Пользователи сайта "В Контакте.Ру" стали жертвами компьютерного вируса

[AlexxSun 150]

шумиха какая? во вконтакте обсуждение полным ходом...проверил нодом он ничего не нашел чтоли?

Иван, дело в том, что среди пострадавших в основном именно пользователи Нода, либо пользователи без антивируса/с необновляемым антивирусом.

Вадим Эммэтойа написал

25 мая 2008 в 20:39

Мда.. 140 Гб превращены в десятки тысяч файлов с нулевыми размерами. Я что думаю - такое большое количество файлов вирус не мог быстро удалить/забить мусором и т.п. Может дело в таблице размещения файлов? Там что-то исправить надо? хз.. просмотреть диск и считать реальные размеры файлов

[E.K. 100]

кажется диплом брата этот вирус тоже сожрал

25 мая войдёт в историю России как Альтернативный День Защитника Отечества - или просто "День Военкомата".

Прошу прощения - не сдержался... Но блог Вконтакта становится очевидным конкурентом Башорга...

[AlexxSun 150]

Попробовал на виртуалке - впечатлило Заодно проактивные возможности продуктов проверил ...

Марина Кривошеина написала

25 мая 2008 в 21:02

сначала мой верный макафи сообщил об активации вируса, потом все зависло...на автомате ребутнула машину и - оля - ля: единственный выходной я провела за переустановкой винды, драйверов и прочих вещей... Утеряны очень дорогие для меня файлы... На компе не осталось ничего((( Сообщение о вирусе от администрации увидела после... В общем испорчен день

Светлана Волкова написала

25 мая 2008 в 21:06

Я что то не пойму, как может быть, например, документ Word 0 кбайт, если даже пустой он имеет 19 кбайт?

И Аваст уж очееееень меня огорчил(

[sereja6 0]

Хотелось бы уточнить почему продукт Доктор Веба его не перестаёт ловить?

http://www.virustotal.com/ru/analisis/59fa...fd28b9ea5634125

[AlexxSun 150]

KIS его тоже не перестаёт ловить Не сигнатурно, так проактивно...

[Umnik 997]

После чего не перестает?

[Иван 290]

а можно узнать почему они должны перставать ловить?

Не сигнатурно, так проактивно...

это детект по подозрительному пакеру и к проактивности имеет мало отношения, сходный вердикт вы получите просто просканировав файл

[sereja6 0]

а можно узнать почему они должны перставать ловить?

Ну как мы видим каспер и многие другие антивирусы его перестали определять, а почему Доктор веб выдаёт точно такой же вердикт? Просто на данный момент один из компьютеров на котором проводил тесты стал не работоспособным из-за этого вируса, а на боевые компы ставить Доктор веба пока нет возможности. Вот и хотелось бы уточнить

[Иван 290]

sereja6

а что за тест-то, модифицированного зловреда тестировали?

это ведь какой-то новый сампл

старые все палятся http://www.virustotal.com/ru/analisis/25a8...8b3b05c37aa16cb

предлагаю зловреда в студию...

[sereja6 0]

Интересный детект у F-Prot W32/Heuristic-210!Eldorado Нужно установить и проверить в правду ли унего такой эвристик

http://www.virustotal.com/ru/analisis/c1fc...774f3973b81eb7e

sereja6

а что за тест-то, модифицированного зловреда тестировали?

это ведь какой-то новый сампл

старые все палятся http://www.virustotal.com/ru/analisis/25a8...8b3b05c37aa16cb

предлагаю зловреда в студию...

В студию это означает кудато залить? Кстати через пару часов Каспер будет ловить новые модификации Ребята работают быстро упс поправка реактивно

[Иван 290]

ну залей куданть, да в лиичку

это ведь не итв самплы как я понимаю, а тобой доработанные?

[sereja6 0]

ну залей куданть, да в лиичку

это ведь не итв самплы как я понимаю, а тобой доработанные?

Ок, проверьте личку

[Иван 290]

Ок, проверьте личку

проверил, за вирмейкерство у нас положена статья - за тобой уже выехали

[sereja6 0]

проверил, за вирмейкерство у нас положена статья - за тобой уже выехали

Угу только вот не нужно там всяких вирмейкерство, я тестер ЛК, а не вирусописатель, я сто раз это уже обэясняю, может в подписе написать?

[Иван 290]

Угу только вот не нужно там всяких вирмейкерство, я тестер ЛК, а не вирусописатель, я сто раз это уже обэясняю, может в подписе написать?

не колебет, модификация вирья есть вирмейкерство

[Valery Ledovskoy 1082]

sereja6, думаю, в этой части разговора также будет уместно пожурить тебя за то, что ты пытаешься под моим именем регистрироваться на различных форумах и блогах, как и в старые добрые времена. Не расскажешь, с какой целью это нужно бета-тестеру продуктов ЛК?

