Перейти к содержанию

Recommended Posts

Илья Рабинович

Всем доброго времени суток!

Случайно наткнулся на такой вот ресурс в Сети. www.jeriko.ru, якобы защифрованные книги, реально- явные пустышки, вводящие в заблуждение и вымогающие посылку СМС. Во всяком случае, очень всё походит именно на это.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Запрашиваемый URL-адрес не может быть предоставлен

URL-адрес:

http://www.jeriko.ru/

Заблокирован Веб-Aнтивирусом

Причина: вредоносная ссылка

Только к чему это в этом разделе?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

А в каком разделе ему быть? И почему тогда ресурс до сих пор жив, а не отключён? Не внесён в Гугловские фильтры? Что, у всех пользователей Сети стоит KIS?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sansero.ee

http://www.virustotal.com/url-scan/report....2708-1306227852

http://www.avgthreatlabs.com/sitereports/domain/jeriko.ru

А то, что там кто-то за что-то денег просит и люди дают... антивирус тут бессилен...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

И снова- почему ресурс не закрыт? Ведь ему почти что год. Почему делигирование домена продолжается? Почему его нет в фильтрах браузеров?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Илья Рабинович

попробуйте в инете искать что-то не по информационной безопасности и программированию и увидите, что чуть ли ни каждый третий ресурс или имеет стороннюю рекламу, которая органично вписывается в контент страницы и предлагает скачать искомое или сам сайт и распространяет нечто в "архиве" под паролем, который нужно получить, отправив смс...

И по сути есть два варианта того, что будет если отправить смс: или в архиве будет искомое или нет. Шансы считать я не берусь :)

Думаю, что многие такое могли наблюдать, хотя не факт, т.к если пытаешься скачать архив/торрент, а в ответ получаешь вопрос от браузера о сохранении нужный-файл.torrent.ехе, то рука уже сама тянется к кнопке "Отмена", так как уже и так все ясно - там или троян или такой вот вымогатель.

На секурелисте есть описания подобных программ-"архивов". Детектируются они чаще всего как Hoax.Win32.ArchSMS. Предлагаю к прочтению пару интересных описаний (приятно, что со скриншотами - самому не нужно делать :)):

WinRAR 2011

WinRARc

И такое происходит при поиске практически чего угодно. Предлагаю эксперимент. Давайте попробуем чего-нибудь скачать. Что сейчас популярно? Хм.. Давайте скачаем кино. Сейчас премьера "Пираты карибского моря 4", поэтому такой поисковый запрос к яндексу и составим. По первой ссылке идет сайт zerx(точка)ru, где предлагается скачать фильм в качестве TS, пониже есть ссылка на быструю загрузку:

abb70be8f1b6.jpg

При нажатии на которую попадаем на сайт shara.all-many-house(точка)ru, где нам уже предлагают скачать файлик:

e2c9ea937a74.jpg

причем заверяют, что он Касперским проверен :)

Скачивается файл Pirati Karibskogo morya 4_ Na strannih beregah_2011532446-.avi.exe весом около 30 Мб с иконкой архива, т.е на вирустотал его залить не выйдет (ну, вдруг кто захочет).

При запуске выдает такое окно (а дальше уже и смысла нет по кнопочкам нажимать, итак ясно что будет):

f5d9a64cfe46.jpg

Ясно, что никакого фильма в "архиве" нет...

Добрая часть такой дряни делается через сайты типа zip-archive(точка)com

Некоторые "архивы" прямо там и хранятся. Надеюсь, что у всех антивирусы данный сайт блокируют...

Вот и закончилось наше краткое путешествие по интернету, при этом у нас был включен носкрипт и адблок, поэтому никаких попандеров/кликандеров/горы рекламы мы заметить не смогли :)

PS:

Что, у всех пользователей Сети стоит KIS?

При переходе по ссылке из первого сообщения нод32 тоже вопит:)

А в лисе на "Справка - Сообщить о мошенническом веб-сайте..." не я первый, думаю нажал... или первый :)

Сейчас в топе книга "Книга Игры из тайничка. Развивающие игры. Творческие задания. Знакомство с правилами поведения". Скачал ее в электронном виде оттуда. Вот результат проверки на вирустотале:

http://www.virustotal.com/file-scan/report...7f5e-1306231565

24/42 это очень хороший результат! :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Илья решил посмотреть за пределы песочницы и обнаружил что пользователи таки не защищены ? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
StarStream
Что, у всех пользователей Сети стоит KIS?

avast! тоже блокирует :)

4474873.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Ну вот, прошло уже больше недели. Fx и Crome как открывал сей "ресурс" без малейших намёков своим пользователям на потенциальный развод, так и продолжает это делать. Хотя и я, и ещё несколько человек пожаловались на злонамеренность сайта. Вот так вот "корпорация добра" защищает рядового пользователя в Сети!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

