Перейти к содержанию

Recommended Posts

Umnik

priv8v

Это не совсем точно. По мобильным угрозам KIS не стремиться добавить в базы сразу. Детект KMS может уже быть, а детекта KIS может еще не быть. Возможно и у других вендоров так.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

не знаю. что увидел - то показал. за что купил - за то продаю :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot

Opera.pngИсследователи в области информационной безопасности предупреждают пользователей о появлении в сети новой угрозы, скрывающейся под видом обновления для популярного обозревателя для мобильных телефонов Opera Mini.

Читать далее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
пожалуй, первый случай использования методов социальной инженерии против пользователей мобильных телефонов

Ну вот правда - не первый :rolleyes:

P.S. Я, конечно, не вирусный аналитик, но насколько я знаю, под оперу трояны маскируются уже не один год...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
По мобильным угрозам KIS не стремиться добавить в базы сразу. Детект KMS может уже быть, а детекта KIS может еще не быть.

Неверно. Такая ситуация практически исключена.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Viktor

Эту исключительную ситуацию наблюдаю не один раз. Меня тоже это удивляло, но выяснил, что команда мобильных угроз все-таки своя собственная.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
Viktor

Эту исключительную ситуацию наблюдаю не один раз. Меня тоже это удивляло, но выяснил, что команда мобильных угроз все-таки своя собственная.

Плохо выясняли значит ;)

Пользователям KAV/KIS информация попадает даже раньше, там время доставки обновлений меньше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Viktor

Для меня время обновления КМС меньше, чем КИС. Просто потому что для теста делаю "через 5 минут", "через 15". Вот и натыкался, что детект КМС уже есть, а детекта КИС еще нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
Viktor

Для меня время обновления КМС меньше, чем КИС. Просто потому что для теста делаю "через 5 минут", "через 15". Вот и натыкался, что детект КМС уже есть, а детекта КИС еще нет.

Вы, конечно, можете выставлять и "через 5 минут", но пока не вышли новые базы, информация о малваре не попадет на устройство. Повторю - время доставки обновлений (время перевыпуска баз на сервере) для KAV/KIS существенно меньше, чем для KMS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Viktor

Ох, мы можем спорить долго.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
Viktor

Ох, мы можем спорить долго.

Я не спорю, ибо подлецом быть не хочу, а дураком не могу (С) :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
P.S. Я, конечно, не вирусный аналитик, но насколько я знаю, под оперу трояны маскируются уже не один год...

Новость обновлена :)

Все. Данный материал раскручен до конца. Все точки над i расставлены, в общем виде это показано в новости от анти-малваре -

читать.

Если интересны технические подробности, то буду сюда помаленьку писать или за раз опубликую. Домены сейчас сотнями банятся антивирусами (те, на которые в итоге приводит редирект). Разрабатываются методы обнаружения таких сайтов.

Первоначальное (в первый час раскапывания) у меня было два варианта заражения сайтов: хакерами и самим админом. В итоге я остановился на том, что это сами админы занимаются сливом wap-траффика.

Остальные вышевысказанные мои идеи и наблюдения полностью подтвердились и расширились. Нашлось много чего интересного и нового в техническом плане :)

Вопрос масштабов этого - открыт. Ясно одно - масштаб просто огромный. Насколько - хорошо бы поговорить с Александром Гостевым на эту тему, у него можно, думаю, просить какие-нибудь данные по KSN. У каспера хороший детект загружающихся зловредов, кстати...

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Вопрос масштабов этого - открыт. Ясно одно - масштаб просто огромный. Насколько - хорошо бы поговорить с Александром Гостевым на эту тему, у него можно, думаю, просить какие-нибудь данные по KSN. У каспера хороший детект загружающихся зловредов, кстати...

Вот прямо сейчас, сидим в Барселоне на конференции Virus Bulletin и обсуждаем с человеком из Яндекса эту проблему. :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Вот прямо сейчас, сидим в Барселоне на конференции Virus Bulletin и обсуждаем с человеком из Яндекса эту проблему. rolleyes.gif

раз уж упомянули про яндекс, то ситуация с поисковиками такая:

в большинстве случаев поисковик не может знать есть такая бадяга на сайте или нет, т.к заходит с нескольких фиксированных юзерагентов. Эти юзерагенты (разумеется, что ключевое слово из них) забиты в хтаксесс - чтобы ни было, но если в юзерагенте встретится что-то похожее на бота той или иной поисковой машины, то редиректа не будет точно.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
Новость обновлена :)

Ну вот, так мне гораздо больше нравится. Спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Вопрос к сообществу:

корректно ли проверять ссылки (и доверять этим результатам) на ВТ? Расшифрую: хочу проверить как определенный антивирус (др.веб, битдефендер, ТМ и т.д) реагирует на определенный сайт - орет, что он заражен и не пускает туда если он стоит на компе/мобиле? Потому проверяю на ВТ. Так вот, корректно ли это или там у антивирусов не так, как на компе и на компе он лучше реагирует?

Еще интересно как каспер реагирует на сайт, качать его себе - желания нет. Это можно онлайн сделать?

или скинуть кому-то ссылки? Кто-то может помочь в этом?

###

Вот пример:

Ссылка свежачок тынц

А вот то, что по ссылке скачивается: тынц

Идеальная чистота, вирустотал чист как слеза младенца. Вот так вот, господа, работают партнерки. Не все и не всегда, но бывает и так...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

ВТ в любом случае дает лишь общее представление. К примеру, базы там еще не обновлены. Можешь использовать эмулятор Андроида, но это очень тормозной метод.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Нога в ногу идут, кстати:

тынц

забегая вперед могу сказать, что пока кроме каспера и др.веба с такого рода угрозами никто не справляется. Закачал на ВТ за последние 24 часа около 30 файлов, каспер и др.веб показывают лучшие результаты. Молодцы!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Aleksandra
забегая вперед могу сказать, что пока кроме каспера и др.веба с такого рода угрозами никто не справляется.

Не скажите...

http://www.virustotal.com/file-scan/report...7122-1318067951

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Угу, не фолс:

Opfake.PNG

post-270-1318072485_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

я тоже могу дать линки те, где кспер молчит, и те где доктор молчит. говорю в общем по выборке как дела обстоят

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Угу, не фолс:

Opfake.PNG

Как ни странно, файл чистый. VBA фолсит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Вопрос к сообществу:

относительно подробная статья готова. куда постить? может в блог кто возьмет, тут вроде у многих блоги на проекте...

Вот файлики приятные, кстати:

раз

два

Ни каспер, ни др.веб не видят. Вроде не фолсы...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

priv8v, ну и что свой не заведешь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
priv8v, ну и что свой не заведешь?

а я не так часто что-то пишу :) а то начну еще писать чаще бред какой-нибудь, а так пишу на форуме вроде в неофициальной обстановке, могу любую ересь писать, криво высказывать мысли, троллить, оффтопить, высказывать неверные мысли и т.д

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×