[Иван 290]

видимо мальчик упаковал сампл и теперь ему не терпится рассказать об этом миру

да кстати от чего же наш знатный тестер ЛК забанен на официальном форуме ЛК?

[AlexxSun 150]

Иван, зря Вы так "наехали" на начинающего программиста... Пока всё то, что он произвёл на свет - никаких признаков жизни не подаёт и заражать и удалять файлы отказывается Хотя да, этот неработоспособный файл перестал детектироваться некоторыми антивирусами.

[Иван 290]

AlexxSun как же вам объяснить-то, что не важно работает оно или нет, детектится оно чем-то или нет. Дело не в этом,

А вот в этом:

Подведем черту

Евгений 29 апреля 2008 | 18:52 MSK комментировать

Конкурс «обфускации» вредоносного кода под названием Race to Zero, который должен пройти на хакерской конференции Defcon в августе этого года, уже вызвал жаркие споры.

Как мне кажется, любое действие либо этично, либо неэтично... и я убежден, что «ради удовольствия» создавать новый вредоносный код, способный обойти антивирусную защиту, неэтично.

Мы — антивирусные эксперты — всегда против создания вредоносного кода по каким бы то ни было причинам. Единственным разумным оправданием создания вредоносного ПО в тестовых целях когда-то можно было считать следующий аргумент: «нам надо создать новые варианты кода, чтобы подробно изучить способы атаки».

Но ребята, давайте смотреть правде в глаза: сегодня мы сталкиваемся с тысячами новых вариантов вредоносных программ. У нас более чем достаточно «живого» вредоносного кода, пригодного для анализа и изучения с целью улучшения технологий защиты от вредоносного ПО. Поэтому, даже если этот аргумент когда-то можно было принять: «ну, может быть, только один раз, ничего страшного, если уж так надо», то в 2008 году он уже НЕ может быть оправдан.

Утверждение, что «сигнатурный антивирус умер, надо искать эвристические, статистические и поведенческие методы обнаружения новых угроз» — это просто дешевый пропагандистский трюк. Уже несколько лет никто — вообще никто — в антивирусной индустрии не рассчитывает только на сигнатурные методы. А звучит заявление авторов «конкурса» так, словно большинство антивирусных сканеров провалят их «тесты», потому что обойти сигнатурные сканеры и статические эвристики не проблема.

Для тысяч электронных мошенников посыл ясен: «даёшь обфускацию кода!» Этот «конкурс» стимулирует их к поиску и разработке новых технологий обфускации. А поскольку они и так этим занимаются, то они просто еще поднажмут. Благодарности за это от нас вы не услышите: антивирусным лабораториям такой стимул не нужен, им и так есть чем заняться.

Наиболее позитивно настроенные граждане называют этот «конкурс» формой тестирования продуктов. Неверно!

Тестирование антивирусных продуктов, как и любое другое тестирование ПО, осуществляется профессионалами, такими как, например, Андреас Клементи, Андреас Маркс или редакция Virus Bulletin на основе справедливых, этичных и научно-обоснованных правил. Вот так всё делается в приличных антивирусных кругах.

«Конкурс» Race to Zero/DefCon:

Проводится НЕ профессиональными тестерами — без комментария

НЕ основан на справедливых правилах — до сих пор никаких публичных контактов с производителями антивирусного ПО не наблюдалось

НЕ имеет научной основы — описание тестового стенда отсутствует как таковое

И последнее — по порядку, но не по значению. Это НЕЭТИЧНО на все 100%. Писать вредоносное ПО — преступление. Вот и все.

Наконец, как насчет Федерального закона США о компьютерных преступлениях? И других законодательных актов? Этот «конкурс» вообще законно проводить на территории США? Агентство, отвечающее за борьбу с электронной преступностью, в курсе?

В общем, всё сводится к следующему: нужны ли публичные и неструктурированные «конкурсы тестирования» преступных технологий, проводимые людьми без соответствующей квалификации и репутации? Может быть, стоит провести «конкурс» ограбления банка в реальной среде для проверки банковских систем безопасности? Или «пробную» раздачу наркотиков в школах, чтобы проверить работу наркополиции?

До абсурда можно довести что угодно — в том числе анализ кода. Давайте вздохнем поглубже и займемся разработкой технологий защиты, а не «модификацией вредоносного кода ради удовольствия»!

http://www.viruslist.com/ru/weblog

[sereja6 0]

Иван то что меня забанили на оф.форуме это ещё ничего не говорит, это не как не повлияло на моё тестирование ПДМ и HIPS так как по сегодняшний день я продолжаю писать в асю о багах так как о тех багах, которые я нахожу каждый день, я не имею право писать на форуме.

