Фальшивые Opera Mini - Страница 2 - Общий форум по информационной безопасности - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

Umnik

priv8v

Это не совсем точно. По мобильным угрозам KIS не стремиться добавить в базы сразу. Детект KMS может уже быть, а детекта KIS может еще не быть. Возможно и у других вендоров так.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

не знаю. что увидел - то показал. за что купил - за то продаю :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot

Opera.pngИсследователи в области информационной безопасности предупреждают пользователей о появлении в сети новой угрозы, скрывающейся под видом обновления для популярного обозревателя для мобильных телефонов Opera Mini.

Читать далее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
пожалуй, первый случай использования методов социальной инженерии против пользователей мобильных телефонов

Ну вот правда - не первый :rolleyes:

P.S. Я, конечно, не вирусный аналитик, но насколько я знаю, под оперу трояны маскируются уже не один год...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
По мобильным угрозам KIS не стремиться добавить в базы сразу. Детект KMS может уже быть, а детекта KIS может еще не быть.

Неверно. Такая ситуация практически исключена.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Viktor

Эту исключительную ситуацию наблюдаю не один раз. Меня тоже это удивляло, но выяснил, что команда мобильных угроз все-таки своя собственная.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
Viktor

Эту исключительную ситуацию наблюдаю не один раз. Меня тоже это удивляло, но выяснил, что команда мобильных угроз все-таки своя собственная.

Плохо выясняли значит ;)

Пользователям KAV/KIS информация попадает даже раньше, там время доставки обновлений меньше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Viktor

Для меня время обновления КМС меньше, чем КИС. Просто потому что для теста делаю "через 5 минут", "через 15". Вот и натыкался, что детект КМС уже есть, а детекта КИС еще нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
Viktor

Для меня время обновления КМС меньше, чем КИС. Просто потому что для теста делаю "через 5 минут", "через 15". Вот и натыкался, что детект КМС уже есть, а детекта КИС еще нет.

Вы, конечно, можете выставлять и "через 5 минут", но пока не вышли новые базы, информация о малваре не попадет на устройство. Повторю - время доставки обновлений (время перевыпуска баз на сервере) для KAV/KIS существенно меньше, чем для KMS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Viktor

Ох, мы можем спорить долго.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
Viktor

Ох, мы можем спорить долго.

Я не спорю, ибо подлецом быть не хочу, а дураком не могу (С) :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
P.S. Я, конечно, не вирусный аналитик, но насколько я знаю, под оперу трояны маскируются уже не один год...

Новость обновлена :)

Все. Данный материал раскручен до конца. Все точки над i расставлены, в общем виде это показано в новости от анти-малваре -

читать.

Если интересны технические подробности, то буду сюда помаленьку писать или за раз опубликую. Домены сейчас сотнями банятся антивирусами (те, на которые в итоге приводит редирект). Разрабатываются методы обнаружения таких сайтов.

Первоначальное (в первый час раскапывания) у меня было два варианта заражения сайтов: хакерами и самим админом. В итоге я остановился на том, что это сами админы занимаются сливом wap-траффика.

Остальные вышевысказанные мои идеи и наблюдения полностью подтвердились и расширились. Нашлось много чего интересного и нового в техническом плане :)

Вопрос масштабов этого - открыт. Ясно одно - масштаб просто огромный. Насколько - хорошо бы поговорить с Александром Гостевым на эту тему, у него можно, думаю, просить какие-нибудь данные по KSN. У каспера хороший детект загружающихся зловредов, кстати...

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Вопрос масштабов этого - открыт. Ясно одно - масштаб просто огромный. Насколько - хорошо бы поговорить с Александром Гостевым на эту тему, у него можно, думаю, просить какие-нибудь данные по KSN. У каспера хороший детект загружающихся зловредов, кстати...

Вот прямо сейчас, сидим в Барселоне на конференции Virus Bulletin и обсуждаем с человеком из Яндекса эту проблему. :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Вот прямо сейчас, сидим в Барселоне на конференции Virus Bulletin и обсуждаем с человеком из Яндекса эту проблему. rolleyes.gif

раз уж упомянули про яндекс, то ситуация с поисковиками такая:

в большинстве случаев поисковик не может знать есть такая бадяга на сайте или нет, т.к заходит с нескольких фиксированных юзерагентов. Эти юзерагенты (разумеется, что ключевое слово из них) забиты в хтаксесс - чтобы ни было, но если в юзерагенте встретится что-то похожее на бота той или иной поисковой машины, то редиректа не будет точно.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
Новость обновлена :)

Ну вот, так мне гораздо больше нравится. Спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Вопрос к сообществу:

корректно ли проверять ссылки (и доверять этим результатам) на ВТ? Расшифрую: хочу проверить как определенный антивирус (др.веб, битдефендер, ТМ и т.д) реагирует на определенный сайт - орет, что он заражен и не пускает туда если он стоит на компе/мобиле? Потому проверяю на ВТ. Так вот, корректно ли это или там у антивирусов не так, как на компе и на компе он лучше реагирует?

Еще интересно как каспер реагирует на сайт, качать его себе - желания нет. Это можно онлайн сделать?

или скинуть кому-то ссылки? Кто-то может помочь в этом?

###

Вот пример:

Ссылка свежачок тынц

А вот то, что по ссылке скачивается: тынц

Идеальная чистота, вирустотал чист как слеза младенца. Вот так вот, господа, работают партнерки. Не все и не всегда, но бывает и так...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

ВТ в любом случае дает лишь общее представление. К примеру, базы там еще не обновлены. Можешь использовать эмулятор Андроида, но это очень тормозной метод.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Нога в ногу идут, кстати:

тынц

забегая вперед могу сказать, что пока кроме каспера и др.веба с такого рода угрозами никто не справляется. Закачал на ВТ за последние 24 часа около 30 файлов, каспер и др.веб показывают лучшие результаты. Молодцы!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Aleksandra
забегая вперед могу сказать, что пока кроме каспера и др.веба с такого рода угрозами никто не справляется.

Не скажите...

http://www.virustotal.com/file-scan/report...7122-1318067951

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Угу, не фолс:

Opfake.PNG

post-270-1318072485_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

я тоже могу дать линки те, где кспер молчит, и те где доктор молчит. говорю в общем по выборке как дела обстоят

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Угу, не фолс:

Opfake.PNG

Как ни странно, файл чистый. VBA фолсит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Вопрос к сообществу:

относительно подробная статья готова. куда постить? может в блог кто возьмет, тут вроде у многих блоги на проекте...

Вот файлики приятные, кстати:

раз

два

Ни каспер, ни др.веб не видят. Вроде не фолсы...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

priv8v, ну и что свой не заведешь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
priv8v, ну и что свой не заведешь?

а я не так часто что-то пишу :) а то начну еще писать чаще бред какой-нибудь, а так пишу на форуме вроде в неофициальной обстановке, могу любую ересь писать, криво высказывать мысли, троллить, оффтопить, высказывать неверные мысли и т.д

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
×