Перейти к содержанию

Recommended Posts

Александр Шабанов

Смотрел последние публикации в рунете и наткнулся на неожиданное открытие - по версии Norton Safe Web, Securitylab.ru заражен:

Отчет об угрозах

Всего найдено угроз: 1

Вирусы

Найдено угроз: 1

Здесь приведен полный список:

Название угрозы: Hacktool

Расположение: http://download.securitylab.ru/******/MS04-007-dos.exe

На всякий случай изменил линк, скрин ниже.

securitylabhacktool.jpg

post-3840-1238608057_thumb.jpg

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Там же после проверки предлагаются:

Полезные сведения об угрозах (на русском)

http://safeweb.norton.com/safety

Глоссарий (на английском)

http://www.symantec.com/norton/security_re...se/glossary.jsp

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Посмотрим на год выпуска данного эксплойта (2004 г.), посмотрим на определение 'вредоноса' (hacktool - то есть: ни в коем случае такое, от чего можно заразиться), и имеем в виду, какое сегодня число. :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Потому что не нужно что попало выкладывать по публичным линкам, это как видим чревато...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rem

Если можно, небольшой оффтоп Эхо Москвы:

_http://www.echo.msk.ru/

th_15709_673707_123_855lo.jpg

http://safeweb.norton.com/report/show?url=...amp;x=8&y=8

А я туда частенько заходил почитать\послушать :)

PS. Здесь молчек http://online.drweb.com/?url=1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Проверка по странам показала, что наиболее известна ему зона США, многие русские и иностранные он ещё не проверял, потому как пишет: "Проверка запланирована".

Что ж это нормально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Потому что не нужно что попало выкладывать по публичным линкам, это как видим чревато...

С этим можно спорить, конечно - если не было бы таких ресурсов как хttp://www.milw0rm.com/ (откуда securitylab обычно берёт свои 'материалы'), многие производители софта ещё более самодовольно продолжали бы надувать народ про 'безопасность' своих продуктов - таким образом хоть заставляют быстро принимать меры. Дело в том, что эксплойты только выкладываются когда уже давно от производителя софта ничего не слышно, несмотря на то, что уведомление об уязвимости было. Таким образом Клиент всё-таки Король, и я считаю, что это правильно.

Только что ещё нашли 0-day уязвимость (то есть: в дикой природе уже используется) в Firefox но не выложили эксплойт - опять DoS с повреждением памяти; пусть вендор спешит с ремонтом 'самого безопасного' браузера, а то некоторые думают до сих пор, что в нём можно безопасно свои пароли сохранять. То, что NoScript может сделать всё-таки ограничено, так как он использует при работе именно политики самого браузера, и он не до того тонко определяет ресурсы, как, например, Adblock Plus это делает... Как известно, программы защиты могут только дать то, что позволяет та платформа, на которой они стоят... :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Если можно, небольшой оффтоп Эхо Москвы:

Жесть просто - 22 угрозы ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
safeweb.norton.com/report/show?url=...amp;x=8&y=8

А я туда частенько заходил почитать\послушать smile.gif

Те страницы, которые указаны safeweb.norton.com действительно заражены.

Заливается через эксплоит вот этот троян:

http://www.virustotal.com/ru/analisis/df02...b629653488bf72f

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

Сергей Ильин

Жесть просто - 22 угрозы ...

Вовсе не жесть. На подобных сайтах всегда были, есть и будут вредоносные программы. И смотря какие это угрозы опять же... :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Жесть просто - 22 угрозы ...

Ну для такого авторитетного СМИ как Эхо Москвы это действительно совсем даже не положительный фактор, видимо они используют один из 15 антивирусных продуктов, которые не знают данной угрозы :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

Кирилл Керценбаум

Тоже вариант.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Проблема эта НИКОГДА не решится со стороны клиента. Как только мы это осознаём будут приняты реальные меры. Надо перестать быть жертвами неграмотных вебмастеров. :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IgorTT3

Не понятно c Norton Safe Web и echo.msk.ru.

Указаны 22 угрозы для echo.msk.ru. На странице приведены 10 угроз. Но все они для old.echo.msk.ru.

На сайте old.echo.msk.ru похоже только время текущее, а все последние новости за февраль 2008 г.

Текущий сайт www.echo.msk.ru

Вопрос. Какой сайт проверяет Norton Safe Web при заданном www.echo.msk.ru?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Вопрос. Какой сайт проверяет Norton Safe Web при заданном www.echo.msk.ru?

Предполагаю, что old.echo.msk.ru на том же ресурсе как и echo.msk.ru (IP-адрес один и тот же); поэтому он заодно тоже проверяется. Поиск по ссылке явно echo.msk.ru.

Видимо имеется 22 зловреда из 10 типов. Только примеры этих типов даются, то есть: не полный список того, что можно ещё найти где-то на данном ресурсе...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IgorTT3
old.echo.msk.ru на том же ресурсе как и echo.msk.ru (IP-адрес один и тот же)

IP разные 212.118.62.200 и 212.118.62.195 соответственно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
IP разные 212.118.62.200 и 212.118.62.195 соответственно.

Да, ошибся :( - Нортон сканирует, видимо, не тот ресурс.

old.echo.msk.ru

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Нортон сканирует, видимо, не тот ресурс

А я что говорил. :)

многие русские и иностранные он ещё не проверял, потому как пишет: "Проверка запланирована".

Он выдаёт результаты из ранее проиндексированной базы адресов.

И смотрит только индекс сайта, а не все страницы. Все остальные у него В ПЛАНЕ.

У робота же не 1.000.000 рук, что ему разорваться что ли... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Да, ошибся - Нортон сканирует, видимо, не тот ресурс.

