Вирус на ровном месте

    Эта история произошла со мной прошедшей ночью.

    Время близилось к полуночи, когда я лазал по просторам и глубинам интернета в поисках текста одной красивой украинской песни. Введя в Яндекс поисковый запрос, открыл несколько табов с результатами поиска. Винт немножко потрещал, а потом выскочило подряд несколько окошек «Антивируса Касперского», с уведомлением что некий «xBXJ.exe» и несколько подобных файлов перемещены в группу «Слабые ограничения». Вслед за этим мелькнуло на долю секунды черное окошко, какое обычно выскакивает при запуске консольных программ.

    Через долю секунды после этого я уже нырял (нет, не в глубины интернета) под стол в тщетной попытке успеть выдернуть пачкорд из сетевой карты компьютера.



    Конфигурация системы:
    — Win XP со всеми патчами и апдейтами, виндовый фаервол отключён.
    — Kaspersky Internet Security 2009 с обновлениями от 24-го марта 2010 г, включён.
    — Opera 10.51 (последняя версия на текущий момент)

    Для начала я со второго компа (ноутбука) сменил пароли на почтовых ящиках и аське. Затем посмотрел логи «касперского»:

    25.03.2010 23:53:24 xBXJ.exe Фильтрация активности Помещено в группу Слабые ограничения Имеет высокое значение эвристически рассчитанного рейтинга опасности
    25.03.2010 23:53:44 joSB.exe Фильтрация активности Помещено в группу Слабые ограничения Имеет высокое значение эвристически рассчитанного рейтинга опасности
    25.03.2010 23:53:46 MjyD.exe Фильтрация активности Помещено в группу Слабые ограничения Имеет высокое значение эвристически рассчитанного рейтинга опасности
    25.03.2010 23:53:53 del.bat Фильтрация активности Помещено в группу Слабые ограничения Имеет высокое значение эвристически рассчитанного рейтинга опасности

    Честно говоря, меня удивило, что при дефолтных настройках и высоком значении рейтинга опасности «Касперский» молча пропустил файлы на исполнение.

    Потом я пообщался в инете с народом, попробовал поискать имена файлов через гуглояндекс, но имена эти явно сгенерированные, видимо поэтому поиск результатов не дал. На часах было два часа ночи, я лёг спать.
    Проснувшись, и включив комп (сетевой кабель так и не втыкал в него обратно), я увидел замечательную картинку: по центру экрана программный порнобаннер, который нельзя закрыть или свернуть; и который блокирует попытки открыть таскменеджер.

    А ещё у меня появляется новый файл: C:\Program Files\plugin.exe

    Сообщение от мошенника выглядело так:



    Отправьте SMS с текстом 1275131 на номер 8353
    Введите полученый код: [______](удалить банер)

    При возникновении проблем, Вы всегда можете обратиться по адресу:
    icq 558812836
    email: lex-doroti@mail.ru




    Ок, картина ясна и понятна, думаю, всем. Иду на сайт freedrweb.com/cure-it, и скачиваю бесплатную сканирующую утилиту. Которая, тем не менее, ничего не находит подозрительного (что странно, потому что обычно она помогает в таких случаях). Замечу, что поступал следующим образом: скачивал на ноутбук

    программу, скидывал на флешку, флешку переключателем блокировал в read-only, и только после этого втыкал в заражённый компьютер.

    Дальше я поступил следующим образом: пробиваю по интернету, кому принадлежит этот короткий номер «8353», провайдером оказывается «1-й Альтернативный провайдер» (через который чаще всего и работают мошенники). Захожу на сайт, звоню по указанному номеру. Девушка из call-центра переключает меня на 1-ю линию техподдержки (внутренний номер 555). Затем меня переключают на 2-ю линию техподдержки (прямой телефон 663-71-14), где звучат короткие гудки. Звоню второй

    раз, и третий, и четырнадцатый. Наконец, раза с пятнадцатого дозваниваюсь, объясняю ситуацию, называю текст который троян требуют отправить по смс (1275131) на номер 8353. В ответ сотрудник называет мне код, который надо ввести в этот самый порнобаннер. Код вот этот: 1968845971. Я его ввожу, нажимаю кнопку «Удалить банер», окно с порнухой исчезает. При этом «касперский», сволочь, так же спокойно разрешает запуск файла del.bat, который подтирает за собой следы.

    Работа над ошибками, или «что я сделал неправильно»:

    Во-первых, если уж я выключил основной компьютер после обнаружения вируса, надо было не включая его отсоеденить винт, и через переходник (он у меня был) подключить к ноуту для полной проверки всех файлов на вирусы, или загрузиться с Live-CD с этой же целью.

    Во-вторых, мне надо было скачать и запустить Cure-IT _до_ выключения/перезагрузки компьютера. Тогда, может быть, окно с порнухой не вылезло бы. Впрочем, это маловероятно, т.к. запуск утилиты Cure-IT при загруженном на пол-экрана программном порнобаннере не выявил никаких троянов.

    В третьих, у меня был отключен виндовый стандартный фаервол. Я полагал, что включенного KIS хватит, но — …

    В четвертых, при скане системы на уязвимые места, нашел следующие устаревшие программы с «дырками»: winamp, adobe reader, quicktime. Уязвимости в этих программах позволяли злоумышлинникам запускать вредоносный код.

    В пятых,… вопрос к залу: что я ещё сделал не так? (просьба не советовать сменить операционку, браузер, антивирус, цвет кожи, страну проживания, etc. ;-)

    Что мне ещё хочется сказать: все подобные схемы мошенничества работают только при низком контроле ОПСОСов и сервис-провайдеров (в данном случае — 1-го Альтернативного провайдера), ибо при желании можно создать такие схемы работы, которые настолько затруднят заработок мошенникам, что им будет невыгодно работать с подобными программами. Думаю, каждый может таких способов придумать — и отсрочки выплат денег, и контрольные смс-ки, и т.д. и т.п. Как говорится, было бы желание у тех, от кого это зависит.

    В общем, относительно «happy» end. Другой вопрос, что непонятно, на каком сайте я словил вирус, и какие действия для недопущения повторения ситуации мне нужно предпринять. Желающим могу в личку скинуть ссылки на подозрительные страницы (выдернул из истории браузера), на которые я заходил перед загрузкой троянов. Страницы все подозрительные — на каждой куча скрытых ифреймов с разной вложенностью, и непонятные жава-скрипты.

    Такие дела.

    UPD. В настоящее время KIS уже ловит эту бяку. Т.е. с обновлениями от 25 марта не ловил, а с обновлениями от 26-го марта уже ловит.
    Share post
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 224

      +43
      5. Дайте как угадаю… Работаете под правами администратора?
        +10
        Да. Я дурак?
          +14
          Сами догадаетесь, или как?
            +65
            Нет, вы типичный пользователь Windows :)
              –55
              Конечно же пользователи линукс под рутом никогда не сидят, ага.
                +49
                Не сидят
                  +4
                  Недавно приобрел неттоп acer revolution, там был linpus… Я долго негодавал, когда увидел, что по умолчанию доступ от рута.
                    +3
                    Я еще не слышал ни одного положительного отзыва о предустановленном на неттопы или ноуты Linux-а…
                    О чем немало сожалею…
                    При этом, хороших, и даже отличных, дистрибутивов сейчас достаточно…
                      0
                      хм, впервые такое слышу, может вы путаете с sudo?
                      какой линукс, если не секрет?
                        0
                        prefer же написал что там linups www.linpus.com/
                          0
                          Linpus Linux QuickOS

