Comments 77
И смешно и грустно, но зачем она его в комп засунула?
История совершила виток и название Aidstest заиграло новыми красками.
Новое слово в пинтестинге…
Правильно, таких пользователей должны изучать эксперты.
Есть ли здесь профессионалы, которые могли бы это проверить и сказать
мне, что это было?», — спросила у экспертов покупательница гаджета.
Выглядит как объявление о знакомстве, с подтекстом не терять времени зря на обычные условности
На скриншоте VirusTotal написано, что это не вирус.
Дальше следует истерика в курятнике. Такие ещё на рутрекере всех задолбали основательно. На VirustTotal надо пускать только после сдачи экзамена по основам чтения.
Поясняю: на VirusTotal все мэтры сказали, что это не вирус. Включая касперский. И все движки от ИБ лабораторий сказали, что это не вирус. И даже истеричная свинья Defender промолчала. И только доблестные китайские антивирусы СуньХунь и ВыньХунь обнаружили страшную угрозу! А потом релизеров с оскорблениями обвиняют в малвареварении.
P.S. Нет, что в целом такие действия прибора - это dick move, я не спорю. Но там в хорошем случае инструкция по использованию или софт для настройки. А в плохом - реклама.
Вредоносное ПО это не обязательно вирус.
Ладно, это не то, что определяют антивирусами.
Хороший антивирус должен детектировать любое вредоносное ПО, а не только вирусы.
Верно. А ещё он должен НЕ детектировать вредоносное ПО, если его нет. С этим у китайского хлама большие проблемы, но на VirusTotal его держат, вот и получаются ситуации как на скриншоте.
Так если что-то ставится без спроса пользователя, то это однозначно вредоносно ПО. И не важно, что по факту, это драйвера. Тут ключевое "без одобрения пользователя" - значит однозначно зловред. И пусть пользователь решает, ставить это "что-то" на свой комп или нет.
А вот если официальные антивирусы подобное пропускают, то это уже серьезные вопросы именно к ним.
Как определить одобрение пользователя? С точки зрения компьютера, в него воткнули флешку, клавиатуру, после чего с клавиатуры набрали команду открыть инсталлятор на флешке в quiet режиме.
Запретить quiet инсталляторы? Сейчас придут настоящие админы и скажут крепкое слово по этому поводу. Можно запретить по умолчанию запуск исполняемых файлов с флешек, (или подтверждение при подключении новой клавиатуры), но это уже скорее вопрос к самой винде.
Таки любое подключённое устройство вызывает установку драйвера, так что вам ОС придётся выкинуть.
А это была не стандартная реакция винды ака "автозапуск при подключении нового устройства". Как со времен CD появилось, так почему-то никак в дефолтное "не делай ничего" в операционке выставить не могут. На каждой новой машине отключать приходится.
То, что undetected - это, увы, пока еще ничего не означает, кроме того, что в базах антивирусов этого файла (еще) нет.
Я вот скачал, не поленился. На маке с arm-архитектурой. И вижу я там одноименный .msi файл + тучу мусорных xml файлов. Хоть я и не Virustotal, но что-то мне очень сильно подсказывает, что в файле 'Mia Khalifa 18+.msi' ничего хорошего точно не будет.
Внутри MSI находится SFX архив InstallerPlus_v3e.5m.exe, защищенный паролем с шифрованием имен файлов, созданный WinRAR. Microsoft Installer распаковывает его и запускает, передавая пароль в параметрах командной строки.
В таком виде от нас гарантировано хотят скрыть вредоносный код. Проверять запароленный архив с шифрованием имен файлов антивирусы не могут. Других причин так делать нет.
Со стороны нормального антивируса однозначно определить файл как вредоносный нет никаких оснований. Но как крайне подозрительный и потенциально нежелательный, по результатам эвристического анализа - вполне.
Если антивирус говорит, что он вирусов не нашёл, это означает лишь то, что он вирусов не нашёл.
Грамотно написанное вредоносное ПО не детектируется антивирусами, антивирусы могут понять что это вирус, только во время его работы, либо если оно уже есть в их базе
Че-т я не понял. Там прошивка устройства качает zip -архив? Не информер на рабочий стол, не майнер в браузер, не блокатор-вымогатель? Зипы ведь даже самораспаковываться не умеют вроде? И чего дальше, жалобы в тредах торрентов на то, что антивирь среагировала на кейген пролеченной раздачи, тоже станут инфоповодом?
Скорее всего обычный autorun
Если молча сработал авторан флешки - значит либо у нее ХР, либо она целенаправленно включила себе авторан. В обоих случаях ССЗБ.
Скорее всего там микроконтроллер через HID и запустил. Не поленитесь загуглить такой девайс, для зловредной эмуляции действий пользователя, как BadUSB.
Знаю прекрасно, но это все же не авторан.
С точки зрения ОС - не авторан. А вот с точки зрения пользователя от авторана отличается только неотключаемостью.
Интересно было бы продумать защиту от такого. Если подключается устройство ввода и оно не единственное подключенное в данный момент - просить пользователя подтвердить его с уже имеющегося, причем таким способом, который не заэмулировать вслепую. Хотя тогда зловред может дождаться перезагрузки... В общем, надо продумать логику, охватывающую все варианты.