Извесно ли вам о том что серверы ЛК не загружены толькj благодаря мне. А вы тут меня обвиняете в вирмейкерстве, да я могу написать что-то, но только для тестов и только для улучшения ПДМ, но не как не для распространения. В прошлом году я написал файл, который выгружал драйвер каспера и что по вашему куда я его дел? Нет я его не стал распространять в сети, а отослал разработчикам и дыру прикрыли.

Это что касается Каспера, а что касается Эсет, то хотел бы вас удивить, наверно вы один просто не знаете, что благодаря моих бесконечных писем в ESET прикрыли вечный триал. Я одного лишь не пойму, почему кроме меня некто не сообразил написать в Эсет и отослать видео того, как работает вечный триал. Да, вначале надо мной посмеялись, но затем когда я продемонстрировал всё на видео поянли что я не шучу. На данный момент дыра прикрыта . Хотя на версии 657 сегодня утром мною была найдена новая дыра, постредством системы есть возмость выставить запрет и вечный триал обеспечен, эта же дыра или как её можно назвать быда найдена мною ещё на 6-ти продуктах. Мои действия будут такими, изложить подробно всем разработчикам данных продуктов, что в их продуктах найденна возможность нелицензионного использования и чтоб её прикрыли.

По вашему я делаю что-то не так? Если да то кто по вашему будет этим заниматься? Тестеры, которые не могут различить C++ от VBS , смех и грех.

С Уважением независимый разработчик.

P.S. Если под моим ником кто-то, гдето и регистрируется - это не означает что это я . Каждый может зарегистрироваться под моим ником.

[Valery Ledovskoy 1082]

да я могу написать что-то, но только для тестов и только для улучшения ПДМ, но не как не для распространения.

Достаточно и только создания, без распространения:

http://www.garant.ru/main/10008000-029.htm#273

Статья 273 УК РФ.

P.S. Если под моим ником кто-то, гдето и регистрируется - это не означает что это я . Каждый может зарегистрироваться под моим ником.

Под твоим ником пусть регистрируется кто угодно. А вот тебе под моим настоящим именем не надо на блогах регистрироваться, понятно?

Статья 19 ГК РФ:

"5. Вред, причиненный гражданину в результате неправомерного использования его имени, подлежит возмещению в соответствии с настоящим Кодексом.

При искажении либо использовании имени гражданина способами или в форме, которые затрагивают его честь, достоинство или деловую репутацию, применяются правила, предусмотренные статьей 152 настоящего Кодекса."

Статья 152. Защита чести, достоинства и деловой репутации:

"5. Гражданин, в отношении которого распространены сведения, порочащие его честь, достоинство или деловую репутацию, вправе наряду с опровержением таких сведений требовать возмещения убытков и морального вреда, причиненных их распространением."

И только не надо говорить, что ты ничего не делал, ладно?

[AlexxSun 150]

Тема полностью свалилась в оффтоп.

Возвращаясь в тему -

Краткие итоги 25 мая:

1) Несмотря на многочисленные предупреждения очень многие пользователи оказались слишком самонадеянными... Если сравнить комментарии этих пользователей до и после 25 мая - есть существенная разница

2) Антивирусные компании сделали много, чтобы избежать плачевных последствий, но администрация сайта сделала всё для того, чтобы информация о лечении попала к пользователям с опозданием. Многие так и не прочитали об опасности до 25 мая. Администрации вполне по силам было разослать предупреждение с инструкцией по лечению от вируса каждому пользователю в личку.

3) Несмотря на плачевные последствия - в движке этого сайта так ничего не изменилось, гиперссылки доступны в сообщениях.

Видимо будем ждать следующей эпидемии?

[Иван 290]

то что было - цветочки, пользователю на ссылку приходилось нажимать самому - и то киберпаноптикум

и киберпаноптикум этот на мой взгляд задуман специально, чтобы вконтакте опустить - зловреды с диструктивным функционалом не в моде, так что их использование в этом случае говорит о многом

а вот когда на страницах социалок появится самоходное вирье, которое будет себя тихо вести, создавая бот сети из зараженных компов (как это с Биланом прокрутили) - вот это будет веселье. Хотя рядовым пользователям будет не так обидно - они могут даже и не узнать, что их компами кто-то управляет.

[A. 875]

Трагедия дня - это в 10 утра потерять все свои файлы, вырвать на себе все волосы от горя, отформатировать диск, поставить голую систему и пойти на официальный сайт любимого певца утешаться музыкой.

[sergey ulasen 200]

Пользователи "В Контакте" действительно не поверили...

Только что звонил знакомый, искал кто бы ему веник восстановил. На вопрос: "А ты разве не знал, что это будет?" прозвучал совсем неожиданный ответ: "Я знал, но не поверил. Думал, такое только в фильмах бывает".