Главная страница
Top.Mail.Ru    Яндекс.Метрика
Текущий архив: 2016.01.17;
Скачать: CL | DM;

Вниз

Зловред в овечей шкере   Найти похожие ветки 

 
Pavia ©   (2015-05-18 10:24) [0]

Есть такая вещь как "webssearches". Я код не ковырял, но вирус самый натуральный.
1. Она поставилась без моего ведома.
2. Не даёт себя удалить требует введения пароля. Более того она продолжает работать и после удаления пока ручками не вычистишь.
3. Сливает данные в интернет _http://istart.webssearches.com/?type=sc&ts=1419488013&from=irs&uid=VBOXXHARDDISK_VBf03399e8-
4. При удалении пишет shortcut. За клавиатурой тоже следит.
5. Предлогает пройти на левый сайт для якобы устранения ошибки виндоуса.

Насамом деле это полбеды. Заглянул я в
"C:\Program Files\"
и меня осенила да там куча левых папок! Какой-то улучшатель хрома который у меня не стоит. Папка с данными - которым не места в этом каталоге. Куча панелей. Какието поисковые змеи(Червяки чтоли?).

Грубо говоря в моей защите понаделали кучу дыр! Да компьютер не заражён, но в любой момент он готов превратиться в зомби который будет плясать под чужую дудку.

На компьютер всеми способами проникают программы с дырами которые могут в последствии использоваться для загрузки вредоностного кода.
А самое обидное практически невозможно оценить опасность!


 
Pavelnk ©   (2015-05-18 11:00) [1]

Как она поставилась без ведома? Волшебным словом что ли?


 
кгшзх ©   (2015-05-18 11:51) [2]

Предлогает пройти на левый сайт для якобы устранения ошибки виндоуса.

надо соглашаться.


 
sniknik ©   (2015-05-18 12:21) [3]

я вот на работе тоже думал "зловред" какой, поставился сам, работу тормозит (все стало делаться медленнее), отлаживаться не дает (по 10 сек на "шаг" трассировки/старт/завершение программы. в случае с сервисом, просто компиляция/старт из отладчика, вешает машину, при отладке "подключением к процессу" намертво), создает какие то файлы в "Program Files", и куда то шлет, на несколько адресов (в основном все внешние, но есть и локальные в сети), антивирусом не определяется, НО -
боролся, боролся, поборол... сразу прибежал кто то от "безопасников", их программа была оказывается, доменным админом поставлена, действия работников логирует. немного поругались, спросил кому "на внешку" она наши действия шлет, и зачем... в общем неделю, что то решают, мне не ставят, но и у остальных не убирают.


 
Kerk ©   (2015-05-18 12:34) [4]


> Pavelnk ©   (18.05.15 11:00) [1]
>
> Как она поставилась без ведома? Волшебным словом что ли?

Я однажды купил ноутбук с предустановленной малварой.


 
DVM ©   (2015-05-18 12:54) [5]


> Pavelnk ©   (18.05.15 11:00) [1]
> Как она поставилась без ведома? Волшебным словом что ли?
>

На форумах чужую программу для ведения списка ссылок запустил например :)


 
brother ©   (2015-05-18 13:13) [6]

[5] установленную инсталлером от майла, или скачал торрент через загрузчик...


 
Игорь Шевченко ©   (2015-05-18 13:19) [7]

Не надо по помойкам ходить


 
Pavia ©   (2015-05-18 13:41) [8]


> Игорь Шевченко ©   (18.05.15 13:19) [7]
> Не надо по помойкам ходить

Волков бояться в лес не ходить. Надо перефразировать нулевого дня бояться поисковиком не пользоваться. Поисковик имеется в виду яндекс, гугл.

Проблема webssearches в том что он в белых списках. Хотя по сути является наводчиком который верой и правдой служит хозяену а в один прекрасный день открывает ворам черный ход.

https://www.virustotal.com/ru/file/128b377bb92dda33e55d7d22a0081f9e70b327a87fd02a1f2ce1a1e238ff474b/analysis/
Половина антивирусов за вирус не счетате. Причем в основном самые крупные. А этому проекту больше года. И тут можно уже подумать о заговоре.


 
Игорь Шевченко ©   (2015-05-18 13:47) [9]

Pavia ©   (18.05.15 13:41) [8]

Я поставлю вопрос иначе - почему у меня нет такого рода феноменов ? Никаких левых поисковых систем, никаких без моего ведома установленных программ, и т.п.
Что я делаю не так и почему я не кричу о заговорах ?


 
Pavia ©   (2015-05-18 13:55) [10]


> Как она поставилась без ведома? Волшебным словом что ли?

Существует 2 метода.
1. Эксплуатирование уязвимости в браузере и ко.
2. Социальная инженерия.

От первого вы никак не защититесь.  Так как хакеры используют уязвимости нулевого-дня, о которых антивирусы не разработчики ещё не знают.  А таких полно.

1. Ищешь что-то в поисковике переходишь по ссылке, а он выполняет код, который использует уязвимость нулевого-дня. Что-бы поставить качалку или как тут поисковик по умолчанию меняется. Антивирус же не отличит установку легального софта санкционированную от несанкционированной.

2. К примеру, ставишь ты программу для просмотра картинок, а она ставит и совой поисковик. А ещё если запретит установку без поисковика, то народ, точно его поставит. Или вообще не делать галочки а прописать в лицензии.

3. Или поставить программу для скачивания. А она с собой кучу хлама тащит. Лицензии никто не читает!