Совсем не факт. Алгоритм обработки следующий - заходим на сайт, а затем начинаем проходить по всем ссылкам, которые ведут в пределах того же домена. Так что Safe Web увидел ссылку на Старую версию сайта - домен тот же - и пошел сканировать его и нашел зараженные объекты, на текущей же версии ничего найдено не было

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Кирилл Керценбаум

А если дать Safe Web заранее ссылку на вредоносный сайт, и он найдёт там кучу вирья, и добавит эту информацию в базу, и... и... и...

А в итоге, будут ли приняты какие-то меры к выведению "владельца" на чистую воду?

Или в этом плане всё иначе построено? И сайт будет продолжать заражать компьютеры пользователей?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Шабанов

Свеженькие вердикты:

- virusinfo.info

- qip.ru

:rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Свеженькие вердикты:

- virusinfo.info

Это неудивительно; в архивах, например, может быть всякое, особенно ссылки на недобрые сайты... Так что - в будущем будет 'ещё лучше'.

Bloodhound.Exploit.6

Risk Level 1: Very Low

Детект эвристики на уязвимость в IE6 c 2004 г... Круто...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Паул,так например в моем разделе на форуме ЛК-тоже много чего выкладывают иногда-и что,он чист по вердикту Norton Safe Web... Не думаю что ему( Norton Safe Web) вообще можно серьезно доверять... Так, маркетинговая фича...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3TE116

Вот нарыл по нему подозрительные скрипты,может я ошибаюсь,но эта вещь не ошибается,а пока скрипт сайта смотрел и NoScript'ом успел прикрыть,там что-то прыгало и хотело пролезть,но не смогло.

Проверил эту вещь - она везде почти есть.Тем более что-то хотело меня перенаправить,но я не отдался.Синий квадратик с белой стрелкой,типа поворот направо.Что там прыгало и что хотело перенаправить,я не понял.

<iframe src="http://ads.adfox.ru/1399/getCode?p1=wmh&p2=ye&p3=a&p4=a&pucn=a&pfc=wkg&pfb=a&pr=' + pr + '&pt=b&pd=' + addate.getDate() + '&pw=' + addate.getDay() + '&pv=' + addate.getHours() + '&py=a" frameBorder="0" width="728" height="90" marginWidth="0" marginHeight="0" scrolling="no" style="border: 0px; margin: 0px; padding: 0px;"><a href="http://ads.adfox.ru/1399/goDefaultLink?p1=wmh&p2=ye" target="_top"><img src="http://ads.adfox.ru/1399/getDefaultImage?p1=wmh&p2=ye" border="0" alt=""><\/a><\/iframe>

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Dima2_90
      На мой взгляд то, что Process Hacker выгружает антивирусы - явление нормальное, потому что Process Hacker - легитимная программа (по мнению некоторых вендоров -  потенциально опасная), а не троянская, и  команду на выгрузку антивируса даёт сам пользователь ( выбрав процесс в списке и нажимая "Terminate"), то есть это действие (завершение процесса, отвечающего за работу антивируса) санкционировано самим пользователем.
    • rownong
      Здравствуйте. Есть следующая инфраструктура (VPS куплены у хостинг-провайдера).  VPS сервер 1.
      На нем:
      - Несколько баз данных MySQL 
      - Папки (с сайтами, веб-приложениями, скриптами)
      - Установленные программы
      > Панель управления Vesta
      > MySQL-сервер
      > PhpMyAdmin
      > FTP-сервер
      - Задачи крона VPS сервер 2.
      На нем:
      - Asterisk (с конфигурациями) В перспективе VPS сервер 3.
      На нем будет располагаться ERP организации (база данных, бекенд Laravel, фронтенд Vue.js).  Нужно обеспечить безопасность данной IT инфраструктуры, закрыть максимум уязвимостей.
      Чтобы злоумышленники не могли, просмотреть / украсть: пароли в конфигах PHP скриптов, данные БД Таблиц MySQL, не имели доступ к  Asterisk, данным ERP, защита от sql инъекций, DDoS-атак и т.д. Вопросы: 1. В представленной инфраструктуре, каких технические специалисты должны делать аудит ? PHP-программист, системный администратор, или есть отдельные специалисты которые занимаются безопастностью в IT? 2. Я правильно понимаю, что выполнение задачи будет разбито на 2 этапа:
      - аудит (когда будут выписаны замечания)
      - реализация мер по устранению замечаний
      ?? 3. Как выбрать аудиторов?
      Достаточно фрилансеров или нужно обращаться в организацию? 4. Как определить компетенции аудиторов в обеспечении безопасности в IT? 5. Имеет смысл  нанимать сразу 2-х аудиторов?
      Потом реализовывать замечания обоих аудитов? 6. В какой формате проводятся аудиты по безопасности?
      Нужно будет прислать специалистам доступы ко всем системам? 7. Целесообразно делать аудит VPS без аудита офисного железа (компьютеры, роутеры, файловый сервак)?
      Теоретически на компьютерах могут быть уязвимости к вирусам которые доступы крадут от VPS, но проверять еще компы всей организации, сильно увеличит время на аудит.  
    • Draft
      К Сереге лысому, моему другу, приходят и жалуются, мол разводят их как лохов
    • Quincy
      К тебе именно приходит и на сайт жалуется?)))) 
    • PR55.RP55
      https://github.com/dragokas/hijackthis/blob/devel/src/_ChangeLog_ru.txt Стоит прочесть и найти полезное. Типа: Добавлена зачистка зависимостей легитимных служб от удаляемой службы.
      Добавлен запрет программе на перезагрузку серверных ОС с запросом к пользователю сделать это вручную.
      Добавлена проверка типа виртуализации ключей реестра.
×