Comments 53
Только один вопрос
Почему не сработала антивирусная защита?
Почему не сработала антивирусная защита?
0
У кого? :-)
Я не знаю какой именно антивирус не сработал, да и проблемой детектирования я мало занимаюсь. Я - вирусный аналитик всего-лишь.
Возможные варианты - не было сигнатур для вируса, не сработал поведенческий фильтр... Но это только догадки.
Я не знаю какой именно антивирус не сработал, да и проблемой детектирования я мало занимаюсь. Я - вирусный аналитик всего-лишь.
Возможные варианты - не было сигнатур для вируса, не сработал поведенческий фильтр... Но это только догадки.
0
UFO just landed and posted this here
мега круто.
+1
Честно говоря, подобного рода "поделия" встречаются каждый день. Из интересных моментов здесь - только прием шифрованных данных, различных для каждой сессии. Остальное - ничего интересного. Честно :-)
0
Можно к бабке было не ходить, что бы понять, что грузят лоадер. Исходя из ванего описания - скорее всего резидентный. Так что все, кто зашёл на этот линк из осла потенциально превратились в бота. Даже убив подруженного троя, можно оставаться жертвой и стабильно получать новых троев к себе на машину.
0
Хорошо когда свой firewall фильтрует почта-электро-ссылки, у мну ZoneAlarm маме такой аттеншон закатал что аж я её изумление увидел =)
0
Файрволл - оно хорошо. Но эффективность сильно зависит от настроек. Подавляющее большинство из всей заразы что я видел, грузилось по 80-му порту. Опять-таки, если троян нацелен на противодействие файрволлу, то файрволл не поможет... Много всяких тонкостей есть.
0
Простите а для чего по вашему мнению существует firewall ? По моему личному и неличному мнению, как раз для того что бы предотварщать ататки из сети, причем без разницы в какой форме, для этого же и существуют правила и фильтры, каким бы ни был троян, правило/фильтр можно настроить под потребности, в данном случе настроенно правило приема/отсылки запросов, но не как не приема каких либо файлов без уведомления пользователя - под средством скриптов.
-3
Никогда не настраивал файрволл серьезно. Максимум перекрывал порты и мне всегда было интересно: сможет ли файрволл отслеживать скачивание EXE-файлов из браузера? И как, например, на вашем файрволле настроены правила для svchost?
0
Если есть интеграция с браузером - сможет, правда на прктике не видел, сдесь просто правило стандартных запросов прописано, все что левое - отсекать
Что касается svhost тут нужно упомянуть два момента - а) правила для люблго сервиса и приложения "до свидание" кроме тех кого я прописал и настроил
б) слежка памяти, недопуск к инжектам.
Что касается svhost тут нужно упомянуть два момента - а) правила для люблго сервиса и приложения "до свидание" кроме тех кого я прописал и настроил
б) слежка памяти, недопуск к инжектам.
-1
> Простите а для чего по вашему мнению существует firewall
Простите, а для чего, по вашему мнению, существую десятки методов обхода фаерволов?
Простите, а для чего, по вашему мнению, существую десятки методов обхода фаерволов?
+2
файрволл - это межсетовой экран, работает на уровне IP, портов, протоколов, байт/сек etc, и ему ультрафиолетово, что там выше по модели OSI происходит, а вот система обнаружения вторжения (IDS) как раз и отвечает за детектирование "ненормальной" работы системы, в соответствие с заранее настроенными правилами. И одно к другому может не иметь никакого отношения. Но виндовс-пользователи часто путают эти два понятия, т.к. во покупаемых ими ПО это всё намешано в кучу...
+2
на тему вирусной аналитики всегда интересно читать.
Автор, ждем новых постов.
PS. какой антивирус не засек инжект в svchost?
Автор, ждем новых постов.
PS. какой антивирус не засек инжект в svchost?
0
У меня Яндекс, кстати, эти письма аккуратно в Спам сложил...
0
какие браузеры были уязвимы к сплойту? У меня знакомый зашел по такой ссылке 7-м ослом, обновленный касперский молчит и других признаков заражения нет.
0
Сегодня утром получил похожее письмо, правда внешний вид был совершенно другим, чем вчерашние письма, да и url другой.
см скриншот.
если нужно, могу кинуть код скрипта, который запускается. причем, идет проверка на браузер и код посылается интернет эксплореру, всем остальным идет редирект на одноклассников.
см скриншот.