Won't be evil :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ego Dekker
      ESET Cyber Security/ESET Cyber Security Pro были обновлены до версии 6.7.555.
    • stas.panov
      Объяснение очень доходчивое  и по делу. Большое спасибо за информацию и ссылки. 
    • Quincy
      Серёга Лысый известный балабол же
    • Александр Полиграф
      Проведение расследований с применением полиграфа. Выявление сотрудников "сливающих" информацию, осуществляющих попытки- получения данных, шпионаж, работа на конкурентов, сбор компромата и т.п. Осуществляем выезд к вам в офис. Гарантия конфиденциальности.  poligraf.msk.ru ПОЛИГРАФ МСК.pdf
    • PR55.RP55
      vesorv 1) С отключенным интернетом вы не сможете активировать лицензию на антивирус. а раз не сможете - то и не получите защиту. Значит активируем антивирус > Создаём образ системы и переносим его на внешний носитель. Получаем возможность проводить тестирование повторно. 2) Вам для тестирования не нужны "свежие" угрозы. Разработчик регулярно обновляет установочный пакет. Скажем за 2018 год вышла - 12 версия антивируса, затем вышла версия. 12.01> 12.02 > 12.03  и т.д. Интервал между версиями пару месяцев. За пару месяцев ничего принципиального и прорывного в защите не сделать. Установив вместо версии: 12.03  "устаревшую" версию 12.02 вы получите и устаревшую базу сигнатур вирусов. И здесь можно тестировать угрозы о которых антивирус не осведомлён. 3) Антивирус нужен для постоянной защиты. Установка не производиться на заражённую машину. так, как установочный пакет не предназначен для очистки системы. ( Да, в рекламных целях разработчик может написать, что есть такая возможность... Однако ) Вирус может повредить реестр, заблокировать работу Windows Installer, модифицировать критически важные системные файлы - система просто не будет работать должным образом. _Эффективная очистка возможна только на НЕ активной системе - при работе с Live CD или при загрузке с другой не заражённой системой. 4) Отключать нужно не только интернет  - но  и беспроводные блютус и Wi-Fi иначе вы рискуете получить заражение всех доступных устройств. 5) Многие вредоносные программы вы просто не сможете запустить. так, как могут быть ограничения на регион распространения  - тот кто заказывал разработку\модификацию например рассчитывает на атаку конкретной страны, банка. 6) По очистке и лечению. Это не одно и тоже. Есть антивирусы которые удаляют файлы\угрозы но при этом не очищают реестр от лишних записей. Удаление файла\угрозы без удаления записей может приводить к ошибкам в работе системы. Лечение файлов - здесь речь идёт прежде всего о файловых вирусах. Антивирус должен найти заражённый файл, найти нужный участок и очистить - причём очистить так, чтобы сохранилась работоспособность системы. Но очистка исполняемых файлов не имеет смысла - всё равно _современная система не сможет нормально работать так, как у файла не будет ЭЦП... а если критически важный  файл не пройдёт проверку на наличие ЭЦП то и система не запуститься... Единственно, что можно сделать - это заменить файл на оригинальный. А учитывая число файлов, разнообразие их версий  - это становиться нетривиальной задачей. Некоторые антивирусы\сканеры имеют архив с такими файлами ( для замены: EXPLORER.EXE; NTDETECT.COM; NTSD.EXE и т.д ) А большинство антивирусов таких архивов не имеет. 7) Вы не учитываете уровень ложных срабатываний\определений. Антивирус  может сработать на чистый файл. Значит нужно проверять систему ещё до работы с реальными угрозами. 8) Угроза, или нет ? Это философский вопрос. Здесь каждый разработчик решает сам - что является угрозой, а что нет. т.е. на файл ХХХ одни антивирус сработает - а другой антивирус на файл ХХХ не сработает. + Программы разработанные спец. службами например страна ****а разработала вирус с целью нарушения работы оборудования, в целях шпионажа, получения удалённого доступа. Разве разработчики антивирусов находящиеся под её юрисдикцией будут искать эту угрозу ? 9) Легальные шпионские программы - одни антивирусы их будут находить, а другие антивирусы их находить не будут. Под легальными нужно понимать такие компоненты системы которые устанавливает разработчик оборудования - мониторинг - обнаружение украденного оборудования - диагностические отчёты. т.е. антивирусы по умолчанию находятся вне равных условий. 10) У всех разное железо - и производитель распространяет установщики  с некими средними настройками - чтобы на старых\слабых PC не наблюдалось зависание. С разными настройками эвристики будет  разная  скорость\эффективность работы. Значит нужно, или тестировать всё по умолчанию, или накручивать параметры на максимум. Нужно будет оценивать стабильность работы системы после внесения изменений в работу антивируса. 11) Куда ушли ?  Да куда угодно. Потеряли интерес, стало больше информации и меньше времени на её обсуждение. Помните песню: " Куда уехал цирк ? он был ещё вчера " https://www.comss.ru/page.php?id=5777 Дело в том, что всё уже давно обсудили, и вся информация есть в сети. а все эти _публичные тестирования ( как бы это помягче сказать... ) Средняя температура по больнице в норме !    
×