4. Или делаем сайт для распространения софта. Меняем чуть код, чтобы было переполнения. К примеру в VCL плейер.
Народ качает, ставит, год ставит, два ставит. Ваша версия VCL во всех белых списках. Потом запускаете рекламу(вирусную рекламу). Типо смешной ролик с котиками. А в этом ролики данные так сгруппированы что-бы использовать заложенную 2 года назад уязвимость. А это сделать просто к примеру использовать в ролике не RGB или YUV, а редкий формат пикселя такой как HSL.


 
Pavia ©   (2015-05-18 14:10) [11]


> Я поставлю вопрос иначе - почему у меня нет такого рода
> феноменов ? Никаких левых поисковых систем, никаких без
> моего ведома установленных программ, и т.п.
> Что я делаю не так и почему я не кричу о заговорах ?

Согласно теории тестирования. 100% прохождения теста не означает то, что в коде нет ошибок. Так, что скорее всего вы плохо знаете свое хозяйство. Помнете как в сказке? Царь сосчитал все пылинки все травинки и тп. А водяной сказал, а отдай ты мне то о чем ты в своем царстве не знаешь. И пришлось царю отдать дитя свое.

Я с вами согласен. Что не надо по помойкам ходить. Но сам нарывался на нуливой день и было зарожение. А так обычно меня не разведёшь. За исключением вот этой пакости webssearches которая не понятно как ко мне просачилась. Вроде и левого ничего не ставил. Хотя возможно развела где-то.
Пройдите тест на внимательность:
http://www.youtube.com/watch?v=-fNygwhy2ao

О результатах доложите.
Социальная инженерия так и строится чтобы отвлечь, внимание.


 
Игорь Шевченко ©   (2015-05-18 14:53) [12]


> Так, что скорее всего вы плохо знаете свое хозяйство


Я хорошо знаю свое хозяйство.


 
han_malign ©   (2015-05-18 17:25) [13]


> А этому проекту больше года.

- больше года назад я эту пакость уже вычищал(дети накликали)...
Долго искал каким волшебным образом эта пакость проявляется раз за разом(задолбался реестр вручную вычищать)... Оказалось - вульгарно - в ярлыках браузеров ключ перехода на URL прописывается...


 
Jeer ©   (2015-05-18 23:20) [14]

Для всяких экспериментов - виртуалка без доступа в сеть.


 
Eraser ©   (2015-05-19 01:22) [15]


> Pavia ©   (18.05.15 10:24) 

откуда взялась эта программа как раз таки вопросов нет (по крайней мере у меня). Зато есть вопрос, доколе антивирусы будут молча пропускать такого рода "софт"?

отличная статья на хабре http://habrahabr.ru/post/247927/

Игорь Шевченко ©   (18.05.15 13:47) [9] прав со своей колокольни, однако, на данный момент, вот прямо сейчас, сотни юзеров устанавливают себе подобные софтинки, сами того не подозревая, в довесок с мэйл-оптимизаторами и прочими рег-клиннерами, при этом антивирусы, в т.ч. платные молчат. вот здесь я вижу если не заговор, сговор точно ) как таковые чистые трояны и вирусы сейчас редкость по сравнению с легальным софтом такого рода (там и цифровая подпись может быть), который распространяют все кому не лень, начиная с яндекса и мэйла.

тот же касперский и eset на данный момент, по их заявлениям и по потребляемым аппаратным ресурсам являются чуть ли не искусственными интеллектами, при этом для них непосильная задача отследить десяток другой вредных расширений браузера и несколько десятков вполне легальных "webssearches"ов".


 
brother ©   (2015-05-19 06:10) [16]

[14] есть еще лучше вариант:
http://www.sandboxie.com/
Пользуюсь пару лет - никаких нареканий.
Бесплатна, настоятельно рекомендую всем!!!


 
Pavia ©   (2015-05-19 06:32) [17]


> Зато есть вопрос, доколе антивирусы будут молча пропускать
> такого рода "софт"?

За 5 лет имею Такую статистику 3 заражения. От момента заражения до момента излечения проходило от 8 месяцев до 15 месяцев(1.5 года)! Так что о пользе антивируса надо подумать.


 
brother ©   (2015-05-19 09:08) [18]

[17] так вроде такое ПО называется: нежелательное и не может быть расценено как вирусеное?


 
Плохиш ©   (2015-05-19 10:15) [19]


> brother ©   (19.05.15 09:08) [18]
> [17] так вроде такое ПО называется: нежелательное и не может
> быть расценено как вирусеное?

юридически не может, т.к. пользователи его добровольно устанавливают соглашаясь со всем тыкая в експресс установку.

PS. Или придётся аваст во вредоносное по записывать, его флэшплэйер постоянно пытается установить ;-)


 
Игорь Шевченко ©   (2015-05-19 10:18) [20]

Eraser ©   (19.05.15 01:22) [15]

Игорь Шевченко прав всегда.


 
Fox ©   (2015-05-20 16:34) [21]

Удалено модератором
Примечание: Спасибо за консультацию


 
Fox ©   (2015-05-20 16:37) [22]

Удалено модератором



Страницы: 1 вся ветка

Текущий архив: 2016.01.17;
Скачать: CL | DM;

Наверх




Память: 0.53 MB
Время: 0.007 c
2-1404566995
Sakipiel
2014-07-05 17:29
2016.01.17
Caption и отображение в панели задач в Windows


1-1308744650
Сергей
2011-06-22 16:10
2016.01.17
QuickReport


2-1404704180
Sw
2014-07-07 07:36
2016.01.17
Cоздать процедуру в базе interbase через delphi


11-1260264285
Dy1
2009-12-08 12:24
2016.01.17
несколько перегруженных ф-ий новичкам


6-1279034176
Black123
2010-07-13 19:16
2016.01.17
IdHTTP.Post и ajax