Интернет-Иерихон. - Общий форум по информационной безопасности - Форумы Anti-Malware.ru Перейти к содержанию
Илья Рабинович

Интернет-Иерихон.

Автор Илья Рабинович, в Общий форум по информационной безопасности

Recommended Posts

Илья Рабинович    521

Илья Рабинович
Опубликовано

Всем доброго времени суток!

Случайно наткнулся на такой вот ресурс в Сети. www.jeriko.ru, якобы защифрованные книги, реально- явные пустышки, вводящие в заблуждение и вымогающие посылку СМС. Во всяком случае, очень всё походит именно на это.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Umnik    997

Umnik
Опубликовано
Запрашиваемый URL-адрес не может быть предоставлен

URL-адрес:

http://www.jeriko.ru/

Заблокирован Веб-Aнтивирусом

Причина: вредоносная ссылка

Только к чему это в этом разделе?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Илья Рабинович    521

Илья Рабинович
Опубликовано

А в каком разделе ему быть? И почему тогда ресурс до сих пор жив, а не отключён? Не внесён в Гугловские фильтры? Что, у всех пользователей Сети стоит KIS?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Sansero.ee    121

Sansero.ee
Опубликовано

http://www.virustotal.com/url-scan/report....2708-1306227852

http://www.avgthreatlabs.com/sitereports/domain/jeriko.ru

А то, что там кто-то за что-то денег просит и люди дают... антивирус тут бессилен...

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Илья Рабинович    521

Илья Рабинович
Опубликовано

И снова- почему ресурс не закрыт? Ведь ему почти что год. Почему делигирование домена продолжается? Почему его нет в фильтрах браузеров?

  • Upvote 5

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

priv8v    960

priv8v
Опубликовано

Илья Рабинович

попробуйте в инете искать что-то не по информационной безопасности и программированию и увидите, что чуть ли ни каждый третий ресурс или имеет стороннюю рекламу, которая органично вписывается в контент страницы и предлагает скачать искомое или сам сайт и распространяет нечто в "архиве" под паролем, который нужно получить, отправив смс...

И по сути есть два варианта того, что будет если отправить смс: или в архиве будет искомое или нет. Шансы считать я не берусь :)

Думаю, что многие такое могли наблюдать, хотя не факт, т.к если пытаешься скачать архив/торрент, а в ответ получаешь вопрос от браузера о сохранении нужный-файл.torrent.ехе, то рука уже сама тянется к кнопке "Отмена", так как уже и так все ясно - там или троян или такой вот вымогатель.

На секурелисте есть описания подобных программ-"архивов". Детектируются они чаще всего как Hoax.Win32.ArchSMS. Предлагаю к прочтению пару интересных описаний (приятно, что со скриншотами - самому не нужно делать :)):

WinRAR 2011

WinRARc

И такое происходит при поиске практически чего угодно. Предлагаю эксперимент. Давайте попробуем чего-нибудь скачать. Что сейчас популярно? Хм.. Давайте скачаем кино. Сейчас премьера "Пираты карибского моря 4", поэтому такой поисковый запрос к яндексу и составим. По первой ссылке идет сайт zerx(точка)ru, где предлагается скачать фильм в качестве TS, пониже есть ссылка на быструю загрузку:

abb70be8f1b6.jpg

При нажатии на которую попадаем на сайт shara.all-many-house(точка)ru, где нам уже предлагают скачать файлик:

e2c9ea937a74.jpg

причем заверяют, что он Касперским проверен :)

Скачивается файл Pirati Karibskogo morya 4_ Na strannih beregah_2011532446-.avi.exe весом около 30 Мб с иконкой архива, т.е на вирустотал его залить не выйдет (ну, вдруг кто захочет).

При запуске выдает такое окно (а дальше уже и смысла нет по кнопочкам нажимать, итак ясно что будет):

f5d9a64cfe46.jpg

Ясно, что никакого фильма в "архиве" нет...

Добрая часть такой дряни делается через сайты типа zip-archive(точка)com

Некоторые "архивы" прямо там и хранятся. Надеюсь, что у всех антивирусы данный сайт блокируют...

Вот и закончилось наше краткое путешествие по интернету, при этом у нас был включен носкрипт и адблок, поэтому никаких попандеров/кликандеров/горы рекламы мы заметить не смогли :)

PS:

Что, у всех пользователей Сети стоит KIS?