                          ух ты, честно говоря, подумал, что «Linpus» — просто стеб =)) правда обычно говорят «Линупс»))
                        0
                        Я ещё ни разу не встречал, чтоб на новом компе венда была с учёткой урезанного юзера, а не админской.
                          0
                          Ни разу не видели UAC? Не верю
                        –1
                        На серверах обычно влом под пользователем сидеть (по крайней мере мне) и каждый раз вводить пароль. А действия обычно выполняются недоступные от пользователя. Я практически всегда под рутом сижу в линуксе (на серверах). Да, наверное это небезопасно, но так мне удобнее.
                          0
                          а судо не?
                            0
                            А зачем sudo, если администратор на сервер заходит только для его настройки?
                              0
                              судо конечно да, а смысл тогда от отдельного пользователя?)
                              0
                              Браузер, почта ведь там не работают
                            +15
                            Парень, ты в порядке? При чём тут линукс?
                              +11
                              Вы не поверите, но от root даже Х-сы запускаются с огромным предупреждением, измененной цветовой схемой и прочими неприятностями. Специально, чтоб не сидели…
                              Получить привилегии из-под простого пользователя очень просто, если позволено (знаете пароль, имеете разрешение на sudo)…

                              Linux, как вторая ОС, так же позволяет решать проблемы с заражением «первой»…

                              Ну или свободно серфить в Сети, не задумываясь о подобных проблемах.
                              • UFO just landed and posted this here
                                  +2
                                  Где-то так…
                                  Только в данном требе мало кто понял бы разницу между DE и X-server (не в обиду)…
                                  Со скидкой на целевую аудиторию и излагал, на пальцах…
                                  Для тех, кто о вирусах уже давно забыл, я бы и фрагменты стартовых скриптов привел, в подтверждение…

                                  А так…
                                  Мыши, кактус, процесс…
                                  А ведь больно ж…
                              • UFO just landed and posted this here
                                  0
                                  А вы пробовали?
                                  Поставить современный дистрибутив, какой-нибудь,
                                  и в окне приглашения ввести «root» и его пароль?
                                  Прислать скриншот, или на слово поверите?
                                    0
                                    А Вы сами-то пробовали? Поставьте «современный дистрибутив, какой-нибудь» (например Убунту, как самую распространённую) и введите при логине «root» и его пароль. Вот только мне очень интересно, что Вы будете вводить в качестве пароля, ибо таковой по дефолту просто отсутствует.
                                    А те, кто его ставит, а потом логинится рутом в качестве основного пользователя — это как раз те самые «новички перешедшие с windows, потому как привыкли», как и сказал Graynder
                                      0
                                      Пробовал…
                                      Месяца два назад…
                                      У меня и пароль спросил инсталлер, и пользователя реального попросил…
                                      И пользователь этот прописан был в sudo…

                                      Версию, к сожалению, сейчас не скажу…

                                      Если новые сборки Убунты пошли с такими дырами в безопасности, то ее популярность сильно упадет…

                                      P.S.
                                      Я действительно время от времени проверяю новые дистрибутивы, потому как мне это по работе положено ;)
                                        0
                                        Пользователь, «прописанный в sudo» — это не root.
                                        // К.О.

                                        А если Вы попытаетесь залогиниться пользователем «root» (как Вы описываете выше), то Вам просто нечего будет вводить в качестве пароля, т.к. этого пароля попросту не существует.
                                        И так в Убунте было всегда, начиная с первых версий и заканчивая текущими.
                                          +3
                                          Приводить убунту в качестве безопасной системы это по меньшей мере забавно.
                                          Во-первых, вопреки распространенному среди линуксоидов мнению, у малвари нет жизненной необходимости в правах рута,
                                          Во-вторых ubuntu в дефолтной кофигурации раздает рута направо и налево (достаточно просто раз в 5 минут пытаться выполнить sudo — рано или поздно рутовый пароль окажется закеширован, ибо спрашивается на каждый чих).
                                          В-третьих, desktop-файлы в ~/.local/share/applications имеют высший приоритет по сравнению с /usr/share/applications, соответственно можно подменить как Terminal, так и Synaptics Package Manager или Update Manager на что нибудь свое
                                          В четвертых есть одна дыра, которую озаботились прикрыть от удаленной эксплуатации, но для локальной эксплуатации она висит уже более 15 лет: i.imgur.com/WCvhn.png (для тех, кому непонятно происходящее: это кейлоггер, который умеет слушать в том числе и gksudo и не требует для этого никаких привилегий)

                                          Можно еще порассуждать об изначально ущербной архитектуре безопасности в юниксах, если Вам угодно.
                                            +2
                                            >Приводить убунту в качестве безопасной системы это по меньшей мере забавно.

                                            А где я приводил её в этом качестве? Я привёл её в качестве примера «современного дистрибутива, в котором „можно“ залогиниться рутом», а остальное Вы придумали сами.

                                            >Во-первых, вопреки распространенному среди линуксоидов мнению, у малвари нет жизненной необходимости в правах рута,

                                            И об этом разговора тоже не было.

                                            Как, в общем-то, и обо всём остальном, о чём Вы пытаетесь «со мной» спорить, споря, по сути, сами с собой.
                                            Но Вы продолжайте, я не против :)
                                              +1
                                              В таком случае прошу прощения, бросился «в атаку» скорее по привычке, ибо на просторах интернета приводить Linux как malware proof систему почему то принято, хотя для этого нет ну совершенно никаких оснований.
                                                0
                                                Ничего, бывает :) Сам порой грешу подобным.
                                            0
                                            как вариант:
                                            sudo killall kdm

                                            — login — sudo startx

                                            не знаю, как в сегодня, но убунта до 8.10 позволяла залогиниться от рута. (не совсем правда, но смысл не меняется)
                                    0
                                    Начинающие скорее всего сидят. Пользователи — нет. Зачем?
                                  +6
                                  :) Прошу заметить — я этого не сказал.
                                  По факту — задайте себе вопрос зачем вам перманентные права администратора?
                                  Работаете под пользователем, когда нужно запускаете повышаете привилегии.

                                  Переходный период длится около недели, поломает немного, поднастроите где что нужно — а потом все становится очень легко и просто. Необходимо отметить что для полной картины нужно чтобы файловая система была NTFS, с установленными по умолчанию при установке правами (т.е. просто convert не даст нужного результата).
                                    +2
                                    Спасибо, займусь этим завтра.

                                    Нашел тут статью по теме: habrahabr.ru/blogs/os/28658/
                                    Действительно, новый экспиренс получается только методом проб и ушибов :(
                                      +2
                                      Всегда пожалуйста.
                                      Не болейте больше. :)
                                        0
                                        После похожего вируса тоже стал жить не под админом.
                                        Вот небольшая заметка
                                        fantaseour.livejournal.com/143958.html

                                        тоже грешу на дырявый акробат или флеш… хотя у меня также не был файрволл включен в момент заражения. патчи были свежие и опера тоже.
                                          0
                                          сейчас словил этот вот вирус, посетив сайтик windows500ru — причем не сразу, а посидев почитав 3 новости. прочел все, потянулся закрывать вкладки — и тут на тебе — вот этот самый баннер. И вылтает файрфокс (3.6.2).

                                          Грешу именно на адоб акробат (стоит вместе с флэш) — ибо также стоят следующие плагины: AdBlock Plus, Noscript и FlashBlock!
                                    • UFO just landed and posted this here
                                        0
                                        :) Вот нк нужно мне тут экстремизм приписывать, а то знаете…

                                        Я не говорю что нужно удалить на фиг все остальные приложения и хватает только работы под пользовательскими правами, я говорю что немного глупо огородить себя забором со всех сторон, дав в руки грабителям возможность перестраивать стены вашей крепости.
                                      +1
                                      Удалите файл plugin.exe с помощью Anvir Task Manager и мальварь умрет. Я уже встречал такое.
                                      Пробралась через уязвимости в системе или в установленном софте. Прелесть портативных программ — их сложнее заюзать для эксплуатации уязвимостей.
                                        0
                                        кстати да, ссылочки хотелось бы поглядеть. инетересный зверь.
                                      • UFO just landed and posted this here
                                          +2
                                          >>Работаете под правами администратора?
                                          >Да. Я дурак?

                                          Есть простая эвристика — если дело займёт две минуты, то его стоит сделать сразу же, не хороня^W откладывая в список ToDo.

