Зловред в овечей шкере

← →
Pavia © (2015-05-18 10:24) [0]

Есть такая вещь как "webssearches". Я код не ковырял, но вирус самый натуральный.
1. Она поставилась без моего ведома.
2. Не даёт себя удалить требует введения пароля. Более того она продолжает работать и после удаления пока ручками не вычистишь.
3. Сливает данные в интернет _http://istart.webssearches.com/?type=sc&ts=1419488013&from=irs&uid=VBOXXHARDDISK_VBf03399e8-
4. При удалении пишет shortcut. За клавиатурой тоже следит.
5. Предлогает пройти на левый сайт для якобы устранения ошибки виндоуса.

Насамом деле это полбеды. Заглянул я в
"C:\Program Files\"
и меня осенила да там куча левых папок! Какой-то улучшатель хрома который у меня не стоит. Папка с данными - которым не места в этом каталоге. Куча панелей. Какието поисковые змеи(Червяки чтоли?).

Грубо говоря в моей защите понаделали кучу дыр! Да компьютер не заражён, но в любой момент он готов превратиться в зомби который будет плясать под чужую дудку.

На компьютер всеми способами проникают программы с дырами которые могут в последствии использоваться для загрузки вредоностного кода.
А самое обидное практически невозможно оценить опасность!

← →
Pavelnk © (2015-05-18 11:00) [1]

Как она поставилась без ведома? Волшебным словом что ли?

← →
кгшзх © (2015-05-18 11:51) [2]

Предлогает пройти на левый сайт для якобы устранения ошибки виндоуса.

надо соглашаться.

← →
sniknik © (2015-05-18 12:21) [3]

я вот на работе тоже думал "зловред" какой, поставился сам, работу тормозит (все стало делаться медленнее), отлаживаться не дает (по 10 сек на "шаг" трассировки/старт/завершение программы. в случае с сервисом, просто компиляция/старт из отладчика, вешает машину, при отладке "подключением к процессу" намертво), создает какие то файлы в "Program Files", и куда то шлет, на несколько адресов (в основном все внешние, но есть и локальные в сети), антивирусом не определяется, НО -
боролся, боролся, поборол... сразу прибежал кто то от "безопасников", их программа была оказывается, доменным админом поставлена, действия работников логирует. немного поругались, спросил кому "на внешку" она наши действия шлет, и зачем... в общем неделю, что то решают, мне не ставят, но и у остальных не убирают.

← →
Kerk © (2015-05-18 12:34) [4]

> Pavelnk © (18.05.15 11:00) [1]
>
> Как она поставилась без ведома? Волшебным словом что ли?

Я однажды купил ноутбук с предустановленной малварой.

← →
DVM © (2015-05-18 12:54) [5]

> Pavelnk © (18.05.15 11:00) [1]
> Как она поставилась без ведома? Волшебным словом что ли?
>

На форумах чужую программу для ведения списка ссылок запустил например :)

← →
brother © (2015-05-18 13:13) [6]

[5] установленную инсталлером от майла, или скачал торрент через загрузчик...

← →
Игорь Шевченко © (2015-05-18 13:19) [7]

Не надо по помойкам ходить

← →
Pavia © (2015-05-18 13:41) [8]

> Игорь Шевченко © (18.05.15 13:19) [7]
> Не надо по помойкам ходить

Волков бояться в лес не ходить. Надо перефразировать нулевого дня бояться поисковиком не пользоваться. Поисковик имеется в виду яндекс, гугл.

Проблема webssearches в том что он в белых списках. Хотя по сути является наводчиком который верой и правдой служит хозяену а в один прекрасный день открывает ворам черный ход.

https://www.virustotal.com/ru/file/128b377bb92dda33e55d7d22a0081f9e70b327a87fd02a1f2ce1a1e238ff474b/analysis/
Половина антивирусов за вирус не счетате. Причем в основном самые крупные. А этому проекту больше года. И тут можно уже подумать о заговоре.

← →
Игорь Шевченко © (2015-05-18 13:47) [9]

Pavia © (18.05.15 13:41) [8]

Я поставлю вопрос иначе - почему у меня нет такого рода феноменов ? Никаких левых поисковых систем, никаких без моего ведома установленных программ, и т.п.
Что я делаю не так и почему я не кричу о заговорах ?

← →
Pavia © (2015-05-18 13:55) [10]

> Как она поставилась без ведома? Волшебным словом что ли?

Существует 2 метода.
1. Эксплуатирование уязвимости в браузере и ко.
2. Социальная инженерия.

От первого вы никак не защититесь. Так как хакеры используют уязвимости нулевого-дня, о которых антивирусы не разработчики ещё не знают. А таких полно.

1. Ищешь что-то в поисковике переходишь по ссылке, а он выполняет код, который использует уязвимость нулевого-дня. Что-бы поставить качалку или как тут поисковик по умолчанию меняется. Антивирус же не отличит установку легального софта санкционированную от несанкционированной.

