. Ни товарищ, ни я QIP не пользовали никогда.
На краденный пароль тоже не похоже… Как я уже тут писал, он пароль каждый день менял, но каждую ночь «от него» приходило сообщение.

[@Hikedaya]

Спасибо за подробную информацию о зловреде. Мне как-то страшновато по таким ссылкам ходить (уже не первая, и, к сожалению, не последняя), поэтому тупо баню.

[@krosh]

Странно, они вроде еще 31 июля выпустили обновление безопасности (APSB09-10), которые должны были закрыть эти очень удобные уязвимости.

Какая у Вас версия Reader'a?

[@neko]

Спасибо, никакого «Ридера» у меня нет. Только Огнелис, надстройка Flashblock и флэш-модуль от Адоби.

[@krosh]

Хорошо, тогда какая версия у флэш-модуля?
Мне просто интересно, та ли это уязвимость или что-то другое.

[@neko]

Извините, не указал версию модуля: Shockwave Flash 9.0 r124

[@krosh]

Ну вот, версии Adobe Flash Player 9.0.159.0 и 10.0.22.87 (или более ранние) имеют данную уязвимость. О ней даже на Хабре новость проскакивала. Обновления доступны и надо обновиться.

www.adobe.com/support/security/bulletins/apsb09-10.html

[@orangeBat]

Согласен с призывом отключить просмотр pdf в браузере. Сейчас захотел сделать это с Chrome, но оказался в затруднительном положении — у хрома нет отключалки плагинов\дополнений. Однако решение таки нашёл.
Итак, если у вас Хром и Acrobat Reader, что бы отключить просмотр pdf в браузере, надо найти и удалить все nppdf32.dll (отвечают за отображение pdf во всех браузерах).

[@turbo_exe]

а я открыл. KAV 7 тут же заорал. печально :(

[@Agent_Smith]

Да, это печально когда антивирусы блокируют вирусы.

[@baskos]

Avast тоже выругался

[@highw]

Ха прикольно… Мне тоже такое пришло…

[@highw]

Да, еще бы неплохо было убрать ссылку

[@neko]

Ссылка изменена так, чтобы нельзя было на неё случайно кликнуть и попасть на вирусный сайт. Также не индексируется как ссылка.

Если есть желание зайти на сайт, который подробно раписан как источник вирусной заразы – наздоровье!

[@glebon]

открыл в файрфоксе. Nоscript, естественно, такое не пропустил.

[@rianon]

Что то я не понял, а Nod-у посрать обычная БМВ ^_^, блин запускаю сканилку

[@cherneen]

У меня ESET Smart Security сразу заблокировал.

[@rianon]

Может потому что обычный NOD 3 трафик не контролирует

[@Disconnecter]

а Убунту специально не хочет заражаться или она понимает, что мне больше нравятся мерседесы? :)

[@stoune]

Не такие изнеженные машинки не для Убунту. Ей какой-то брутальный Лэнд Ровер Дифендер подавай или Ниву Патриот на худой конец.

[@Snipe]

Хм, а у меня Касперский ругнулся.

[@Snipe]

В смысле когда подобную картинку грузил из аськи.

[@RekrutUA]

А у меня фаерволик все подозрительное блочит либо я ему помогаю, и всякую такую ерунду просто не открываю, вот…

[@webprom]

adobe уже выпустил patch, update

[@alk]

Судя по странице www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows,
свежее (31.07.09) исправление 9.13 требуется только 9-й версии Reader'а.
Большая проблема с Adobe Acrobat, масса людей ставят его себе бесцельно, не зная, что pdf-ы давно и успешно можно делать бесплатно при помощи того же pdfcreator'а. Acrobat перехватывает на себя управление pdf, обновлений к нему юзеры не ставят, зная о том, что версия пиратская. Обновления, якобы, не будут устанавливаться? Вот и остается дыра в системе.
А Flash Player, кажется, раньше умел сам себя обновлять, сейчас это не так?

[@webprom]

у меня тоже стоит старая версия, но для веба скачал ридер с обновлениями. против этого вируса уже вышли обновления адоба, флэш плеера и виндос, надо все ставить.

[@Kapustos]

Вот на лайфхакере сравнили 5 пдф-ридеров: lifehacker.com/5328211/five-best-pdf-readers
Я бы давно перешел на что-то более легкое чем акробат, но в нем лучше всего рендерился текст. Однако в свете последних эксплойтов поставлю быстрый альтернативный просмотрщик по умолчанию, а если надо будет что-то побольше почитать то открою в акробате.

[@raspezdal]

мм… вот по этому вошло в привычку спрашивать на посланный линк «Что там?», ибо часто сталкивался с подобным, с контакта неважно в ирке, скайпе, аське, во время разговора приходил линк… о котором собеседник и неподозревал… и сам по началу открывал, даже бывало такое друг другу кидали линки на фотки и тут бац такой линк… теперь и спрашиваю… если собеседник ответит что подобное на: " ты о чем?" сразу ясно что там…

[@DanXai]

Спасибо тебе, автор! Только что пришло подобное же сообщение от хорошей знакомой…

[@E1vBaX]

мне вчера точно такое же приходило. Безбоязненно открываю такие ссылки т.к. стоит Noscript.
Покопался в коде страницы. По смотрел что куда делается, закрыл страницы и сообщил падруге что у нее на компе зоопарк.

[@Mokkey]

А я вот кликнул. Первый раз в жизни. Отвлекся и кликнул :(

ESET Smart Security 4 промолчал. Выскочило окошко а-ля «Adobe лицензионное соглашение». Т.к. сейчас я как раз переустанавливаю систему, то также автоматически нажал Acept. Выскочило что-то, похоже на обновление Адоба. Отказался.

Теперь в раздумьях: словил я нечто на свежеустановленный Windows 7 64-bit или нет. Smart Security проверяет, но вряд ли что-то найдет.

[@krylatij]

а не подскажите как такой javascript декодировать?
а то порылся в интернете, так и не понял как это называется правильно

[@lugansk]

unescape('\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020...')

[@lugansk]

Прошу прощения, отправилось не туда… Это в одвет на предыдущий комментарий («как такой javascript декодировать?»).

[@krylatij]

спасибо!