Вполне может быть эмулятор клавиатуры
Удивительно. Обычно китайцы наоборот максимально экономят и в комплектном зарядном кабеле нет даже data контактов
А ведь давно уже проговорено...
Береженого бог бережет, сказала монашка, надевая презерватив на свечку.
Пользователь обнаружил и поделился зловредом для ПК в электронике гаджета для взрослых, который изучили эксперты
Кто на ком стоял?
Неудобно получилось
это ещё одно подтверждение совету "никогда не подключайте к компьютеру ЛЮБОЕ странное USB-устройство";
Мне вот каждый раз становится интересно, как вообще возникла сама идея "давайте сделаем такую штуковину, чтобы втыкаешь в компьютер железку и компьютер сразу берёт оттуда код и начинает исполнять"?
Ведь это же кто-то придумал, обосновал, утвердил.
С какого хрена это не просто пассивный носитель информации, а?
С какого хрена это не просто пассивный носитель информации, а?
А ещё есть BadUSB, и «злая» флешка может прикинуться клавиатурой и крайне быстро выполнить несколько команд
Это все с добрых времен, когда втыкаешь диск и autorun тебе запускает приложение с диска
С того что USB это ну очень Universal штука и слишком много умеет. И вполне себе бывают ситуации когда на первый взгляд - устройство просто а реально там хаб и несколько устройств.
Примеры:
Старый (а может и сейчас так) сотовые USB-модемы, там часто монтируется сначала "CDROM" с приложением оператора для управления. Если в системе еще autorun включен - само встанет. Притом что штатная модемная часть - либо имитация COM-порта через USB либо (позднее) USN Network device
Док-станции специализированные (из известных мне способов использования частых - Samsung DeX) - говорят подключенному устройству что они клавиатуры + мышь + дисплей + аудиокарта, и таки там все это есть и протоколы более менее стнадартные - можно взять тот же док HP EliteBook который для Windows 10 Mobile и будет работать с DeX(плохо но будет)
Например вначале была простая идея, безвредная - получив доступ в сеть скачать последнее обновление прошивки. Потому что выпускали в продакшен в спешке, могут быть глюки. А потом и это не допилили.
У меня тут пылесос робот начал недавно странно ездить, по другому. Раньше тупо ездил по площади, а теперь пытается "умничать". Подозреваю как раз само-обновление.
Мне вот каждый раз становится интересно, как вообще возникла сама идея "давайте сделаем такую штуковину, чтобы втыкаешь в компьютер железку и компьютер сразу берёт оттуда код и начинает исполнять"?
Истоки можно поискать где-то в 1995 году, с появлением Plug and Play в Windows 95. На тот момент это была действительно революционная технология, которая значительно упрощала настройку оборудования (когда работала :)). В том же году появился USB и все заверте...
Интересно, а под линуксом сработал бы ввод с эмулятора клавиатуры.
Эм-м-м… А как автор новости понял, что VegetableLuck обнаружилА и поделилАСЬ? Я не вижу в тексте оригинала никаких упоминаний гендера.
Там еще "Я купила в магазине Spence " хотя в скриншоте твита нет этого названия просто "mall". Но ниже там есть прямая ссылка именно на этот магаз (географически ограничена) - судя по контексту оно таки женское, но это как бы ничего не показывает.
Чисто вероятностно - именно вибратор, скорее, женский аппарат...
Впрочем, обратился к первоисточнику) Тот самый, опасный девайс - это "pussy power rechargeable bullet", но в арсенале у автора есть ещё и "MOVGANI Vibrating Cock Ring with Rose Clitoral Stimulator" (по поводу опасности подключения его к ПК тоже сомнения высказывались где-то в недрах треда).
В итоге - в сумме это указывает на разнополых партнёров, но дальше можно только гадать.
Майнер Биткоитусов) В будущем чтобы прошить такую штуку её надо будет сначала поймать) Или подманить, как кису, только вместо кис-кис, фак-фак-фак надо будет ходить кричать? Ох уж эти новости...
Такие устройства без презерватива вставлять в компуктер опасно...
Я вот тут подумал - для таких устройств надо иметь USB host под Arduino AVR или любой ARM, фиг чего запустишь и сделать вывод диагностики по USB - чего оно там эмулирует.. Но можно и одноплатник/ПК простейшие и не подключенные к сети - так сказать, аппаратная песочница, анализировать dmesg.
Хааа скоро ботнет вибраторов будет ломать пенгагон)))
Из зубных щеток нам уже обещали. Потом выяснилось что там нет WiFi
в вибраторах тоже bluetooth и протокол уже отреверсили
Ну как бы даже в исходной страничке было ж упоминание https://buttplug.io/ (написано на Rust но binding'и есть для других языков)
и ссылки на использующией данную библиотеку софт https://github.com/buttplugio/awesome-buttplug
Ждём антивирусы на вибраторы
Пользователь обнаружил зловред для ПК в электронике гаджета для взрослых, который изучили эксперты