При переходе по ссылке из первого сообщения нод32 тоже вопит:)

А в лисе на "Справка - Сообщить о мошенническом веб-сайте..." не я первый, думаю нажал... или первый :)

Сейчас в топе книга "Книга Игры из тайничка. Развивающие игры. Творческие задания. Знакомство с правилами поведения". Скачал ее в электронном виде оттуда. Вот результат проверки на вирустотале:

http://www.virustotal.com/file-scan/report...7f5e-1306231565

24/42 это очень хороший результат! :)

  • Upvote 5

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

A.    876

A.
Опубликовано

Илья решил посмотреть за пределы песочницы и обнаружил что пользователи таки не защищены ? :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

StarStream    55

StarStream
Опубликовано
Что, у всех пользователей Сети стоит KIS?

avast! тоже блокирует :)

4474873.jpg

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Илья Рабинович    521

Илья Рабинович
Опубликовано

Ну вот, прошло уже больше недели. Fx и Crome как открывал сей "ресурс" без малейших намёков своим пользователям на потенциальный развод, так и продолжает это делать. Хотя и я, и ещё несколько человек пожаловались на злонамеренность сайта. Вот так вот "корпорация добра" защищает рядового пользователя в Сети!

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Виталий Я.    859

Виталий Я.
Опубликовано

Won't be evil :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Общий форум по информационной безопасности

  • Сообщения

    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      + Уточнение по: " при первых запусках после установки драйвера Ф и перезагрузки PC  - uVS не видел процессов запущенного  Firefox ( все файлы в базе проверенных ( если это имеет значение ) " Я говорю о том, что процессов не было в "История процессов и задач..."
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      Demkd По поводу: 5.0.4 На: "uVS v5.0.4v x64 [http://dsrt.dyndns.org:8888]: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS] " История процессов и задач... Отобразить цепочку запуска процесса uVS начинает жрать память и... Out of memory. Сжирает все 8гб+файл подкачки и... На компьютере недостаточно памяти ( и да, твик: 39\40 ) на происходящее не влияет ) ----- Второе, при первых запусках после установки драйвера Ф и перезагрузки PC  - uVS не видел процессов запущенного  Firefox ( все файлы в базе проверенных ( если это имеет значение ) Третье: При проверке системы с Live CD Видим следующее: Загружено реестров пользователей: 6
      Анализ автозапуска...
      (!) Переменная окружения TEMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
      \REGISTRY\MACHINE\rcvscxggb\Environment\TEMP
      --------------------------------------------------------------------------------------------------
      (!) Переменная окружения TMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
      \REGISTRY\MACHINE\rcvscxggb\Environment\TMP
      --------------------------------------------------------------------------------------------------
      (!) Переменная окружения TEMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
      \REGISTRY\MACHINE\fnfozvsrt\Environment\TEMP
      --------------------------------------------------------------------------------------------------
      (!) Переменная окружения TMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
      \REGISTRY\MACHINE\fnfozvsrt\Environment\TMP
      --------------------------------------------------------------------------------------------------
      (!) Переменная окружения TEMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
      \REGISTRY\MACHINE\rpnrvystm\Environment\TEMP
      --------------------------------------------------------------------------------------------------
      (!) Переменная окружения TMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
      \REGISTRY\MACHINE\rpnrvystm\Environment\TMP
      --------------------------------------------------------------------------------------------------
      (!) Переменная окружения TEMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
      \REGISTRY\MACHINE\evikeffmz\Environment\TEMP
      --------------------------------------------------------------------------------------------------
      (!) Переменная окружения TMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
      \REGISTRY\MACHINE\evikeffmz\Environment\TMP
      --------------------------------------------------------------------------------------------------
      (!) Переменная окружения TEMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
      \REGISTRY\MACHINE\uvs_default\Environment\TEMP
      --------------------------------------------------------------------------------------------------
      (!) Переменная окружения TMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
      \REGISTRY\MACHINE\uvs_default\Environment\TMP ------------- Так это в списке Live CD: ;uVS v5.0.4v x64 [http://dsrt.dyndns.org:8888] [Windows 10.0.14393 SP0 ]
      ; Все ПОДОЗРИТ.  | <%TEMP%>
      ПОДОЗРИТ.  | <%TMP%>
      автозапуск | MMDRV.DLL
      автозапуск | MSCORSEC.DLL
      ПОДОЗРИТ.  | E:\USERS\DEFAULT\<%TEMP%>
      ПОДОЗРИТ.  | E:\USERS\DEFAULT\<%TMP%>
      ПОДОЗРИТ.  | E:\USERS\USER\<%TEMP%>
      ПОДОЗРИТ.  | E:\USERS\USER\<%TMP%>
       \DESKTOP\ЗАГРУЗКИ\PASSIST_STANDARD ( РАЗДЕЛЫ ДИСКА )_20251230.1.EXE
      ПОДОЗРИТ.  | E:\WINDOWS\SERVICEPROFILES\LOCALSERVICE\<%TEMP%>
      ПОДОЗРИТ.  | E:\WINDOWS\SERVICEPROFILES\LOCALSERVICE\<%TMP%>
      ПОДОЗРИТ.  | E:\WINDOWS\SERVICEPROFILES\NETWORKSERVICE\<%TEMP%>
      ПОДОЗРИТ.  | E:\WINDOWS\SERVICEPROFILES\NETWORKSERVICE\<%TMP%> ------ Четвёртое, по поводу запуска файлов В старых версиях uVS брал информацию: AppData\Roaming\Microsoft\Windows\Recent судя по всему сейчас этого нет.  
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ---------------------------------------------------------
       5.0.4
      ---------------------------------------------------------
       o Переменные окружения всех пользователей с некорректным содержимым теперь добавляются
         в список как подозрительные объекты со статусом "ПЕРЕМЕННАЯ".
         Удаление такого объекта приведет к удалению переменной пользователя или 
         к восстановлению значения по умолчанию если это системная переменная.  
         Поскольку уже запущенные процессы используют копии переменных потребуется перезагрузка системы.

