Скачай Opera Mini -лишись денежных средств на телефоне. - Современные угрозы и защита от них - Форумы Anti-Malware.ru Перейти к содержанию
AM_Bot

Скачай Opera Mini -лишись денежных средств на телефоне.

Автор AM_Bot, в Современные угрозы и защита от них

Recommended Posts

AM_Bot    48

AM_Bot
Опубликовано

С каждым днем растет количество людей путешествующих по просторам интернета со своего мобильЧитать далее

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

priv8v    960

priv8v
Опубликовано

Огромное спасибо Danilk'e за любезно предоставленное пространство своего блога для публикации и за редакторскую работу :)

Вот и вышла, давно мной обещанная, небольшая относительно подробная статья :)

Небольшая добавка-комментарий к статье:

1. Еще одной из причин дикого роста популярности таких партнерок стало то, что участие в такой партнерке приносит чаще всего админам денег больше чем все рекламы (ссылки, баннеры, попандеры) на его сайте вместе взятые. Также, мобильные посетители по сути бесполезны - вряд ли они кликнут на баннер, перейдут по рекламной ссылке или скачают с депозита какой-то файл гига на полтора, а тут они становятся дойными коровами и чуть ли не самыми полезными посетителями сайта.

2. На сайтах юкоз редирект реализован чаще всего так: в виде скрипта в код страницы и происходит не редирект, а алерт от браузера о загрузке файла (типа, загружать или нет), если да, то загружается, затем можно запустить, если нет, то можно спокойно просматривать сайт.

3. На сайтах, на которые в итоге приводит редирект (где написано, что браузер устарел, скачайте новый) редко присутствует проверка на мобильность браузера - подразумевается, что НЕмобильный браузер на них и не мог попасть, поэтому на них происходит лишь базовая проверка ОС и выдается apk (под андроид) или jar (под все остальные). Изредка еще есть предложение выбрать срану - тогда в зависимости от этого могут разные файлы загружаться. Также редко встречаются какие-то опознания по кукам т.е алерт будет выдаваться вам столько бы вы раз туда не зашли и сколько бы раз не скачали "браузер". А когда такая проверка есть, то показывается другой сайт - на этот раз оказывается, что устарел не только браузер, но и jimm клиент, или что еще... Тут можно послать привет связкам эксплоитов - они любят выдать в таком случае смайл или в гугл отправить :)

4. Могут грузится не только "аськи/браузеры/джиммы", но и что угодно - в партнерках имеются конструкторы мидлетов - пишешь название, картинку, ссылку на то, за что денюжка типа уходить будет.

5. Аналогичным способом у этих же партнерок можно выбрать редирект не на софт, а на поддельные порно-сайты (актуально для владельцев порносайтов), где пользователю предлагается скачать проигрыватель для порно или видео. Разумеется, что и видео и плеер в формате jar :)

  • Upvote 5

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

AlexxSun    150

AlexxSun
Опубликовано
Защитой от такого рода мошенничества (помимо, внимательности) могут служить мобильные антивирусы от Лаборатории Касперского и Dr. Web, остальные в этом плане жарко… в общем, вспоминайте, что в таких случаях говорит sww.

Эту фразу не совсем понял. Может быть правильно было бы написать "остальных в этом плане жалко" ?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

priv8v    960

priv8v
Опубликовано

фраза про антивирусы, о том что делают остальные. их мне ничуть не жалко..

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

sceptic    100

sceptic
Опубликовано

"жарко и сладко сосёт" (с) sww

:D

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

SBond    253

SBond
Опубликовано

ИМХО - Может быть бороться надо с этим не антивирусами, а статьями закона? То есть - вплоть до судебных разбирательств всей ветки подобной рекламы. Судить как пособников обворовывания и мошенничества над своими клиентами и пользователями.

Сделал или дал место для рекламы, заведомо зная об ее возможной злонамеренности - пособник (статья) и тд. статьи вплоть до самого оператора мобильной связи.

Конечно это было бы жестко, но зато действенно, и наверное будет сильнее всех антивирусов вместе взятых, со всеми остальными недосказанными словами, о которых многие догадаются сами.

Чисто не там где убираются... :)

Спасибо за публикацию, я не против мобильных антивирусов и пользовательской безопасности, наоборот. Нам просто приходится вооружаться знаниями и подсказывать менее опытным людям об возможных опасностях...

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

priv8v    960

priv8v
Опубликовано

Согласен. через закон бороться можно, но относительно сложно.

тут нужно:

1. шарящий технической стороне вопроса человек (у каких партнерок есть линк на договор, а у каких нет, где малварь сразу начинает грузится без вывода сообщения о браузере и соглашении, и т.д). такое знаю и могу тот же самый я.

2. хороший юрист. как и куда подать. жалоба/заявка/иск - я даже не знаю что подается и куда в таких случаях, как оформляется тоже без понятия, короче не знаю ничего.