2. К примеру, ставишь ты программу для просмотра картинок, а она ставит и совой поисковик. А ещё если запретит установку без поисковика, то народ, точно его поставит. Или вообще не делать галочки а прописать в лицензии.

3. Или поставить программу для скачивания. А она с собой кучу хлама тащит. Лицензии никто не читает!

4. Или делаем сайт для распространения софта. Меняем чуть код, чтобы было переполнения. К примеру в VCL плейер.
Народ качает, ставит, год ставит, два ставит. Ваша версия VCL во всех белых списках. Потом запускаете рекламу(вирусную рекламу). Типо смешной ролик с котиками. А в этом ролики данные так сгруппированы что-бы использовать заложенную 2 года назад уязвимость. А это сделать просто к примеру использовать в ролике не RGB или YUV, а редкий формат пикселя такой как HSL.

← →
Pavia © (2015-05-18 14:10) [11]

> Я поставлю вопрос иначе - почему у меня нет такого рода
> феноменов ? Никаких левых поисковых систем, никаких без
> моего ведома установленных программ, и т.п.
> Что я делаю не так и почему я не кричу о заговорах ?

Согласно теории тестирования. 100% прохождения теста не означает то, что в коде нет ошибок. Так, что скорее всего вы плохо знаете свое хозяйство. Помнете как в сказке? Царь сосчитал все пылинки все травинки и тп. А водяной сказал, а отдай ты мне то о чем ты в своем царстве не знаешь. И пришлось царю отдать дитя свое.

Я с вами согласен. Что не надо по помойкам ходить. Но сам нарывался на нуливой день и было зарожение. А так обычно меня не разведёшь. За исключением вот этой пакости webssearches которая не понятно как ко мне просачилась. Вроде и левого ничего не ставил. Хотя возможно развела где-то.
Пройдите тест на внимательность:
http://www.youtube.com/watch?v=-fNygwhy2ao

О результатах доложите.
Социальная инженерия так и строится чтобы отвлечь, внимание.

← →
Игорь Шевченко © (2015-05-18 14:53) [12]

> Так, что скорее всего вы плохо знаете свое хозяйство

Я хорошо знаю свое хозяйство.

← →
han_malign © (2015-05-18 17:25) [13]

> А этому проекту больше года.

- больше года назад я эту пакость уже вычищал(дети накликали)...
Долго искал каким волшебным образом эта пакость проявляется раз за разом(задолбался реестр вручную вычищать)... Оказалось - вульгарно - в ярлыках браузеров ключ перехода на URL прописывается...

← →
Jeer © (2015-05-18 23:20) [14]

Для всяких экспериментов - виртуалка без доступа в сеть.

← →
Eraser © (2015-05-19 01:22) [15]

> Pavia © (18.05.15 10:24)

откуда взялась эта программа как раз таки вопросов нет (по крайней мере у меня). Зато есть вопрос, доколе антивирусы будут молча пропускать такого рода "софт"?

отличная статья на хабре http://habrahabr.ru/post/247927/

Игорь Шевченко © (18.05.15 13:47) [9] прав со своей колокольни, однако, на данный момент, вот прямо сейчас, сотни юзеров устанавливают себе подобные софтинки, сами того не подозревая, в довесок с мэйл-оптимизаторами и прочими рег-клиннерами, при этом антивирусы, в т.ч. платные молчат. вот здесь я вижу если не заговор, сговор точно ) как таковые чистые трояны и вирусы сейчас редкость по сравнению с легальным софтом такого рода (там и цифровая подпись может быть), который распространяют все кому не лень, начиная с яндекса и мэйла.

тот же касперский и eset на данный момент, по их заявлениям и по потребляемым аппаратным ресурсам являются чуть ли не искусственными интеллектами, при этом для них непосильная задача отследить десяток другой вредных расширений браузера и несколько десятков вполне легальных "webssearches"ов".

[14] есть еще лучше вариант:
http://www.sandboxie.com/
Пользуюсь пару лет - никаких нареканий.
Бесплатна, настоятельно рекомендую всем!!!

> Зато есть вопрос, доколе антивирусы будут молча пропускать
> такого рода "софт"?

За 5 лет имею Такую статистику 3 заражения. От момента заражения до момента излечения проходило от 8 месяцев до 15 месяцев(1.5 года)! Так что о пользе антивируса надо подумать.

[17] так вроде такое ПО называется: нежелательное и не может быть расценено как вирусеное?

> brother © (19.05.15 09:08) [18]
> [17] так вроде такое ПО называется: нежелательное и не может
> быть расценено как вирусеное?

юридически не может, т.к. пользователи его добровольно устанавливают соглашаясь со всем тыкая в експресс установку.

PS. Или придётся аваст во вредоносное по записывать, его флэшплэйер постоянно пытается установить ;-)

Удалено модератором
Примечание: Спасибо за консультацию

Удалено модератором

Зловред в овечей шкере Найти похожие ветки