       o Для процессов с внедренными потоками теперь печатается родитель этого процесса.

       o В лог выводится состояние SecureBoot.

       o В лог выводится версия драйвера Ф.

       o Добавлена интеграция с Ф:
         o История процессов загружается из Ф, а не из журнала Windows.
           Работает и при выключенной опции отслеживания процессов и задач, но если эта опция выключена
           то будет доступна лишь история процессов, но не задач.
           Это может быть полезно в случае когда зловред удаляет свою активность из журнала Windows.
         o Если установлен Ф v2.20 и старше, то в лог выводится список процессов (в т.ч. и уже завершенных)
           внедрявших потоки в чужие процессы, такие процессы получают статус "ПОДОЗРИТЕЛЬНЫЙ" и новый статус "ИНЖЕКТОР".

       o В меню запуска добавлена опция "Установить драйвер Ф".
         Версия драйвера: v2.20 mini - это урезанный драйвер бесплатной версии Ф.
         В отличии от драйвера в Ф эта версия не имеет региональных ограничений. 
         Драйвер ведет историю запуска процессов и внедрения потоков в чужие процессы.
         Дополнительно осуществляется защита ключа драйвера в реестре и самого файла драйвера.
         Остальной функционал удален.
         Драйвер устанавливается под случайным именем.
         Удалить драйвер можно будет в том же меню запуска, после установки/удаления требуется перезагрузка системы.
         (!) Для установки драйвера Ф потребуется выключить SecureBoot в BIOS-е.
         (!) Установка драйвера возможна лишь в 64-х битных системах начиная с Win7.
         (!) После установки драйвера система перейдет в тестовый режим из-за включения опции Testsigning.
         (!) При удалении драйвера запрашивается разрешение на отключение опции Testsigning.
         (!) Если эта опция изначально была включена и пользователь использует самоподписанные драйвера
         (!) то это опцию НЕ следует выключать, иначе система может уже и не загрузиться.

       o В меню "Запуск" и в меню удаленной системы добавлен пункт "Свойства системы".

       o Исправлена ошибка из-за которой в логе не появлялось сообщение о завершении сеанса при обратном подключении
         к удаленному рабочему столу.

       
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Возможно, что-то в открытом коде будет полезного и для uVS https://www.comss.ru/page.php?id=19320
    • Ego Dekker
      Актуальные версии антивируса 19-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 19.0.14.
×