Текущий архив: 2016.01.17;
Скачать: CL | DM;
Вниз
Зловред в овечей шкере Найти похожие ветки
← →
Pavia © (2015-05-18 10:24) [0]Есть такая вещь как "webssearches". Я код не ковырял, но вирус самый натуральный.
1. Она поставилась без моего ведома.
2. Не даёт себя удалить требует введения пароля. Более того она продолжает работать и после удаления пока ручками не вычистишь.
3. Сливает данные в интернет _http://istart.webssearches.com/?type=sc&ts=1419488013&from=irs&uid=VBOXXHARDDISK_VBf03399e8-
4. При удалении пишет shortcut. За клавиатурой тоже следит.
5. Предлогает пройти на левый сайт для якобы устранения ошибки виндоуса.
Насамом деле это полбеды. Заглянул я в
"C:\Program Files\"
и меня осенила да там куча левых папок! Какой-то улучшатель хрома который у меня не стоит. Папка с данными - которым не места в этом каталоге. Куча панелей. Какието поисковые змеи(Червяки чтоли?).
Грубо говоря в моей защите понаделали кучу дыр! Да компьютер не заражён, но в любой момент он готов превратиться в зомби который будет плясать под чужую дудку.
На компьютер всеми способами проникают программы с дырами которые могут в последствии использоваться для загрузки вредоностного кода.
А самое обидное практически невозможно оценить опасность!
← →
Pavelnk © (2015-05-18 11:00) [1]Как она поставилась без ведома? Волшебным словом что ли?
← →
кгшзх © (2015-05-18 11:51) [2]Предлогает пройти на левый сайт для якобы устранения ошибки виндоуса.
надо соглашаться.
← →
sniknik © (2015-05-18 12:21) [3]я вот на работе тоже думал "зловред" какой, поставился сам, работу тормозит (все стало делаться медленнее), отлаживаться не дает (по 10 сек на "шаг" трассировки/старт/завершение программы. в случае с сервисом, просто компиляция/старт из отладчика, вешает машину, при отладке "подключением к процессу" намертво), создает какие то файлы в "Program Files", и куда то шлет, на несколько адресов (в основном все внешние, но есть и локальные в сети), антивирусом не определяется, НО -
боролся, боролся, поборол... сразу прибежал кто то от "безопасников", их программа была оказывается, доменным админом поставлена, действия работников логирует. немного поругались, спросил кому "на внешку" она наши действия шлет, и зачем... в общем неделю, что то решают, мне не ставят, но и у остальных не убирают.
← →
Kerk © (2015-05-18 12:34) [4]
> Pavelnk © (18.05.15 11:00) [1]
>
> Как она поставилась без ведома? Волшебным словом что ли?
Я однажды купил ноутбук с предустановленной малварой.
← →
DVM © (2015-05-18 12:54) [5]
> Pavelnk © (18.05.15 11:00) [1]
> Как она поставилась без ведома? Волшебным словом что ли?
>
На форумах чужую программу для ведения списка ссылок запустил например :)
← →
brother © (2015-05-18 13:13) [6][5] установленную инсталлером от майла, или скачал торрент через загрузчик...
← →
Игорь Шевченко © (2015-05-18 13:19) [7]Не надо по помойкам ходить
← →
Pavia © (2015-05-18 13:41) [8]
> Игорь Шевченко © (18.05.15 13:19) [7]
> Не надо по помойкам ходить
Волков бояться в лес не ходить. Надо перефразировать нулевого дня бояться поисковиком не пользоваться. Поисковик имеется в виду яндекс, гугл.
Проблема webssearches в том что он в белых списках. Хотя по сути является наводчиком который верой и правдой служит хозяену а в один прекрасный день открывает ворам черный ход.
https://www.virustotal.com/ru/file/128b377bb92dda33e55d7d22a0081f9e70b327a87fd02a1f2ce1a1e238ff474b/analysis/
Половина антивирусов за вирус не счетате. Причем в основном самые крупные. А этому проекту больше года. И тут можно уже подумать о заговоре.
← →
Игорь Шевченко © (2015-05-18 13:47) [9]Pavia © (18.05.15 13:41) [8]
Я поставлю вопрос иначе - почему у меня нет такого рода феноменов ? Никаких левых поисковых систем, никаких без моего ведома установленных программ, и т.п.
Что я делаю не так и почему я не кричу о заговорах ?
← →
Pavia © (2015-05-18 13:55) [10]
> Как она поставилась без ведома? Волшебным словом что ли?
Существует 2 метода.
1. Эксплуатирование уязвимости в браузере и ко.
2. Социальная инженерия.
От первого вы никак не защититесь. Так как хакеры используют уязвимости нулевого-дня, о которых антивирусы не разработчики ещё не знают. А таких полно.
1. Ищешь что-то в поисковике переходишь по ссылке, а он выполняет код, который использует уязвимость нулевого-дня. Что-бы поставить качалку или как тут поисковик по умолчанию меняется. Антивирус же не отличит установку легального софта санкционированную от несанкционированной.
2. К примеру, ставишь ты программу для просмотра картинок, а она ставит и совой поисковик. А ещё если запретит установку без поисковика, то народ, точно его поставит. Или вообще не делать галочки а прописать в лицензии.