                                          Так вот, заведите себе пользователя с пониженными привилегиями _прямо сейчас_. Чтоб впредь было не стыдно ходить на Хабр. (Ведь это ресурс вроде как продвинутых айтишников; а вы тут — из под админского аккаунта, facepalm же!)

                                          Второе — переходите на Windows 7. Да, она стоит дорого; но она, чёрт возьми, стоит тех денег, как никто другой.

                                          Поразбирайтесь с UAC, поковыряйте оснастку его многочисленных настроек в mmc, установите для себя паритет безопасность/удобство (но можно оставить и по умолчанию).

                                          Эти нехитрые мероприятия безусловно не являются достаточными для защиты от абсолютно всех атак. Но — чем сложней препятствия для злоумышленника, тем более сложный код ему придётся написать. Чем объёмней и сложнее код, тем больше вероятность выявления антивирусом. Большинству вирусописателей просто невыгодно тратить чрезмерно много усилий для победы 10% более-менее грамотных пользователей, им достаточно 90% неквалифицированных, которые до сих пор сидят под админскими учётками и являются лёгкой мишенью.

                                          Предлагаю вычеркнуть себя из числа последних.
                                            +2
                                            Только что так и сделал, да. Я сделал немного по-другому: текущего юзера (который у меня был с админскими правами) понизил до ограниченного юзера, а помимо него создал юзера admin уже с неограниченными правами.

                                            Это помогло сохранить все ярлыки-програмы-моидокументы, и т.п.
                                            Заодно задизейблил адоеридер в плане интернета, и отключил в нем жаваскрипты, плюс убрал штук шесть «левых» программ из авторана, и столько же сервисов стопанул и перевел во «вручную».
                                            • UFO just landed and posted this here
                                                0
                                                Я отключил жаваскрипт в пдф-ах — в настройке адобе ридера.

                                                А в браузерах он у меня включен.
                                                • UFO just landed and posted this here
                                              0
                                              А на 7-ку я на ноуте переехал уже, там выставил параноидальный режим UAC-а (жестче дефолтного).
                                            0
                                            Если совсем никак работать без админских прав, то хотя бы запускайте браузеры из-под специального ограниченного юзера через runas.
                                              –2
                                              Какая разница? Софтина с правами текущего пользователя может легко и просто заблокировать текущего пользователя, прочитать все личные данные и всё-всё-всё, что принадлежит текущему пользователю. Права админа особово превосходства не дают — в папке windows\system32 не лежит файлик с паролями от банка, а заливать туда бинарик уже давно не актуально.
                                                0
                                                Дайте как угадаю… Работаете под правами администратора? :)
                                                  0
                                                  Я? Нет. Смысл UAC (или sudo, что привычнее для юниксоидов) не в защите от вирусов, а в защите «от дурака». То есть от самого себя. Единственный вид заразы, от которой «защищает» сидение от юзера — руткиты. От всего остального (трояны, вири, кейлогеры, пиздилки паролей и личных данных, вымогатели бабла с помощью смс) сидение под юзером не помогает.
                                                    0
                                                    Понимаете в чем загвоздка.
                                                    Я не далее чем на той неделе нашел у себя непонятную группу exe-шников, имена которых явно напоминали те что указывал автор и имели одинаковый размер. Лежали себе во временной папке неделю если верить дате создания…
                                                    Я не стал разбираться что откуда — удалил их просто и живу себе дальше.

                                                    По логике вещей — да, должно быть безразлично.
                                                    По факту — 95% гадостей отсекаются.
                                                      0
                                                      Вот так вот лежали и ничего не делали. Ну-ну… Ну и пусть бы дальше лежали.
                                                        0
                                                        :) знал бы что прийдется с вами дискутировать в этом топике — обязательно сохранил бы.
                                                          0
                                                          Да я какбе не говорю, что это на 100% бесполезно. Просто сидение под админом называть защитой от вирусни — ну как-то технически не грамотно. chroot тоже можно назвать виртуализацией (:
                                                0
                                                Не угадали. Этот же троян на прошлой неделе словил коллега. ПК в домене, права обрезаны «по самые помидоры». DCOM отключен. Наружу NAT.
                                                DrWeb его тоже не заметил (по состоянию на 25.03.2010 не определяет).
                                                  0
                                                  :) историю вашего коллеги не читал, потому и не пытался угадывать.

                                                  но у меня, как у «потомственного целителя, ясновидца, зануды» возникает простой вопрос — если этот вирус записывается в program files\plugin.exe, то наверное у вашего коллеги есть как минимум права записи в эту папку? а это уже не «по самые помидоры»…
                                                    0
                                                    некоторые вещи открыты для кривых корпоративных программ, но согласитесь, что rw в «program files» не дотягивает, до «права Администратора». По предварительному исследованию троян залез через pdf.
                                                  0
                                                  Не могу не вмешаться.
                                                  Я под win7 работаю в режиме paranoia mode on — UAC включен, учетка под которой работаю имеет минимум прав, винда любую мелочь запрещает без прав администратора. На обоих учетках пассы.
                                                  Касперский 2010 не справляется по непонятным причинам с заразами на флешках, проверяет их, вроде удаляет, а при заходе на флешку (авторан зарезан на корню) выдается пачка ошибок запуска dll и система уходит в ребут. Трояны перед этим касперский находил (именно тот файл что запустился и упал).

                                                  Система не инфицировалась, прав писать в реестр, на диск C у моей учетки нет, потому троян оказался в ловушке. Но почему касперский его не вылечил/удалил и пропустил, а главное каким образом при отключенном авторане троян смог запуститься — большая загадка.
                                                  • UFO just landed and posted this here
                                                      0
                                                      а большинству из этой половины программ он реально нафиг не нужен.
                                                      и вообще, не понимаю зачем писать программу, которая постоянно задрючивает и засирает реестр. HDD уже давно не медленные и хранить настройки можно спокойно в файле. +бекап.
                                                    +4
                                                    вчера одному знакомому лечил точно такой же вирус. Он был удивлён «А откуда он взялся?», после чистки я открыл браузер, он услужливо загрузил последние вкладки и на нас бодро смотрели порнотёлки с ресурса «pornohub.com» (точного названия не запомнил, но похоже). Знакомый поник и больше не утверждал, что «откуда ни возьмись...».
                                                    Классика, что сказать.
                                                      +1
                                                      За двенадцать лет в интернете я второй раз ловлю вирус на своем компьютере.
                                                      Первый раз это было в 1999-м году. Второй — в 2010-м, то есть сейчас. Поэтому прошу принять на веру, что всяких pron_sex_jpg.exe или super_XXX_player_video.exe я не запускал.
                                                        0
                                                        что ж, всякое бывает на самом деле.
                                                          0
                                                          Возможно еще сто двадцать раз, вы имели вирус, но не поймали его. Он себе жил тихонечко, BSoD не вызывал, ничего не глючило, трафика много не жрал, антивирусами не обнаруживался. ;-)

                                                          Я тоже с одним антивиром сидел и думал что вирусы только школьники и блондинки ловят, и только когда уже совсем странные глюки винды полезли — тогда сменил антивирус и он нашел заразу. А если б проигнорировал эти странности, или если бы автор вируса был поаккуратнее — то и не знал бы, что у меня вирус есть.
                                                            0
                                                            я один раз установил Виндовс и вообще еще никуда не заходил, в течение буквально 5 минут, как поднял сеть — поймал вирус =)
                                                            просто, как говорится, не успел скачать апдейты( он, зараза, в локалке был и просто использовал уязвимость, не закрытую патчем.
                                                            • UFO just landed and posted this here
                                                                0
                                                                Современные (а не десятилетней давности) виндовсы предлагают скачать все обновления ДО начала установки.
                                                                0
                                                                > и только потом можно включить сеть и обновляться.
                                                                конечно! я же говорю, — не успел =)
                                                          –4
                                                          надо быть более внимательным!
                                                            –3
                                                            ну конечно, а то что руки у человека из ж*** растут и он вирус подцепил — это действительно удостоено широкого внимания и для помещения этой статья в раздел «информационная безопасность»..., куда катимся…
                                                            0
                                                            Введя в Яндекс поисковый запрос, открыл несколько табов с результатами поиска

