Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 53
Только один вопрос
Почему не сработала антивирусная защита?
Почему не сработала антивирусная защита?
мега круто.
Можно к бабке было не ходить, что бы понять, что грузят лоадер. Исходя из ванего описания - скорее всего резидентный. Так что все, кто зашёл на этот линк из осла потенциально превратились в бота. Даже убив подруженного троя, можно оставаться жертвой и стабильно получать новых троев к себе на машину.
Хорошо когда свой firewall фильтрует почта-электро-ссылки, у мну ZoneAlarm маме такой аттеншон закатал что аж я её изумление увидел =)
Файрволл - оно хорошо. Но эффективность сильно зависит от настроек. Подавляющее большинство из всей заразы что я видел, грузилось по 80-му порту. Опять-таки, если троян нацелен на противодействие файрволлу, то файрволл не поможет... Много всяких тонкостей есть.
Простите а для чего по вашему мнению существует firewall ? По моему личному и неличному мнению, как раз для того что бы предотварщать ататки из сети, причем без разницы в какой форме, для этого же и существуют правила и фильтры, каким бы ни был троян, правило/фильтр можно настроить под потребности, в данном случе настроенно правило приема/отсылки запросов, но не как не приема каких либо файлов без уведомления пользователя - под средством скриптов.
Никогда не настраивал файрволл серьезно. Максимум перекрывал порты и мне всегда было интересно: сможет ли файрволл отслеживать скачивание EXE-файлов из браузера? И как, например, на вашем файрволле настроены правила для svchost?
Если есть интеграция с браузером - сможет, правда на прктике не видел, сдесь просто правило стандартных запросов прописано, все что левое - отсекать
Что касается svhost тут нужно упомянуть два момента - а) правила для люблго сервиса и приложения "до свидание" кроме тех кого я прописал и настроил
б) слежка памяти, недопуск к инжектам.
Что касается svhost тут нужно упомянуть два момента - а) правила для люблго сервиса и приложения "до свидание" кроме тех кого я прописал и настроил
б) слежка памяти, недопуск к инжектам.
> Простите а для чего по вашему мнению существует firewall
Простите, а для чего, по вашему мнению, существую десятки методов обхода фаерволов?
Простите, а для чего, по вашему мнению, существую десятки методов обхода фаерволов?
файрволл - это межсетовой экран, работает на уровне IP, портов, протоколов, байт/сек etc, и ему ультрафиолетово, что там выше по модели OSI происходит, а вот система обнаружения вторжения (IDS) как раз и отвечает за детектирование "ненормальной" работы системы, в соответствие с заранее настроенными правилами. И одно к другому может не иметь никакого отношения. Но виндовс-пользователи часто путают эти два понятия, т.к. во покупаемых ими ПО это всё намешано в кучу...
на тему вирусной аналитики всегда интересно читать.
Автор, ждем новых постов.
PS. какой антивирус не засек инжект в svchost?
Автор, ждем новых постов.
PS. какой антивирус не засек инжект в svchost?
У меня Яндекс, кстати, эти письма аккуратно в Спам сложил...
какие браузеры были уязвимы к сплойту? У меня знакомый зашел по такой ссылке 7-м ослом, обновленный касперский молчит и других признаков заражения нет.
Сегодня утром получил похожее письмо, правда внешний вид был совершенно другим, чем вчерашние письма, да и url другой.
см скриншот.
если нужно, могу кинуть код скрипта, который запускается. причем, идет проверка на браузер и код посылается интернет эксплореру, всем остальным идет редирект на одноклассников.
см скриншот.
если нужно, могу кинуть код скрипта, который запускается. причем, идет проверка на браузер и код посылается интернет эксплореру, всем остальным идет редирект на одноклассников.
Да, это вторая волна. Утром, значит, пошло? Интересно... Сегодня около 18 по москве добавил записи для детектирования и этих файлов. А код проверьте на DrWeb-овском сайте, если не будет определен - присылайте.
утром получил (по EDT), а пришло оно на ящик ночью - около часа ночи, опять же GMT-4.
проверил html-ку. говорит, вирусов нет. куда присылать?
проверил html-ку. говорит, вирусов нет. куда присылать?
Пришлите через форму на сайте DrWeb (укажите, что с одноклассников - больше шансов, что не пропустим). И на vilgeforce@gmail.com в архиве с паролем. Спасибо.
Обращаю внимание, что это не href ссылки, а ее текст.
В линке те же самые get-параметры, но домен: odnoklassniks.info
Лично получил 2 таких штуки, Яндех отправил их в спам.
Отключил Java, JS, открыл в FireFox 2, ничего интересного не увидел и забил.
В линке те же самые get-параметры, но домен: odnoklassniks.info
Лично получил 2 таких штуки, Яндех отправил их в спам.
Отключил Java, JS, открыл в FireFox 2, ничего интересного не увидел и забил.
vilgeforce, не могли бы вы высказать на правах оффтопика свое мнение относительно вирусной ситуации в сами_знаете_какой_ОС? Не из ехидства, а любопытства ради. (просто когда в топиках про уязвимости и вирусы windows всплывает название сами_знаете_какой_ОС, то на написавшего начинает литься дождь из минусов, в тяжелом случае даже в карму).
Общеизвестно, что в этой ОС нет вирусов. Вернее они есть, но пока водятся только в офисных документах. Большенство юзеров, в том числе и я сижу без антивируса, что немного напрягает. Ставить же антивирус от symantec или mcaffee как-то не хочется - помня с какими проблемами я сталкивался используя их продукты под Windows. Пока посижу, подожду что сделает Касперский - у него проскакивала альфа (бета) версия для X 10.4, но она не совсем работала под 10.5.
вообще без антивируса как-то не очень комфортно себя чувствуешь, зная что пока нет вирусов для ОС. А они появятся.
вообще без антивируса как-то не очень комфортно себя чувствуешь, зная что пока нет вирусов для ОС. А они появятся.
Могу. За 5 месяцев непосредственной работы с вирусами, мне не попался ни один, расчитанный не только под венду. Или были, как верно замечено ниже, только для офисных пакетов. Но так как их было мало, я про них и не помню :-)
Уязвимости, руткиты, это все есть. Целенаправленная атака на комп вполне вероятно может завершится успехом. Но я не разу не слышал об хоть какой-нить эпидемии, когда вирус само распространяется используя скажем адресную книгу зараженного компьютера.
неплохой туториал для начинающих верусмейкеров
Большое спасибо! Очень интересна тема вирусной аналитики. Жаль, что знаний ничтожно мало (: Только на уровне avz и опыта работы сервисным инженером.
В дальнейшем хочу подучиться)
В дальнейшем хочу подучиться)
насчет exploit`a, было дело.
вот расшифровка http://sash.cc/news/5-odnoklassniks.info.html
вот расшифровка http://sash.cc/news/5-odnoklassniks.info.html
Я такой код из второй рассылки добыл. Но не стал бы я такое выкладывать: дурак какой-нибудь использует, а умные и так все это знают. Кстати, чем расшифровывали?
Оффтопик: сайт почти нечитаем - приходится выделять текст чтобы хоть что-то прочитать. И ползет по ширине :-(
Оффтопик: сайт почти нечитаем - приходится выделять текст чтобы хоть что-то прочитать. И ползет по ширине :-(
ручками расшифровывал, сплоит относительно старый, чтобы применить нужно еще суметь.
всмысле ползет? какой браузер? там на верху есть кнопочки )
всмысле ползет? какой браузер? там на верху есть кнопочки )
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Вирус в «Одноклассниках»