3. Или поставить программу для скачивания. А она с собой кучу хлама тащит. Лицензии никто не читает!
4. Или делаем сайт для распространения софта. Меняем чуть код, чтобы было переполнения. К примеру в VCL плейер.
Народ качает, ставит, год ставит, два ставит. Ваша версия VCL во всех белых списках. Потом запускаете рекламу(вирусную рекламу). Типо смешной ролик с котиками. А в этом ролики данные так сгруппированы что-бы использовать заложенную 2 года назад уязвимость. А это сделать просто к примеру использовать в ролике не RGB или YUV, а редкий формат пикселя такой как HSL.
← →
Pavia © (2015-05-18 14:10) [11]
> Я поставлю вопрос иначе - почему у меня нет такого рода
> феноменов ? Никаких левых поисковых систем, никаких без
> моего ведома установленных программ, и т.п.
> Что я делаю не так и почему я не кричу о заговорах ?
Согласно теории тестирования. 100% прохождения теста не означает то, что в коде нет ошибок. Так, что скорее всего вы плохо знаете свое хозяйство. Помнете как в сказке? Царь сосчитал все пылинки все травинки и тп. А водяной сказал, а отдай ты мне то о чем ты в своем царстве не знаешь. И пришлось царю отдать дитя свое.
Я с вами согласен. Что не надо по помойкам ходить. Но сам нарывался на нуливой день и было зарожение. А так обычно меня не разведёшь. За исключением вот этой пакости webssearches которая не понятно как ко мне просачилась. Вроде и левого ничего не ставил. Хотя возможно развела где-то.
Пройдите тест на внимательность:
http://www.youtube.com/watch?v=-fNygwhy2ao
О результатах доложите.
Социальная инженерия так и строится чтобы отвлечь, внимание.
← →
Игорь Шевченко © (2015-05-18 14:53) [12]
> Так, что скорее всего вы плохо знаете свое хозяйство
Я хорошо знаю свое хозяйство.
← →
han_malign © (2015-05-18 17:25) [13]
> А этому проекту больше года.
- больше года назад я эту пакость уже вычищал(дети накликали)...
Долго искал каким волшебным образом эта пакость проявляется раз за разом(задолбался реестр вручную вычищать)... Оказалось - вульгарно - в ярлыках браузеров ключ перехода на URL прописывается...
← →
Jeer © (2015-05-18 23:20) [14]Для всяких экспериментов - виртуалка без доступа в сеть.
← →
Eraser © (2015-05-19 01:22) [15]
> Pavia © (18.05.15 10:24)
откуда взялась эта программа как раз таки вопросов нет (по крайней мере у меня). Зато есть вопрос, доколе антивирусы будут молча пропускать такого рода "софт"?
отличная статья на хабре http://habrahabr.ru/post/247927/
Игорь Шевченко © (18.05.15 13:47) [9] прав со своей колокольни, однако, на данный момент, вот прямо сейчас, сотни юзеров устанавливают себе подобные софтинки, сами того не подозревая, в довесок с мэйл-оптимизаторами и прочими рег-клиннерами, при этом антивирусы, в т.ч. платные молчат. вот здесь я вижу если не заговор, сговор точно ) как таковые чистые трояны и вирусы сейчас редкость по сравнению с легальным софтом такого рода (там и цифровая подпись может быть), который распространяют все кому не лень, начиная с яндекса и мэйла.
тот же касперский и eset на данный момент, по их заявлениям и по потребляемым аппаратным ресурсам являются чуть ли не искусственными интеллектами, при этом для них непосильная задача отследить десяток другой вредных расширений браузера и несколько десятков вполне легальных "webssearches"ов".
← →
brother © (2015-05-19 06:10) [16][14] есть еще лучше вариант:
http://www.sandboxie.com/
Пользуюсь пару лет - никаких нареканий.
Бесплатна, настоятельно рекомендую всем!!!
← →
Pavia © (2015-05-19 06:32) [17]
> Зато есть вопрос, доколе антивирусы будут молча пропускать
> такого рода "софт"?
За 5 лет имею Такую статистику 3 заражения. От момента заражения до момента излечения проходило от 8 месяцев до 15 месяцев(1.5 года)! Так что о пользе антивируса надо подумать.
← →
brother © (2015-05-19 09:08) [18][17] так вроде такое ПО называется: нежелательное и не может быть расценено как вирусеное?
← →
Плохиш © (2015-05-19 10:15) [19]
> brother © (19.05.15 09:08) [18]
> [17] так вроде такое ПО называется: нежелательное и не может
> быть расценено как вирусеное?
юридически не может, т.к. пользователи его добровольно устанавливают соглашаясь со всем тыкая в експресс установку.
PS. Или придётся аваст во вредоносное по записывать, его флэшплэйер постоянно пытается установить ;-)
← →
Игорь Шевченко © (2015-05-19 10:18) [20]Eraser © (19.05.15 01:22) [15]
Игорь Шевченко прав всегда.
← →
Fox © (2015-05-20 16:34) [21]Удалено модератором
Примечание: Спасибо за консультацию
← →
Fox © (2015-05-20 16:37) [22]Удалено модератором
Страницы: 1 вся ветка
Текущий архив: 2016.01.17;
Скачать: CL | DM;
Память: 0.53 MB
Время: 0.005 c