                                                            Вот отсюда можно было бы и по подробнее. Что за сайт открыли? Что качнули?
                                                              0
                                                              Ничего не качал. _вообще_ ничего.
                                                              Пишу вам в личку ссылки на эти страницы, что бы отсюда народ на вирусы не накликал.
                                                                0
                                                                Можно мне тоже. Удивительно что Opera просто так exe запустила.
                                                                  0
                                                                  выслал…
                                                                    0
                                                                    Кстати, если что-то найдете — поделитесь результатом пожалуйста.
                                                                      0
                                                                      с первой ссылки пошёл редирект на www.midi.ru/song/142159/
                                                                      со второй на shanson-e.tk/forum/archive/index.php/t-48526.html
                                                                      с третьей на сам yandex.ru
                                                                      проверял на Opera 10.51, запуска каких-либо процессов не произошло, злобных скрипотов на глаз не вижу, sorry
                                                                        0
                                                                        аналогично. проверял на всех остальных браузерах — тоже ничего.
                                                                          0
                                                                          проверьте крайнюю ссылку, только что отправил.
                                                                            0
                                                                            тоже пусто :\
                                                                          0
                                                                          Я выслал ещё одну ссылку сейчас вам, пропущенную.
                                                                      0
                                                                      может запрос выложите, господам из яндекса тоже возможно будет интересно, они же так же разрабатывают антивирус, глядишь из выдачи удалят чего
                                                                      кстати запускать .exe не обязательно
                                                                        0
                                                                        Я выслал описание Касперскому, с ссылками и запросами…
                                                                        А в яндекс писать не вижу смысла, т.к. неизвестно где именно вирус был.
                                                                          0
                                                                          И всё же, напишите, пожалуйста :)
                                                                          Можно на grprgn@ya.ru.
                                                                          Спасибо.
                                                                            0
                                                                            написал в личку.
                                                                              +1
                                                                              Где-то там грузится pdf-сплойт, так что дело в акробате, а не в опере… Продолжаем исследование.
                                                                    +5
                                                                    самое интересное, что техподдержка сразу подсказала код :\
                                                                      0
                                                                      Ну, видимо я не первый.
                                                                        +8
                                                                        наверняка они поняли, что от вас вместо денег можно получить мешок проблем. А блокиратор они крышуют, поэтому и код знают. Это предположение, основанное на разных прочитанных статьях, в т.ч. на Хабре
                                                                          0
                                                                          Технически при отправке SMS с указанным префиксом на указанный номер происходит вызов обработчика партнера, а его ответ (в нем обычно и содержится код) — высылается отправившему SMS.
                                                                          Уверяю вас, не нужно иметь абсолютно никаких взаимодействий с партнером, чтобы отправить такой же запрос, зная данные партнера (секретный ключ и URL отправки в частности, а техподдержка знает их по определению) и получить код.
                                                                            0
                                                                            признаюсь вам честно — я не разбираюсь в том, что вы написали.
                                                                            Но если подумать — это же очевидно противозаконная деятельность партнёра и оператор обязан уведомить об этом начальство и быстренько всё закрыть. Почему этого не было сделано?
                                                                              0
                                                                              С этим я совершенно не собираюсь спорить, вы абсолютно правы, я просто объясняю, как они могли получить код :)
                                                                                0
                                                                                Оператор техподдержки сказал, что они блокируют таких вот деятелей после нескольких жалоб.
                                                                                  0
                                                                                  это уже радует :)
                                                                                  0
                                                                                  А разве хорошо если оператор будет блокировать всех, чей короткий номер SMS обнаружился в трояне? Так можно и совершенно легальный сервис конкурента «скачай музыку из фильма Бумер на свой мобильный» заблокировать, вставив его номер в троян и самостоятельно обратившись с жалобой.

                                                                                  Хотя с другой стороны — я вообще не знаю ни одного действительно важного и нужного SMS сервиса. Все — либо мошеннические, либо услуги для школьников. Проще б все разом запретить нафиг и все.
                                                                                    0
                                                                                    Это уже технические детали: например, можно высылать смс-ку с подтверждением, что я согласен со списанием у меня 300-та рублей. И ввести тщательную регистрацию партнеров — по паспорту, или нотариально заверенному скану, и подписанному договору. Плюс заставить класть на свой счет страховой депозит в размере 5000 рублей, плюс делать задержку выплат в две недели…

                                                                                    От одного этого выручка мошенников упадет в 100 раз, и заниматься смс-лохотронами станет невыгодно. А если прибыльность сервис-провайдеров и ОПСОСов от лишних звеньев в цепочке снизится на 2% — то меня это волнует уже в десятую очередь.
                                                                            +2
                                                                            Не думаю что это проблема, и что-то сверхважное. Скорее всего эмулируют вызов сервиса и получают ответ.
                                                                            Благо callback URLы им должны предоставляеться в обязательном порядке.
                                                                            0
                                                                            У меня на ноутбуке встроенная система бэкапа, которая позволяет слить/залить все содержимое раздела или диска. Нерегулярно я это делаю, вот, кстати сегодня надо бы. ;) Стоит озаботиться такой же — ведь всё равно есть куча 0day-дырок во флешах, Акроридерах и прочем. И будут появляться. А в случае такого факапа достаточно вынуть шнурок, слить данные за неделю(или месяц) на некий внешний носитель, а потом просто накатить прошлый слепок.

                                                                            P.S. Я не говорю о довольно экзотических вирусах, которые могут хранить себя в биосе или бут-секторе. Вторых немного, а первых — исчезающе мало.
                                                                              +1
                                                                              Перед тем как звонить провайдеру, загляните
                                                                              virusinfo.info/deblocker/ и news.drweb.com/show/?i=304&c

                                                                              Не буду советовать сменить браузер, но посоветую поискать дополнение на манер Noscript как у Firefox.

                                                                              Также, уже писали, поставьте пароль на учетную запись администратора, а сами пользуйтесь обычной.

                                                                              Еще можно прописать в файл hosts редирект на 127.0.0.1 со всех самых страшных доменов, как это делает «Spybot — Search & Destroy».

                                                                              Не обязательно, но желательно воспользоваться avz4 и hijackthis дабы выложить логи на virusinfo.info, это в том случае если осталась копия вредины и есть виртуальная машина.
                                                                                0
                                                                                Я только сам запускающий файл этого «баннера» сохранил — plugin.exe (хотя это может быть ложная мишень).
                                                                                А собственно голову трояна так и не нашел.

                                                                                Файл plugin.exe сейчас вышлю Касперскомук и ДрВебу.

                                                                                  +1
                                                                                  Голова трояна принадлежит телу владельца «первого альтернативного» — вот эти две вещи надо бы друг от друга отделить.
                                                                                  0
                                                                                  у меня стоял и Noscript и FlashBlock и AdBlock Plus за компанию — не спасло — я смотрю в сторону Adobe Acrobat — сейчас попробую повторить ситуацию, отключив этот плагин

                                                                                  0
                                                                                  Странный комментарий. Только написал — сразу карма вниз полезла.
                                                                                  Давайте еще
                                                                                  0
                                                                                  На днях лечил от этой же (на сколько могу судить по картинке) гадости комп один. Помог безопасный режим и сканирование С:\ с помощью CureIt.
                                                                                  На всякий случай в таких случаях имею загрузочную флешку с «ремонтным набором».
                                                                                    –3
                                                                                    Попробуйте последний Хром девел версию или стабильную — там ребятки молодцы — замутили такой sandbox что Pwn2own участники (а перед началом конкурса еще и пофиксили отрепорченные баги) так и не взялись за него.
                                                                                      –4
                                                                                      Подтверждаю. Сижу давно на Chrome — никаких проблем. У сына на Opera — постоянно какие-то заразы. На днях все-таки уломал его соскочить с Оперы и перейти на Хром.
                                                                                      И очень всем рекомендую AdMuncher — он режет не только рекламу, но и вредоносные скрипты.
                                                                                      +1
                                                                                      Есть подозрение, что с поиском на яндексе включение вируса просто совпало. То есть качнули раньше, он был у вас с недельку, потом запустился.
                                                                                        0
                                                                                        Возможно, но считаю маловероятным, т.к. с каждой минутой после скачки вируса увеличивается вероятность его несрабатывания:

                                                                                        — юзер включит антивирус, который был временно отключен
                                                                                        — юзер сменит слабый антивирус на сильный
                                                                                        — выйдут апдейты для антивирусов, которые заблокируют вирус
                                                                                        — заблокируется аккаунт мошенника на биллинге сервис-провайдера
                                                                                          0
                                                                                          Да, но у меня вот Avast пропустил спокойно. У вас — касперский разрешил запуститься. Так что обновляются они не так уж оперативно. А антивирус сменить — это как с ие6 на хром перейти для рядового пользователя. Впрочем, это лишь догадки.
                                                                                          0
                                                                                          во во!
                                                                                          слабо верится, чтобы вирь мог скачаться, сохранить себя куда надо, запуститься, да еще и остаться невидимым для КИСа 0_o
                                                                                            +1
                                                                                            легко
                                                                                              +1
                                                                                              вот всегда хотел на такую хрень попасться. так, чисто для расширения кругозора :)
                                                                                                0
                                                                                                запустите зевса на соседнем компе в сети и подождите пока он пролезет на ваш.
                                                                                        • UFO just landed and posted this here
                                                                                            +2
                                                                                            >Поэтому я и отключил показ PDF

                                                                                            Спасибо за идею.
                                                                                            • UFO just landed and posted this here
                                                                                                0
                                                                                                кстати, как в хроме отключить кто нибудь знает?
                                                                                                  +1
                                                                                                  www.mydigitallife.info/2007/06/17/disable-pdf-from-opening-in-web-browser-ie-firefox-opera-safari/
                                                                                                  Но вообще то лучше отключить в этом самом PDF яваскрипты (там же в настройках на строчку ниже). Или сделать и то и другое.
                                                                                                    0
                                                                                                    Ваш совет пришелся очень впору. Уж не знаю каким образом, неожиданно у меня запустился файл PDF (не в браузере, а сразу на компе), загрузился АдобеАкробат, с непонятным содержанием, и напоминанием, что для правильного отображения мне надо включить жаваскрипт.

                                                                                                    Касперский был со вчерашним обновлением — обновил его ещё раз — вируса он всё равно не видит.
                                                                                                    Отправил этот файл (который оказался в кеше оперы) в вирусоприемник Каспрского.
                                                                                                    На следующий день базы каспера обновил, и он у меня в этом файле нашел вирус. Такие дела.
                                                                                                0
                                                                                                Если можно, можете в ЛС мне отослать адрес страницы на которой был эксплоит и вас «пробило»?
                                                                                                Или хотя бы адреса всех табов которые вы открыли после поиска, разберемся.
                                                                                                  0
                                                                                                  Выше два человека пробовали — увы, не нашли.

                                                                                                  Я сам смог размотать только несколько вложенных ифреймов с динамическим содержанием, которые вели на java-script c зашифрованным содержимым.
                                                                                                    +2
                                                                                                    Нашел, на последней странице которую вы мне скинули — фрейм на trfista.info, судя по виду фрейма, это то что я искал. Сейчас разберу эксплоиты и то что там в связке.
                                                                                                      +2
                                                                                                      супер! Напишите пожалуйста, что там было :) даже если ложная тревога.
                                                                                                        0
                                                                                                        Это точно именно, то что мы искали.
                                                                                                        Как то сомнительно, что фрейм с параметрами 0,0 на ссылку.

                                                                                                        http://****.**/for.cgi?trafmlp (это ссылка на связку или TDS, где trafmlp идентификатор «поставщика» траффика) может быть чем то невинным.
                                                                                                          +1
                                                                                                          А можете показать путь, как дошли о этой страницы?
                                                                                                            +11
                                                                                                            На самом деле все просто.
                                                                                                            Вы мне в ЛС дали тот запрос на яндекс, я просмотрел ссылки которые он выдал.
                                                                                                            Первый же результат вел на страницу которая заражена, достаточно было внимательно просмотреть код
                                                                                                            на предмет подозрительных iframe / javascript, как всегда нужный iframe очень «непалевный» :)



                                                                                                            Далее, по этому урлу стоит судя по всему траффик распределительная система (TDS), она проверяет насколько жертва им подходит (страну, браузер), и если все «окей», то перекидывает на эксплоит.
                                                                                                            Мне лично она сразу выдала 403, ну чтож делать, берем прокси, ставим User Agent — IE6, и вперед :) редиректит нормально, кидает на страницу с таким кодом:



                                                                                                            А это ни что иное, как кодированный код эксплоитов с использованием JS.
                                                                                                            А код довольно интересный, вот сейчас его и разбираю…
                                                                                                              0
                                                                                                              Напишите, что получилось в итоге? (если получилось)
                                                                                                              если что-то интересное, м.б. топик на хабр?)
                                                                                                                0
                                                                                                                А напишите пожалуйста хост TDS, я его в urlfilter себе забюлокирую на всякий пожарный?
                                                                                                    –26
                                                                                                    А вот мне почему-то вас нежалко.

                                                                                                    Т.к. вы умудрились хватить вирусню на ровном месте.

                                                                                                    Не были защищены (фаерволы, антивирусы и СВЕТЛЫЙ УМ у вас были отключены).

                                                                                                    Разбирались с последствиями, а не причинами.

                                                                                                    И самое недостойное — позвонили и получили код. Чем больше будет таких позвонивших, тем больше будет процветать этот вид мошенничества…
                                                                                                      0
                                                                                                      Вы невнимательно прочитали. Антивирус был включен, и фаервол (КИС) так же работал.
                                                                                                        +2
                                                                                                        А попробуйте прочитать еще раз и понять куда именно позвонил топикстартер…
                                                                                                        Мошеннику с этого звонка не перепало ни копейки
                                                                                                          +1
                                                                                                          каюсь
                                                                                                          –1
                                                                                                          обновили бы KIS до 9 (2010) и поставьте пароль на касперского, и включите параноидальный режим все спрашивать у вас
                                                                                                            +1
                                                                                                            Работа над ошибками, или «что я сделал неправильно»:

                                                                                                            1. Работал под администраторской учеткой))
                                                                                                              +1
                                                                                                              Угу, уже покаялся выше. Обязуюсь исправиться.
                                                                                                              0
                                                                                                              Вот тебе «бабушка и Юрьев день»…
                                                                                                                +2
                                                                                                                Ночью… Песню искали… Ну ну :)
                                                                                                                  +13
                                                                                                                  И ведь никто не поверит :-(
                                                                                                                    0
                                                                                                                    Вы не поверите сколько всего можно делать ночью на компьютере. Даже не запуская браузер и плеер.
                                                                                                                      +1
                                                                                                                      спать? )
                                                                                                                        0
                                                                                                                        Чем занимаются ночью на компьютере.

                                                                                                                        s39.radikal.ru/i085/0909/94/df72802cc6d7.jpg
                                                                                                                          +6
                                                                                                                            0
                                                                                                                            В последнее время, в связи с рождением дочки, для меня этот вариант очень актуален :)
                                                                                                                              0
                                                                                                                              ага, дочка спит-папа работает до утра ) знакомо
                                                                                                                            0
                                                                                                                            А сколько всего можно делать ночью на компьютере даже не включая его!
                                                                                                                              +9

                                                                                                                              :)
                                                                                                                          +2
                                                                                                                          Кстати, у меня Kaspersky тоже выдавал предупреждения на Яндекс с высоким риском.