3. имя и ресурсы. у меня его нет по сути. например: жалобу регистратору/отделу К пишет ЛК/жалобу пишет вася пупкин. разницу чуете?

сложные пункты? нет. для любой ав-конторы это как два пальца об асфальт. было бы желание...

а его нет... нет мотивации.... надо ее придумать и предложить, остальное антивирусная компания и сама сделает.

какая мотивация? например пропиариться на очистке рунета от самого массового заражения сайтов вредоносами. (то, что это самозаражения значения не имеет, сайт редиректит на малварь - значит он заражен).

мои слова про самое массовое заражение пока никто не подтвердил, но и не опроверг

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

AlexxSun    150

AlexxSun
Опубликовано

А сотовые операторы, как мне кажется, тоже что-то имеют от пересылки сообщений на короткие номера? Т.е. если они имеют с этого какую-то часть, то им (провайдерам) вообще невыгодно будет бороться со всем этим злом? Ну по крайней мере - с заявлением в органы представитель провайдера уж точно не пойдёт?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Современные угрозы и защита от них

  • Сообщения

    • Ego Dekker
      Актуальные версии антивируса 19-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 19.1.14.
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      santy Я бы ввёл лимит - одна новая тема в сутки и всё... Кстати говоря - по поводу ИИ - я там недавно в разделе: Новые функции в ***  написал, но видимо из-за спамеров никто не читал... А между тем...
    • santy
      uVS - Тестирование

      От santy · Опубликовано

      Увы, нет технологий по противодействию спамеров на техническом форуме. По идее, после дублирования нескольких тем с одинаковым контентом учетка должна автоматически заблокироваться, и темы все автоматически удаляться через несколько дней. Где же ты ИИ? :). Спасение форума от спамеров не есть дело рук самих топик стартеров.
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      https://forum.kasperskyclub.ru/topic/471996-pojavljajutsja-v-operativnoj-pamjati-membackdoorwin64agentgen-i-memtrojanmultiagentgen/page/2/#comments Task: {A67FE49E-5424-45F5-9347-257FE1179FF6} - System32\Tasks\Microsoft\Windows\Autochk\KeyPreair => C:\Program Files (x86)\Microsoft\Edge\Application\Msproedg.exe [64080 2026-03-16] (Microsoft 3rd Party Application Component -> ) 1. Предлагаю добавить в меню: Запрос к ИИ 2. Автоматически добавлять ЭТО в подозрительные. Что можно получить при разборе в ИИ. ___Ответ ИИ: ___ Резюме Анализ вредоносной строки из лога FRST   * *Суть записи:* Данная строка представляет собой запись из лога
          программы FRST (Farbar Recovery Scan Tool) и указывает на активное
          вредоносное ПО на компьютере.
        * *Маскировка файла:* Исполняемый файл |Msproedg.exe| имитирует
          легитимный браузер Microsoft Edge, маскируясь под него измененным
          именем. Оригинальный файл браузера должен называться |msedge.exe|.
          Имя |Msproedg.exe| не используется ни одним легальным софтом в мире.
        * *Аномалия размещения:* Вирус прописан в планировщике задач в ветке
          |Microsoft\Windows\Autochk|. В норме эта ветка отвечает
          исключительно за диагностику файловой системы при загрузке
          компьютера и может содержать всего одну легальную задачу — |Proxy|.
          Задача с именем |KeyPreair| здесь нелегальна.
        * *Аномалия размера:* В логе указан размер |64080| байт (около 64 КБ).
          Размер оригинального браузера измеряется в мегабайтах, а не в
          килобайтах.
        * *Аномалия даты (Timestomping):* В логе указана дата |2026-03-16|.
          Вирус намеренно использует технику подделки даты, чтобы скрыться от
          антивирусных сканеров, которые ищут недавно измененные файлы.
        * *Скомпрометированная цифровая подпись:*
            o В логе отображается строка: |(Microsoft 3rd Party Application
              Component -> )|.
            o Сертификат |Microsoft Windows Third Party Application Component|
              (и его сокращенный вариант) действительно существует. Это
              легальный сертификат Microsoft для подписи софта сторонних
              разработчиков, который официально интегрируется в систему
              (компоненты Teams, DirectX).
            o У оригинального браузера Edge подпись всегда выглядит как
              |(Microsoft Corporation)|. В данном же случае пустая стрелочка в
              конце |-> )| показывает цепочку доверия Authenticode.
            o В легальном файле FRST проверяет издателя и замыкает цепочку:
              |(Microsoft 3rd Party Application Component -> Microsoft
              Corporation)|. Пустота после стрелки в вашем логе — это
              технический признак того, что вирус скопировал чужой блок
              подписи, но криптографическая проверка Authenticode провалилась.      
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      demkd Если так с рекламой на форуме продолжиться - форум закроют :)
×