если нужно, могу кинуть код скрипта, который запускается. причем, идет проверка на браузер и код посылается интернет эксплореру, всем остальным идет редирект на одноклассников.
+1
Да, это вторая волна. Утром, значит, пошло? Интересно... Сегодня около 18 по москве добавил записи для детектирования и этих файлов. А код проверьте на DrWeb-овском сайте, если не будет определен - присылайте.
0
утром получил (по EDT), а пришло оно на ящик ночью - около часа ночи, опять же GMT-4.
проверил html-ку. говорит, вирусов нет. куда присылать?
проверил html-ку. говорит, вирусов нет. куда присылать?
0
Пришлите через форму на сайте DrWeb (укажите, что с одноклассников - больше шансов, что не пропустим). И на vilgeforce@gmail.com в архиве с паролем. Спасибо.
0
Обращаю внимание, что это не href ссылки, а ее текст.
В линке те же самые get-параметры, но домен: odnoklassniks.info
Лично получил 2 таких штуки, Яндех отправил их в спам.
Отключил Java, JS, открыл в FireFox 2, ничего интересного не увидел и забил.
В линке те же самые get-параметры, но домен: odnoklassniks.info
Лично получил 2 таких штуки, Яндех отправил их в спам.
Отключил Java, JS, открыл в FireFox 2, ничего интересного не увидел и забил.
0
vilgeforce, не могли бы вы высказать на правах оффтопика свое мнение относительно вирусной ситуации в сами_знаете_какой_ОС? Не из ехидства, а любопытства ради. (просто когда в топиках про уязвимости и вирусы windows всплывает название сами_знаете_какой_ОС, то на написавшего начинает литься дождь из минусов, в тяжелом случае даже в карму).
+2
Общеизвестно, что в этой ОС нет вирусов. Вернее они есть, но пока водятся только в офисных документах. Большенство юзеров, в том числе и я сижу без антивируса, что немного напрягает. Ставить же антивирус от symantec или mcaffee как-то не хочется - помня с какими проблемами я сталкивался используя их продукты под Windows. Пока посижу, подожду что сделает Касперский - у него проскакивала альфа (бета) версия для X 10.4, но она не совсем работала под 10.5.
вообще без антивируса как-то не очень комфортно себя чувствуешь, зная что пока нет вирусов для ОС. А они появятся.
вообще без антивируса как-то не очень комфортно себя чувствуешь, зная что пока нет вирусов для ОС. А они появятся.
0
Могу. За 5 месяцев непосредственной работы с вирусами, мне не попался ни один, расчитанный не только под венду. Или были, как верно замечено ниже, только для офисных пакетов. Но так как их было мало, я про них и не помню :-)
0
Уязвимости, руткиты, это все есть. Целенаправленная атака на комп вполне вероятно может завершится успехом. Но я не разу не слышал об хоть какой-нить эпидемии, когда вирус само распространяется используя скажем адресную книгу зараженного компьютера.
0
неплохой туториал для начинающих верусмейкеров
0
Большое спасибо! Очень интересна тема вирусной аналитики. Жаль, что знаний ничтожно мало (: Только на уровне avz и опыта работы сервисным инженером.
В дальнейшем хочу подучиться)
В дальнейшем хочу подучиться)
0
насчет exploit`a, было дело.
вот расшифровка http://sash.cc/news/5-odnoklassniks.info.html
вот расшифровка http://sash.cc/news/5-odnoklassniks.info.html
0
Я такой код из второй рассылки добыл. Но не стал бы я такое выкладывать: дурак какой-нибудь использует, а умные и так все это знают. Кстати, чем расшифровывали?
Оффтопик: сайт почти нечитаем - приходится выделять текст чтобы хоть что-то прочитать. И ползет по ширине :-(
Оффтопик: сайт почти нечитаем - приходится выделять текст чтобы хоть что-то прочитать. И ползет по ширине :-(
0
ручками расшифровывал, сплоит относительно старый, чтобы применить нужно еще суметь.
всмысле ползет? какой браузер? там на верху есть кнопочки )
всмысле ползет? какой браузер? там на верху есть кнопочки )
0
Там только половина старых, две уязвимости 2008 года. Кста, рекомендую для расшифровки Malzilla.
Браузер FF. Страница слишком широкая, на экран не помещается.
Браузер FF. Страница слишком широкая, на экран не помещается.
0
Sign up to leave a comment.
Вирус в «Одноклассниках»