                                                                                                                          22.03.2010 18:28:54
                                                                                                                          Подозрительный, вредоносная ссылка
                                                                                                                          http://
                                                                                                                          mc.yandex.ru/metrika/watch.js

                                                                                                                          22.03.2010 21:31:03
                                                                                                                          Подозрительный, вредоносная ссылка
                                                                                                                          http://
                                                                                                                          mc.yandex.ru/watch/14199?rn=744406&cnt-class=1&page-ref=http%3A%2F%2Fhabrahabr.ru%2Fblogs%2Fpython%2F85459%2F&page-url=http%3A%2F%2Fhabrahabr.ru%2F&browser-info=j:1:s:1280x1024x32:f:10.0.45:w:1280x897:z:180:i:20100322213103:l:3.0.50106.0:en:utf-8:t:%D0%A5%D0%B0%D0%B1%D1%80%D0%B0%D1%85%D0%B0%D0%B1%D1%80&wmode=1
                                                                                                                            0
                                                                                                                            А я нужные mp3-шки ищу в сетях DC.
                                                                                                                              +1
                                                                                                                              Я искал не мп3-шку, а текст песни. Мп3-шка то у меня есть (по ссылке в топике)
                                                                                                                              +2
                                                                                                                              В опере перманентно отключить плагины (кажется кнопка F12) и включать только тогда, когда реально нужны на конкретном сайте.
                                                                                                                              В флеш и адобе ридер умеют сами обновляться. Про винамп не знаю.

                                                                                                                              Не работать под админом или перейти на W7 или Vista и включить UAC.

                                                                                                                                0
                                                                                                                                Спасибо, на висте у меня 7-ка, там так и сделал.
                                                                                                                                Кстати, а даже на 7-ке не рекомендуется под админом работать? Там при попытке запустить любой файл запускающий мне окно с вопросом выскакивает.
                                                                                                                                  0
                                                                                                                                  тьфу, на ноуте у меня виста и семерка :)
                                                                                                                                    0
                                                                                                                                    Вот точно не скажу — судя по www.sophos.com/blogs/chetw/g/2009/11/03/windows-7-vulnerable-8-10-viruses/ UAC что-то пропускает, но вот непонятно, можно ли это вылечить путем перехода на жзерскиф аккаунт — механизмы не описаны (кто бы это всё расовырял и объяснил). Еще в Office 2010 какая-то технология появится для защиты от качанных файлов — но вашего сценарий оно не касается
                                                                                                                                      0
                                                                                                                                      если почитать обсуждение вот тут, то написано
                                                                                                                                      вобщем, похоже, что UAC сам по себе так же надежен, что и простопользовательская запись

                                                                                                                                      windowsteamblog.com/blogs/windowssecurity/archive/2009/11/06/windows-7-vulnerability-claims.aspx

                                                                                                                                      There's no indication that the malware bypasses UAC. UAC elevation is only triggered when performing privileged actions on the system. If the malware was engineered to run within the constraints of the standard user account, UAC would not be triggered, however the malware could still affect files the standard user account may access, such as those within the Documents folder of that account.

                                                                                                                                      As stated in this blog, Sophos bypassed many of the features that could protect the user in a realistic use case (SmartScreen, Protected Mode, etc.) when they actively installed the malware on the system rather than going through normal vectors.

                                                                                                                                      Sophos' implication that UAC should act as a barrier to malware is rediculous — that's not its goal. Any protection gained from UAC is a side-effect of enabling the user to be productive without giving applications full-time, full system access. There's still a lot that can be done in the user's context, you just can't affect the entire system (barring exploitable vulnerabilities).

                                                                                                                                        0
                                                                                                                                        > вобщем, похоже, что UAC сам по себе так же надежен, что и простопользовательская запись
                                                                                                                                        Не только «похоже». UAC именно таким образом и работает. У пользователя есть два токена безопасности — один «повышенный», другой — нет.

                                                                                                                                        Правда в Win7 нужно вывести настройку UAC на высший уровень, иначе все будет не так радужно, как ожидается
                                                                                                                                          0
                                                                                                                                          >Правда в Win7 нужно вывести настройку UAC на высший уровень

                                                                                                                                          Можно чуть подробнее рассказать, как это сделать?
                                                                                                                                            +1
                                                                                                                                            В поиске в Start menu вбейте «UAC» (без кавычек) одним из пунктов будет «Change User Account Control Settings» (к сожалению не знаю, как этот пункт выглядит на русском). Должно появиться окно со слайдером на четыре пункта (по дефолту выставлено на предпоследний) — переставьте на последний уровень (Always notify)
                                                                                                                                  +3
                                                                                                                                  plugin.exe ещё самый лёгкий случай, в принципе, достаточно просто лечащийся.
                                                                                                                                  А поймать его можно через pdf, причём даже проверка последующая каспером не поможет.

                                                                                                                                  Самое зло это чёрный баннер с пи****сами, его сложнее всего отключить.
                                                                                                                                    0
                                                                                                                                    nimp.org?
                                                                                                                                    +1
                                                                                                                                    отключение встроенного фаервола — это было правильно. Он же не блокирует исходящие соединения, так что всё равно ничем бы вам не помог.
                                                                                                                                    На антивирус и фаервол надейтесь, но не считайте их панацеей. Лично я в антивирусах слегка разочаровался.
                                                                                                                                    Что вы сделали не так: самое главное — вы не обновляли Акробат Ридер, квиктайм (но вряд ли через него проникновение), adobe flash(?). Именно в этих плагинах начиная с прошлого года кроется основная угроза проникновения зловредов.
                                                                                                                                      0
                                                                                                                                      Буду умнее теперь, шишки набил.
                                                                                                                                        0
                                                                                                                                        Обычно сначала выходит 0day эксплойт и заражаются машины, потом это доходит до разработчиков, они разбираются, затыкают дырку и выпускают новую версию. Так что обновление не решает проблем — все равно есть окно между моментом, когда bad guys уже умеют ломать через эту уязвимость, но она еще не прикрыта. Решение не в обновлениях а в более общих методах, позволяющих безопасно работать даже если есть дырка во флеше или акробате. (например — тупо отключение их по дефолту)
                                                                                                                                        0
                                                                                                                                        мне тут неделю назад принесли ноут с такой же заразой, которую обновленный nod32 как то пропустил. заразу я отключил быстро ибо прописывается она в известном разделе run реестра, потом прошелся cureit и он у меня без проблем этот plugin.exe затер, т.е. в базе доктора такой вирус есть, почему он пропустил его при сканировании запущенных программ у вас непонятно, может троян хитро шифруется в памяти. А вот что касперский его не ловит это совсем странно, может вирус слишком часто мутирует?
                                                                                                                                          0
                                                                                                                                          5. И не забудьте познакомиться с технологиями DEP и ASLR.
                                                                                                                                          +1
                                                                                                                                          И кстати касперский оказывается раздает коды от таких блокираторов вот тут: support.kaspersky.ru/viruses/deblocker
                                                                                                                                            0
                                                                                                                                            да их щас все раздают для улучшения лояльности пользователей.
                                                                                                                                            но когда мне звонят в 23:05 то почему то именно такой текст СМС даже гугл не знает, а А1Анрегатор не работает после 23:00.
                                                                                                                                            +1
                                                                                                                                            >Во-первых, если уж я выключил основной компьютер после обнаружения вируса, надо было не включая его отсоеденить винт, и через переходник (он у меня был) подключить к ноуту для полной проверки всех файлов на вирусы, или загрузиться с Live-CD с этой же целью.

                                                                                                                                            С вероятностью 90% это не поможет, как не помогло мне когда дочь заразила ноут. Она кстати тоже искала музыку… Мне пришлось вычищать руками. Никто из 20 антивирей в онлайн сканировании куда я потом отправлял зверушку его не задетектил…
                                                                                                                                              0
                                                                                                                                              сейчас, когда что-то ищешь в яндексе (музыка, софт, видео), на первых 10-20-30 страницах в основном доры в которых, вирусы и прочая дрянь. Яндыксы с этим не хотят (или не могут) бороться, в итоге страдают пользователи…
                                                                                                                                                0
                                                                                                                                                К стати, классная песня. Что-то еще в этом стиле есть?
                                                                                                                                                  0
                                                                                                                                                  Я потому и искал текст песни, и автора, что хотелось что-то похожее найти у него :) До сих пор так и не нашел, кстати :)
                                                                                                                                                  0
                                                                                                                                                  кстати гугол тоже…
                                                                                                                                                    +2
                                                                                                                                                    касперский уже не торт
                                                                                                                                                      0
                                                                                                                                                      Я ноутбук отца чистил от точно такой же штуки, окно один в один. Помню, что plugin.exe убирал из автозагрузки. У вас теперь при включении не открывается папка «мои документы» сама собой?
                                                                                                                                                        0
                                                                                                                                                        Попадался этот вирус за последнее время уже раз 5 у знакомых и на работе, лечил простым батником

                                                                                                                                                        taskkill /f /im plugin.exe
                                                                                                                                                        del «c:\programm files\plugin.exe»

                                                                                                                                                        А вообще случаи попадания инфицированных файлов с какой-нибудь страницы через браузер — далеко не редкость, не понимаю почему вас это так удивило. Полистайте virusinfo.info/ — там каждый второй топик об этом
                                                                                                                                                          0
                                                                                                                                                          Ну, я всегда все заплатки загружаю вовремя для винды, и базы антивируса держу актуальными. Ну, и ещё некоторые правила безопасности соблюдаю. Поэтому второй раз в жизни вот так с инета «влетаю», где практически нет человеческого фактора (моего то бишь).
                                                                                                                                                            0
                                                                                                                                                            сам файл plugin.exe у меня куритка ( cureit ) не опознавала как вирус ( возможно создатели используют какой-нибудь новый UPX или его аналог ), но находила кучу его родственников в папках temp браузера и системы, поэтому именно с кэшем браузера гадость попадает на винт, а какие при этом используются уязвимости ( флеш, адоб или еще что-то), этого я уже точно сказать не могу.
                                                                                                                                                              0
                                                                                                                                                              и кстати на своей машине ловил я этот вирус с установленным NOD32, фоксит ридером вместо акробата и хромом вместо оперы.
                                                                                                                                                              /me с подозрением присматривается к Adobe Flash Plugin…
                                                                                                                                                            –2
                                                                                                                                                            Захватыающая, полная опасностей и приключений жизнь простого пользователя M$ Windows… сколько интересныx возмовножностей бесплатных развлечений теряю сидя под унылыми *никсами
                                                                                                                                                              +3
                                                                                                                                                              Вам разве не приходилось патчить КДЕ2 под фрибсд?
                                                                                                                                                              0
                                                                                                                                                              > В третьих, у меня был отключен виндовый стандартный фаервол. Я полагал, что включенного KIS хватит, но —

                                                                                                                                                              Ага, и еще парочка антивирусов должно быть запущено, для надежности
                                                                                                                                                                0
                                                                                                                                                                >Ага, и еще парочка антивирусов должно быть запущено, для надежности

                                                                                                                                                                а вот этого делать не надо — передерутся между собой…
                                                                                                                                                                0
                                                                                                                                                                В работе над ошибками отсутствует самое главное — переключение с автопилота на полный ручной контроль над антивирусом. Если б не злосчастная опция «Да, я доверяю антивирусу… принимать решения за меня», в вашем случае этого скорее всего бы не произошло…
                                                                                                                                                                  0
                                                                                                                                                                  В случае Win7, если редакция позволяет (Ultimate/Enterprise), рекомендую также включить и настроить AppLocker. Простейшей настройки типа запрета на запуск из Users (для chrome придется сделать исключение — лучше всего по сертификату) будет достаточно для подавляющего большинства нетаргетированных атак. В сочетании со включенным UAC (чтоб запретить запись в каталоги, из которых запуск возможен), естественно
                                                                                                                                                                    0
                                                                                                                                                                    Я вообще не понимаю как могут быть дырки в браузерах через ДЕСЯТИЛЕТИЯ после изобретения их. chroot и подобных «изоляционные» технологии, вплоть до полной виртуализации машины давно уже изобретены и активно используются. Браузер просто должен состоять из двух частей — всей сложной логики со всеми плагинами, у которой нет прав по дефолту ни на какие действия кроме общения со второй (интерфейсной) частью, «рисовалкой», а она уже рисует буквы и пиксели в окне браузера и сохраняет файлы на диск и читает их при аплоаде, используя некоторый стандартный и подконтрольный пользователю интерфейс.

                                                                                                                                                                    API между «логикой» и «рисовалкой» можно один раз написать и отладить код рисовалки до блеска, полностью исключив баги, и затем использовать его без всяких модификаций, а любые плагины, флеши и ридеры будут работать только в логической части браузера и не будут иметь никакого доступа к системе.

                                                                                                                                                                    Не так уж и сложно, и не представляю, как подобную схему можно поломать.
                                                                                                                                                                      0
                                                                                                                                                                      Не все приложения под Windows работают с правами непривелегированного пользователя. Хотя в WindowsXP ввели возможность запуска приложения от имени другого пользователя (Run As...), однако всё ещё неудобно этим пользоваться, так как приходится дополнительно настраивать ярлыки запуска.

                                                                                                                                                                      Домен безопасности (огороженность по типу chroot), бесусловно, полезная сущность. Культуру нужно было прививать раньше, а то все в Windows привыкли работать под админом с максимальным уровнем привелегий.
                                                                                                                                                                      +1
                                                                                                                                                                      Люди! Удаляйте Adobe Reader и используйте альтернативы, которые не встраиваются в браузеры. Это самое дуршлаковое приложение.

                                                                                                                                                                      p.s.
                                                                                                                                                                      я сам вообще, перехожу на xps, это моя долька негодования из-за дырявости продуктов adobe
                                                                                                                                                                        0
                                                                                                                                                                        Можно не удалять adobe reader, а просто изменить действие на тип содержимого. Например, на «спрашивать» или «сохранять файл». Внезапное появление диалога на сохранение файла заставит немного задуматься о том, откуда этот файл взялся.
                                                                                                                                                                          0
                                                                                                                                                                          Вы всегда уверены в PDF«ках, которые открываете? :)
                                                                                                                                                                            0
                                                                                                                                                                            Ну только как антивирус подскажет.
                                                                                                                                                                            Но в конкретно обсуждаемом случае запрос на скачивание pdf-ки появится «на ровном месте», ни с чего. Был опыт, к счастью, не закончившийся инфицированием, после чего и изменил обработчик.
                                                                                                                                                                        0
                                                                                                                                                                        >Конфигурация системы:
                                                                                                                                                                        >— Win XP со всеми патчами и апдейтами, виндовый фаервол отключён.
                                                                                                                                                                        >— Kaspersky Internet Security 2009 с обновлениями от 24-го марта 2010 г, включён.
                                                                                                                                                                        >— Opera 10.51 (последняя версия на текущий момент)

                                                                                                                                                                        Я всегда включаю виндовый файервол, отказываюсь от/деинсталлирую KIS (если есть такая возможность), использую Mozilla Firebird/Firefox, начиная с версии 1.0. И с 2002 года никаких вирусов не подцеплял (регулярно сканирую файловую систему свежим DrWeb CureIt).

                                                                                                                                                                        С 2007 года дома полностью перешёл на FreeBSD. Windows использую только на работе.
                                                                                                                                                                          0
                                                                                                                                                                          C 99-го года я тоже вирусов не ловил ;-)
                                                                                                                                                                          +3
                                                                                                                                                                          У меня был такой банер. Точнее не у меня, а на компе бати. Оказалось, что этот банер можно легко прибить. При вводе текста в текстбокс программа начинает думать, причем думать тем дольше, чем длиннее текст. Накопипастив много раз весь текст, можно добиться многосекундного зависания программы, и успеть включить диспетчер задач, удалив висящий процесс plugin.exe. Ну и потом все исчезает, а мы отправляемся на поиски plugin.exe в системе :)
                                                                                                                                                                            +1
                                                                                                                                                                            Поставьте какой-нить AdBlock или корову (AdMuncher)? чтобы они вырезали из страничек все лишнее… Ну и фаервол поприличнее, чтоб на каждый чих реагировал. (у меня Comodo стоит)… Ничего не имею против KIS'ы, иногда он и правда единственное средство от вирусов, но держать его постоянно на компе не вижу смысла — уж больно прожорлив до ресурсов, впрочем как и другие антивирусы его уровня.
                                                                                                                                                                              0
                                                                                                                                                                              AdBlock не предотвратит выполнение зло-скрипта, фигня ваш совет, и ваш фаерфокс ктстаи тоже все хуже и хуже становится.
                                                                                                                                                                                0
                                                                                                                                                                                да я разве говорил что-нибудь про фаерфокс? )))) У меня Опера, на ней тоже есть AdBlock и на Хроме он есть, если не ошибаюсь…
                                                                                                                                                                                Я имел ввиду что возможно они вырежут его… может нет, но явно хуже не станет.))
                                                                                                                                                                              +1
                                                                                                                                                                              Неделю назад боролся с такой же заразой у знакомых на ноуте. Причем им за 50 а баннер был гораздо менее приличный. Подозреваю, что им было неловко, но без компа уже не прожить. Cure it справился, но после того как удалось выгрузить малварь из памяти.
                                                                                                                                                                                +1
                                                                                                                                                                                у знакомых часто встречалась эта херня, делал так. сразу перегружаюсь в безопасный режим, чищу автозагрузку, удаляю файл, перегружаюсь, запускаю cureit.
                                                                                                                                                                                  0
                                                                                                                                                                                  Знаете, почему то вспомниля анекдот
                                                                                                                                                                                    +1
                                                                                                                                                                                    Одна мамаша привела свою 18-летнюю дочь к врачу, с жалобами, что её дочь постоянно тошнит. Врач осмотрел её и говорит, что её дочь беременна уже так месяца 4 примерно.
                                                                                                                                                                                    — Да вы что, доктор, моя дочь паинька, он никогда не была с мужчиной! Правда, дочка?!
                                                                                                                                                                                    — Даже не целовалась ни разу!!! — говорит дочь.
                                                                                                                                                                                    Доктор, ни слова не говоря, подходит к окну и начинает пристально смотреть вдаль. Проходит 5 минут.
                                                                                                                                                                                    — Доктор, что-то не так? — спрашивает мать.
                                                                                                                                                                                    — Нет, нет. Просто в таких случаях на востоке восходит яркая звезда, и три мудреца спускаются с холма. Вот стою, жду…
                                                                                                                                                                                      0
                                                                                                                                                                                      Пример красивый, но не для этого случая.
                                                                                                                                                                                      Из своей практики я сам приведу множество случаев «я ничего не трогал, а нортон коммандер не загружается». Потом выясняется что человек всего лишь ненужные файлы удалил. command.com там, io.sys, и т.п.
                                                                                                                                                                                    0
                                                                                                                                                                                    Я одного не пойму. Adobe постоянно напоминает мне о патчах. Почему она не напоминает Вам? Отключили, надо думать. И какой смысл удивляться что на компьютере вирус?
                                                                                                                                                                                      0
                                                                                                                                                                                      Ужас! У меня тоже Опера но на левых сайтах по дефолту запрещен яваскрипт, вижу что не зря!

                                                                                                                                                                                      А вообще, у нас же есть статья за распространение зловредных программ с уголовной ответственностью, почему бедных хакеров сажают, а этих мошенников, аггрегаторов и сотовых операторов (соучастие), владельцев ифреймовых сетей, продавцов трафика не сажают?
                                                                                                                                                                                        0
                                                                                                                                                                                        Пару дней назад на вебпарке Опера 10.51 предложила скачать PDF (плагин ридера в Опере отключен). Ридер 9 при открытии файла тупо подвисает, ждать «отвисания» не стал, и так понятно что там. Если кому интересно — могу прислать файл.
                                                                                                                                                                                          0
                                                                                                                                                                                          А сайт найдете?
                                                                                                                                                                                          Гораздо интереснее обсудить и понять как именно он скачивается и добиться чтобы антивирусы с фильтрацией http могли все такие попытки блокировать независимо от версий плагинов.
                                                                                                                                                                                            0
                                                                                                                                                                                            Вот страница, подгружалась как фрейм gazeta-pl.google.ae.nate-com.homehelpsell.ru:8080/index.php?ja=&jl=&kl=
                                                                                                                                                                                            Кидала на файл gazeta-pl.google.ae.nate-com.homehelpsell.ru:8080/pics/ChangeLog.pdf
                                                                                                                                                                                            На второй раз уже ничего не выдала.
                                                                                                                                                                                              0
                                                                                                                                                                                              Может у вас pdf-файл сохранился? Я лично не смог оттуда вытащить pdf.
                                                                                                                                                                                                0
                                                                                                                                                                                                Конечно сохранился, напишите в личку email — пришлю
                                                                                                                                                                                          –1
                                                                                                                                                                                          А в пятых, стоит научиться читать прежде, чем лезть в ИНтернет. Например, научиться читать результаты теста Anti-Malware на предотвращение заражения.
                                                                                                                                                                                          • UFO just landed and posted this here
                                                                                                                                                                                              0
                                                                                                                                                                                              Совет про бэкапы — он как бы к любой ОС применим. Или от аппаратных сбоев не на Windows теперь святой дух защищает?
                                                                                                                                                                                              • UFO just landed and posted this here
                                                                                                                                                                                                  0
                                                                                                                                                                                                  Из личного опыта админства: программные сбои таки не чаще. Особенно при должном подходе.

                                                                                                                                                                                                  Естественно, правило «не сиди под админом» и последние обновления.

                                                                                                                                                                                                  К тому же, очень глупо рассуждать об аппаратных и программных сбоях, когда по неважно какой причине потеряны все документы за последнее время.

                                                                                                                                                                                                  А что касается перестановок, да — совет хороший. Но к сохранности документов отношение не имеющий.
                                                                                                                                                                                                  • UFO just landed and posted this here
                                                                                                                                                                                                      0
                                                                                                                                                                                                      Собственно вот с этим аргументом я и не согласен:
                                                                                                                                                                                                      >я призываю бекапиться виндузятников в первую очередь.

                                                                                                                                                                                                      Не согласен ввиду неправильно сделанного акцента. Бекапиться надо призывать всех, безотносительно пола, расы, вероисповедания и установленной ОС.

                                                                                                                                                                                                      Другой дело, что «пока жареный петух в жопу не клюнет» © ^__^

                                                                                                                                                                                                      На хабре пробегала статья про 3 одновременно (!) сдохших диска на сервере с рейдом из 6 дисков. Такие дела.
                                                                                                                                                                                                      • UFO just landed and posted this here
                                                                                                                                                                                            • UFO just landed and posted this here
                                                                                                                                                                                                0
                                                                                                                                                                                                22 марта зараза запустилась из кэша и стала внедряться в какой-то процесс, на вопрос о запрете — внедрилась-таки и следом начала внедряться в winlogon.exe — запрет внедрения приводил к бесконечным попыткам продолжения внедрения, откат изменений реестра КИС сделать не смог (??)
                                                                                                                                                                                                Полез в регедит, обнаружил пресловутый plugin.exe в Program Files, стёр руками, стёр запись из автозапуска в реестре.
                                                                                                                                                                                                Загрузил исходник заразы из кэша на Вирустотал — обнаружилось, что Трендмикро его уже знает — скачал их лечилку, вылечил, отправил Дрвебу и Касперскому, Веб стал детектить через сутки, КИС — черз 5 :)
                                                                                                                                                                                                  0
                                                                                                                                                                                                  А у меня дрвебовская CureIt не просекла вирус (26 марта). Возможно, они билд обновляют на сайте не часто…

                                                                                                                                                                                                Only users with full accounts can post comments. Log in, please.